M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.

Présentation au sujet: "M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux."— Transcription de la présentation:

1 M2: Les parefeux Université Paris II & LRI Michel de Rougemont mdr@lri.fr http://www.lri.fr/~mdr 1.Quest ce quun parefeu ? 2.Architecture des parefeux 3.Commandes IPTABLES

2 Quest-ce-quun parefeu? 1.Programme sur un routeur ou un seveur 2.Permet de restreindre les services 3.Protége un réseau local contre les attaques 4.Espionne les utilisateurs 5.Politique de sécurité

3 API :Internet Application Interface Une communication utilise un port. Smtp : 25 Ftp : 21 Pop : 110 Www: 80 Internet 210.46.12.5:234 129.15.13.201:234 Réseau local

4 Différentes architectures 1. Routeur Parefeu Internet 2.Parefeu : connexions vers un serveur autorisé. Web

5 Architecture générale Problème : le serveur compromis Peut compromettre le réseau local Internet Réseau local protégé. Web

6 Politique de sécurité Implémentation selon les systèmes dexploitation. Linux : Iptables (Ipchains) /etc/init.d/iptables Programme standard sous linux de gestion des règles de parefeu.

7 Iptables sur dup2.dyndns.org # Source 'em up. /etc/init.d/functions IPTABLES_CONFIG=/etc/sysconfig/iptables if [ ! -x /sbin/iptables ]; then exit 0 fi KERNELMAJ=`uname -r | sed -e 's,\..*,,'` KERNELMIN=`uname -r | sed -e 's,[^\.]*\.,,' -e 's,\..*,,'` if [ "$KERNELMAJ" -lt 2 ] ; then exit 0 fi if [ "$KERNELMAJ" -eq 2 -a "$KERNELMIN" -lt 3 ] ; then exit 0 fi ……………..

8 Iptables 3 chaines : FORWARD, INPUT, OUTPUT Iptables –P INPUT DROP (plus de paquets ne passent vers la machine) -A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT (On Ajoute la règle : les paquets TCP du port 80 sont acceptés) FORWARD OUTPUT INPUT M.locale

9 Politique de sécurité Configuration: /etc/sysconfig/iptables [root@dhcppc2 init.d]# more /etc/sysconfig/ipchains # Firewall configuration written by lokkit # Manual customization of this file is not recommended. # Note: ifup-post will punch the current nameservers through the # firewall; such entries will *not* be listed here. :input ACCEPT :forward ACCEPT :output ACCEPT -A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 443 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 3306 -p tcp -y -j ACCEPT -A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth0 -j ACCEPT -A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth1 -j ACCEPT -A input -s 0/0 -d 0/0 -i lo -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

10 Gestion des ports sur un routeur Routeur Netgear 114

11 T.D. M2 Protéger query.php sur votre site à laide de.htaccess Insérer un hyperlien sécurisé vers https://www.lri.fr/wmdr/sec.htm et https://dup2.dyndns.org/etud/phpsec Exemple: http:// www.lri.fr/~mdr/f3.htm Menvoyer un email signé avec PGP et un certificat de mail

12 Projets informatiques 1.Outil query.php Afficher le schéma des tables dans une nouvelle fenêtre. Feuilles de style dans laffichage. 2.Outil FG ( f.php et g.php) pour éviter FTP. Concevoir une table à 3 champs Nom, type, Programme Qui va stocker dans programme les scripts à tester. Le script f.php lit un Nom et permet déditer le programme ou de lexécuter avec eval($p) ;