SlideShare uma empresa Scribd logo

Cours Firewalls.pdf

A
AnisSalhi3

Cours Firewalls

Educação
1 de 35
Baixar para ler offline
16/11/2022 Les firewalls 1
Sommaire  Introduction générale  C’est quoi un firewall?  Définition Fonctionnement général 16/11/2022 Les firewalls 2  Fonctionnement général  Différents type de firewalls  Mise en place d’un firewall sous linux  Firewall avec Ipchains  Firewall avec Iptables  Conclusion
Introduction  Autrefois, l’Internet était un petit village amical, qui ressemblait à une ville du Midwest.  On avait l’habitude de laisser les portes virtuelles ouvertes. 16/11/2022 Les firewalls 3 ouvertes.  Les voisins sonnaient seulement pour dire bonjour.  Depuis, tant de gens sont arrivés dans cette ville, que quelqu’un est venu voir et a remarqué que maintenant l‟Internet ressemble beaucoup plus à New York.
Introduction  Dans le nouvel Internet, les gens sont obligés de boulonner leurs portes, d’installer des systèmes d’alarme, d’avoir des chiens de garde, et de conduire avec leurs portes de voiture verrouillées. 16/11/2022 Les firewalls 4 avec leurs portes de voiture verrouillées. Prévoir des techniques de sécurités dans le but de minimiser les risques
Différents technique de sécurité  Les anti-virus  Les anti-spams  Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont les systèmes pare-feu. 16/11/2022 Les firewalls 5 réseau contre les intrusions sont les systèmes pare-feu. Néanmoins ce type de dispositif ne protège pas la confidentialité des données circulant sur le réseau.
C’est quoi un pare-feu? 16/11/2022 Les firewalls 6 C’est quoi un pare-feu?
Définition théorique  Firewall  Logiciel de contrôle d’accès au niveau du réseau  Divers niveaux de filtrage 16/11/2022 Les firewalls 7  Divers niveaux de filtrage  Liaison (adresse MAC, …)  Réseau (en têtes IP, IPX, … et type/code ICMP)  Transport (ports TCP/UDP)  Filtrage adaptatif (« statefull inspection ») ou dynamique  Application (relais applicatifs – « application proxys »)  Combinaison….
Définition pratique  Mais pratiquement :  Fonctionnalité principale : filtrage IP  Filtrage IP 16/11/2022 Les firewalls 8  Filtrage IP  Idée : contrôler les paquets IP autorisés à atteindre un hôte  Intérêt : sécuriser un hôte de façon globale (au niveau réseau)  Traduction d’adresses et de ports  Idée : réécrire les en-têtes des paquets  Intérêt : faire face à la pénurie d’adresses routables sur l’Internet.
Le filtrage du flux IP  Le STATELESS (ou filtrage de paquet)  Consiste a filtrer les paquets IP sans tenir compte du contexte de connexion en TCP par exemple.  Conséquence sur la mise en oeuvre : il faut autoriser les 16/11/2022 Les firewalls 9  Conséquence sur la mise en oeuvre : il faut autoriser les paquets dans les 2 sens mais le problème c'est que des paquets non liés à des sessions peuvent traverser le filtre... Le stateless a besoin de peu de ressources
Le filtrage du flux IP  Le STATEFULL  Filtrer les flux en tenant compte des contextes.  Le firewall est codé pour autoriser un flux, il autorisera tous les paquets liés à se flux, dans les deux sens, à 16/11/2022 Les firewalls 10 tous les paquets liés à se flux, dans les deux sens, à condition qu'ils soient "rattachés" à une session...  Si un paquet correspondant à un flux autorisé arrive sans qu'une session ait été ouverte, le paquet sera automatiquement rejeté. Le statefull est plus gourmand en traitements et en memoire.
Exemples de firewalls libres  Netfilter  Filtre de paquets du noyau Linux 2.4  Successeur d’IPChains (Linux 2.2)  Développé par Paul Russell 16/11/2022 Les firewalls 11  Développé par Paul Russell  IP Filter  Filtre de paquets fonctionnant sous Unix  Conçu et développé par Darren Reed  Packet Filter  Filtre de paquets dans OpenBSD (à partir de la version 3.0)  Conçu par Daniel Hartmeier
Firewall avec IPchains 16/11/2022 Les firewalls 12 Firewall avec IPchains
Définition  ipchains est un module logiciel qui fournit des fonctions de pare-feu pour Linux 2.1 et 2.2.  Plus précisément ipchains est la commande Linux qui permet à un administrateur de configurer le module de 16/11/2022 Les firewalls 13 permet à un administrateur de configurer le module de filtrage IP intégré aux noyau Linux.
Firewall avec IPchains  Ipchains peut filtrer les paquets selon 3 chaînes  Ce qui rentre (input)  Ce qui sort (output)  Ce qui est transmis (forward) 16/11/2022 Les firewalls 14  Ce qui est transmis (forward)  Une chaîne est une vérification de règles  Pour chacune des chaînes, 3 polices peuvent être utilisées :  on accepte le paquet (ACCEPT),  on rejette le paquet en prévenant la source qu’on a droppé le paquet (REJECT)  ou on supprime le paquet directement (DENY).
Noter Bien !!!  Il n’est pas conseillé d’utiliser REJECT mais plutôt DENY, car lorsque quelqu’un essaye de pirater, il vaut 16/11/2022 Les firewalls 15 DENY, car lorsque quelqu’un essaye de pirater, il vaut mieux qu’il ne sache pas si le paquet est accepté ou rejeté.
Syntaxe  Les principales options d’ipchains sont les suivantes :  -P pour policy, sert à redéfinir la police.  -L pour list, sert à lister les règles d’une chaîne  -F pour supprimer les règles d’une chaîne 16/11/2022 Les firewalls 16  -F pour supprimer les règles d’une chaîne  -A pour ajouter une règle à une chaîne  Syntaxe classique :  Ipchains -A chaine -i interface -s source -d destination -j police  Les chaines : input, output, forward  Les interfaces : eth0, eth1, ppp0, etc.
Exemple : Protection anti-spoofing  L’anti spoofing est en faite un procédé qui permet à un pirate de changer l’adresse ip source. Donc il pourrait faire croire que c’est quelqu’un qui appartient à notre réseau. 16/11/2022 Les firewalls 17  Pour se prémunir de ce type d’attaque, on met des filtres comme celui-ci : Ipchains -A input -i ppp0 -s 192.168.1.0/24 -d 0.0.0.0 -j DENY  Ce filtre rejette tous les paquets IP qu’y on comme adresse source en 192.168.1.x et qui vient de l’interface ppp0  Une fois ce filtre validé on peut visualiser s’il a été pris en comptes : ipchains -L input
Masquage standard  /sbin/ipchains -P input DENY  /sbin/ipchains -P output DENY  /sbin/ipchains -P forward DENY 16/11/2022 Les firewalls 18 On fixe la police des chaînes input, output et forward à DENY: aucun paquet IP ne rentre, ne sort, n'est routé.
Masquage standard  /sbin/ipchains -F input  /sbin/ipchains -F output  /sbin/ipchains -F forward 16/11/2022 Les firewalls 19 On supprime toutes les règles des chaînes input, output et forward.
Masquage standard  /sbin/ipchains -A input -j ACCEPT -i lo  On ajoute à la chaîne input la règle -j ACCEPT -i eth0 : on accepte tout paquet qui rentre sur l'interface eth0 16/11/2022 Les firewalls 20  /sbin/ipchains -A input -j ACCEPT -i eth1 -s 192.168.1.1/255.255.255.0  on accepte tout paquet qui rentre sur l'interface eth1 et ayant pour adresse source les adresses 192.168.1.1 à 192.168.1.255, c'est à dire le réseau interne.
Masquage standard  On ajoute dans la chaîne output les règles suivantes:  j ACCEPT -i lo : on accepte tout ce qui sort par l'interface lo.  -j ACCEPT -i eth1 -d 192.168.1.1/255.255.255.0 : on accepte tout ce qui sort par l'interface eth1 ayant une adresse de destination du réseau interne. 16/11/2022 Les firewalls 21 interne.  -j ACCEPT -i eth0 -s 193.54.230.3/255.255.255.0 : on accepte tout ce qui sort par l'interface eth0 ayant comme adresse source celle du Linux Routeur.  -j DENY -i eth0 -d 192.168.1.1/255.255.255.0 -l : on rejette tout ce qui sort par l'interface eth0 ayant comme adresse de destination une adresse du réseau interne et on loge les infractions
Firewall avec Netfilter 16/11/2022 Les firewalls 22 Firewall avec Netfilter
Netfilter  Netfilter a été intégré au noyau Linux à partir de la version 2.4. Il est issu de la réécriture d'ipchains qui fonctionnait dans la série des noyaux 2.2. Pour faciliter la transition, les paramètres d'iptables ressemblent à 16/11/2022 Les firewalls 23 la transition, les paramètres d'iptables ressemblent à ceux de son prédécesseur.  Le nom iptables est souvent utilisé pour parler de toute l'infrastructure Netfilter mais il n'est que l'outil permettant de le configurer à partir d'un interpréteur de commandes.
Tables  Netfilter est fourni avec trois tables principales  Filter  Nat  Mangle 16/11/2022 Les firewalls 24  Mais des modules d'extension peuvent en créer de nouvelles  Chaque table contient des chaînes prédéfinies à travers lesquelles les paquets vont passer  L'administrateur peut ajouter et retirer des chaînes personnelles dans n'importe quelle table  Au départ, toutes les chaînes sont vides et leur politique par défaut est d'accepter les paquets
Filter  filtrage des paquets  Son utilisation principale est de jeter (DROP) ou de laisser passer (ACCEPT) les paquets  La table fournit : 16/11/2022 Les firewalls 25  La table fournit :  une chaîne INPUT pour filtrer les paquets à destination du système,  une chaîne OUTPUT pour filtrer les paquets émis par les processus du système,  et une chaîne FORWARD pour filtrer les paquets que le système doit transmettre.
Nat  La table nat est responsable de la translation d'adresses et de ports  Seul le premier paquet de chaque connexion passe à travers cette table 16/11/2022 Les firewalls 26 travers cette table  Les règles déterminent comment seront modifiés tous les paquets relatifs à cette connexion.
Nat  La chaîne PREROUTING traite les paquets arrivant de l'extérieur avant qu'ils ne soient routés. Elle permet de modifier la destination de la connexion (DNAT )  La chaîne POSTROUTING traite les paquets après la 16/11/2022 Les firewalls 27  La chaîne POSTROUTING traite les paquets après la décision de routage, juste avant que le paquet soit expédié. Elle permet la modification de la source de la connexion (SNAT). On peut ainsi camoufler la véritable origine d'une connexion.  La chaîne OUTPUT fonctionne comme la chaîne PREROUTING mais pour les connexions issues d'un processus du système.
Mangle  La table mangle est responsable de la transformation des options des paquets comme par exemple la qualité de service  Elle permet notamment d'apposer une marque 16/11/2022 Les firewalls 28  Elle permet notamment d'apposer une marque (interne au noyau) qui peut être utilisée pour la couche routage ou les fonctions avancées de qualité de service comme Diffserv
Mangle  Tous les paquets passent à travers cette table dans une ou plusieurs chaînes. Ils passent :  dans la chaîne PREROUTING juste avant le routage s'ils proviennent d'une interface réseau ; dans la chaîne INPUT s'ils sont destinés à une adresse du système ; 16/11/2022 Les firewalls 29  dans la chaîne INPUT s'ils sont destinés à une adresse du système ;  dans la chaîne OUTPUT s'ils ont été émis par un processus du système ;  dans la chaîne FORWARD s'ils proviennent d'une interface réseau et qu'ils sont destinés à une autre interface réseau ;  et dans la chaîne POSTROUTING après le routage, juste avant d'être expédiés.
Etablir les règles de firewalling  # REMISE à ZERO des règles de filtrage iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT 16/11/2022 Les firewalls 30 iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT  # Je veux que les connexions entrantes soient bloquées par défaut iptables -P INPUT DROP
Etablir les règles de firewalling  Je veux que les connexions destinées à être forwardées soient acceptées par défaut iptables -P FORWARD ACCEPT  Je veux que les connexions sortantes soient acceptées par défaut 16/11/2022 Les firewalls 31  Je veux que les connexions sortantes soient acceptées par défaut iptables -P OUTPUT ACCEPT  J'accepte les packets entrants relatifs à des connexions déjà établies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Etablir les règles de firewalling  J'autorise les connexions TCP entrantes sur les ports 20 et 21(pour que mon serveur FTP soit joignable de l'extérieur) iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT 16/11/2022 Les firewalls 32 iptables -A INPUT -p tcp --dport 21 -j ACCEPT  J'autorise les connexions TCP entrantes sur le port 22 (pour que mon serveur SSH soit joignable de l'extérieur) iptables -A INPUT -p tcp --dport 22 -j ACCEPT  J'accepte le protocole ICMP (i.e. le "ping") iptables -A INPUT -p icmp -j ACCEPT
Etablir les règles de firewalling  Pour afficher la configuration iptables actuelle, tapez :  pour la table filter : # iptables -L -v pour la table nat : # iptables -t nat -L -v  Dès que les règles iptables en fonctionnement sont 16/11/2022 Les firewalls 33  Dès que les règles iptables en fonctionnement sont satisfaisantes, enregistrez-les comme étant les règles du mode actif :  /etc/init.d/iptables save active
Conclusion  Le fait d'installer un pare-feu n'est bien évidemment pas signe de sécurité absolue.  Les pare-feu ne protègent en effet que des communications passant à travers eux. Ainsi, les accès 16/11/2022 Les firewalls 34 communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du pare-feu sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier.
Merci pour votre attention 16/11/2022 Les firewalls 35 Merci pour votre attention

Recomendados

firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxThierry Gayet
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Vpn
VpnVpn
VpnZakaria Loubeidi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPTarik Zakaria Benmerar
 
Deploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdfDeploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdfmerazgaammar2
 

Recomendados

firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxThierry Gayet
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Vpn
VpnVpn
VpnZakaria Loubeidi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPTarik Zakaria Benmerar
 
Deploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdfDeploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdfmerazgaammar2
 
Projet IPTable
Projet IPTableProjet IPTable
Projet IPTableOlga Ambani
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauPRONETIS
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNManuel Cédric EBODE MBALLA
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Présentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPPrésentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPLionel Repellin
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnYaya N'Tyeni Sanogo
 
3200612.ppt
3200612.ppt3200612.ppt
3200612.pptHassanBadji2
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpnImaneF1990
 
Sécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesSécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesBoubakr NOUR
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"Mohamed BAYA CHATTI
 
Rapport projet
Rapport projetRapport projet
Rapport projetKhadija Dija
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6Youssef Fatihi
 
Notions de base sur le routage
Notions de base sur le routageNotions de base sur le routage
Notions de base sur le routageInes Kechiche
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreAbdou Lahad SYLLA
 
Bar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph InfographicsaaaaaaaaaaaaaaaaaaaBar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph InfographicsaaaaaaaaaaaaaaaaaaaAnisSalhi3
 
Copie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptxCopie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptxAnisSalhi3
 

Mais conteúdo relacionado

Semelhante a Cours Firewalls.pdf

C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauPRONETIS
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Présentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPPrésentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPLionel Repellin
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnYaya N'Tyeni Sanogo
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Sécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesSécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesBoubakr NOUR
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"Mohamed BAYA CHATTI
 
Notions de base sur le routage
Notions de base sur le routageNotions de base sur le routage
Notions de base sur le routageInes Kechiche
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreAbdou Lahad SYLLA
 

Semelhante a Cours Firewalls.pdf (20)

Projet IPTable
Projet IPTableProjet IPTable
Projet IPTable
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Présentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPPrésentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJP
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
 
3200612.ppt
3200612.ppt3200612.ppt
3200612.ppt
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Sécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesSécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTables
 
Firewalls
FirewallsFirewalls
Firewalls
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"Rapport du projet programmation système et réseau "zig-bee"
Rapport du projet programmation système et réseau "zig-bee"
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6
 
Notions de base sur le routage
Notions de base sur le routageNotions de base sur le routage
Notions de base sur le routage
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCore
 

Mais de AnisSalhi3

Bar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph InfographicsaaaaaaaaaaaaaaaaaaaBar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph InfographicsaaaaaaaaaaaaaaaaaaaAnisSalhi3
 
Copie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptxCopie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptxAnisSalhi3
 
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdf
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdfResearch Proposal Business Presentation in Dark Green Orange Geometric Style.pdf
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdfAnisSalhi3
 
mar07-redis.pdf
mar07-redis.pdfmar07-redis.pdf
mar07-redis.pdfAnisSalhi3
 
Copie de Introduction to Coding Workshop by Slidesgo.pptx
Copie de Introduction to Coding Workshop by Slidesgo.pptxCopie de Introduction to Coding Workshop by Slidesgo.pptx
Copie de Introduction to Coding Workshop by Slidesgo.pptxAnisSalhi3
 
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptx
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptxJFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptx
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptxAnisSalhi3
 
Emplois informatiques.pdf
Emplois informatiques.pdfEmplois informatiques.pdf
Emplois informatiques.pdfAnisSalhi3
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdfAnisSalhi3
 

Mais de AnisSalhi3 (9)

Bar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph InfographicsaaaaaaaaaaaaaaaaaaaBar Graph Infographicsaaaaaaaaaaaaaaaaaaa
Bar Graph Infographicsaaaaaaaaaaaaaaaaaaa
 
Copie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptxCopie de Robotic Workshop Infographics by Slidesgo.pptx
Copie de Robotic Workshop Infographics by Slidesgo.pptx
 
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdf
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdfResearch Proposal Business Presentation in Dark Green Orange Geometric Style.pdf
Research Proposal Business Presentation in Dark Green Orange Geometric Style.pdf
 
mar07-redis.pdf
mar07-redis.pdfmar07-redis.pdf
mar07-redis.pdf
 
Copie de Introduction to Coding Workshop by Slidesgo.pptx
Copie de Introduction to Coding Workshop by Slidesgo.pptxCopie de Introduction to Coding Workshop by Slidesgo.pptx
Copie de Introduction to Coding Workshop by Slidesgo.pptx
 
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptx
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptxJFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptx
JFTL-2018-Comment-mettre-en-place-des-plateformes-de-test-gr__ce-__-Docker.pptx
 
Emplois informatiques.pdf
Emplois informatiques.pdfEmplois informatiques.pdf
Emplois informatiques.pdf
 
SSH.pdf
SSH.pdfSSH.pdf
SSH.pdf
 
Cloud-Azure.pdf
Cloud-Azure.pdfCloud-Azure.pdf
Cloud-Azure.pdf
 

Último

SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdfSciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdfSKennel
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfRiDaHAziz
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 
Principe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 tempsPrincipe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 tempsRajiAbdelghani
 
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSKennel
 
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Gilles Le Page
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Txaruka
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre françaisBernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre françaisTxaruka
 
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSKennel
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 37
 
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Alain Marois
 
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSKennel
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETMedBechir
 
PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfPIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfRiDaHAziz
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeXL Groupe
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...Faga1939
 
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 37
 
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSKennel
 

Último (19)

SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdfSciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdf
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 
Principe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 tempsPrincipe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 temps
 
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
 
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre françaisBernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre français
 
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
 
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024
 
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
 
PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdfPIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdf
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
 
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdfBibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
 
DO PALÁCIO À ASSEMBLEIA .
DO PALÁCIO À ASSEMBLEIA .DO PALÁCIO À ASSEMBLEIA .
DO PALÁCIO À ASSEMBLEIA .
 
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
 

Cours Firewalls.pdf

  • 2. Sommaire  Introduction générale  C’est quoi un firewall?  Définition Fonctionnement général 16/11/2022 Les firewalls 2  Fonctionnement général  Différents type de firewalls  Mise en place d’un firewall sous linux  Firewall avec Ipchains  Firewall avec Iptables  Conclusion
  • 3. Introduction  Autrefois, l’Internet était un petit village amical, qui ressemblait à une ville du Midwest.  On avait l’habitude de laisser les portes virtuelles ouvertes. 16/11/2022 Les firewalls 3 ouvertes.  Les voisins sonnaient seulement pour dire bonjour.  Depuis, tant de gens sont arrivés dans cette ville, que quelqu’un est venu voir et a remarqué que maintenant l‟Internet ressemble beaucoup plus à New York.
  • 4. Introduction  Dans le nouvel Internet, les gens sont obligés de boulonner leurs portes, d’installer des systèmes d’alarme, d’avoir des chiens de garde, et de conduire avec leurs portes de voiture verrouillées. 16/11/2022 Les firewalls 4 avec leurs portes de voiture verrouillées. Prévoir des techniques de sécurités dans le but de minimiser les risques
  • 5. Différents technique de sécurité  Les anti-virus  Les anti-spams  Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont les systèmes pare-feu. 16/11/2022 Les firewalls 5 réseau contre les intrusions sont les systèmes pare-feu. Néanmoins ce type de dispositif ne protège pas la confidentialité des données circulant sur le réseau.
  • 6. C’est quoi un pare-feu? 16/11/2022 Les firewalls 6 C’est quoi un pare-feu?
  • 7. Définition théorique  Firewall  Logiciel de contrôle d’accès au niveau du réseau  Divers niveaux de filtrage 16/11/2022 Les firewalls 7  Divers niveaux de filtrage  Liaison (adresse MAC, …)  Réseau (en têtes IP, IPX, … et type/code ICMP)  Transport (ports TCP/UDP)  Filtrage adaptatif (« statefull inspection ») ou dynamique  Application (relais applicatifs – « application proxys »)  Combinaison….
  • 8. Définition pratique  Mais pratiquement :  Fonctionnalité principale : filtrage IP  Filtrage IP 16/11/2022 Les firewalls 8  Filtrage IP  Idée : contrôler les paquets IP autorisés à atteindre un hôte  Intérêt : sécuriser un hôte de façon globale (au niveau réseau)  Traduction d’adresses et de ports  Idée : réécrire les en-têtes des paquets  Intérêt : faire face à la pénurie d’adresses routables sur l’Internet.
  • 9. Le filtrage du flux IP  Le STATELESS (ou filtrage de paquet)  Consiste a filtrer les paquets IP sans tenir compte du contexte de connexion en TCP par exemple.  Conséquence sur la mise en oeuvre : il faut autoriser les 16/11/2022 Les firewalls 9  Conséquence sur la mise en oeuvre : il faut autoriser les paquets dans les 2 sens mais le problème c'est que des paquets non liés à des sessions peuvent traverser le filtre... Le stateless a besoin de peu de ressources
  • 10. Le filtrage du flux IP  Le STATEFULL  Filtrer les flux en tenant compte des contextes.  Le firewall est codé pour autoriser un flux, il autorisera tous les paquets liés à se flux, dans les deux sens, à 16/11/2022 Les firewalls 10 tous les paquets liés à se flux, dans les deux sens, à condition qu'ils soient "rattachés" à une session...  Si un paquet correspondant à un flux autorisé arrive sans qu'une session ait été ouverte, le paquet sera automatiquement rejeté. Le statefull est plus gourmand en traitements et en memoire.
  • 11. Exemples de firewalls libres  Netfilter  Filtre de paquets du noyau Linux 2.4  Successeur d’IPChains (Linux 2.2)  Développé par Paul Russell 16/11/2022 Les firewalls 11  Développé par Paul Russell  IP Filter  Filtre de paquets fonctionnant sous Unix  Conçu et développé par Darren Reed  Packet Filter  Filtre de paquets dans OpenBSD (à partir de la version 3.0)  Conçu par Daniel Hartmeier
  • 12. Firewall avec IPchains 16/11/2022 Les firewalls 12 Firewall avec IPchains
  • 13. Définition  ipchains est un module logiciel qui fournit des fonctions de pare-feu pour Linux 2.1 et 2.2.  Plus précisément ipchains est la commande Linux qui permet à un administrateur de configurer le module de 16/11/2022 Les firewalls 13 permet à un administrateur de configurer le module de filtrage IP intégré aux noyau Linux.
  • 14. Firewall avec IPchains  Ipchains peut filtrer les paquets selon 3 chaînes  Ce qui rentre (input)  Ce qui sort (output)  Ce qui est transmis (forward) 16/11/2022 Les firewalls 14  Ce qui est transmis (forward)  Une chaîne est une vérification de règles  Pour chacune des chaînes, 3 polices peuvent être utilisées :  on accepte le paquet (ACCEPT),  on rejette le paquet en prévenant la source qu’on a droppé le paquet (REJECT)  ou on supprime le paquet directement (DENY).
  • 15. Noter Bien !!!  Il n’est pas conseillé d’utiliser REJECT mais plutôt DENY, car lorsque quelqu’un essaye de pirater, il vaut 16/11/2022 Les firewalls 15 DENY, car lorsque quelqu’un essaye de pirater, il vaut mieux qu’il ne sache pas si le paquet est accepté ou rejeté.
  • 16. Syntaxe  Les principales options d’ipchains sont les suivantes :  -P pour policy, sert à redéfinir la police.  -L pour list, sert à lister les règles d’une chaîne  -F pour supprimer les règles d’une chaîne 16/11/2022 Les firewalls 16  -F pour supprimer les règles d’une chaîne  -A pour ajouter une règle à une chaîne  Syntaxe classique :  Ipchains -A chaine -i interface -s source -d destination -j police  Les chaines : input, output, forward  Les interfaces : eth0, eth1, ppp0, etc.
  • 17. Exemple : Protection anti-spoofing  L’anti spoofing est en faite un procédé qui permet à un pirate de changer l’adresse ip source. Donc il pourrait faire croire que c’est quelqu’un qui appartient à notre réseau. 16/11/2022 Les firewalls 17  Pour se prémunir de ce type d’attaque, on met des filtres comme celui-ci : Ipchains -A input -i ppp0 -s 192.168.1.0/24 -d 0.0.0.0 -j DENY  Ce filtre rejette tous les paquets IP qu’y on comme adresse source en 192.168.1.x et qui vient de l’interface ppp0  Une fois ce filtre validé on peut visualiser s’il a été pris en comptes : ipchains -L input
  • 18. Masquage standard  /sbin/ipchains -P input DENY  /sbin/ipchains -P output DENY  /sbin/ipchains -P forward DENY 16/11/2022 Les firewalls 18 On fixe la police des chaînes input, output et forward à DENY: aucun paquet IP ne rentre, ne sort, n'est routé.
  • 19. Masquage standard  /sbin/ipchains -F input  /sbin/ipchains -F output  /sbin/ipchains -F forward 16/11/2022 Les firewalls 19 On supprime toutes les règles des chaînes input, output et forward.
  • 20. Masquage standard  /sbin/ipchains -A input -j ACCEPT -i lo  On ajoute à la chaîne input la règle -j ACCEPT -i eth0 : on accepte tout paquet qui rentre sur l'interface eth0 16/11/2022 Les firewalls 20  /sbin/ipchains -A input -j ACCEPT -i eth1 -s 192.168.1.1/255.255.255.0  on accepte tout paquet qui rentre sur l'interface eth1 et ayant pour adresse source les adresses 192.168.1.1 à 192.168.1.255, c'est à dire le réseau interne.
  • 21. Masquage standard  On ajoute dans la chaîne output les règles suivantes:  j ACCEPT -i lo : on accepte tout ce qui sort par l'interface lo.  -j ACCEPT -i eth1 -d 192.168.1.1/255.255.255.0 : on accepte tout ce qui sort par l'interface eth1 ayant une adresse de destination du réseau interne. 16/11/2022 Les firewalls 21 interne.  -j ACCEPT -i eth0 -s 193.54.230.3/255.255.255.0 : on accepte tout ce qui sort par l'interface eth0 ayant comme adresse source celle du Linux Routeur.  -j DENY -i eth0 -d 192.168.1.1/255.255.255.0 -l : on rejette tout ce qui sort par l'interface eth0 ayant comme adresse de destination une adresse du réseau interne et on loge les infractions
  • 22. Firewall avec Netfilter 16/11/2022 Les firewalls 22 Firewall avec Netfilter
  • 23. Netfilter  Netfilter a été intégré au noyau Linux à partir de la version 2.4. Il est issu de la réécriture d'ipchains qui fonctionnait dans la série des noyaux 2.2. Pour faciliter la transition, les paramètres d'iptables ressemblent à 16/11/2022 Les firewalls 23 la transition, les paramètres d'iptables ressemblent à ceux de son prédécesseur.  Le nom iptables est souvent utilisé pour parler de toute l'infrastructure Netfilter mais il n'est que l'outil permettant de le configurer à partir d'un interpréteur de commandes.
  • 24. Tables  Netfilter est fourni avec trois tables principales  Filter  Nat  Mangle 16/11/2022 Les firewalls 24  Mais des modules d'extension peuvent en créer de nouvelles  Chaque table contient des chaînes prédéfinies à travers lesquelles les paquets vont passer  L'administrateur peut ajouter et retirer des chaînes personnelles dans n'importe quelle table  Au départ, toutes les chaînes sont vides et leur politique par défaut est d'accepter les paquets
  • 25. Filter  filtrage des paquets  Son utilisation principale est de jeter (DROP) ou de laisser passer (ACCEPT) les paquets  La table fournit : 16/11/2022 Les firewalls 25  La table fournit :  une chaîne INPUT pour filtrer les paquets à destination du système,  une chaîne OUTPUT pour filtrer les paquets émis par les processus du système,  et une chaîne FORWARD pour filtrer les paquets que le système doit transmettre.
  • 26. Nat  La table nat est responsable de la translation d'adresses et de ports  Seul le premier paquet de chaque connexion passe à travers cette table 16/11/2022 Les firewalls 26 travers cette table  Les règles déterminent comment seront modifiés tous les paquets relatifs à cette connexion.
  • 27. Nat  La chaîne PREROUTING traite les paquets arrivant de l'extérieur avant qu'ils ne soient routés. Elle permet de modifier la destination de la connexion (DNAT )  La chaîne POSTROUTING traite les paquets après la 16/11/2022 Les firewalls 27  La chaîne POSTROUTING traite les paquets après la décision de routage, juste avant que le paquet soit expédié. Elle permet la modification de la source de la connexion (SNAT). On peut ainsi camoufler la véritable origine d'une connexion.  La chaîne OUTPUT fonctionne comme la chaîne PREROUTING mais pour les connexions issues d'un processus du système.
  • 28. Mangle  La table mangle est responsable de la transformation des options des paquets comme par exemple la qualité de service  Elle permet notamment d'apposer une marque 16/11/2022 Les firewalls 28  Elle permet notamment d'apposer une marque (interne au noyau) qui peut être utilisée pour la couche routage ou les fonctions avancées de qualité de service comme Diffserv
  • 29. Mangle  Tous les paquets passent à travers cette table dans une ou plusieurs chaînes. Ils passent :  dans la chaîne PREROUTING juste avant le routage s'ils proviennent d'une interface réseau ; dans la chaîne INPUT s'ils sont destinés à une adresse du système ; 16/11/2022 Les firewalls 29  dans la chaîne INPUT s'ils sont destinés à une adresse du système ;  dans la chaîne OUTPUT s'ils ont été émis par un processus du système ;  dans la chaîne FORWARD s'ils proviennent d'une interface réseau et qu'ils sont destinés à une autre interface réseau ;  et dans la chaîne POSTROUTING après le routage, juste avant d'être expédiés.
  • 30. Etablir les règles de firewalling  # REMISE à ZERO des règles de filtrage iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT 16/11/2022 Les firewalls 30 iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT  # Je veux que les connexions entrantes soient bloquées par défaut iptables -P INPUT DROP
  • 31. Etablir les règles de firewalling  Je veux que les connexions destinées à être forwardées soient acceptées par défaut iptables -P FORWARD ACCEPT  Je veux que les connexions sortantes soient acceptées par défaut 16/11/2022 Les firewalls 31  Je veux que les connexions sortantes soient acceptées par défaut iptables -P OUTPUT ACCEPT  J'accepte les packets entrants relatifs à des connexions déjà établies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  • 32. Etablir les règles de firewalling  J'autorise les connexions TCP entrantes sur les ports 20 et 21(pour que mon serveur FTP soit joignable de l'extérieur) iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT 16/11/2022 Les firewalls 32 iptables -A INPUT -p tcp --dport 21 -j ACCEPT  J'autorise les connexions TCP entrantes sur le port 22 (pour que mon serveur SSH soit joignable de l'extérieur) iptables -A INPUT -p tcp --dport 22 -j ACCEPT  J'accepte le protocole ICMP (i.e. le "ping") iptables -A INPUT -p icmp -j ACCEPT
  • 33. Etablir les règles de firewalling  Pour afficher la configuration iptables actuelle, tapez :  pour la table filter : # iptables -L -v pour la table nat : # iptables -t nat -L -v  Dès que les règles iptables en fonctionnement sont 16/11/2022 Les firewalls 33  Dès que les règles iptables en fonctionnement sont satisfaisantes, enregistrez-les comme étant les règles du mode actif :  /etc/init.d/iptables save active
  • 34. Conclusion  Le fait d'installer un pare-feu n'est bien évidemment pas signe de sécurité absolue.  Les pare-feu ne protègent en effet que des communications passant à travers eux. Ainsi, les accès 16/11/2022 Les firewalls 34 communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du pare-feu sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier.
  • 35. Merci pour votre attention 16/11/2022 Les firewalls 35 Merci pour votre attention