SlideShare uma empresa Scribd logo

Cours- Sécurité des réseaux

Yassmina AGHIL
Yassmina AGHIL
1 de 45
Baixar para ler offline
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1
Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 2
Firewall? Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 3
Firewall? Pourquoi un firewall? Definition Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local. pourquoi un firewall? Contrôle. Gérer les connexions sortantes a partir du réseau local. Sécurité. Protéger le réseau interne des intrusions venant de l’extérieur. Vigilance. Surveiller/tracer le trafic entre le réseau local et internet. A. Guermouche Cours 1 : Firewalls 4
Firewall? Firewall Plusieurs types de firewalls : Pare-feu au niveau réseau Pare-feu au niveau applicatif Pare-feu des applications A. Guermouche Cours 1 : Firewalls 5
Firewall? Différents types de firewalls Pare-feu niveau réseau. (iptables, paquet filter, . . . ) Firewall fonctionnant à un niveau bas de la pile TCP/IP Basé sur le filtrage des paquets Possibilité (si mécanisme disponible) de filtrer les paquets suivant l’état de la connexion Intérêt : Transparence pour les utilisateurs du réseau Pare-feu au niveau applicatif. (inetd, xinetd, . . . ) Firewall fonctionnant au niveau le plus haut de la pile TCP/IP Généralement basé sur des mécanisme de proxy Intérêt : Possibilité d’interpréter le contenu du trafic Pare-feu des applications. (/etc/ftpaccess pour ftp, . . . ) Restrictions au niveau des différentes applications A. Guermouche Cours 1 : Firewalls 6
DMZ Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 7
DMZ DMZ Definition (DMZ) Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le réseau extérieur. Propriétés : Les connexions à la DMZ sont autorisées de n’importe où. Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur. Intérêt : Rendre des machines accessible à partir de l’extérieur (possibilité de mettre en place des serveurs (DNS, SMTP, . . . ). A. Guermouche Cours 1 : Firewalls 8
Proxy Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 9
Proxy Proxy ou mandataire Définition : Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s’adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP, . . . ) → Possibilité de modification des informations échangées entre le client et le serveur. A. Guermouche Cours 1 : Firewalls 10
Proxy Proxy ou mandataire Définition : Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s’adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP, . . . ) 192.168.0.1 8033210 Proxy Réseau privé GET www.google.com/index.html 64.233.183.147 8033210 GET index.html 192.168.0.10 64.233.183.147 8033210 <HTML> ... <HTML> 140.77.13.5 140.77.13.5 192.168.0.1 80 33210192.168.0.10 <HTML> ... <HTML> Mémorisation de la requête à partir de 192.168.0.10 et réexpédition Délivrance de la demande initiale A. Guermouche Cours 1 : Firewalls 10
Logiciels de filtrage de paquets Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 11
Logiciels de filtrage de paquets Logiciels de filtrage de paquets Fonctionnalités de “firewall” filtrant directement implémentée dans le noyau Linux. Filtrage de niveau 3 ou 4. 3 types de firewall filtrants : Ipfwadm. Jusqu’à la version 2.1.102 du noyau linux Ipchains. Entre les versions 2.2.0 et 2.4 du noyau linux Iptables. À partir des noyaux 2.4 A. Guermouche Cours 1 : Firewalls 12
Ipfwadm Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 13
Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l’arrivée d’un paquet. FORWARD. sont appliquées lorsque la destination du paquet n’est pas le routeur. OUTPUT. sont appliquées dès qu’un paquet doit sortir du routeur. Fonctionnement : FORWARD OUTPUT Paquet routé Paquet rejeté Paquet accepté INPUT Demasquerading Processus local A. Guermouche Cours 1 : Firewalls 14
Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l’arrivée d’un paquet. FORWARD. sont appliquées lorsque la destination du paquet n’est pas le routeur. OUTPUT. sont appliquées dès qu’un paquet doit sortir du routeur. Fonctionnement : 1: lorsqu’un paquet entre, il traverse les règles de type INPUT 2: Si il est accepté Alors 3: Si il est destiné à une autre machine Alors 4: il est routé vers les règles FORWARD 5: Sinon 6: il est rejeté 7: le paquet est finalement émis Dans tous les cas, le paquet traverse les règles OUTPUT A. Guermouche Cours 1 : Firewalls 14
Ipchains Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 15
Ipchains Ipchains Module du noyau Linux réalisant le filtrage de paquets. Inspiré du parre-feu BSD (tout comme ipfwadm) Fonctionnement : INPUT Routage Processus local FORWARD OUTPUT Rejeté Rejeté Rejeté Accepté "Demasquerading" Boucle locale A. Guermouche Cours 1 : Firewalls 16
Iptables Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 17
Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : Pré-routage Routage INPUT OUTPUT FORWARD Post-routage Processus local Rejeté Rejeté Rejeté Accepté A. Guermouche Cours 1 : Firewalls 18
Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : À l’arrivée d’un paquet (après décision de routage) : 1: Si le paquet est destiné à l’hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n’est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d’un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n’est pas rejeté Alors 9: il poursuit alors sa route A. Guermouche Cours 1 : Firewalls 18
Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : À l’arrivée d’un paquet (après décision de routage) : 1: Si le paquet est destiné à l’hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n’est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d’un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n’est pas rejeté Alors 9: il poursuit alors sa route Tous les paquets émis par des processus locaux au routeur traversent la chaîne OUTPUT. A. Guermouche Cours 1 : Firewalls 18
Iptables Iptables (2/2) Fonctionnalités : Filtrage de paquets NAT Marquage de paquets Architectures :Trois tables de chaînes (FILTER, NAT et MANGLE). FILTER NAT (filtrage des paquets) (translation d’adresses) INPUT paquet entrant sur le routeur PREROUTING NAT de destination OUTPUT paquet émis par le routeur POSTROUTING NAT de source FORWARD paquet traversant le routeur OUTPUT NAT sur les paquets émis localement La table MANGLE sert au marquage des paquets A. Guermouche Cours 1 : Firewalls 19
Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Modification de la destination du paquet avant le routage (paquet reçu de l’extérieur). iptables -t nat -A PREROUTING -d 140.77.13.2 -i eth1 -j DNAT -to-destination 192.168.0.2 Modification de la source du paquet après le routage (paquet émis à partir du réseau privé). iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT -to-source 140.77.13.2 A. Guermouche Cours 1 : Firewalls 20
Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l’adresse 140.77.13.2? A. Guermouche Cours 1 : Firewalls 20
Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l’adresse 140.77.13.2? Réponse : Il faut modifier la destination du paquet émis localement avant le routage. iptables -t nat -A OUTPUT -d 140.77.13.2 -j DNAT -to-destination 192.168.0.2 A. Guermouche Cours 1 : Firewalls 20
Iptables Fonctionnalités NAT d’Iptables (2/2) Routeur 192.168.0.0/24 140.77.13.2 eth1 eth0 140.77.13.3 eth2 192.168.1.0/24 switch Réseau privé NAT NAT Association entre toutes les adresses privées du sous-réseau 192.168.0.0/24 avec l’interface eth1. iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE Association entre toutes les adresses privées du sous-réseau 192.168.1.0/24 avec l’interface eth2. iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE A. Guermouche Cours 1 : Firewalls 21
Iptables Transfert de ports Routeur 192.168.0.0/24 140.77.13.2 eth1 eth0 140.77.13.3 eth2 192.168.1.0/24 switch Réseau privé NAT NAT Transférer les connexions sur le port 80 de l’adresse 140.77.13.2 sur la machine ayant l’adresse privée 192.168.0.200 sur le port 8080 : iptables -t nat -A PREROUTING -p tcp -i eth0 -d 140.77.13.2 -dport 80 -sport 1024:65535 -j DNAT -to 192.168.0.200:8080 A. Guermouche Cours 1 : Firewalls 22
Iptables et filtrage Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 23
Iptables et filtrage Iptables et filtrage(1/2) Filtrage des paquets IP, TCP, UDP ou ICMP Spécification de règle pour le rejet ou l’acceptation de paquet Utilisation de la table FILTER et des chaînes INPUT, OUTPUT et FORWARD Règles traitées de manière séquentielle : Le paquet sort dès qu’il rencontre une règle qui peut lui être appliquée Exemples : Accepter tous les paquets en provenance de n’importe où et destinés à l’adresse du routeur 192.168.1.1. iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT Accepter de router les paquets entrant sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -dport 80 -j ACCEPT A. Guermouche Cours 1 : Firewalls 24
Iptables et filtrage Iptables et filtrage(2/2) Accepter un paquet ICMP “echo-request” (ping) par seconde iptables -A INPUT -p icmp -icmp-type echo-request -m limit -limit 1/s -i eth0 -j ACCEPT Accepter 5 segments TCP ayant le bit SYN positionné par seconde (permet d’éviter de se faire inonder) iptables -A INPUT -p tcp -syn -m limit -limit 5/s -i eth0 -j ACCEPT Accepter de router les paquets entrants sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 ou 443 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -m multiport -dport 80,443 -j ACCEPT A. Guermouche Cours 1 : Firewalls 25
Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW . Nouvelle connexion établie ESTABLISHED . La connexion analysée est déjà établie RELATED . La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID . Le paquet reçu n’appartient à aucune des trois catégories précédentes. Exemples : Autoriser tous les paquets émis par le routeur concernant des connexions déjà établies. iptables -A OUTPUT -o eth0 -m state -state ESTABLISHED,RELATED -j ACCEPT A. Guermouche Cours 1 : Firewalls 26
Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW . Nouvelle connexion établie ESTABLISHED . La connexion analysée est déjà établie RELATED . La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID . Le paquet reçu n’appartient à aucune des trois catégories précédentes. Exemples : Autoriser le routeur à relayer tous les paquets reçus concernant de nouvelles connexions sur le port 22. iptables -A FORWARD -p tcp -i eth0 -dport 22 -sport 1024:65535 -m state -state NEW -j ACCEPT A. Guermouche Cours 1 : Firewalls 26
Iptables et filtrage Outils de diagnostic Traces iptables. Possibilité de tracer certaines actions iptables. exemple : 1. Tracer toutes les actions iptables : iptables -A OUTPUT -j LOG iptables -A INPUT -j LOG iptables -A FORWARD -j LOG 2. Rajouter une règle pour tracer les paquets rejetés iptables -N LOG_DROP iptables -A LOG_DROP -j LOG -log-prefix ’[IPTABLES DROP] : ’ iptables -A LOG_DROP -j DROP nmap, nessus,. . . . Logiciels permettant de diagnostiquer l’état d’un firewall (trouver les ports ouverts, détecter les services utilisant les ports, . . . ) A. Guermouche Cours 1 : Firewalls 27
Translation d’adresses Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 28
Translation d’adresses Pourquoi avoir des adresses privées? Gérer la pénurie d’adresses au sein d’un réseau Masquer l’intérieur du réseau par rapport à l’extérieur (le réseau peut être vu comme une seule et même machine) Améliorer la sécurité pour le réseau interne Assouplir la gestion des adresses du réseau interne Faciliter la modification de l’architecture du réseau interne → Mécanisme de translation d’adresses (NAT - Network Address Translation) Deux types de NAT : statique. association entre n adresses publiques et n adresses privées. dynamique. association entre 1 adresse publique et n adresses privées. A. Guermouche Cours 1 : Firewalls 29
Translation d’adresses NAT statique NAT statique Association entre une adresse publique et une adresse privée. . . . . . . Réseau privé Passerelle 192.168.0.1147.210.20.235 192.168.0.21 147.210.20.3 A. Guermouche Cours 1 : Firewalls 30
Translation d’adresses NAT statique NAT statique Association entre une adresse publique et une adresse privée. Intérêt : Uniformité de l’adressage dans la partie privée du réseau (modification de la correspondance @publique/@privée facile) Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Problème de pénurie d’adresses IP publiques non-résolu A. Guermouche Cours 1 : Firewalls 30
Translation d’adresses NAT statique NAT statique : Principe Pour chaque paquet sortant (resp. entrant), la passerelle modifie l’adresse source (resp. destination). 192.168.0.1 140.77.16.192 8033210 147.210.20.235 8033210140.77.16.192 80 33210140.77.16.192 192.168.0.1 140.77.16.192 8033210 Passerelle @IP source @IP destination ... Port source Port destination ... Données...Paquet IP Paquet TCP Réseau privé 147.210.20.235 A. Guermouche Cours 1 : Firewalls 31
Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). . . . Réseau privé Passerelle 192.168.0.1 147.210.20.235 192.168.0.21 A. Guermouche Cours 1 : Firewalls 32
Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). Intérêt : Plusieurs machines utilisent la même adresse IP publique pour sortir du réseau privé Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Les machines du réseau interne ne sont pas accessibles de l’extérieur (impossibilité d’initier une connexion de l’extérieur) A. Guermouche Cours 1 : Firewalls 32
Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (1/2) L’association de n adresses privées à 1 adresse publique nécessite, au niveau de la passerelle, de : modifier l’adresse source (resp. destination) des paquets sortant (resp. entrants) changer le numéro de port source pour les flux sortant 192.168.0.1 140.77.16.192 8033210 147.210.20.235 8064111140.77.16.192 80 33210140.77.16.192 192.168.0.1 140.77.16.192 8064111 Passerelle Réseau privé Mémorisation de la translation (192.168.0.1,33210) (147.210.20.235,64111) Inversion de la translation 147.210.20.235 A. Guermouche Cours 1 : Firewalls 33
Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (2/2) Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu’il doit relayer? À chaque nouvelle connexion : 1: Modifier l’adresse source et le port source : (@source_privée,port_source)→(@publique,port_source’) 2: Sauvegarder l’association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si ∃ une association dans la table NAT Alors 5: Modifier l’adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ A. Guermouche Cours 1 : Firewalls 34
Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (2/2) Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu’il doit relayer? À chaque nouvelle connexion : 1: Modifier l’adresse source et le port source : (@source_privée,port_source)→(@publique,port_source’) 2: Sauvegarder l’association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si ∃ une association dans la table NAT Alors 5: Modifier l’adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ Le routeur gère toutes les associations ⇒ Unicité de l’association (donc du port source après translation) A. Guermouche Cours 1 : Firewalls 34
Translation d’adresses NAT dynamique : Masquerading Problèmes liés à NAT dynamique Comment faire de la translation d’adresse sur des protocoles qui ne sont pas basés sur TCP ou UDP (pas de numéro de port)? Nécessité d’implémenter une méthode spécifique au protocole (identifiant ICMP pour ICMP par exemple). Dans le cas des protocoles dont les paquets contiennent des données relatives aux adresses IP, il est nécessaire de mettre en place des “proxy” (FTP en mode actif par exemple). Comment rendre joignables des machines du réseau local? Nécessité de faire de la redirection de port (port forwarding/mapping). Principe. Toutes les connexions entrantes sur un port donné sont redirigée vers une machine du réseau privé sur un port (qui peut être le même ou non). A. Guermouche Cours 1 : Firewalls 35

Recomendados

Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Rapport DVWA: CSRF
Rapport DVWA: CSRFRapport DVWA: CSRF
Rapport DVWA: CSRFAyoub Rouzi
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation CryptographieCynapsys It Hotspot
 

Recomendados

Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Rapport DVWA: CSRF
Rapport DVWA: CSRFRapport DVWA: CSRF
Rapport DVWA: CSRFAyoub Rouzi
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation CryptographieCynapsys It Hotspot
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityMarketingArrowECS_CZ
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Welcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceWelcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceAndreas Sfakianakis
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
OpenVAS
OpenVASOpenVAS
OpenVASsvm
 
Introduction to MITRE ATT&CK
Introduction to MITRE ATT&CKIntroduction to MITRE ATT&CK
Introduction to MITRE ATT&CKArpan Raval
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Penetration Testing Report
Penetration Testing ReportPenetration Testing Report
Penetration Testing ReportAman Srivastava
 
Combat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion TechniquesCombat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion TechniquesIBM Security
 
Penetration testing web application web application (in) security
Penetration testing web application web application (in) securityPenetration testing web application web application (in) security
Penetration testing web application web application (in) securityNahidul Kibria
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 

Mais conteúdo relacionado

Mais procurados

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Welcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceWelcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceAndreas Sfakianakis
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
OpenVAS
OpenVASOpenVAS
OpenVASsvm
 
Introduction to MITRE ATT&CK
Introduction to MITRE ATT&CKIntroduction to MITRE ATT&CK
Introduction to MITRE ATT&CKArpan Raval
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Penetration Testing Report
Penetration Testing ReportPenetration Testing Report
Penetration Testing ReportAman Srivastava
 
Combat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion TechniquesCombat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion TechniquesIBM Security
 
Penetration testing web application web application (in) security
Penetration testing web application web application (in) securityPenetration testing web application web application (in) security
Penetration testing web application web application (in) securityNahidul Kibria
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 

Mais procurados (20)

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Welcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceWelcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat Intelligence
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
OpenVAS
OpenVASOpenVAS
OpenVAS
 
Introduction to MITRE ATT&CK
Introduction to MITRE ATT&CKIntroduction to MITRE ATT&CK
Introduction to MITRE ATT&CK
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Penetration Testing Report
Penetration Testing ReportPenetration Testing Report
Penetration Testing Report
 
Combat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion TechniquesCombat the Latest Two-Factor Authentication Evasion Techniques
Combat the Latest Two-Factor Authentication Evasion Techniques
 
Penetration testing web application web application (in) security
Penetration testing web application web application (in) securityPenetration testing web application web application (in) security
Penetration testing web application web application (in) security
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 Matrix
 

Destaque

Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Dmz - Hedi Magroun - Nafta - 2009
Dmz - Hedi Magroun - Nafta - 2009Dmz - Hedi Magroun - Nafta - 2009
Dmz - Hedi Magroun - Nafta - 2009Hedi Magroun
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - FondamentauxThomas Moegli
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème editionWifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème editionelpunk
 
Installation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillanceInstallation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillanceLassaad BENSAAD
 

Destaque (20)

Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewall
FirewallFirewall
Firewall
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
Dmz - Hedi Magroun - Nafta - 2009
Dmz - Hedi Magroun - Nafta - 2009Dmz - Hedi Magroun - Nafta - 2009
Dmz - Hedi Magroun - Nafta - 2009
 
Fire wall
Fire wallFire wall
Fire wall
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
 
Services IP
Services IPServices IP
Services IP
 
JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - Fondamentaux
 
Weos création d'une dmz
Weos création d'une dmzWeos création d'une dmz
Weos création d'une dmz
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème editionWifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
 
Installation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillanceInstallation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillance
 

Semelhante a Cours- Sécurité des réseaux

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdfAnisSalhi3
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Kit de survie pour l'IoT façon DIY
Kit de survie pour l'IoT façon DIYKit de survie pour l'IoT façon DIY
Kit de survie pour l'IoT façon DIYlaurenthuet
 
Sécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesSécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesBoubakr NOUR
 
Couche Réseau.pptx
Couche Réseau.pptx Couche Réseau.pptx
Couche Réseau.pptxZinaAknouche1
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdfRiri687487
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm
 
Ops@viadeo : Puppet & Co... 6 mois après par Xavier Krantz
Ops@viadeo : Puppet & Co... 6 mois après par Xavier KrantzOps@viadeo : Puppet & Co... 6 mois après par Xavier Krantz
Ops@viadeo : Puppet & Co... 6 mois après par Xavier KrantzOlivier DASINI
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Dimitri LEMBOKOLO
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Solutions temps réel sous linux
Solutions temps réel sous linuxSolutions temps réel sous linux
Solutions temps réel sous linuxembedded-linux-bdx
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 

Semelhante a Cours- Sécurité des réseaux (20)

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Kit de survie pour l'IoT façon DIY
Kit de survie pour l'IoT façon DIYKit de survie pour l'IoT façon DIY
Kit de survie pour l'IoT façon DIY
 
Projet IPTable
Projet IPTableProjet IPTable
Projet IPTable
 
Sécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTablesSécuriser votre serveur Linux avec IPTables
Sécuriser votre serveur Linux avec IPTables
 
Couche Réseau.pptx
Couche Réseau.pptx Couche Réseau.pptx
Couche Réseau.pptx
 
Pare feu
Pare feuPare feu
Pare feu
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Ops@viadeo : Puppet & Co... 6 mois après par Xavier Krantz
Ops@viadeo : Puppet & Co... 6 mois après par Xavier KrantzOps@viadeo : Puppet & Co... 6 mois après par Xavier Krantz
Ops@viadeo : Puppet & Co... 6 mois après par Xavier Krantz
 
Démystifier la programmation avec LabVIEW FPGA
Démystifier la programmation avec LabVIEW FPGADémystifier la programmation avec LabVIEW FPGA
Démystifier la programmation avec LabVIEW FPGA
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Configuration rnis
Configuration rnisConfiguration rnis
Configuration rnis
 
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk) Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
Tuto ToIP (Trunk SIP, IAX, Trunk CME - Asterisk)
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Solutions temps réel sous linux
Solutions temps réel sous linuxSolutions temps réel sous linux
Solutions temps réel sous linux
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 

Cours- Sécurité des réseaux

  • 1. Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1
  • 2. Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 2
  • 3. Firewall? Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 3
  • 4. Firewall? Pourquoi un firewall? Definition Programme, ou un matériel, chargé de vous protéger du monde extérieur en contrôlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le réseau local. pourquoi un firewall? Contrôle. Gérer les connexions sortantes a partir du réseau local. Sécurité. Protéger le réseau interne des intrusions venant de l’extérieur. Vigilance. Surveiller/tracer le trafic entre le réseau local et internet. A. Guermouche Cours 1 : Firewalls 4
  • 5. Firewall? Firewall Plusieurs types de firewalls : Pare-feu au niveau réseau Pare-feu au niveau applicatif Pare-feu des applications A. Guermouche Cours 1 : Firewalls 5
  • 6. Firewall? Différents types de firewalls Pare-feu niveau réseau. (iptables, paquet filter, . . . ) Firewall fonctionnant à un niveau bas de la pile TCP/IP Basé sur le filtrage des paquets Possibilité (si mécanisme disponible) de filtrer les paquets suivant l’état de la connexion Intérêt : Transparence pour les utilisateurs du réseau Pare-feu au niveau applicatif. (inetd, xinetd, . . . ) Firewall fonctionnant au niveau le plus haut de la pile TCP/IP Généralement basé sur des mécanisme de proxy Intérêt : Possibilité d’interpréter le contenu du trafic Pare-feu des applications. (/etc/ftpaccess pour ftp, . . . ) Restrictions au niveau des différentes applications A. Guermouche Cours 1 : Firewalls 6
  • 7. DMZ Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 7
  • 8. DMZ DMZ Definition (DMZ) Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le réseau local et le réseau extérieur. Propriétés : Les connexions à la DMZ sont autorisées de n’importe où. Les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur. Intérêt : Rendre des machines accessible à partir de l’extérieur (possibilité de mettre en place des serveurs (DNS, SMTP, . . . ). A. Guermouche Cours 1 : Firewalls 8
  • 9. Proxy Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 9
  • 10. Proxy Proxy ou mandataire Définition : Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s’adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP, . . . ) → Possibilité de modification des informations échangées entre le client et le serveur. A. Guermouche Cours 1 : Firewalls 10
  • 11. Proxy Proxy ou mandataire Définition : Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s’adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP, . . . ) 192.168.0.1 8033210 Proxy Réseau privé GET www.google.com/index.html 64.233.183.147 8033210 GET index.html 192.168.0.10 64.233.183.147 8033210 <HTML> ... <HTML> 140.77.13.5 140.77.13.5 192.168.0.1 80 33210192.168.0.10 <HTML> ... <HTML> Mémorisation de la requête à partir de 192.168.0.10 et réexpédition Délivrance de la demande initiale A. Guermouche Cours 1 : Firewalls 10
  • 12. Logiciels de filtrage de paquets Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 11
  • 13. Logiciels de filtrage de paquets Logiciels de filtrage de paquets Fonctionnalités de “firewall” filtrant directement implémentée dans le noyau Linux. Filtrage de niveau 3 ou 4. 3 types de firewall filtrants : Ipfwadm. Jusqu’à la version 2.1.102 du noyau linux Ipchains. Entre les versions 2.2.0 et 2.4 du noyau linux Iptables. À partir des noyaux 2.4 A. Guermouche Cours 1 : Firewalls 12
  • 14. Ipfwadm Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 13
  • 15. Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l’arrivée d’un paquet. FORWARD. sont appliquées lorsque la destination du paquet n’est pas le routeur. OUTPUT. sont appliquées dès qu’un paquet doit sortir du routeur. Fonctionnement : FORWARD OUTPUT Paquet routé Paquet rejeté Paquet accepté INPUT Demasquerading Processus local A. Guermouche Cours 1 : Firewalls 14
  • 16. Ipfwadm Ipfwadm Firewall permettant la gestion des paquets TCP, UDP et ICMP. 3 types de règles : INPUT. sont appliquées lors de l’arrivée d’un paquet. FORWARD. sont appliquées lorsque la destination du paquet n’est pas le routeur. OUTPUT. sont appliquées dès qu’un paquet doit sortir du routeur. Fonctionnement : 1: lorsqu’un paquet entre, il traverse les règles de type INPUT 2: Si il est accepté Alors 3: Si il est destiné à une autre machine Alors 4: il est routé vers les règles FORWARD 5: Sinon 6: il est rejeté 7: le paquet est finalement émis Dans tous les cas, le paquet traverse les règles OUTPUT A. Guermouche Cours 1 : Firewalls 14
  • 17. Ipchains Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 15
  • 18. Ipchains Ipchains Module du noyau Linux réalisant le filtrage de paquets. Inspiré du parre-feu BSD (tout comme ipfwadm) Fonctionnement : INPUT Routage Processus local FORWARD OUTPUT Rejeté Rejeté Rejeté Accepté "Demasquerading" Boucle locale A. Guermouche Cours 1 : Firewalls 16
  • 19. Iptables Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 17
  • 20. Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : Pré-routage Routage INPUT OUTPUT FORWARD Post-routage Processus local Rejeté Rejeté Rejeté Accepté A. Guermouche Cours 1 : Firewalls 18
  • 21. Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : À l’arrivée d’un paquet (après décision de routage) : 1: Si le paquet est destiné à l’hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n’est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d’un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n’est pas rejeté Alors 9: il poursuit alors sa route A. Guermouche Cours 1 : Firewalls 18
  • 22. Iptables Iptables (1/2) Module du noyau Linux réalisant le filtrage de paquets (noyaux ≥ 2.4). Améliorations en matière de filtrage et de translation d’adresses par rapport à Ipchains. Fonctionnement : À l’arrivée d’un paquet (après décision de routage) : 1: Si le paquet est destiné à l’hôte local Alors 2: il traverse la chaîne INPUT. 3: Si il n’est pas rejeté Alors 4: il est transmis au processus impliqué. 5: Sinon 6: Si le paquet est destiné à un hôte d’un autre réseau Alors 7: il traverse la chaîne FORWARD 8: Si il n’est pas rejeté Alors 9: il poursuit alors sa route Tous les paquets émis par des processus locaux au routeur traversent la chaîne OUTPUT. A. Guermouche Cours 1 : Firewalls 18
  • 23. Iptables Iptables (2/2) Fonctionnalités : Filtrage de paquets NAT Marquage de paquets Architectures :Trois tables de chaînes (FILTER, NAT et MANGLE). FILTER NAT (filtrage des paquets) (translation d’adresses) INPUT paquet entrant sur le routeur PREROUTING NAT de destination OUTPUT paquet émis par le routeur POSTROUTING NAT de source FORWARD paquet traversant le routeur OUTPUT NAT sur les paquets émis localement La table MANGLE sert au marquage des paquets A. Guermouche Cours 1 : Firewalls 19
  • 24. Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Modification de la destination du paquet avant le routage (paquet reçu de l’extérieur). iptables -t nat -A PREROUTING -d 140.77.13.2 -i eth1 -j DNAT -to-destination 192.168.0.2 Modification de la source du paquet après le routage (paquet émis à partir du réseau privé). iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT -to-source 140.77.13.2 A. Guermouche Cours 1 : Firewalls 20
  • 25. Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l’adresse 140.77.13.2? A. Guermouche Cours 1 : Firewalls 20
  • 26. Iptables Fonctionnalités NAT d’Iptables (1/2) Routeur Réseau privé 192.168.0.2140.77.13.2 eth1 eth0 Exercice : Comment faire pour que le routeur puisse envoyer un paquet à l’adresse 140.77.13.2? Réponse : Il faut modifier la destination du paquet émis localement avant le routage. iptables -t nat -A OUTPUT -d 140.77.13.2 -j DNAT -to-destination 192.168.0.2 A. Guermouche Cours 1 : Firewalls 20
  • 27. Iptables Fonctionnalités NAT d’Iptables (2/2) Routeur 192.168.0.0/24 140.77.13.2 eth1 eth0 140.77.13.3 eth2 192.168.1.0/24 switch Réseau privé NAT NAT Association entre toutes les adresses privées du sous-réseau 192.168.0.0/24 avec l’interface eth1. iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE Association entre toutes les adresses privées du sous-réseau 192.168.1.0/24 avec l’interface eth2. iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE A. Guermouche Cours 1 : Firewalls 21
  • 28. Iptables Transfert de ports Routeur 192.168.0.0/24 140.77.13.2 eth1 eth0 140.77.13.3 eth2 192.168.1.0/24 switch Réseau privé NAT NAT Transférer les connexions sur le port 80 de l’adresse 140.77.13.2 sur la machine ayant l’adresse privée 192.168.0.200 sur le port 8080 : iptables -t nat -A PREROUTING -p tcp -i eth0 -d 140.77.13.2 -dport 80 -sport 1024:65535 -j DNAT -to 192.168.0.200:8080 A. Guermouche Cours 1 : Firewalls 22
  • 29. Iptables et filtrage Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 23
  • 30. Iptables et filtrage Iptables et filtrage(1/2) Filtrage des paquets IP, TCP, UDP ou ICMP Spécification de règle pour le rejet ou l’acceptation de paquet Utilisation de la table FILTER et des chaînes INPUT, OUTPUT et FORWARD Règles traitées de manière séquentielle : Le paquet sort dès qu’il rencontre une règle qui peut lui être appliquée Exemples : Accepter tous les paquets en provenance de n’importe où et destinés à l’adresse du routeur 192.168.1.1. iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT Accepter de router les paquets entrant sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -dport 80 -j ACCEPT A. Guermouche Cours 1 : Firewalls 24
  • 31. Iptables et filtrage Iptables et filtrage(2/2) Accepter un paquet ICMP “echo-request” (ping) par seconde iptables -A INPUT -p icmp -icmp-type echo-request -m limit -limit 1/s -i eth0 -j ACCEPT Accepter 5 segments TCP ayant le bit SYN positionné par seconde (permet d’éviter de se faire inonder) iptables -A INPUT -p tcp -syn -m limit -limit 5/s -i eth0 -j ACCEPT Accepter de router les paquets entrants sur eth0 tels que : @source @dest P-source P-dest 0/0 192.168.1.58 1024-65535 80 ou 443 iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -m multiport -dport 80,443 -j ACCEPT A. Guermouche Cours 1 : Firewalls 25
  • 32. Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW . Nouvelle connexion établie ESTABLISHED . La connexion analysée est déjà établie RELATED . La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID . Le paquet reçu n’appartient à aucune des trois catégories précédentes. Exemples : Autoriser tous les paquets émis par le routeur concernant des connexions déjà établies. iptables -A OUTPUT -o eth0 -m state -state ESTABLISHED,RELATED -j ACCEPT A. Guermouche Cours 1 : Firewalls 26
  • 33. Iptables et filtrage Iptables et suivi des connexions Suivi des connexions disponible (conntrack) Quatre états possibles pour une connexion : NEW . Nouvelle connexion établie ESTABLISHED . La connexion analysée est déjà établie RELATED . La connexion est en relation avec une connexion déjà établie (ftp-data par exemple) INVALID . Le paquet reçu n’appartient à aucune des trois catégories précédentes. Exemples : Autoriser le routeur à relayer tous les paquets reçus concernant de nouvelles connexions sur le port 22. iptables -A FORWARD -p tcp -i eth0 -dport 22 -sport 1024:65535 -m state -state NEW -j ACCEPT A. Guermouche Cours 1 : Firewalls 26
  • 34. Iptables et filtrage Outils de diagnostic Traces iptables. Possibilité de tracer certaines actions iptables. exemple : 1. Tracer toutes les actions iptables : iptables -A OUTPUT -j LOG iptables -A INPUT -j LOG iptables -A FORWARD -j LOG 2. Rajouter une règle pour tracer les paquets rejetés iptables -N LOG_DROP iptables -A LOG_DROP -j LOG -log-prefix ’[IPTABLES DROP] : ’ iptables -A LOG_DROP -j DROP nmap, nessus,. . . . Logiciels permettant de diagnostiquer l’état d’un firewall (trouver les ports ouverts, détecter les services utilisant les ports, . . . ) A. Guermouche Cours 1 : Firewalls 27
  • 35. Translation d’adresses Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et filtrage 9. Translation d’adresses NAT statique NAT dynamique : Masquerading A. Guermouche Cours 1 : Firewalls 28
  • 36. Translation d’adresses Pourquoi avoir des adresses privées? Gérer la pénurie d’adresses au sein d’un réseau Masquer l’intérieur du réseau par rapport à l’extérieur (le réseau peut être vu comme une seule et même machine) Améliorer la sécurité pour le réseau interne Assouplir la gestion des adresses du réseau interne Faciliter la modification de l’architecture du réseau interne → Mécanisme de translation d’adresses (NAT - Network Address Translation) Deux types de NAT : statique. association entre n adresses publiques et n adresses privées. dynamique. association entre 1 adresse publique et n adresses privées. A. Guermouche Cours 1 : Firewalls 29
  • 37. Translation d’adresses NAT statique NAT statique Association entre une adresse publique et une adresse privée. . . . . . . Réseau privé Passerelle 192.168.0.1147.210.20.235 192.168.0.21 147.210.20.3 A. Guermouche Cours 1 : Firewalls 30
  • 38. Translation d’adresses NAT statique NAT statique Association entre une adresse publique et une adresse privée. Intérêt : Uniformité de l’adressage dans la partie privée du réseau (modification de la correspondance @publique/@privée facile) Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Problème de pénurie d’adresses IP publiques non-résolu A. Guermouche Cours 1 : Firewalls 30
  • 39. Translation d’adresses NAT statique NAT statique : Principe Pour chaque paquet sortant (resp. entrant), la passerelle modifie l’adresse source (resp. destination). 192.168.0.1 140.77.16.192 8033210 147.210.20.235 8033210140.77.16.192 80 33210140.77.16.192 192.168.0.1 140.77.16.192 8033210 Passerelle @IP source @IP destination ... Port source Port destination ... Données...Paquet IP Paquet TCP Réseau privé 147.210.20.235 A. Guermouche Cours 1 : Firewalls 31
  • 40. Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). . . . Réseau privé Passerelle 192.168.0.1 147.210.20.235 192.168.0.21 A. Guermouche Cours 1 : Firewalls 32
  • 41. Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Masquerading Association entre m adresses publiques et n adresses privées (m < n). Intérêt : Plusieurs machines utilisent la même adresse IP publique pour sortir du réseau privé Sécurité accrue (tous les flux passent par la passerelle NAT) Inconvénient : Les machines du réseau interne ne sont pas accessibles de l’extérieur (impossibilité d’initier une connexion de l’extérieur) A. Guermouche Cours 1 : Firewalls 32
  • 42. Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (1/2) L’association de n adresses privées à 1 adresse publique nécessite, au niveau de la passerelle, de : modifier l’adresse source (resp. destination) des paquets sortant (resp. entrants) changer le numéro de port source pour les flux sortant 192.168.0.1 140.77.16.192 8033210 147.210.20.235 8064111140.77.16.192 80 33210140.77.16.192 192.168.0.1 140.77.16.192 8064111 Passerelle Réseau privé Mémorisation de la translation (192.168.0.1,33210) (147.210.20.235,64111) Inversion de la translation 147.210.20.235 A. Guermouche Cours 1 : Firewalls 33
  • 43. Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (2/2) Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu’il doit relayer? À chaque nouvelle connexion : 1: Modifier l’adresse source et le port source : (@source_privée,port_source)→(@publique,port_source’) 2: Sauvegarder l’association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si ∃ une association dans la table NAT Alors 5: Modifier l’adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ A. Guermouche Cours 1 : Firewalls 34
  • 44. Translation d’adresses NAT dynamique : Masquerading NAT dynamique : Principe (2/2) Comment est ce que le routeur différencie les paquets qui lui sont destinés de ceux qu’il doit relayer? À chaque nouvelle connexion : 1: Modifier l’adresse source et le port source : (@source_privée,port_source)→(@publique,port_source’) 2: Sauvegarder l’association dans la table NAT Pour chaque paquet entrant : 3: Chercher une association correspondant au couple (@destination, port_destination) 4: Si ∃ une association dans la table NAT Alors 5: Modifier l’adresse de destination et le port de destination 6: Relayer le paquet 7: Sinon 8: /* Erreur de routage */ Le routeur gère toutes les associations ⇒ Unicité de l’association (donc du port source après translation) A. Guermouche Cours 1 : Firewalls 34
  • 45. Translation d’adresses NAT dynamique : Masquerading Problèmes liés à NAT dynamique Comment faire de la translation d’adresse sur des protocoles qui ne sont pas basés sur TCP ou UDP (pas de numéro de port)? Nécessité d’implémenter une méthode spécifique au protocole (identifiant ICMP pour ICMP par exemple). Dans le cas des protocoles dont les paquets contiennent des données relatives aux adresses IP, il est nécessaire de mettre en place des “proxy” (FTP en mode actif par exemple). Comment rendre joignables des machines du réseau local? Nécessité de faire de la redirection de port (port forwarding/mapping). Principe. Toutes les connexions entrantes sur un port donné sont redirigée vers une machine du réseau privé sur un port (qui peut être le même ou non). A. Guermouche Cours 1 : Firewalls 35