filtrage des paquets - université sorbonne paris nordzhang/contenu/filtrage.pdf · 2014. 5....
TRANSCRIPT
![Page 1: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/1.jpg)
Sécurité avancée des réseauxFiltrage des paquets
IUT d’Auxerre
Département RT
2ème année 2013-2014
ZHANG Tuo
![Page 2: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/2.jpg)
Outline
• Pare-feu & Filtre de Confiance
• Filtrage de paquets
• Pare-feu Linux
• Exemple
• Autres mécanismes
![Page 3: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/3.jpg)
![Page 4: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/4.jpg)
Pare-feu et Filtre de Confiance requirement
![Page 5: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/5.jpg)
Fonctions de filtrage
![Page 6: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/6.jpg)
Décomposition et recomposition des trames
![Page 7: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/7.jpg)
Pare-feu (Firewall)(1/2)
![Page 8: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/8.jpg)
Pare-feu(2/2)
• Définition
– Ensemble de composants appliquant une politique de contrôle d'accès entre deux réseaux
• Fonctions
– Autoriser ou interdire l'ouverture d'un service utilisant un protocole
– Autoriser ou bannir une adresse IP source / destination
– Vérifier / inspecter la conformité du trafic
• Principe
– Tout ce qui n'est pas explicitement autorisé, est interdit
• Objectifs
– Se protéger des malveillances "externes"
– Éviter la fuite d’information non contrôlée vers l’extérieur
– Surveiller les flux d'informations internes / externes
– Faciliter l’administration du réseau
![Page 9: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/9.jpg)
Types de pare-feu(1/2)pare-feu à filtrage de paquets
![Page 10: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/10.jpg)
Types de pare-feu(1/2)pare-feu à filtrage de paquets
![Page 11: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/11.jpg)
filtrage de paquets
La Grande Muraille
![Page 12: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/12.jpg)
Filtrage de paquets
![Page 13: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/13.jpg)
Filtrage de paquets
![Page 14: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/14.jpg)
Différence entre filtrage statique et dynamique
• Le filtrage statique analyse les paquets indépendamment les uns des autres– Pour tcp seul les flags sont regardés pour «established »
• Le filtrage dynamique introduit la notion de session (Aussi bien en TCP qu’en UDP)– un flux de retour sera autorisé uniquement si
on a déjà « vu passer un paquet similaire » dans
l’autre sens
![Page 15: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/15.jpg)
Les Décision de firewall
![Page 16: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/16.jpg)
Exemple de règle en entreprise
![Page 17: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/17.jpg)
Avantages et Inconvénients
![Page 18: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/18.jpg)
Différents Types de firewalls
• Pare-feu niveau réseau(Iptables, paquet filter,…)– Firewall fonctionnant à un niveau bas de la pile TCP/IP
– Basé sur le filtrage des paquets
– Possibilité (si mécanisme disponible) de filtrer les paquets suivant l’état de la connexion
Intérêt: Transparence pour les utilisateurs de réseau
• Pare-feu au niveau applicatif.(inetd, xinetd,…)– Firewall fonctionnant au niveau le plus haut de la pile TCP/IP
– Généralement basé sur des mécanisme de proxy
Intérêt: Possibilité d’interpréter le contenu du trafic
• Pare-feu des applications. (/etc/ftpaccess pour ftp,…)– Restrictions au niveau des différentes applications
![Page 19: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/19.jpg)
Proxy(1/2)
![Page 20: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/20.jpg)
Proxy (2/2)
![Page 21: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/21.jpg)
Filtrage applicatif(Proxy,…)
![Page 22: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/22.jpg)
DMZ(DeMilitarized Zone)(1/2)
• Définition: – Une zone démilitarisée est un sous-réseau se trouvant
entre le réseau local et le réseau extérieur.
• Propriétés: Les connexions à la DMZ sont autorisées de n’importe où.
Les connections à partir de la DMZ ne sont autorisées que vers l’extérieur.
• Intérêt: Rendre des machines accessible à partir de
l’extérieur(possibilité de mettre en place des serveurs( DNS,SMTP,…) )
![Page 23: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/23.jpg)
DMZ(DeMilitarized Zone)(2/2)
![Page 24: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/24.jpg)
DMZ
![Page 25: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/25.jpg)
DMZ
![Page 26: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/26.jpg)
Bastion
![Page 27: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/27.jpg)
Architecture(1/2)
![Page 28: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/28.jpg)
Architecture(1/2)
• Exemple
![Page 29: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/29.jpg)
Configurations
![Page 30: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/30.jpg)
NAT(Network Address Translation)
• C’est aussi une mécanisme de filtrage des paquets
– Permet de renuméroter les adresse et les ports source/destination
– Traduction dynamique ou statique
– Table de correspondances adresse: port en entrée/ adresse : port traduite
![Page 31: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/31.jpg)
NAT statique
![Page 32: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/32.jpg)
NAT statique: Principe
![Page 33: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/33.jpg)
NAT dynamique:Masquerading
![Page 34: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/34.jpg)
NAT dynamique: Principe(1/2)
![Page 35: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/35.jpg)
NAT dynamique: Principe(2/2)
![Page 36: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/36.jpg)
Pare-feu Linux
![Page 37: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/37.jpg)
Linux firewall
• Quand une paquet arrive à la firewall de linux, il peut être accepté par application de hôte ou bien transféré par l’autre interface d’après sa destination.
• Pare-feu libre– Netfilter/iptables(Linux)
![Page 38: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/38.jpg)
netfilter
• Un framework implémentant un pare-feu au sein du noyau Linux.(version>=2.4)
• Il prévoit des accroches(hooks)dans le noyau pour l’interception et la manipulation des paquets réseau lors des appels des routines de réception ou d’émission des paquets des interfaces réseaux.
![Page 39: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/39.jpg)
Netfilter Hook
• 5 hooks dans la pile réseau, soit Pre-Routing, Local-IN, Forward, Local-Out et Post-Routing
![Page 40: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/40.jpg)
Netfilter Hook routage
![Page 41: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/41.jpg)
Netfilter Table
• Netfilter défini trois Tables différents, soit NAT, Mangle et Filter
• Utilisateur peut configure les actions à travers les tables différents pour satisfaire les exigences.
![Page 42: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/42.jpg)
Netfilter Table
![Page 43: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/43.jpg)
Filter table
3 chaînes :INPUT : Paquets rentrants vers des processus locaux OUTPUT : Paquets sortant des processus locaux
FORWARD : Paquets passant d'une interface à l'autre
![Page 44: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/44.jpg)
NAT table
• 3 chaînes :
– PREROUTING : Paquets rentrants dans la couche réseau
– POSTROUTING : Paquets sortants de la couche réseau
– OUTPUT : Paquets sortants des processus locaux
![Page 45: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/45.jpg)
Mangle table
![Page 46: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/46.jpg)
Table et Hook
![Page 47: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/47.jpg)
Exemple pour expliquer iptables
• Supposons la configuration dans Filter table:
si on a une règle: protocole=ICMP, on fait DROPiptables -A INPUT -p ICMP -j DROP
![Page 48: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/48.jpg)
Explication(flèche1)
Flèche1:le paquet transférer à travers les interfaces réseaux Le paquet entre de Pre-Routing, via Forward Post-Routing et
puis sort. Quand le paquet passe via Forward(Check Point A), on va check
si c’est paquet de ICMP et puis log.
![Page 49: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/49.jpg)
Explication(flèche2)
• Le paquet entré dans application de Hôte Linux
– Le paquet passe via Pre-Routing, puis passe INPUT, donc faire le check si c’est paquet de ICMP dans le point B, si oui, log it.
![Page 50: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/50.jpg)
Explication(flèche3)
• Paquet via hôte linux vers extérieur
– Via OUTPUT, Faire le check dans le Point C
![Page 51: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/51.jpg)
Bilan
Tous les paquets émis par des processus locaux au routeur traversent la chaine OUTPUT.
Fonctionnement:
![Page 52: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/52.jpg)
Bilan
![Page 53: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/53.jpg)
Connection Tracking
• Un mécanisme permettant netfliter manager et contrôler l’état de connexion.
• On peut faire TCP Connection Tracking à travers iptables
• Quatre état(State) de TCP Connection Tracking : NEW、ESTABLISHED、RELATED etINVALID
• Sauf le paquet produit par le hôte est dans le chaine OUTPUT, toutes les autres Connection Tracking fonctionnent dans le chaine Pre-Routing.
![Page 54: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/54.jpg)
État de Connection Tracking(connect TCP)
![Page 55: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/55.jpg)
État de Connection Tracking(disconnect TCP)
![Page 56: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/56.jpg)
État de Connection Tracking(connect UDP)
![Page 57: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/57.jpg)
État de Connection Tracking(connect ICMP)
![Page 58: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/58.jpg)
Commands iptables
• iptables est noyau de contrôle sur netfilter de userspace
• Trois genres de configuration iptables:
– Table, Chain, Rule
• Trois genres de tables: Filter,NAT, Mangle.
• Iptable –v –L peut lister toutes les règles et infos de table. Il est utilisé pour expliquer Table, Chain, Rule
![Page 59: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/59.jpg)
Un exemple de résultat iptables -v -L
![Page 60: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/60.jpg)
Format de command iptables
Ex:
![Page 61: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/61.jpg)
Format iptables
![Page 62: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/62.jpg)
Liste de iptables Table
![Page 63: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/63.jpg)
Liste de iptables Table
![Page 64: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/64.jpg)
Liste des autre iptables commands
![Page 65: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/65.jpg)
Liste de iptables Generic match
![Page 66: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/66.jpg)
Liste de iptables implicit match
![Page 67: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/67.jpg)
Liste de iptables explicit match
![Page 68: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/68.jpg)
Liste de iptables target/jump
![Page 69: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/69.jpg)
EXEMPLE
![Page 70: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/70.jpg)
Exemple1
• port 53 de hôte accepte un paquet UDP vient de 1.2.3.4 # iptables -A INPUT -p UDP -s 1.2.3.4 --dport 53 -j ACCEPT
• Rajouter une règle(Rule), puis le supprimer# iptables -A test -p tcp -j ACCEPT
# iptables -D test -p tcp -j ACCEPT
![Page 71: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/71.jpg)
Exemple2
• accpte paquet ICMP comme 3(ping)# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
• Si 20 paquet de tcp SYN se produit par seconde, log it, le prefix est SYN Flood.# iptables -A INPUT -p tcp --syn -m limit --limit 20/second -j \ LOG –logdatagrammeprefix "SYN Flood:"
![Page 72: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/72.jpg)
Exemple3
• Fonctionnalité NAT d’iptables(1/2)
![Page 73: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/73.jpg)
Exemple4-a
• Fonctionnalité NAT d’iptables(1/2)
![Page 74: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/74.jpg)
Exemple4-b
• Fonctionnalité NAT d’iptables(1/2)
![Page 75: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/75.jpg)
Fonctionnalités NAT d’Iptables (2/2)
![Page 76: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/76.jpg)
Transfert de ports
![Page 77: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/77.jpg)
Iptables et filtrage(1/2)
![Page 78: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/78.jpg)
Iptables et filtrage(1/2)
![Page 79: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/79.jpg)
Iptables et filtrage(2/2)
![Page 80: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/80.jpg)
Iptables et filtrage(2/2)
![Page 81: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/81.jpg)
Iptables et suivi des connexions(1/2)
![Page 82: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/82.jpg)
Iptables et suivi des connexions(2/2)
![Page 83: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/83.jpg)
Outils de diagnostic
• Traces iptables. Possibilité de tracer certaines actions iptables. exemple :1. Tracer toutes les actions iptables :
2. Rajouter une règle pour tracer les paquets rejetés
• nmap, nessus,. . . . Logiciels permettant de diagnostiquer l’état d’un firewall (trouver les ports ouverts, détecter les services utilisant les ports, . . . )
![Page 84: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/84.jpg)
Outils et liens
![Page 85: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/85.jpg)
Autres mécanismes de sécuritédétection d’instrusion(1/3)
![Page 86: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/86.jpg)
Autres mécanismes de sécuritédétection d’instrusion(2/3)
![Page 87: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/87.jpg)
Autres mécanismes de sécuritédétection d’instrusion(3/3)
![Page 88: Filtrage des paquets - Université Sorbonne Paris Nordzhang/contenu/Filtrage.pdf · 2014. 5. 20. · Pare-feu(2/2) •Définition –Ensemble de composants appliquant une politique](https://reader036.vdocuments.net/reader036/viewer/2022071007/5fc5359f789ae417af3ed7ca/html5/thumbnails/88.jpg)
Autres mécanismes de sécuritéIPS et Honeypots