Vous êtes sur la page 1sur 14

Administration rseau Firewall

A. Guermouche

A. Guermouche

Cours 5 : Firewall

Plan

A. Guermouche

Cours 5 : Firewall

Firewall?

Plan

A. Guermouche

Cours 5 : Firewall

Firewall?

Pourquoi un rewall?

Denition
Programme, ou un matriel, charg de vous protger du monde extrieur en contrlant tout ce qui passe, et surtout tout ce qui ne doit pas passer entre internet et le rseau local. pourquoi un rewall? Contrle. Grer les connexions sortantes a partir du rseau local. Scurit. Protger le rseau interne des intrusions venant de lextrieur. Vigilance. Surveiller/tracer le trac entre le rseau local et internet.

A. Guermouche

Cours 5 : Firewall

Firewall?

Firewall

Plusieurs types de rewalls : Pare-feu au niveau rseau Pare-feu au niveau applicatif Pare-feu des applications

A. Guermouche

Cours 5 : Firewall

Firewall?

Diffrents types de rewalls


Pare-feu niveau rseau. (iptables, paquet lter, . . . ) Firewall fonctionnant un niveau bas de la pile TCP/IP Bas sur le ltrage des paquets Possibilit (si mcanisme disponible) de ltrer les paquets suivant ltat de la connexion Intrt : Transparence pour les utilisateurs du rseau Pare-feu au niveau applicatif. (inetd, xinetd, . . . ) Firewall fonctionnant au niveau le plus haut de la pile TCP/IP Gnralement bas sur des mcanisme de proxy Intrt : Possibilit dinterprter le contenu du trac Pare-feu des applications. (/etc/ftpaccess pour ftp, . . . ) Restrictions au niveau des diffrentes applications
A. Guermouche Cours 5 : Firewall 6

DMZ

Plan

A. Guermouche

Cours 5 : Firewall

DMZ

DMZ

Denition (DMZ)
Une zone dmilitarise (DMZ) est un sous-rseau se trouvant entre le rseau local et le rseau extrieur. Proprits : Les connexions la DMZ sont autorises de nimporte o. Les connexions partir de la DMZ ne sont autorises que vers lextrieur. Intrt : Rendre des machines accessible partir de lextrieur (possibilit de mettre en place des serveurs (DNS, SMTP, . . . ).

A. Guermouche

Cours 5 : Firewall

Iptables et ltrage

Plan

A. Guermouche

Cours 5 : Firewall

Iptables et ltrage

Iptables et ltrage(1/2)
Filtrage des paquets IP, TCP, UDP ou ICMP Spcication de rgle pour le rejet ou lacceptation de paquet Utilisation de la table FILTER et des chanes INPUT, OUTPUT et
FORWARD

Rgles traites de manire squentielle : Le paquet sort ds quil rencontre une rgle qui peut lui tre applique Exemples : Accepter tous les paquets en provenance de nimporte o et destins ladresse du routeur 192.168.1.1.
iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT

Accepter de router les paquets entrant sur eth0 tels que :


@source 0/0 @dest 192.168.1.58 P-source 1024-65535 P-dest 80

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP sport 1024:65535 dport 80 -j ACCEPT
A. Guermouche Cours 5 : Firewall 10

Iptables et ltrage

Iptables et ltrage(2/2)
Accepter un paquet ICMP echo-request (ping) par seconde
iptables -A INPUT -p icmp icmp-type echo-request -m limit limit 1/s -i eth0 -j ACCEPT

Accepter 5 segments TCP ayant le bit SYN positionn par seconde (permet dviter de se faire inonder)
iptables -A INPUT -p tcp syn -m limit limit 5/s -i eth0 -j ACCEPT

Accepter de router les paquets entrants sur eth0 tels que :


@source 0/0 @dest 192.168.1.58 P-source 1024-65535 P-dest 80 ou 443

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP sport 1024:65535 -m multiport dport 80,443 -j ACCEPT

A. Guermouche

Cours 5 : Firewall

11

Iptables et ltrage

Iptables et suivi des connexions


Suivi des connexions disponible (conntrack) Quatre tats possibles pour une connexion : NEW . Nouvelle connexion tablie ESTABLISHED . La connexion analyse est dj tablie RELATED . La connexion est en relation avec une connexion dj tablie (ftp-data par exemple) INVALID . Le paquet reu nappartient aucune des trois catgories prcdentes. Exemples : Autoriser tous les paquets mis par le routeur concernant des connexions dj tablies.
iptables -A OUTPUT -o eth0 -m state state ESTABLISHED,RELATED -j ACCEPT

A. Guermouche

Cours 5 : Firewall

12

Iptables et ltrage

Iptables et suivi des connexions


Suivi des connexions disponible (conntrack) Quatre tats possibles pour une connexion : NEW . Nouvelle connexion tablie ESTABLISHED . La connexion analyse est dj tablie RELATED . La connexion est en relation avec une connexion dj tablie (ftp-data par exemple) INVALID . Le paquet reu nappartient aucune des trois catgories prcdentes. Exemples : Autoriser le routeur relayer tous les paquets reus concernant de nouvelles connexions sur le port 22.
iptables -A FORWARD -p tcp -i eth0 dport 22 sport 1024:65535 -m state state NEW -j ACCEPT

A. Guermouche

Cours 5 : Firewall

12

Iptables et ltrage

Outils de diagnostic
Traces iptables. Possibilit de tracer certaines actions iptables. exemple : 1. Tracer toutes les actions iptables :
iptables -A OUTPUT -j LOG iptables -A INPUT -j LOG iptables -A FORWARD -j LOG

2. Rajouter une rgle pour tracer les paquets rejets


iptables -N LOG_DROP iptables -A LOG_DROP -j LOG log-prefix [IPTABLES DROP] : iptables -A LOG_DROP -j DROP

nmap, nessus,. . . . Logiciels permettant de diagnostiquer ltat dun rewall (trouver les ports ouverts, dtecter les services utilisant les ports, . . . )
A. Guermouche Cours 5 : Firewall 13