Travaux Pratiques Configuration du filtrage par un routeur et un proxy logiciel (mod_security)

Le but de cette manipulation est de raliser un contrle d'accs conforme la politique de scurit d'une entreprise. Pour cela, les tudiants configureront un routeur pour filtrer les paquets IP en fonction des adresses IP et des numros de ports TCP. Cette manipulation vous permettra de vous familiariser avec le filtrage IP et les serveurs proxies web. Responsable : Maryline Maknavicius-Laurent, Olivier Paul 1. Prparation Se documenter sur l'attribution des numros de ports TCP pour les applications - ftp, http, telnet, smtp et finger - ainsi que sur les diffrents types de filtrage de paquets IP et les serveurs proxies web. Vous rpondrez toutes les questions marques d'une astrisque avant de venir en TP. 2. Cadre gnral Le but du TP est de protger le rseau d'une entreprise en limitant les changes entre l'entreprise et le rseau Internet. Pour cela, il est ncessaire de configurer le routeur plac en frontire de l'entreprise. Le rseau d'entreprise est simul dans ce TP par un PC (PC prof), un serveur Web/FTP/DNS/WINS et 2 routeurs R et RX. Le X de RX dsigne le numro de poste de travail (1, 2, 3 ou 4) sur lequel vous vous trouvez. Le routeur R a pour seul objectif de dfinir un sous-rseau de l'entreprise. Le rseau Internet est simul par les 2 ou 3 PC de votre poste de travail. Normalement le routeur RX doit tre configur partir du PC de l'administrateurdu rseau d'entreprise. Pour des raisons videntes d'optimisation de l'utilisation du matriel, nous considrons que l'un des PC extrieurs l'entreprise (sur votre poste de travail) servira la configuration de RX. Le TP ne commence vritablement qu' la section 3. Il est cependant ncessaire de configurer correctement le poste de travail (PCs et routeur RX) et de cbler les quipements avant de commencer le TP. Une disquette contenant la configuration de base du routeur doit vous tre remise en dbut de TP

Serveur prof WEB/FTP/DNS/WINS

PC prof

Routeur R prof Routeur RX Cisco 1600

Rseau dentreprise

Terminal PC-Windows

Terminal PC-Windows

Rseau Internet simul

Figure 1 : Interconnexion d'un rseau d'entreprise un rseau Internet.

2.1. Le rseau de la salle 2.1.1- Schma Cf. figures 2 et 3

Poste de travail 2 1 2 3 Poste de travail 4 1 2 3

Serveur WEB/ FTP/WINS/DNS

PC prof 1 2 3

Rseau d'entreprise

Poste de travail 1

Poste de travail 3

Figure 2 : Le rseau de la salle de TP. L'un des PC (PC prof) du poste de travail 1 appartient au rseau d'entreprise et ne sera pas utilis par les tudiants.

Serveur prof WEB/FTP/WINS/ DNS

PC prof LAN 20.20.30/24

Routeur R prof 200.20.20.11 200.20.30.2 200.20.30.1

200.20.20.10

Routeur R2 Hub

Hub prof

Routeur R1

Hub

Poste de travail 2

LAN 200.20.20/24

Poste de travail 1

200.100.2/24

200.100.1/24

Poste de travail 4
Hub

200.100.4/24
Routeur R4

Routeur R3

Hub

Poste de travail 3

200.100.3/24

Liaison srie Cble rseau

Figure 3 : Le rseau de la salle de TP dans le dtail

2.1.2- Adressage : Serveur WEB/FTP/WINS/DNS : 200.20.20.10 sur le sous-rseau 200.20.20/24 PC prof : 200.20.30.2 sur le sous-rseau 200.20.30/24

2.2. Poste de travail 2.2.1- Schma

Serveur / PC prof entreprise Hub prof Hub Eth 0 Console Eth 1 Routeur RX
Figure 4 : Le poste de travail

PC1

200.100.X.2

PC2
200.100.X.3

2.2.2- Identification du matriel 1 routeur RX (2 ports Ethernet) o X dsigne votre poste de travail : 1, 2, 3 ou 4. 1 hub 1 PC1 servant configurer le routeur via le port console et effectuer des tests sur le rseau 1 PC2 voire 2 PC (PC2 et PC3) servant effectuer des tests sur le rseau. PC3 est ce moment l connect au hub, comme PC2.

2.2.3- Cblage -> Les connexions suivantes sont vrifier : -> le port COM1 du PC1 sur le port console du routeur. C'est par le biais de ce port que le routeur sera configur. les ports LAN des PC2 et PC3 sur le hub de votre poste de travail . le port Ethernet 0 du routeur vers le hub de votre poste de travail. le port Ethernet 1 du routeur vers le hub prof. Mettre tous les quipements sous tension.

2.2.4- Configuration des PC Dans le menu Paramtres>Panneau de configuration, cliquez sur Rseau puis sur TCP/IP et configurer les PC comme suit : Adresse IP de PC1 : 200.100.X.2 (o X dsigne le poste de travail 1, 2, 3 ou 4 sur lequel vous vous trouvez) Adresse IP de PC2 : 200.100.X.3 Adresse IP de PC3 pour les postes de travail 2, 3 et 4 : 200.100.X.4 Configuration du DNS : Adresse DNS : 200.20.20.10 4

->

Passerelle : 200.100.X.1 Valider.

2.2.5- Configuration du routeur RX Un fichier de configuration des adresses des ports du routeur et ses tables de routage existe. Pour le charger dans le routeur via le port console, partir de PC1, ouvrir une connexion Hyperterminal (menu Dmarrer>Programmes>Accessoires>Hyperterminal>HyperTerminal), puis placer vous en mode configuration (cf. paragraphe 2.2.6. ) et charger le fichier de configuration en appelant le menu Transfrer>Envoyer le fichier texte et en envoyant le fichier configX.txt qui se trouve sur la disquette dans le rpertoire TPfiltrage/. Le routeur RX a les adresses suivantes : Interface Eth0 : 200.100.X.1 Interface Eth1 : 200.20.20.X

2.2.6- Etude du fonctionnement du routeur -> Pour configurer le routeur, ouvrir une connexion HyperTerminal. Le prompt du routeur (par exemple : routeur>) apparat. Voici les diffrentes commandes qu'il est possible d'effectuer : visualisation du filtrage en cours : passer en mode privilgi. C'est--dire, taper :
routeur> enab routeur> password : int

puis taper :
routeur# show access-lists

visualisation d'une liste d'accs seule (la numro 12) :

routeur# show ip access-list 12

visualisation de la configuration en cours qui montre les ports ethernet 0 et 1 et les filtres qui sont appliqus :
routeur# show running-config

aide en ligne trs pratique sur les Cisco. Quand vous ne savez pas quelles commandes vous avez droit dans un mode donn, taper :
routeur# ?

cela vous donnera l'ensemble des commandes possibles. si vous ne savez plus quelles informations doivent tre fournies aprs une commande, faire :
routeur# show ? access-list ip routeur# show ip ? ... access-list ...

cela indique les informations qui doivent suivre.

modification de la configuration du routeur : passer en mode configuration. Taper aprs le prompt du mode privilgi (routeur#) :
routeur# configure Configuring from terminal, memory or network [terminal] ?

faire juste Enter. Il comprend par dfaut que vous configurez le routeur partir d'un pc connect sur le port console. vous vous retrouvez alors en mode configuration avec le prompt : routeur(configure) rentrer un lment de filtrage dont voici quelques exemples.
routeur(configure)# ip access-list standard 12 routeur(config-std-nacl)# permit 157.159.20.0 0.0.0.255

il s'agit de la liste d'accs rfrence 12 qui autorise le passage de tous les paquets issus du rseau 157.159.20. Le filtrage ne doit porter que sur les 3 premiers octets de l'adresse IP. Le masque correspondant spcifier au routeur est donc : 0.0.0.255. Noter que ce masque n'est pas celui qui est couramment utilis dans IP. il est important de noter que ce type de liste d'accs (standard) doit porter un numro compris entre 1 et 99.
routeur(configure) ip access-list extended 101 routeur(config-ext-nacl)# deny ip 157.159.60.0 0.0.0.255 182.28.0.0 0.0.255.255

cette commande interdit tout envoi de paquets de protocole IP (ICMP, TCP, UDP) du rseau 157.159.60.0 destination du rseau 182.28.0.0. ce type de liste d'accs (tendue) dans laquelle se trouve prcis le type de protocole (IP, TCP, ICMP, etc.) autoris ou interdit ainsi que les numros de ports doit porter un numro compris entre 100 et 199.
routeur(configure) ip access-list extended 101 routeur(routeur (config-ext-nacl)# permit tcp 10.1.5.0 0.0.0.255 any eq 23 routeur(config-ext-nacl)# permit tcp 10.1.5.0 0.0.0.255 any eq telnet

ces commandes sont quivalentes et autorisent les stations du rseau 10.1.5.0 faire du telnet.
routeur(configure) ip access-list extended 101 routeur (config-ext-nacl)# permit icmp any any echo

cette commande autorise les changes de paquets ICMP echo.

routeur(configure) no ip access-list standard 12

cette commande supprime la liste d'accs numro 12.

une rgle de base en scurit est de toujours terminer une liste d'accs par l'interdiction de tout autre accs possible. attention ! Pour que le filtre soit activ, il est important de l'associer une interface (ethernet 0 ou ethernet 1 dans notre cas). Pour cela, partir du mode configuration, placervous en mode interface ethernet 0 ou ethernet 1 en tapant :
routeur(configure) interface ethernet 1 routeur(config-if) ip access-group 101 in

ici, la liste d'accs numro 101 est applique sur le flot de paquets entrant sur le port ethernet 1 (cf. figure 5).
routeur(config-if) ip access-group 12 out

la liste d'accs 12 est applique sur le flot de paquets sortant sur le port ethernet 1. 6

attention ! On ne peut dfinir qu'une seule liste d'accs sur chaque port, une dans le sens entrant, une dans le sens sortant. attention ! Ds que vous spcifiez une liste d'accs, tout le trafic qui n'est pas explicitement autoris dans cette liste est interdit.
in liste daccs 101 Fonction de routage out
Figure 5 : Le routeur, ses interfaces et ses listes d'accs

in ethernet 0

ethernet 1 out liste daccs 12

pour supprimer cette association - liste d'accs / interface - taper ( partir du mode interface toujours) par exemple :
routeur(config-if) no ip access-group 101 in

sortir des modes interface, configure et privilgi en tapant :

routeur(config-if) exit routeur(configure) exit routeur# exit routeur>

3. Filtrage de niveau paquet Q1. * Quel est l'intrt de filtrer les paquets IP sur les adresses IP ?

3.1. Filtrage sur des adresses simples Modifier la configuration du routeur de telle sorte que PC prof soit la seule machine joignable par la station PC1 d'adresse 200.100.X.2. Faire un ping partir de PC1 destination de PC prof. Pour cela, slectionner dans le menu Dmarrer>Programmes, le programme Commandes MS-DOS et faire un ping destination de l'adresse IP de PC prof: 200.20.30.2. Faire un second ping destination du serveur 200.20.20.10. Q2. Que se passe-t-il ? Est-ce normal ?

Faire un ping partir de PC2 ou PC3 destination de PC prof. Q3. Que se passe-t-il ? Est-ce normal ?

3.2. Filtrage sur des adresses multiples Modifier la configuration du routeur RX de telle sorte que PC1, PC2, (PC3) ne puissent pas joindre le sous-rseau 200.20.30/24 mais puisse joindre celles du rseau 200.20.20/24. A partir de PC1, PC2 ou PC3, faire un ping destination d'un quipement du sous-rseau 200.20.30/24 (PC prof ou routeur) et d'un quipement du sous-rseau 200.20.20/24 (serveur ou routeur). Q4. Que se passe-t-il ?

Supprimer la liste d'accs cre dans l'interface ethernet 1 ou ethernet 0. 3.3. Filtrage sur des ports Q5. * Quel est l'intrt de faire du filtrage sur les ports TCP ?

Modifiez la liste d'accs cre dans l'interface ethernet 1 ou ethernet 0 de telle sorte que: Q6. seul le serveur HTTP prsent sur serveur prof soit accessible par PC1 seul le serveur FTP prsent sur serveur prof soit accessible par PC2 ou PC3. Donnez les listes cres pour rendre ce service.

4. Filtrage tat Cisco IOS possde deux fonctionnalits similaires au filtrage tat: Les listes de contrle d'accs rflexives (Reflexive Access Lists). Le contrle d'accs contextuel (CBAC - Context Based Access Control).

Dans les deux cas le principe est le suivant. Lorsque le paquet relatif un protocole est autoris traverser une interface en entre ou en sortie (au travers d'une liste de contrle d'accs approprie), s'il existe une instruction de mmorisation d'tat, des listes de contrle d'accs temporaires correspondant aux paquets devant circuler entre la destination et la source sont associes l'interface dans le sens oppos. Ces listes temporaires sont supprimes au bout dune certaine dure et sont examines avant toute autre liste de contrle daccs. Il n'est donc pas ncessaire avec ces deux techniques de saisir des listes correspondant tous les paquets circulant mais seulement celui que l'on dsire autoriser pour la cration de l'tat. La diffrence entre les listes rflexives et les listes contextuelles porte sur la quantit d'information mmorise et sur la prcision du filtrage partir des listes cres.

Schmatiquement, la prcision des listes de contrle daccs rflexives ne portent que sur l'en tte IP et une partie de l'en-tte transport des paquets alors que la prcision du filtrage CBAC peut porter en plus sur d'autres champs de l'en-tte transport et sur le contenu applicatif des paquets. Le contrle daccs contextuel nest prsent que sur les versions assez rcentes de lIOS (12.0(T) et suprieur) dans des distributions particulires contrairement aux listes de contrle daccs rflexives qui sont plus rpandues. Les deux procds n'ont pas galement le mme cout d'excution. 4.1. Listes de contrle d'accs rflexives On commence pour l'utilisation des listes de contrle d'accs rflexives crer une liste classique qui correspond au premier paquet correspondant la communication. Dans notre cas il s'agit d'un paquet partant de la machine d'adresse 192.168.4.2 sur un port suprieur 1024 vers la machine d'adresse 192.168.3.2 sur le port ssh. On y ajoute le mot clef reflect sshtraffic. Lorsqu'un paquet validera cette rgle la rgle temporaire sshtraffic sera cre avec comme paramtres les conditions exprimes (adresses et ports) par la rgle inbound spcifies inverses.
routeur(config)#ip access-list extended inbound routeur(config-ext-nacl)#permit tcp host 192.168.4.2 gt 1024 host 192.168.3.2 eq 22 reflect sshtraffic routeur(config-ext-nacl)#exit

On cre ensuite un rgle pour le trafic retour. Dans l'idal on souhaiterait utiliser la rgle sshtraffic en l'associant directement l'interface. Cependant l'IOS ne permet pas cette opration directement (ceci n'est pas une limitation mais existe pour pouvoir combiner des rgles cres dynamiquement avec des rgles statiques). On cre donc une rgle particulire dans laquelle on demande l'valuation de la rgle temporaire sshtraffic.
routeur(config)#ip access-list extended outbound routeur(config-ext-nacl)#evaluate sshtraffic routeur(config-ext-nacl)#exit

On associe enfin les rgles l'interface la plus proche de la machine source.

routeur(config)#interface ethernet 0 routeur(config-if)#ip access-group inbound in routeur(config-if)#ip access-group outbound out

La commande suivante permet dafficher les listes de contrle d'accs. A la fin de celles-ci apparaissent les listes temporaires en cours de validit une fois qu'une connexion initie par 192.168.4.2 est cre.
routeur#show ip access-lists Extended IP access list inbound 10 permit tcp host 192.168.4.2 gt 1024 host 192.168.3.2 eq 22 reflect sshtraffic (51 matches) Extended IP access list outbound 10 evaluate sshtraffic Reflexive IP access list sshtraffic permit tcp host 192.168.3.2 eq 22 host 192.168.4.2 eq 53768 (31 matches) (time left 3)

On dsire autoriser lutilisation de la commande ping entre PC1 et serveur prof mais interdire lopration inverse. Tout autre trafic doit tre interdit. Q7. Donnez les listes cres pour rendre ce service.

Q8.

Quelle est lopration raliser pour vrifier le bon fonctionnement de vos commandes ? Quel est le rsultat ?

4.2. Listes de contrle d'accs contextuelles Le fonctionnement gnral des listes de contrle d'accs contextuelles est le mme que le contrle d'accs rflexif. On commence par autoriser le premier paquet correspondant une communication que lon dsire autoriser. Ici il sagit dune connexion tcp depuis lquipement 192.168.4.2 sur un port suprieur 1024 vers la machine 192.168.3.2 sur le port 22.
routeur(config)#ip access-list extended 101 routeur(config-ext-nacl)# permit tcp host 192.168.4.2 gt 1024 host 192.168.3.2 eq 22

On cre ensuite une rgle dinspection appele tcp_s pour le protocole tcp.
routeur(config)# ip inspect name tcp_s tcp

Linterface la plus proche de 192.168.4.2 tant ethernet 0, on associe les deux rgles cette interface. Indpendamment de lordre de saisie des rgles, lapplication de linstruction dinspection se fait toujours aprs la validation des rgles de contrle daccs et uniquement si il existe une rgle autorisant le traffic.
routeur(config)# interface ethernet 0 routeur(config-if)# ip access-group 101 in routeur(config-if)# ip inspect tcp_s in

On peut par ailleurs interdire tout autre trafic retour.

routeur(config)#ip access-list extended 102 routeur(config-ext-nacl)# permit deny ip any any routeur(config)# interface ethernet 0 routeur(config-if)# ip access-group 102 out

Il est noter que contrairement aux listes rflexives ou on est oblig explicitement de demander l'valuation des paquets vis vis de rgles temporaires, ce n'est pas le cas ici. Cependant il faut galement noter que cet tat est local l'interface. La commande suivante permet dafficher les sessions en cours lorsquune connexion initie par 192.168.4.2 est cre.
routeur#show ip inspect sessions Established Sessions Session 82D4C5CC (192.168.4.2:3126)=>(192.168.3.2:22) tcp SIS_OPEN

10

On dsire autoriser lutilisation de la commande ping entre PC1 et serveur prof mais interdire lopration inverse. Tout autre trafic doit tre interdit. Q9. Donnez les listes cres pour rendre ce service.

Q10. Quelle est lopration raliser pour vrifier le bon fonctionnement de vos commandes ? Quel est le rsultat ?

Q11. Que proposeriez-vous comme test afin de vrifier la diffrence de comportement entre les listes rflexives et listes CBAC pour le protocole tcp ?

5.

Utilisation d'un proxy (http)

5.1. Filtrage de http Vrifier que Netscape (menu Demarrer>Programmes>Netscape Communicator>Netscape Navigator n'est pas en mode proxy. Pour cela, vrifiez que dans le menu Edition>Preferences, dans la rubrique Avances puis Proxy, l'option Connexion directe Internet est slectionne. Charger la page : http://200.20.20.10/TPfiltrage/default.html Q12. Quels sont les numros de port utiliss ?

Modifier la liste d'accs pour que le routeur bloque le trafic http. Charger une page quelconque. Q13. Que se passe-t-il ?

11

5.2. Utilisation du proxy mod_security mod_security est un module de filtrage que l'on peut ajouter au serveur apache pour faire du filtrage sur le trafic http et ftp. Un module dans apache est un morceau de code excutable qui peut tre charg la demande afin d'ajouter de nouvelles fonctionnalits apache. mod_security s'appuie sur d'autres modules fournis nativement avec le serveur apache: mod_proxy, mod_proxy_http, mod_proxy_ftp, Ceux-ci permettent de donner au logiciel apache son rle de proxy mais ne permettent qu'un filtrage sommaire des requtes. Installer sur PC2 le proxy mod_security pour apache. Pour cela, charger par ftp le logiciel (ftp 200.20.20.10) mod_security-*.zip. Dcompresser l'archive dans le rpertoire "modules" partir du rpertoire de base d'apache. La configuration de base du module se fait au travers du fichier de configuration d'apache (conf/httpd.conf). Avant de modifier celui-ci, faites en une copie (conf/httpd.conf.old) que vous restaurerez en fin de TP. Le fichier est compos d'un certain nombre d'instructions qui permettent la fois la configuration du serveur et des modules permettant d'tendre le fonctionnement d'apache. Le chargement des modules se fait au travers de l'instruction LoadModule:
LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_ftp_module modules/mod_proxy_ftp.so LoadModule unique_id_module modules/mod_unique_id.so

Ces modules sont normalement dsactivs. Commencez par les activer en enlevant le caractre # qui les prcde et qui a pour rle de commenter une ligne. Avant d'aller plus loin nous allons configurer ces modules:
<IfModule proxy_module> ProxyRequests On <Proxy *> Order deny,allow Deny from all # Allow from x.x.x.x </Proxy> </IfModule>

Les instructions <IfModule proxy_module></IfModule> sont des balises utilises pour n'excuter les instructions encadres que si le module proxy_module a t charg. ProxyRequests configure apache pour fonctionner en mode proxy. Les instructions <Proxy *></Proxy> sont des balises qui contiennent la configuration du proxy en terme de contrle d'accs. Le caractre * indique que ces instructions sont valides pour toute requte. On aurait put utiliser une URL la place de cette toile pour indiquer des conditions s'appliquant un site ou une partie de site.

12

Order indique dans quel ordre les commandes seront executes (dans ce cas deny puis allow). Ce qui signifie que "Deny from all" sera execut en premier et que "Allow from x.x.x.x" sera execut en second. Dans le systme de contrle d'accs d'apache (contrairement aux rgles utilises avec les routeurs) la dernire rgle valide est excute. Deny from all: Interdit l'accs depuis toutes les adresses. Allow from x.x.x.x: Autorise l'accs depuis l'adresse x.x.x.x. On aurait pu remplacer le "all" et le "x.x.x.x" par un prfixe de rseau ou un nom qualifi.

o o

Nous allons ensuite fixer le port (8080) sur lequel le proxy va fonctionner:
Listen 8080

Pour tester la syntaxe votre configuration vous pouvez utiliser le lien "Test Configuration" dans le panneau de dmarrage associ apache (Apache HTTP Server->Configure Apache Server). Depuis PC1 (ou PC3), configurer le navigateur en mode proxy (menu Preferences>Avances>Proxy pour Netscape et Outils>Options Internet>Connexions>Paramtres rseaux>Utiliser un serveur proxy>Avanc pour Internet Explorer) en dfinissant votre PC2 (200.100.X.3) comme proxy http de la faon suivante :
port HTTP : 200.100.X.3 8080

Q14.

* Quel est le rle jou par un proxy applicatif ?

Recharger une page quelconque. Q15. Que se passe-t-il ? Quels sont les numros de port qui devraient tre utiliss ? Expliquer.

Une premire chose est de faire en sorte que notre module ne soit accessible que par les clients internes de telle sorte qu'il ne puisse pas tre utilis par des utilisateurs externes pour surfer anonymement. Pour cela configurez le proxy pour n'accepter que des communications provenant de l'intrieur de votre rseau. Recharger une page quelconque depuis PC2. Q16. Que se passe-t-il ?

Q17. Quels mcanismes un administrateur a-t-il disposition pour viter quun utilisateur ne contacte un serveur web directement sans passer par le proxy ?

13

Nous allons maintenant configurer apache pour qu'il charge le module mod_security2. Celuici permet de crer des rgles de filtrage plus complexes.
LoadModule security2_module modules/mod_security2/mod_security2.so

On peut ensuite faire sa configuration de base. Voici un exemple de configuration.

<IfModule security2_module> SecAuditEngine RelevantOnly SecAuditLogRelevantStatus "^[45]" SecAuditLogType Serial SecAuditLog logs/audit.log SecAuditLogParts "ABFZ"

SecRuleEngine On SecResponseBodyAccess On SecRule REQUEST_URI_RAW ".*ebay\.com.*" log,deny,phase:1 SecRule RESPONSE_BODY ".*ebay\.com.*" log,deny,phase:4 </IfModule>

Les 5 premires instructions ont pour rle de configurer la faon dont les logs seront conservs. Ceux-ci seront conservs uniquement lorsqu'ils sont considrs comme intressants (RelevantOnly) dans un seul fichier (Serial) qui aura pour nom logs/audit.log sous un format particulier (ABFZ). Les logs considrs comme intressants sont ceux possdant un code de rponse correspondant une erreur (codes 400, 500) c'est dire qui commencent par 4 ou 5 ("^[45]"). SecRuleEngine permet d'activer le filtrage. Par dfaut, le module ne permet que de faire du filtrage sur le contenu des en-ttes HTTP. Afin de permettre le contrle des informations transportes par HTTP, on doit spcifier des instructions complmentaires. Ainsi SecResponseBodyAccess permet de faire du filtrage sur le contenu de la rponse. SecRule reprsente une rgle de filtrage. Elle est compose: o D'un paramtre indiquant le champ considr (l'URI demande pour REQUEST_URI_RAW, Le contenu de la rponse pour RESPONSE_BODY) (Tous les paramtres disponibles sont contenus dans le manuel mod_security2/doc/). D'une expression indiquant la valeur que doit prendre le champ pour valider la rgle. On peut ici utiliser des expressions rgulires. D'une liste d'actions. Celles-ci incluent ici le fait de garder un log de l'vnement (log), le fait d'interdire la requte (deny) et la phase laquelle s'applique la rgle (phase:x). On distingue 5 phases dans l'analyse des changes HTTP. Parmis lesquelles: La phase 1: correspond l'analyse de l'en-tte de la requte. 14

o o

La phase 2: correspond l'analyse du contenu de la requte. La phase 3: correspond l'analyse l'en-tte de la rponse. La phase 4: correspond l'analyse du contenu de la rponse. Ainsi les mots clefs ne sont pas suffisants pour dcider quelle phase une rgle s'applique. o Pour une phase donne, les rgles sont examines dans l'ordre de leur expression. Les rgles validant la requte ou la rponse et possdant une action non interruptive sont executes. Si une rgle valide la requte ou la rponse et possde une action interruptive (allow ou deny), elle est applique et les rgles suivantes sont ignores. o Il est possible de combiner plusieurs conditions en utilisant plusieurs rgles dans lesquelles toutes les rgles sauf la dernire utilisent l'action "chain".

Fates en sorte d'interdire l'accs au fichier carte_1.html sur le serveur prof.

Q18.

Que se passe-t-il ?

Q19. Que faut-il faire pour que l'accs ce fichier soit interdit indpendamment de son nom ? Modifiez la configuration en ce sens.

Q20.

Par dfaut, mod_security est il sensible aux attaques jouant sur le codage de l'URI ?

Supprimer la liste d'accs cre dans l'interface ethernet 1 ou ethernet 0.

15

6. Filtrage habituellement mis en place par les entreprises sur leur routeur d'accs Configurer le routeur conformment aux exigences en matire de filtrage exprimes cidessous. Elles correspondent un filtrage simplifi ralis par les entreprises sur leur routeur d'accs. Pour chaque nouvel lment de filtrage introduit, il sera demand aux tudiants d'crire les lignes de commandes rentres dans la configuration du routeur. Les tudiants pourront crer un fichier de filtrage contenant toutes les lignes de commandes ncessaires, puis l'envoyer sur le port console du routeur partir de la fentre hyperterminal (permettant la configuration du routeur) en slectionnant Transfrer>Envoyer le fichier texte. Voici le filtrage mettre en place : Seuls les messages icmp - echo, echo reply, host-unreachable, host-unknown, netunreachable, network-unknown, port-unreachable, precedence-unreachable, protocolunreachable et unreachable - transitent librement au travers du routeur. Tous les autres messages, comme alternate-address, host-redirect, host-tos-redirect, net-redirect, net-tosredirect et redirect doivent tre supprims au niveau du routeur, ceci pour empcher qu'une personne malintentionne ne modifie le routage des paquets IP dans le rseau. Veillez vous prmunir des attaques IP spoofing.

Q21.

Dcrire le ou les lment(s) ajout(s) dans la liste d'accs du routeur :

Supposons que l'entreprise veuille limiter ses communications un rseau distant particulier : un rseau (200.20.30/24) par exemple. Cela peut se produire si l'unique objectif de cette entreprise, en se connectant l'Internet, est de communiquer avec un rseau local d'entreprise distant. Les deux rseaux d'entreprise distants forment alors un rseau priv virtuel. Q22. Dcrire le ou les lment(s) ajout(s) dans la liste d'accs du routeur :

16

Le trafic ftp/http est galement trait par le proxy PC2. Analyser les possibilits offertes par le proxy pour filtrer le trafic ftp et http. A des fins de test, laccs au serveur Prof est autoris pour les services ftp/http. Tester le filtrage http depuis PC1 vers le serveur Prof en utilisant un navigateur et tester le filtrage ftp en accdant au serveur ftp de LOR depuis la page web principale de LOR (voir le lien la fin de la page principale de LOR - default.html). Q23. Dcrire le ou les lment(s) ajout(s) dans la liste d'accs du routeur :

N'oubliez pas que tout ce que l'entreprise n'autorise pas est par dfaut interdit. Ainsi la liste d'accs se termine toujours par une liste d'accs interdisant le transfert de tout autre type de paquets IP. Q24. Dcrire le ou les lment(s) ajout(s) dans la liste d'accs du routeur :

7. -

Remise en ordre N'oublier pas de rendre la disquette qui vous a t prte.

Supprimer la configuration proxy de votre navigateur Netscape (menu Preferences>Avances>Proxy, Connexion directe Internet ) ou Internet Explorer (menu Outils>Options Internet>Connexions>Paramtres rseaux, dcocher Utiliser un serveur proxy ). -> Restaurez la configuration du serveur apache partir du fichier de configuration (httpd.conf.old). Supprimer ensuite ce fichier. -> -> Se dconnecter des PC, les teindre. Eteindre le routeur.

17