Vous êtes sur la page 1sur 6

1/6

TD : Scurit rseau avec Pare Feu, NAT et DMZ



1. Principes de fonctionnement de la scurit rseau
Historiquement, ni le rseau Internet, ni aucun des protocoles de la suite TCP/IP ntait
scuris. Louverture dInternet aux oprateurs commerciaux et aux fournisseurs daccs,
donc aux particuliers, a rapidement dbouch sur un foisonnement dattaques (chevaux de
Troie, vers, dni de service, etc). Plusieurs outils et protocoles sont alors apparus pour
combler cette lacune. On peut citer entre autres :
o Le pare feu qui filtre les paquets entrants et sortants selon le contenu des enttes des
paquets. Il est alors dit stateless. Si le pare feu surveille aussi ltat des connexions
pendant toute leur dure de vie il est alors dit stateful.
o Les versions scurises par cryptographie des protocoles existants (IPsec, SSH,
DNSSEC, etc).
o Les protocoles de scurit utilitaires annexes (Kerberos, ISAKMP, IKE, etc).
o Les bibliothques et protocoles de cryptographie (SSL, GPG, etc) permettant de
scuriser les protocoles applicatifs (HTTPS, POP3S, IMAPS, etc).
o Le Network Address Translation (NAT) qui permet dutiliser des adresses IP prives
non globalement routables et qui effectue la traduction de ces adresses prives vers
des adresses publiques globalement routables et vice-versa.
o La De-Militarized Zone (DMZ) qui permet de dfinir un rseau intermdiaire entre
lInternet et un rseau priv interne (intranet). Cette zone contient gnralement des
serveurs qui doivent tre accessibles depuis lextrieur.
Larchitecture de scurit pour le protocole IP est dfinie dans la RFC 2401 qui est
rcuprable ici http://www.ietf.org/rfc/rfc2401. Il y a en tout plus de quatre cent RFCs qui
traitent des mcanismes lis la scurit des protocoles de lInternet.

2. Mise en place
1. Ce TD utilise lmulateur systme Qemu avec le module dacclration matrielle KVM qui est
install sur les machines du CREMI. Pour activer KVM il faut taper la commande :
a. $ ksu $USER e /usr/bin/sudo /usr/sbin/service qemu-kvm start
2. Rcuprez limage debian1.qcow2.gz pour les htes clients et serveurs et limage
vyatta1.qcow2.gz pour les routeurs scuriss (incluant pare feu, NAT, VPN, etc) situes sur
/net/stockage/dmagoni et copiez les dans votre rpertoire ~/espaces/travail.
3. Rcuprez la documentation de Vyatta situe sur /net/stockage/dmagoni pour savoir
comment configurer les routeurs.
4. Les commandes Debian et Vyatta donnes ci-dessous sont complter correctement, grce
aux documents fournis avec les images et au Web.
5. Pour chaque machine virtuelle, son interface eth0 est connecte lInternet par SLIRP et elle
est configure par DHCP. Vous pouvez ainsi tlcharger des paquets logiciels en utilisant la
commande apt-get install.

3. Rseau intranet avec pare feu
Un rseau intranet simple est prsent sur la figure 1a. Le rseau intranet est un rseau local de type
Ethernet connect lInternet via un routeur daccs. Le rseau intranet est public, donc toutes les
machines ont des adresses IP publiques. Un pare feu stateless permet de filtrer les paquets entrants
et sortants.
2/6


Figure 1a. Rseau intranet avec pare feu et NAT.

Pour le TD vous allez mettre en place la topologie prsente dans la figure 1b ci-dessous et que lon
considrera quivalente celle de la figure 1a ci-dessus.



Figure 1b. Rseau 1a implment avec Qemu / Vyatta.

6. Crez la topologie ci-dessus en rcuprant et en lanant le script nat1.sh qui va dployer les
machines virtuelles et connecter les machines par des VLANs fournis par Qemu..
7. Choisissez des plages dadresses pour chaque sous-rseau. Etablir un plan dadressage prcisant
les adresses de toutes les interfaces. Vous pouvez utilisez le plan dadressage fourni sur la
figure 1b si vous le souhaitez. Configurez les interfaces des machines avec ifconfig.
Configurez les interfaces des routeurs avec set interfaces. Vrifier les connexions directes
par des ping.
8. Remplissez les tables de routage des machines de manire statique avec route. Remplissez les
tables de routage des routeurs de manire statique avec set protocols static. Vrifiez que
toutes les machines peuvent communiquer entre elles par des ping.
9. Configurez un serveur HTTP sur le serveur, un serveur Telnet sur la station distante et un
serveur SSH sur le routeur.
10. Lancez nmap depuis la station distante vers le serveur. Quobservez-vous ?
3/6
11. Lancez nmap depuis le serveur vers la station distante. Quobservez-vous ?
12. Configurez le pare feu dans le routeur avec les rgles suivantes :
a. Autorisez les connexions depuis lInternet vers le serveur pour le service HTTP.
b. Interdisez toutes les autres connexions entrantes.
c. Autorisez toutes les connexions sortantes.
d. Autorisez uniquement les connexions SSH sur le routeur.
13. Lancez nmap depuis la station distante sur le serveur. Quobservez-vous ?
14. Lancez nmap depuis le serveur vers la station distante. Quobservez-vous ?
15. Configurez NAT sur le routeur daccs (Vyatta).
16. Observez avec wireshark une connexion Telnet depuis le serveur vers la machine distante.
Quobservez-vous ?
17. A partir de quelle information le routeur identifie-t-il les connexions TCP (ou les flots UDP) de
faon retransmettre les paquets correspondants vers la bonne destination au sein du rseau
intranet ?
18. Montrez comment le NAT gre le trafic ICMP laide de ping et de wireshark.
19. Est-ce que le service Web est accessible ? Modifiez les rgles du NAT afin quil fonctionne
comme la question 8.

4. Rseau avec pare feu, NAT et bastion

Un rseau intranet avec bastion est prsent sur la figure 2a. Le rseau intranet est un rseau local
multipoint connect lInternet via un routeur daccs faisant pare feu et NAT. Un bastion est une
machine du rseau intranet qui doit tre accessible par LInternet. Cette machine est gnralement
un serveur qui hberge des services devant tre visibles de lextrieur tels que le courrier
lectronique, le site Web, etc. Elle est situ sur un sous rseau IP spcial nomm DMZ et qui est
diffrent du rseau intranet priv local. Elle est configure de manire trs scurise afin de ne pas
tre piratable facilement do le nom de bastion. Lorsquil ny a, comme ici, quun seul bastion,
celui-ci est gnralement connect directement sur le routeur et la DMZ nest pas un rseau local
multipoint. Le rseau intranet est dsormais priv, donc toutes les machines ont des adresses IP
prives. Un pare feu stateful permet de surveiller les connexions entrantes et sortantes.

Figure 2a. Rseau Intranet avec pare feu, NAT et bastion.
4/6

Pour le TD vous allez mettre en place la topologie prsente dans la figure 2b ci-dessous et que lon
considrera quivalente celle de la figure 2a ci-dessus.



Figure 1b. Rseau 2a implment avec Qemu / Vyatta.

20. A partir de votre rseau prcdent et en conservant sa configuration, rajoutez une machine
virtuelle qui reprsentera le bastion et placez la dans une DMZ.
21. Configurez un serveur FTP dans le bastion. Quelle est la diffrence entre le mode passif et le
mode actif ? Configurez le routeur pour que le service FTP soit filtr par un pare feu stateful.
22. Configurez un proxy HTTP dans le bastion. Observez le cheminement de deux requtes
identiques successives. Filtrez les requtes vers les sites commerciaux.

5. Rseau intranet avec double pare feux, NAT et DMZ

Un rseau intranet avec double pare feux est prsent sur la figure 3a. Le rseau intranet est un
rseau local priv connect un routeur interne faisant pare feu et NAT. Une DMZ contenant un ou
plusieurs bastions est connecte ce routeur interne ainsi qu un routeur externe faisant pare feu et
routeur daccs vers lInternet. Cette fois la DMZ est un sous rseau IP constitu sur un rseau local
multipoint de type Ethernet. Elle est protge par le routeur pare feu externe. Les deux pare feux
stateful permettent de surveiller les connexions entrantes et sortantes.
5/6


Figure 3a. Rseau intranet avec double pare feux, NAT et DMZ.

Pour le TD vous allez mettre en place la topologie prsente dans la figure 3b ci-dessous et que lon
considrera quivalente celle de la figure 3a ci-dessus.



Figure 1b. Rseau 3a implment avec Qemu / Vyatta.

23. On suppose maintenant que la station distante est une machine dun collaborateur nomade.
Configurez les machines afin de crer un tunnel IPsec entre la machine nomade et lintranet.
Observez le trafic avec wireshark entre le client et les serveurs sur les liens VLAN 1 et VLAN
2 et commentez-le.


6/6
6. Travail rendre
A la fin des sances de ce TD, vous rendrez un rapport de TD par binme, au format PDF, que vous
enverrez par e-mail votre charg de TD. Ce rapport contiendra les rponses aux questions poses
dans ce sujet en y incluant tous les justificatifs ncessaires :
Extraits pertinents des fichiers de configuration des machines et des listings des commandes
Debian GNU/Linux et Vyatta utilises pour rsoudre les questions.
Extraits pertinents des tables de routage des machines.
Extraits pertinents des captures de trames prises par wireshark ou tcpdump.
Sorties des commandes ping, traceroute, telnet, nmap.