Vous êtes sur la page 1sur 17

ADMINISTRATION DES SYSTEMES INFORMATIQUE

2013-2014
COMPTE RENDU N:4
( )
























Encadr par:
MME GHIZLANE ORHANOU
MR SAID ELHAJJI
Ralis par :
AADOU HOUSSINE
BELMADANI ABDELMOUJIB






ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
INTRODUCTION :


Chaque ordinateur connect internet (et d'une manire plus gnrale
n'importe quel rseau informatique) est susceptible d'tre victime d'une attaque
d'un un pirate informatique. La mthodologie gnralement employe par
le pirate informatique consiste scruter le rseau (en envoyant des paquets de
donnes de manire alatoire) la recherche d'une machine connecte, puis
chercher une faille de scurit afin de l'exploiter et d'accder aux donnes s'y
trouvant.
Alors et pour amliorer les aspects de scurit de notre systme
informatique, le firewall reste lun des meilleurs outils.Dans ce TP nous allons voir
comment le configurer pour arriver a ce quon cherche voir la scurisation de notre
systme.











ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
1. Objectif du TP :
Durant Ce TP nous allons installer un firewall sur une machine Linux en tant
quun intermdiaire entre deux rseaux diffrents pour prendre les mesures de
scurit ncessaire.
Les taches que nous allons effectuer se rsume comme suite :
- Configuration des paramtres rseaux des trois machines virtuelles local,
distant et firewall
- Ensemble de tests avec la configuration par dfaut du firewall, des
protocoles ICMP et FTP
- Configuration du Firewall Iptables.
- Tester les configurations effectues avec les protocoles ICMP et FTP.
2. Espace de travail :
Nous allons travailler avec 3 machines virtuelles, une sous Windows 7 et 2 autres
sous Linux.


Nous allons travailler avec 3 machines virtuelles :
Machine local linux eth0 ip 192.168.10.10 masque 255.255.255.0
Machine distant linux eth0 ip 10.21.0.21 masque 255.255.0.0
Firewall sous linux : - eth0 ip 192.168.10.1 masque 255.255.255.0

ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
- eth1 ip 10.21.0.1 masque 255.255.0.0


I. DEROULEMENT DU TP :
a) Configuration des trois machines :
1. Local Linux :
Nous allons attribuer cette machine ladresse suivante : 192.168.10.10

2. Distant Linux
Nous allons attribuer a cette machine ladresse suivante : 10.21.0.21

ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014

3. Firewall
Nous allons attribuer cette machine 2 adresses : eth0 192.168.10.1
eth1 10.21.0.1


ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014


4. Test 1 :
Maintenant et aprs la configuration des machines nous allons
essayer de pinger entre les diffrents interfaces pour voir si tout est
bien :
Au niveau de la machine local :





ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
On constate quon arrive a pinger sur linterface eth0 du firewall

Contrairement linterface eth0, linterface eth1 est injoignable !!
Au niveau de la machine a distant :

On constate quon arrive pinger sur linterface eth1 du firewall

Idem la premire tentative avec la machine locale, linterface eth0 est
injoignable !!
Problme :
Ces manipulations ont montr lexistence dune dfaillance au niveau de la
configuration de la machine Firewall, nous allons essayer de la rsoudre.




ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
5. Dfinition des passerelles par dfaut et lActivation du routage au
niveau de la machine Firewall :
Comme nous avons vu, laccs lautre rseau par le biais de la machine
Firewall ne fonctionne pas pour les deux sens. Pour rsoudre ce problme nous
allons tout dabord dfinir les passerelles par dfaut et activer le routage, cela ce
fait comme suite :
- Dfinition du Passerelle pour la machine Local

- Dfinition du passerelle pour la machine a distant


- Activation du routage au niveau de la machine Firewall

Rsultat :

ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
Nous allons tester maintenant :

La machine locale peut pinger sur tout les machines soit celle Firewall ou
bien la machine a distant


ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014

La machine a distant peut pinger sur tout les machines soit celle Firewall
ou bien la machine locale

Conclusion :
Nous avons arriv rsoudre le problme

b) Configuration du Firewall Firewall :
1. Test 2:
Nous allons afficher la configuration du firewall actuelle de la
machine Firewall grce a la commande Iptables, voila ce qui nous
donne :


ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014


Analyse :
Nous allons analyser les paramtres attribus aux chanes de filtrage :
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
On remarque que la politique par dfaut de ces chaines est ACCEPT.
2. Test 3 :

ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
ICMP :
Grace au Ping que nous avons dj effectu, on constate que la transition
des paquets ICMP est autorise par la configuration par dfaut du firewall.



Ftp :
On peut se connecter au service Ftp :



ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
Idem la premire remarque, le service Ftp est aussi autoris par la
configuration par dfaut du firewall.

3. Initialisation du Firewall :
a. Test 4 :

Pour initialiser le firewall il faut initialiser la table filter.
On initialise la table filter avec :#iptables t filter F On affiche ensuite la table
pour vrifier linitialisation.
Les paramtres par dfauts du Firewall attribue au chaine la dfinition
laffichage on remarque que toutes les chanes sont vides avec une rgle par
dfaut ACCEPT.

b. Test 5 :
Nous allons maintenant Dfinir la politique de base de notre machine Firewall
pour ne rien laisser entrer ou sortir cest--dire faire pointer les trois chanes vers
DROP et cela comme suite :
Pour cela nous allons utiliser les commandes suivantes :
#iptables t filter P INPUT DROP
#iptables t filter P OUTPUT DROP
#iptables t filter P FORWARD DROP




ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014

Voila le rsultat :



c. Test 6 :
On refait le test 3 pour voir les changements aprs la mise en place de la politique
par dfaut DROP.
ICMP :
De la machine distante vers la machine locale #ping 192.168.10.10
De la machine locale vers la machine distante #ping 10.21.0.21

ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
On constate que le Ping entre les deux machines ne marche pas
FTP :
On constate aussi que le service Ftp est suspendu



Donc et grce ces configurations nous avons russi de bloquer les paquets
entrant et sortant grce la rgle DROP.
Ce blocage est trs utile comme premire tape dune configuration du
Firewall. Maintenant nous allons autoriser seulement les choses dont on a besoin.

c) Autorisation de circulation des paquets :
Autorisation de lICMP :
Nous allons autoriser la machine local effectuer un Ping sur la
machine Distant .

#iptables -A FORWARD p icmp s 192.168.10.10 d 10.21.0.21 i eth0
o eth1 icmp-type echo-request j ACCEPT
#iptables -A FORWARD p icmp s 10.21.0.21 d 192.168.10.10 o eth0
i eth1 icmp-type echo-reply j ACCEPT


ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014


Autorisation du FTP :
Nous allons autoriser laccs FTP (port 20, 21) la machine distant :
#iptables -A FORWARD -p tcp --dport 20:21 -s 192.168.10.10/24 -i eth0 d
10.21.0.21/16 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
#iptables -A FORWARD -p tcp --sport 20:21 -s 10.21.0.21/16 i eth1-d
192.168.10.10/24 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT




ADMINISTRATION DES SYSTEMES INFORMATIQUE
2013-2014
CONCLUSION

Lusage du Firewall et la configuration du Firewall est essentiel pour la
securite informatique surtout quon il sagit dune connexion multilatral.
Filtrer et contrler les flux qui entre dun rseau local et un autre rseau non sr et
le travail du firewall par le biais du Netfilter qui utilise les tables pour dterminer
les paquets qui va laisser entrer et celles qui va bloquer.
Grce au trois chanes de la tables filter de Netfilter, nous aurons la possibilit de
spcifier les rgles qui protgent et scurisent notre rseau.