Vous êtes sur la page 1sur 3

TD pare-feu

Questions : Quest-ce quun pare-feu ? Quels sont ses rles et fonctions ?


- Entit matrielle ou logicielle qui permet de filtrer les entres indsirables
- Protger les environnements informatiques en les masquant, sparant, crant un
primtre de scurit
- Fonction de relais (proxy) et masquage
Un pare-feu est un outil de scurit ncessaire mais pas suffisant, pourquoi ?
- Il ne peut raliser lui seul lensemble des fonctions de scurit identifies dans une
politique de scurit
- Par exemple, il nassure ni la cryptographie ni la vrification dintgrit
- Permet de dfinir des zones dans lesquelles les accs sont contrls
- Peut tre un point important de vulnrabilit (pare-feu unique)
- Peut donner aux utilisateurs un faux sentiment de scurit
Dfinissez le concept de scurit primtrique (zone dmilitarise)
- Primtre de scurit dans lequel on isole les serveurs (web) ouverts au public
- Les serveurs privs ne sont pas visibles ou atteignables depuis internet

Exercice 2 : Pool d'adresse


Une entreprise pratique la translation d'adresse dynamique avec un spool de trois adresses IP
(193.49.96.60, 193.49.96.61 et 193.49.96.62). Quatre stations (A, B, C, D) souhaitent accder
au site web dont l'adresse IP est 128.178.50.93.
Les adresses internes des stations sont respectivement 192.168.10.1, 192.168.10.2,
192.168.10.3 et 192.168.10.4. Les quatre machines utilisent le port source 3001.
Complter la table de translation du pare-feu pendant la connexion (plusieurs solutions
possibles et correctes).

Source
192.168.10.1
192.168.10.2
192.168.10.3
192.168.10.4

Table de translation du pare-feu pendant la connexion


Interne
Externe
Port
Dest
port
Source
Port
Dest

port

Rponse : Exercice 37 page 52 ( pas pour les masters)


Il existe plusieurs rponses plausibles cette question selon la rgle d'attribution des adresses
de pool. On considre ici que le pare-feu effectuant le NAT distribue

EXERCICES D'ENTRAINEMENT
Ex 3 : Pare-feu
5.1 Proposer une architecture autour d'un pare-feu admettant:
- un rseau priv compos de deux machines, une faisant office de serveur DNS et une machine client
- une zone dmilitarise (DMZ) compose d'un serveur web et dns et d'un serveur de messagerie
- un accs un rseau externe
Un pare-feu du type du Netascq F50 utilis en TP, avec trois interfaces rseau pourra faire l'affaire.
5.2 Proposez un choix de numrotation pour les rseaux et les machines, y compris les interfaces du pare-feu
que l'on pourra appeler IN (interne), OUT (externe) et DMZ, sachant que l'on veut que les machines du rseau
interne ne soient pas visibles depuis l'internet.
On peut utiliser l'adresse publique 152.77.63.61
On pourra utiliser un rseau de type 10.1.0.0/16 ou /24 pour le rseau IN et un rseau de type 192.168.1.0/24 ou
172.16.6.0/24 (de toute manire avec des adresses prives) pour la DMZ.
5.3 Etablir des rgles de translation pour permettre aux machines du rseau interne de se connecter sur l'internet.
On pourra utiliser une syntaxe de la forme suivante:
'Source port translat'
Source: adresse IP de la machine source ou du rseau source
Port: port (numro (ex: 53) ou protocole (ex: udp) associ, on peut mettre 'aucun' ou 'tous', si ncessaire)
Translat: adresse IP de la machine qui effectue la translation (vue du rseau extrieur)
Ex:
- 10.3.0.0 http 192.54.10.7
- 172.16.6.0 tous 192.27.18.32
Il faut que les machines du rseau IN soient translates vers l'extrieur :
IN tous 152.77.63.61
De mme les machines de la DMZ devront tre translates vers l'extrieur
DMZ tous 152.77.63.61
5.4 Proposer des rgles de filtrage permettant de se protger le plus possible et de connecter les machines du
rseau priv sur l'internet pour faire des pings (protocole icmp), et avoir accs des serveurs http (protocole http,
sans distinction de sites). Prcisez clairement les choix que vous effectuez concernant les rgles de filtrage.
On fera notamment attention la stratgie mettre en place concernant les dns : le dns du rseau priv
interrogera le dns de la DMZ qui interrogera un dns extrieur l'adresse 193.58.231.94
On pourra utiliser une syntaxe de ce type:
'Protocole source destination service action'

Protocole: protocole concern (on pourra mettre 'tous' si ncessaire)


Source: adresse IP de la machine ou du rseau source
Destination: adresse IP de la machine ou du rseau destination (on pourra mettre 'tous' si ncessaire)
Service: numro de port (on pourra mettre 'tous' si ncessaire)
Action: 'passer' ou 'bloquer'
Ex:
- tcp 10.3.0.0 172.16.6.0 tous passer
- icmp 10.3.0.4 tous tous bloquer
Pour que le rseau priv puisse faire des pings:
-

icmp IN tous tous passer

Pour que le rseau priv puisse envoyer des requtes des serveurs http
-

http IN tous tous passer

On pourrait envisager le mme type de rgles pour la DMZ (cela n'tait pas explicit dans l'nonc). On a
restreint ici l'accs aux sites de type http (cela veut dire que l'accs des sites scuriss https n'est pas permis).
Pour permettre le transfert du trafic DNS :
- dns adresse_IP_serveur_DNS_interne adresse_IP_serveur_DNS_DMZ trafic_dns passer
- dns adresse_IP_serveur_DNS_DMZ 193.54.231.94 trafic_dns passer
5.5 Proposer des rgles de filtrage permettant des utilisateurs extrieurs d'avoir accs au serveur de
messagerie (port 143) ou au serveur web (port 80) + translations dadresse.