Vous êtes sur la page 1sur 77

Rpublique Algrienne Dmocratique et Populaire

Universit Abou Bekr Belkaid- Tle mcen


Facult des Sciences
Dpartement dinformatique
Laboratoire de Recherche
Systme, Technologies de linformation et de la communication

Mmoire de fin dtudes

Pour lobtention du diplme dingnie ur dtat en informatique

Option : Systme dinformation avanc

Thme
Installation et configuration dun
firewall
Ralis par :

-Bendahmane Ahmed

Prsent le 28/09/2011 devant le jury compos de MM.

- Mme Iles Nawel (Prsident)


- Mme DIDI Fedoua (Encadreur)
- Mr Benmammar Badr Eddine (Examinateur)
- Mr Benamar Abdelkrim (Examinateur)

Anne universitaire : 2010/2011


Ddicace
Je didi ce modeste travail :
Mes chers parents Pour tous les sacrifices quils ont consentis
pour que je russisse.
Je le ddi galement :
Mes surs.
Mes oncles et tantes.
Mes amis.
Ma copine
En un mot touts les gens qui contribu ma russite de prs ou
de loin.
Je remercie galement tous mes professeurs de la 1re anne
primaire jusqu la cinquime anne universitaire.

2
Table des matires
Introduction ................................................................................................................................ 5
CHAPITRE I Gnralits sur les rseaux et la scurit ...................................................... 6
I. Les rseaux informatiques ............................................................................................... 6
II. Similitudes entre types de rseaux :............................................................................. 6
III. Les diffrents types de rseaux :.................................................................................. 6
IV. Le modle OSI : ........................................................................................................... 7
V. Le modle TCP/IP : ..................................................................................................... 8
VI. Scurit et attaques .................................................................................................... 10
1. Qu'est-ce que la scurit d'un rseau ? ................................................................... 10
2. Les causes de l'inscurit : ..................................................................................... 10
3. Type dattaque :...................................................................................................... 11
VII. Techniques de Hacking.............................................................................................. 11
1. Lingnierie sociale & lirresponsabilit :.............................................................. 11
2. Le Denial-of-Service (DoS): .................................................................................. 12
3. LIP Spoofing: ........................................................................................................ 12
4. Les Backdoors : ...................................................................................................... 14
5. Remote Buffer Overflow Exploits ......................................................................... 15
VIII. Mthodes de dfense .............................................................................................. 16
1. Cryptographie :....................................................................................................... 17
2. Le rseau priv virtuel (VPN) ................................................................................ 21
3. Firewall (pare feu) : ................................................................................................ 23
4. DMZ (zone dmilitarise) : .................................................................................... 24
5. NAT Network Address Translation : ............................................................... 25
IX. But de la scurit ....................................................................................................... 27
X. Conclusion ................................................................................................................. 28
CHAPITE II : Gnralits sur les firewalls ..................................................................... 29
I. Dfinition....................................................................................................................... 29
II. Le fonctionnement d'un systme pare- feu ................................................................. 29
III. Principes du filtrage : ................................................................................................. 29
1. Le filtrage de paquets IP : ...................................................................................... 30
2. Le filtrage en couches 5 7 : les serveurs mandataires : ....................................... 31
3. Le filtrage dynamique et adaptatif ......................................................................... 33
IV. Les autres fonctionnalits .......................................................................................... 34
3
V. Les diffrents types de firewall.................................................................................. 35
1. Les firewalls bridge ................................................................................................ 35
2. Les firewalls matriel ............................................................................................. 35
3. Les firewalls logiciels............................................................................................. 36
4. Les firewalls plus srieux ................................................................................. 36
VI. Les ractions des firewalls aux attaques classiques................................................... 37
VII. Intrts et limites du pare-feu .................................................................................... 38
Conclusion ............................................................................................................................ 39
CHAPITRE III : Installation et configuration dun firewall ................................................... 40
I. Introduction ................................................................................................................... 40
II. Etude comparative ..................................................................................................... 40
III. Comparatif des diffrents solutions ........................................................................... 41
IV. Solution choisie ......................................................................................................... 42
V. Prsentation de SmoothWall..................................................................................... 42
VI. Architectures possibles avec Smoothwall Express .................................................... 43
VII. Les messages et les conventions ................................................................................ 45
VIII. Installation et configuration de Smoothwall express: ............................................ 46
IX. Filtrage rseau et pare-feu avec Netfilter et iptables ................................................. 49
1. Gnralits.............................................................................................................. 49
2. Quelque exemple de rgle : .................................................................................... 56
3. Gnration de script firewall .................................................................................. 59
4. configuration de Smoothwall. ..................................................................................... 59
5. Appliquer les modifications ................................................................................... 59
Conclusion ............................................................................................................................ 67
Conclusion Gnrale ................................................................................................................ 68

4
Introduction

Le rseau local est le cur de la majeure partie de lactivit informatique.


Cette considration justifie elle seule daccorder une attention particulire la scurisation
des rseaux locaux, des intranets.
Par ailleurs, il est gnralement estim que la majorit des malveillances informatiques ont
une origine ou complicit interne aux organismes (la malveillance constituant dj la
catgorie la plus significative des pertes par rapport aux deux autres : accidents et erreurs).
Devant cette spcificit il est donc essentiel dexaminer dans une optique scuritaire
linfrastructure du rseau local ds sa conception.
Il est ais dchafauder sur le papier des configurations de systmes dinformation,
comprenant leurs rseaux et multiples branches, scuriss avec les techniques les plus
sophistiques en matire de firewalls et de contrles daccs, mais il est frquent quun
audit srieux rvle encore de nombreuses insuffisances, notamment sur le plan physique
(accs aux quipements, continuit de fonctionnement).
Ce sont prcisment des situations de ce type quil est ncessaire de prendre en compte dans
une conception de rseau local scuris.
Cette conception sinscrit dans le cadre de la mise en uvre dune politique de scurit
globale.
Dans ce PFE, on a essay de maitriser tous les aspects ayant trait linstallation et surtout la
configuration dun firewall dans nimporte quel topologie de rseau scuriser.

5
CHAPITRE I Gnralits sur les rseaux et la scurit

I. Les rseaux informatiques


Le terme gnrique rseau dfinit un ensemble d'entits (objets, personnes, etc.)
interconnectes les unes avec les autres. Un rseau permet ainsi de faire circuler des lments
matriels ou immatriels entre chacune de ces entits selon des rgles bien dfinies.
Rseau informatique: ensemble d'ordinateurs relis entre eux grce des lignes physiques et
changeant des informations sous forme de donnes numriques.
Un ordinateur est une machine permettant de manipuler des donnes. L'homme, en tant
qu'tre communiquant, a rapidement compris l'intrt qu'il pouvait y avoir relier ces
ordinateurs entre eux afin de pouvoir changer des informations.
Un rseau informatique peut servir plusieurs buts distincts :
Le partage de ressources (fichiers, applications ou matriels, connexion internet,
etc).
La communication entre personnes (courrier lectronique, disc ussion en direct, etc).
La communication entre processus (entre des ordinateurs industriels par exemple).
La garantie de l'unicit et de l'universalit de l'accs l'information (bases de donnes
en rseau).

II. Similitudes entre types de rseaux :


Les diffrents types de rseaux ont gnralement les points suivants en commun :
a) Serveurs : ordinateurs qui fournissent des ressources partages aux utilisateurs par un
serveur de rseau.
b) Clients : ordinateurs qui accdent aux ressources partages fournies par un serveur de
rseau.
c) Support de connexion : conditionne la faon dont les ordinateurs sont relis entre eux.
d) Donnes partages : fichiers accessibles sur les serveurs du rseau
Imprimantes et autres priphriques partags : fichiers, imprimantes ou autres
lments utiliss par les usagers du rseau.
e) Ressources diverses : autres ressources fournies par le serveur.

III. Les diffrents types de rseaux :


On distingue diffrents types de rseaux selon leur taille (en termes de nombre de machines),
leur vitesse de transfert des donnes ainsi que leur tendue.
On fait gnralement trois catgories de rseaux :
LAN signifie local area network (en franais Rseau Local). Il s'agit d'un ensemble
d'ordinateurs appartenant une mme organisation et relis entre eux dans une petite aire
gographique par un rseau, souvent l'aide d'une mme technologie (la plus rpandue tant
Ethernet).
MAN (Metropolitan Area Network) interconnectent plusieurs LAN gographiquement
proches (au maximum quelques dizaines de km) des dbits importants. Ainsi un MAN

6
permet deux nuds distants de communiquer comme si ils faisaient partie d'un mme rseau
local.

WAN (Wide Area Network ou rseau tendu) interconnecte plusieurs LANs travers de
grandes distances gographiques.

Figure I.1 : Exemple des trois types de rseaux

IV. Le modle OSI :


OSI (Open System Interconnexion) dfini en 1977 rgit la communication entre 2 systmes
informatiques. A chaque niveau, les deux systmes doivent communiquer "compatibles".
En matriel rseau, nous n'utilisons que les niveaux infrieurs, jusqu'au niveau 3. Ces niveaux
sont galement appels couches .
L'OSI est un modle de base normalis par l'International Standard Organisation (ISO).
Il est compos de 7 couches :
Couche 7 application : gre le format des donnes entre logiciels.
Couche 6 prsentation : met les donnes en forme, ventuellement de l'encryptage et de la
compression, par exemple mise en forme des textes, images et vido.
Couche 5 session : gre l'tablissement, la gestion et coordination des communications.
Couche 4 transport : s'occupe de la gestion des erreurs, notamment avec les protocoles
UDP et TCP/IP.
Couche 3 rseau : slectionne les routes de transport (routage) et s'occupe du traitement et
du transfert des messages: gre par exemple les protocoles IP (adresse et le masque de so us-
rseau) et ICMP. Utilis par les routeurs et les Switchs manageables.
Couche 2 liaison de donnes : utilise les adresses MAC. Le message Ethernet ce stade
est la trame, il est constitu d'un en-tte et des informations. L'en-tte reprend l'adresse MAC
de dpart, celle d'arrive + une indication du protocole suprieur.
Couche 1 physique : gre les connexions matrielles et la transmission, dfinit la faon
dont les donnes sont converties en signaux numriques: a peut-tre un cble coaxial, paires
sur RJ45, onde radio, fibre optique, ...

7
A chacun de ces niveaux du modle OSI, on encapsule un en-tte et une fin de trame
(message) qui comporte les informations ncessaires en suivant les rgles dfinies par le
protocole rseau employ. Le protocole est le langage de communication (la mise en forme)
utilis pour le transfert des donnes (actuellement TCP/IP mais d'autres ont t utiliss
comme NetBeui (antrieur Windows 98), Novell IPX, ...).
Couche Application 7 Couche Application
Couche
Application 6 Couche Prsentation
Prsentation
Couche Session 5 Couche Session
Couche Transport 4 Couche Transport
Couche Rseau Couche Rseau
3 Paquet
(Network) (Network)
Transport
Couche liaison de Couche liaison de
des donnes 2 Trames
donnes (Data Link) donnes (Data Link)
Couche Physique
Physique (Physical) 1 BIT
(Physical)
Tableau I.1 Support de communication

V. Le modle TCP/IP :
Le modle TCP/IP s'inspire du modle OSI auquel il reprend l'approche modulaire mais rduit
le nombre quatre. Les trois couches suprieures du modle OSI sont souvent utilises par
une mme application. Ce n'est pas le cas du modle TCP/IP. C'est actuellement le modle
thorique le plus utilis.
Protocoles utiliss Modle TCP/IP correspondance en OSI
Application
SMTP, POP, TELNET, FTP Couche application Prsentation
Session
TCP / UDP, gestion des
Couche Transport Transport
erreurs
IP / ARP et RARP /ICMP /
Couche Internet Rseau
IGMP
Liaison de donne
Couche Accs rseau
Physique
Tableau I.2 Correspondance de modle TCP /IP et OSI

De nouveau, on ajoute chaque niveau un en-tte, les dnominations des paquets de donnes
changent chaque fois:
Le paquet de donnes est appel message au niveau de la couche application

8
Le message est ensuite encapsul sous forme de segment dans la couche transport. Le
message est donc dcoup en morceau avant envoi pour respecter une taille maximum suivant
le MTU.
Le segment une fois encapsul dans la couche Internet prend le nom de datagramme
Enfin, on parle de trame envoye sur le rseau au niveau de la couche accs rseau
Les couches du modle TCP/IP sont plus gnrales que celles du modle OSI.
a. Couche application :
La Couche Application reprend les applications standards en rseau informatique et Internet:
SMTP: "Simple Mail Transport Protocol" gre le transfert de mails entre serveurs (pour
renseignements supplmentaires, voire Exchange et IIS dans le cours YBET sur les systmes
d'exploitation)
POP: gre le transfert des mails entre un serveur de messagerie et un ordinateur client
TELNET: connexion sur une machine distante (serveur) en tant qu'utilisateur
FTP (File Transfert Protocol), transfert des fichiers via Internet et beaucoup d'autres.
b. Couche transport :
La Couche transport : permet le transfert des donnes et les contrles qui permettent de
vrifier l'tat de la transmission.
Les protocoles des couches suivantes permettent d'envoyer des donnes issues de la couche
application. On ne dfinit pas rellement les logiciels qui communiquent, mais des numros
de ports associs au type d'application (numro variant de 0 65535, 2 16 ). Par exemple, la
navigation Internet utilise le port TCP 80, l'https, le 443, le FTP utilise le 21, ...
La couche transport gre 2 protocoles de transport des informations, indpendamment du type
de rseau utilis:
TCP est orient connexion (il vrifie la bonne transmission de donnes par des signaux
d'accuss de rception -acknowledge - du destinataire), il assure ainsi le contrle des donnes
UDP, archaque et non orient connexion, n'assure aucun contrle de transmission des
donnes, par exemple utilis en streaming.
Ces 2 types (orient connexion ou pas) sont une notion utilise pour les firewalls. Si vous
fermez un port en TCP, l'envoi d'un message ne renvoie pas de signal de retour
(acknowledge), faisant croire que l'adresse IP est libre, non utilise. En UDP au contraire, un
port ferm ne renvoit pas d'informations, faisant croire une adresse IP utilise. Le protocole
UDP renvoie uniquement un message si le port est en erreur (ne rpond pas)
c. Couche INTERNET :
La couche INTERNET est charge de fournir le paquet des donnes. Elle dfinit les
datagrammes et gre la dcomposition / recomposition des segments.
La couche Internet utilise 5 protocoles, seuls les 3 premiers sont importants):
Le protocole IP: gre les destinations des messages, adresse du destinataire
Le protocole ARP (Adresse Resolution Protocol): gre les adresses des cartes rseaux et la
correspondance avec l'adresse IP. Chaque carte a sa propre adresse MAC d'identification
code sur 48 bits.
Le protocole ICMP (Internet Control Message Protocol) : gre les informations relatives
aux erreurs de transmission. ICMP ne les corrige pas, il signale uniquement que le message
contient des erreurs, utilis par exemple par la commande ping.

9
Le protocole RARP (Reverse Address Resolution Protocol) : gre l'adresse IP pour les
quipements rseaux qui ne peuvent en rcuprer une automatiquement par lecture
d'information dans un fichier de configuration ou via un serveur DHCP. Lorsqu'un
quipement rseau dmarre, le gestionnaire rseau lit l'adresse IP utiliser, ce qui est
impossible pour certains quipements qui ne possdent pas de disques durs (principalement
les terminaux)
Le protocole IGMP (Internet Group Management Protocol) : permet d'envoyer le mme
message des ordinateurs qui font partie d'un groupe. Il permet aussi ces machines de
s'abonner et se dsabonner d'un groupe. La principale application HARDWARE de l'IGMP se
retrouve dans les SWITCH manageables. Ce protocole permet de regrouper des stations.
d. Couche Accs rseau :
La couche Accs rseau spcifie la forme sous laquelle les donnes doivent tre transmises.
Elle prend en charge les notions suivantes:
Type de rseaux (Ethernet, Token Ring, ...), y compris les cartes rseaux.
Transfert des donnes.
Synchronisation de la transmission de donnes.
Mise en forme (format) des donnes.
Conversion analogique/numrique pour les modems tlphoniques.
Contrle des erreurs.

VI. Scurit et attaques


1. Qu'est-ce que la scurit d'un rseau ?
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau
fonctionnent de faon optimale et que les utilisateurs desdites machines possdent uniquement
les droits qui leur ont t octroys.
Il peut s'agir :
Dempcher des personnes non autorises d'agir sur le systme de faon malveillante
Dempcher les utilisateurs d'effectuer des oprations involontaires capables de nuire
au systme
De scuriser les donnes en prvoyant les pannes
De garantir la non- interruption d'un service, etc.

2. Les causes de l'inscurit :


On distingue gnralement deux types dinscurit :
Ltat actif d'inscurit c'est--dire la non-connaissance par l'utilisateur des fonctionnalits
du systme, dont certaines pouvant lui tre nuisibles (par exemp le la non-dsactivation de
services rseaux non ncessaires l'utilisateur)
Ltat passif d'inscurit c'est--dire lorsque l'administrateur (ou l'utilisateur) d'un systme
ne connat pas les dispositifs de scurit dont il dispose

10
3. Type dattaque :
Nombreuses ont t et sont encore les attaques informatiques. Nous en donnons un bref
aperu, tries par cible d'attaque :
a) Hardware : le hardware est un point d'attaque facile car il est visible. La liste des
attaques humaines est sans fin, que ces dernires soient involontaires ("oops, mon coca
sur le clavier") ou volontaires (vengeance).
b) Software : le software peut tre dtruit, modifi, effac, dplac. Le rsultat est
identique dans chaque cas, on perd l'accs au programme voulu. La modification est
sans doute la pire des attaques car elle peut causer de dangereux troubles ultrieurs.
Les bombes logiques, les chevaux des Troie, les virus sont diffrentes techniques de
modification ayant chacune leurs propres spcificits.
c) Donnes : la confidentialit des donnes peut tre mise en dfaut par "mise sur
coute", par simple requte, en droutant les appareils de sortie de donnes ... La
modification des donnes est en gnral plus complique mettre en uvre car elle
ncessite un plus grande connaissance technologique.
d) Rseau : les rseaux ajoutent l'ensemble de la scurit le problme de la
communication. L'utilisation de moyens de transports partags et les accs longue
distance sont deux points cruciaux dont il faut tenir compte.
e) Accs : l'utilisation abusive d'un accs peut dcouler sur des pertes de performances,
des pertes commerciales, mais aussi des pertes de donnes.
f) Personnel : n'oublions pas que l'humain reste un des points faibles en scurit. D'un
simple mainteneur qui tombe malade l'employ qui touche une somme pour fournir
un mot de passe, les causes d'infractions lies au personnel sont nombreuses.

VII. Techniques de Hacking

1. Lingnierie sociale & lirresponsabilit :


Lorsque quelquun dsire pntrer dans un systme informatique, sa premire arme est le
Bluff. Il ny a gnralement pas dattaques russies sans relations humaines. On appelle
ceci lingnierie sociale (social engineering), elle est base sur quatre grands principes:
a) Le contexte : en ayant une bonne connaissance de lorganigramme de lentreprise cela
permet lagresseur davoir dores et dj un pied dans lentreprise. Le but en gnral
est de connatre quelles sont les personnes qui sont en droit de demander telles ou
telles informations, et galement qui les demander, dans le but de se faire
ultrieurement passer pour elles. . .
b) Laudace ou le bluff : Lart de la parole et laudace sont deux qualits indispensables
lorsque lon veut utiliser le social engineering. II sagit ici davoir suffisamment
dappoint et de connaissances techniques afin de faire croire linterlocuteur quil a
affaire un responsable technique de lentreprise (ou dun fournisseur de service).
Tout ceci afin quil lui transmette les informations demandes sans aucun problme.
c) La chance : la chance est galement une part importante dans le social engineering,
cela ne marche pas chaque fois ! Il faut de la pratique afin de bien matriser le
squencement du dialogue tablir.

11
d) La patience calcule : il faut de plus savoir se montrer patient afin dobtenir les
informations dsires. Malgr tout, la mthode du social engineering demande une
certaine rapidit pour obtenir les informations voulues, pass ce dlai, il est prfrable
de changer dentreprise ou dattendre quelques jours afin de ne pas veiller les
soupons. En gnral, les personnes ne sont pas formes la notion de scurit
informatique ce qui entrane des situations qui auraient pu tre vites.
2. Le Denial-of-Service (DoS):
Les attaques de type Denial-of-Service ont pour but de saturer un routeur ou un serveur afin
de le crasher ou en prambule dune attaque massive. Ces types dattaque sont trs faciles
mettre en place et trs difficile empcher. Mais quelles sont les raisons qui peuvent pousser
un attaquant utiliser les DoS en sachant que cela peut mener la destruction du routeur ou
du serveur vis :
a) Rcuprer un accs : une attaque de type Denial-of-Service fait, la plupart du temps,
partie dune attaque visant ` obtenir le contrle dune machine ou dun rseau. Par
exemple lattaque de type SYN Flood, tr`es rpandue, est souvent utilise de paire
avec une tentative de Spoofing.
b) Masquer les traces : ce type dattaque permet galement de crasher une station qui
par exemple aurait peut contenir des traces du passage dun Hacker. En dtruisant
cette station, il sassure ainsi une certaine prennit.
c) Se venger : tr`es frquemment, ces attaques sont utilises afin dassouvir une
vengeance personnelle contre une personne, un administrateur ou bien encore une
entreprise. . . . . .
Voici quelques exemples de programmes disponibles sur Internet permettant de raliser ce
genre dattaque:
o Ping O Death.
o Land Blat.
o Jolt.
o Tear Drop SynDrop.

3. LIP Spoofing:
Le Spoofing est une technique permettant de sinfiltrer dans un ordinateur en se faisant passer
pour un hte de confiance (Trusted Host).
Avant de rentrer dans des dtails plus techniques, voici un bref rsum du fonctionnement de
cette technique: une station se fait passer pour une autre en envoyant un paquet dont ladresse
IP est autorise par le serveur vis. La source IP envoye trompe donc la cible qui accorde
laccs en pensant avoir affaire une machine de confiance. Il existe diffrents types de
Spoofing, nous naborderons ici que les notions dIP Spoofing, celles ayant traits aux DNS
Spoofing, Web Spoofing, . . . ne sont pas exposes.
Non Blind Spoofing (NBS) :
Dans ce contexte, lutilisation de la technique du Spoofing a pour but dinterfrer avec une
connexion dont les paquets traversent un sous-rseau dont le Hacker a accs. Il peut donc
aisment capturer et analyser les paquets qui sont changs. En gnral, cette technique est
utilise lorsquil sagit dinteragir entre deux machines du mme sous-rseau ou alors il faut
avoir un accs sur un routeur important (transatlantique par exemple) - la place rve pour un

12
Hacker. Comme les paquets doivent imprativement traverser le sous-rseau, il est trs facile
de rcuprer les paquets et dobtenir les numros de squence (SEQ) et dacknowledgment
(ACK).
Ce type de Spoofing est principalement utilis pour les trois attaques suivantes:
o SYN Flooding.
o Connexion Killing.
o Connexion Hijacking.

I.2 Configuration ncessaire pour le Non Blind Spoofing

Lordinateur A va demander une connexion sur lordinateur C alors que lordinateur B


espionne le trafic sur le rseau local. Il est donc possible pour lordinateur B dinterrompre
la relation entre A et C puis de se faire passer pour lordinateur A car il a accs aux
numros de squence (SEQ) et dacknowledgment (ACK).

a. Blind Spoofing (BS) :


La technique du Blind Spoofing (aveugle) ncessite une tout autre configuration que pour le
Non Blind Spoofing. Lavantage est quelle ne require pas que lattaquant (Hacker Server)
soit capable de capturer les paquets mis par la station cible (Target Host).
Cest pourquoi cette technique est appele aveugle. Lattaquant doit donc pouvoir prdire
les paquets qui seront envoys par la station quil dsire attaquer. Afin dutiliser le Blind
Spoofing, il est ncessaire de connatre les adresses IP de quatre stations:
La cible vise (Target Host).
Une machine de confiance pour la cible vise (Trusted Host).
Une adresse de station non accessible sur le rseau (unreachable).
Un attaquant. . . (Hacker Server).
Lutilisation de cette technique est base sur le principe de la relation de confiance quil est
possible dinstaurer entre deux machines laide par exemple des systmes utilisant les
fichiers /etc/hosts.equiv ou les fichiers ~/.rhosts. En utilisant ces mcanismes,
lauthentification se fera uniquement par vrification de ladresse IP de la station qui demande
la connexion (pas de vrification didentit laide dun mot de passe par exemple). Dans ce
contexte, le Spoofing peut savrer intressant . . . . Lattaque proprement parler va se
drouler en cinq tapes bien distinctes:
Choix de la station cible (Target Host) selon des critres personnels: dfis technique,
vengeance,. . .
Recherche et dcouverte dune station de confiance (Trusted Host) (showmount, rpcinfo).
Elimination de la station de confiance et sampling des numros de squence TCP.

13
Tentative de forcage de paquets IP en tant que station de confiance et connexion sur la
machine cible.
Mise en place dune Backdoor.
Le principe de fonctionnement est relativement simple, la station attaquante (Hacker Server)
va tenter de se faire passer pour une station de confiance (Trusted Host) aux yeux de la
station cible (Target Host). Il sagit, une fois que la station de confiance a t trouv, de
rendre inaccessible (unreachable) cette dernire ( laide dun DoS par exemple) afin quelle
ne puisse par interfrer avec la tentative dattaque. Ensuite, il est ncessaire dtablir une
premire connexion avec la station cible afin de se faire une ide prcise de ltat actuel des
numros de squence (SEQ) et dacquittement. Pour cela, une simple connexion sur un port
TCP quelconque (SMTP par exemple), juste avant de lancer une attaque, permettra dobtenir
le numro de squence initial fournit par la station cible (il sera judicieux deffectuer cela
plusieurs fois afin galement dobtenir un RTT (Round Trip Time) moyen). A partir de la, il
est possible de tenter de forcer un paquet IP (le plus rapidement possible) destination de la
station cible en se faisant passer pour la station de confiance. Le problme tant que
lattaquant ne voit pas les paquets qui vont tre mis par la station cible, il faudra donc quil
arrive les prdire afin de ragir en consquence.

4. Les Backdoors :
Depuis que les intrusions informatiques existent, leurs adeptes ont mis au point un certain
nombre de techniques leur facilitant laccs aux systmes pntrs. La technique la plus
connue, et sans doute la plus utilise, est celle des Backdoors (portes drobes ou portes de
service). Elles permettent, celui qui en connait lexistence et le fonctionnement, de revenir
sur un systme de faon dtourne, cest--dire sans passer par les mthodes
dauthentification habituelles.
En rgle gnrale, les Backdoors permettent diffrents types dactions sur le systme ou elles
sont installes:
se reconnecter sur la machine mme aprs un changement de mots de passe ou
dajouts de systmes de scurit.
rendre invisible les connexions et les actions ralises.
faciliter laccs la station sans avoir utiliser des trous de scurit existants (security
holes).
dranger le travail des utilisateurs par lenvoie de messages, la modification de
fichiers, laffichage dimages, la lecture de fichiers son. . .
excuter certaines commandes bien cibles permettant davoir une vision de ltat de
la station (processus, connexions rseau, utilisateurs. . .) ou de modifier le contenu de
certains fichiers de configuration (mots de passe, rseau,. . .).
Il existe diffrents types de Backdoors, certaines nont une utilit quune fois laccs la
station accord, dautres permettent par exemple de contourner les diffrents types de
Firewalls.
Voici quelques exemples de Backdoors frquemment trouves sur les systmes UNIX:
Password Cracking, Rhosts + +, Login.

14
5. Remote Buffer Ove rflow Exploits
La fonction principale dun processeur est de traiter et de dplacer des donnes. Lors de ces
traitements, le processeur a besoin dun emplacement afin de sauvegarder rapidement les
donnes traites. La taille des registres ne permet pas ceux-ci de jouer ce rle. Ces
informations sont donc sauves, laide de commandes spcifiques et plus rapides, dans une
zone mmoire appele pile. Elle est stocke en mmoire une adresse spcifique (qui peut-
tre change) et de taille variable.

a. Structure de la pile :
Voil, brivement, comment fonctionne le processeur ce niveau: si le registre N est utilis et
quune sous-procdure est excute et quelle require lutilisation de ce mme registre (N),
le processeur doit sauver le contenu de ce registre dans la pile afin de pouvoir le restaurer
aprs la terminaison de la sous-procdure. Pour cela, le processeur doit connatre ladresse de
retour lorsque la sous-procdure se termine. Cette adresse est donc galement sauve dans la
pile avant son excution. Lorsque la sous-procdure se terminera le processeur sautera
(jump) ladresse de retour prcdemment stocke dans la pile. La pile a une seconde utilit,
celle de stocker en mmoire les nouvelles donnes cres ou reues par le programme.
NB: La gestion des entres/sorties dans la pile utilise la mthode du LIFO (Last In - First Out)

Figure I.3 Exe mple de pile contenant deux tableaux, le pointeur de pile (SP) et ladresse
de retour.

b. Abuser ladresse de retour :


Lors de lexcution de la procdure le processeur sauve ladresse de retour dans la pile,
lorsque la procdure se terminera le processeur retournera ladresse spcifie et continuera
son travail...
Si (par hasard !) une procdure crivait plus doctets (bytes) dans une variable locale afin que
la taille ncessaire son stockage dans la pile dpasse celle de ladresse de retour, on
appellerait ceci un Buffer Overflow. En reprenant la structure de pile prcdente et en
inscrivant 1032 fois le caractre X dans le tableau local array2, la procdure va alors
dpasser sa propre adresse de retour.

15
Figure I.4 Exe mple de Buffe r Overflow en saturant le tableau array2 ainsi que le
Stack Pointer et ladresse de retour de sous-procdure.

VIII. Mthodes de dfense


Le but de la scurit informatique est de prserver la confidentialit, l'intgrit et la
disponibilit des donnes du rseau. Certaines mthodes de dfense permettent de prvenir les
attaques, d'autres, moins efficaces, ne font qu'une dtection ultrieure.
a. Le cryptage : en transformant les donnes afin qu'elles deviennent incomprhensibles
pour un observateur extrieur, on peut se protger des interceptions et modifications.
En plus de la confidentialit, le cryptage permet donc d'atteindre un certain seuil
d'intgrit en tenant compte du fait que des donnes qui n'ont pas de signification la
lecture peuvent difficilement tre modifies de manire sense. Le cryptage est un des
outils les plus importants de la scurit informatique mais il ne rsout pas non plus
tous les problmes de scurit. De plus, il est important de noter qu'un cryptage mal
utilis peut donner un sentiment de scurit alors qu'il n'en n'est rien.
b. Contrle software : les programmes se doivent d'tre scuriss afin d'exclure les
tentatives d'attaques extrieures. Que ce soit rflchi durant la phase de
dveloppement, implment par le systme d'exploitation ou partie restrictive du
programme, le contrle software touche l'utilisateur assez directement ce qui en fait un
des premiers sujets venant l'esprit.
c. Contrle hardware : il existe de nombreux appareils assistant la scurit. Citons des
cartes d'implmentation de cryptage, des vrificateurs d'identit, des contrleurs
d'accs disque, ...
d. Politique : les lois en matire de crime informatique sont aujourd'hui encore assez
floues, lentes se dvelopper. La communaut informatique n'a pas encore vraiment
adopt de standards en matire de comportement thique. Malgr que certaines
organisations poussent de tels dveloppements, ils ne sont encore qu' leurs
balbutiements.

16
e. Contrle physique : sans doute le contrle le plus vident. Il comprend le verrouillage
de porte, gardes, backups, planning prvu en cas de catastrophes naturelles. N'oublions
pas que les techniques les plus simples sont souvent les meilleures.
f. Bonne pratique : les rseaux informatiques fournissent aux utilisateurs une norme
libert. Aussi, le public se doit bien souvent encore de comprendre lui- mme quels
sont les comportements inappropris en matire de rseau.

1. Cryptographie :
a. Chiffrement et dchiffrement :
Les donnes qui peuvent tre lues et comprises sans mesures spciales sont appeles texte
clair (ou libell). Le procd qui consiste dissimuler du texte clair de faon cacher sa
substance est appele chiffrement [dans le langage courant on parle plut t de cryptage et de
ses drivs: crypter, dcrypter]. Chiffrer du texte clair produit un charabia illisible appel
texte chiffr (ou cryptogramme). Nous utilisons le chiffrement pour garantir que linformation
est cache qui elle nest pas destine, mme ceux qui peuvent lire les donnes chiffres. Le
processus de retour du texte chiffr son texte clair originel est appel dchiffrement.

Figure I.5 Chiffre ment et dchiffrement

b. Dfinition de la cryptographie?
La cryptographie est la science qui utilise les mathmatiques pour chiffrer et dchiffrer des
donnes. La cryptographie vous permet de stocker des informations sensibles ou de les
transmettre travers des rseaux non srs (comme Internet) de telle sorte quelles ne puissent
tre lues par personne lexception du destinataire convenu.
Alors que la cryptographie est la science de la scurisation des donnes, la cryptanalyse est la
science de lanalyse et du cassage des communications scurises. La cryptanalyse classique
mle une intressante combinaison de raisonnement analytique, dapplication doutils
mathmatiques, de dcouverte de redondances, de patience, de dtermination, et de chance.
Les cryptanalyses sont aussi appels attaquants.
La cryptologie embrasse la fois la cryptographie et la cryptanalyse.

17
c. La fonctionnalit de la cryptographie :
Un algorithme cryptographique, ou chiffre, est une fonction mathmatique utilise dans le
processus de chiffrement et de dchiffrement. Un algorithme cryptographique fonctionne en
combinaison avec une cl un mot, un nombre, ou une phrase pour chiffrer le texte clair. Le
mme texte clair se chiffre en un texte chiffr diffrent si lon utilise des cls diffrentes. La
scurit des donnes chiffres est entirement dpendante de deux choses: la force de
lalgorithme cryptographique et le secret de la cl.
Un algorithme cryptographique, plus toutes les cls possibles et tous les protocoles qui le font
fonctionner constitue un crypto systme. PGP est un crypto systme.

d. Cryptographie conventionnelle (cl prive) :


Dans la cryptographie conventionnelle, aussi appele chiffrement cl secrte ou cl
symtrique, une [seule et mme] cl est utilise la fois pour le chiffrement et le
dchiffrement. Le Data Encryption Standard (DES) est un exemple de crypto systme
conventionnel qui est largement employ par le Gouvernement fdral amricain.

Figure I.6 Chiffre ment conventionnel

e. Gestion de cl et chiffrement conventionnel :


Le chiffrement conventionnel a des avantages. Il est trs rapide. Cependant, le chiffrement
conventionnel seul en tant que moyen de transmission de donnes scurises peut tre assez
onreux simplement en raison de la difficult de la distribution scurise de la cl.
Pour quun expditeur et un destinataire communiquent de faon sre en utilisant un
chiffrement conventionnel, ils doivent se mettre daccord sur une cl et la garder secrte entre
eux. Sils sont dans des lieux gographiques diffrents, ils doivent faire confiance un
messager, au Bat Phone, ou un autre moyen de communication sr pour empcher la
divulgation de la cl secrte pendant la transmission. Quiconque a entendu par hasard ou
intercept la cl en transit peut plus tard lire, modifier, et contrefaire toutes les informations

18
chiffres ou authentifies avec cette cl. Le problme continuel avec le chiffrement
conventionnel est la distribution de la cl: comment donnerez-vous la cl au destinataire sans
que personne ne puisse lintercepter?

f. La cryptographie cl publique :
La cryptographie cl publique repose sur un schma asymtrique qui utilise une paire de
cls pour le chiffrement: une cl publique, qui chiffre les donnes, et une cl prive
correspondante, aussi appele cl secrte, qui sera utilise pour le dchiffrement. Nous
publions largement la cl publique, tout en gardant la cl prive secrte. Toute personne en
possession dune copie de notre cl publique peut ensuite chiffrer des informations que nous
seul pourrons lire.
Il est mathmatiquement impossible de dduire la cl prive de la cl publique.
Quiconque a une cl publique peut chiffrer des informations mais ne peut pas les dchiffrer.
Seule la personne qui a la cl prive correspondante peut dchiffrer les informations.

Figure I.7 Chiffre ment cl publique

Le principal avantage de la cryptographie cl publique est quelle permet des gens qui
nont pas daccord de scurit pralable dchanger des messages de manire sre.

g. Comment fonctionne PGP (crypto systme hybride.) :


PGP combine la fois les meilleures fonctionnalits de la cryptographie conventionnelle et de
la cryptographie cl publique. PGP est un crypto systme hybride.
Quand un utilisateur chiffre du texte clair avec PGP, PGP compresse dabord le texte clair. La
compression de donnes conomise du temps de transmission par modem et de lespace
disque et, ce qui est plus important, renforce la scurit cryptographique. La plupart des
techniques de cryptanalyse exploitent les redondances trouves dans le texte clair pour
craquer le texte chiffr. La compression rduit ces redondances dans le texte clair, ce qui
augmente grandement la rsistance la cryptanalyse. (Les fichiers qui sont trop petits pour
tre compresss ou qui ne se compressent pas bien ne sont pas compresss.)
19
PGP cre ensuite une cl de session, qui est une cl secrte qui ne sert quune fois.
Cette cl est un nombre alatoire gnr partir des mouvements alatoires de votre souris et
des touches du clavier sur lesquelles vous tapez. Cette cl de session fonctionne avec un
algorithme de chiffrement conventionnel trs sr et rapide qui chiffre le texte clair; le rsultat
est le texte chiffr. Une fois que les donnes sont chiffres, la cl de session est elle-mme
chiffre avec la cl publique du destinataire. Cette cl de session chiffre par la cl publique
est transmise avec le texte chiffr au destinataire.

Figure I.8 Comme nt fonctionne le chiffrement de PGP

Le dchiffrement fonctionne de la manire inverse. La copie de PGP du destinataire utilise la


cl prive de celui-ci pour retrouver la cl de session temporaire, que PGP utilise ensuite pour
dchiffrer le texte chiffr de manire conventionnelle.

Figure I.9 Comme nt fonctionne le dchiffrement de PGP

La combinaison des deux mthodes de chiffrement associe la commodit du chiffrement cl


publique avec la vitesse du chiffrement conventionnel. Le chiffrement conventionnel est
environ 1000 fois plus rapide que le chiffrement cl publique. Le chiffrement cl publique
fournit quant lui une solution aux problmes de distribution de la cl et de transmission des

20
donnes. Utilises toutes les deux, la performance et la distribution de la cl sont amliores
sans aucun sacrifice sur la scurit.

2. Le rseau priv virtuel (VPN)


a. Quest-ce quun VPN ?
Le VPN (Virtual Private Network), rseau priv virtuel, est une technologie permettant de
communiquer distance de manire prive, comme on le ferait au sein dun rseau priv de
type intranet dentreprise.
Ces rseaux offrent deux avantages majeurs :
De hautes performances en termes de bande passante, autrement dit des communications
trs haut dbit et de trs grande qualit.
La scurit et la confidentialit des donnes.
En dautres termes, il est aujourdhui possible, grce ces technologies, dtendre son rseau
priv dentreprise toute la plante.
Ainsi, un commercial en dplacement pourra se connecter au rseau de son entreprise
indpendamment du lieu o il se trouve. A tout moment il peut envoyer ou recevoir des
donnes confidentielles de manire scurise et rapide.
De manire similaire, deux sites dune mme entreprise pourront tre virtuellement runis en
un seul site, linterconnexion entre ces deux sites offrant les mmes prestations quun rseau
local.
Il existe deux types diffrents de VPN :
Le VPN IPSec sur le rseau IP Public.
Le VPN MPLS sur un rseau IP Priv.
Le VPN IP Public est un rseau sappuyant sur Internet, tandis que le VPN IP Priv est un
rseau entirement hberg par loprateur.

b. VPN IPSec (IP Public) :


Dans un rseau VPN IP Public, les donnes sont cryptes chez lexpditeur avant demprunter
un tunnel VPN travers Internet qui le relie au rcepteur. Elles sont ensuite dcryptes chez le
rcepteur.

Figure I.10 VPN IPSec

21
On parle de cryptage point point lorsquil ny a quun expditeur et un rcepteur (par
exemple, le sige social et une antenne locale), et on parle de cryptage multipoint lorsquil
y en a plusieurs (par exemple, le sige social et les diffrents cadres en dplacement). Le
tunnel VPN relie directement lexpditeur et le rcepteur par le biais du rseau classique
Internet, empchant un utilisateur tiers dintercepter les donnes, qui demanderaient en outre
tre dcryptes avant de pouvoir tre lues.

c. VPN IP MPLS (IP Priv) :


Dans un VPN IP Priv, il ny a pas de cryptage point point. Les donnes ne transitent pas
via Internet, mais via un rseau spcial hberg par loprateur, qui traite les donnes de
manire spcifique. Autrement dit, contrairement au VPN IP Public, les donnes ne subissent
aucun traitement au niveau des ordinateurs de lexpditeur et du rcepteur, elles subissent ce
traitement au niveau du rseau MPLS hberg par loprateur.

Figure I.11 VPN IP MPLS


A lentre du rseau MPLS, les donnes arrivent par paquets un routeur tiqueteur
dextrmit (LER, Label Edge Routeur) qui leur assigne une tiquette (label) en fonction de
leur nature, leur provenance, leur mode de transport puis il leur assigne un trajet
spcifiquement adapt cette tiquette. Les paquets de donnes ainsi tiquets suivent leur
trajet spcifique, balis par des routeurs tiqueteurs intermdiaires (LSR, Label Switching
Routeur) qui les aiguillent sur le bon chemin tout au long de leur trajet. Ce systme
dtiquetage des donnes permet au responsable du rseau au sein de lentreprise de dfinir
des ordres de priorit. Il peut par exemple configurer son rseau de manire ce que les
donnes provenant du sige social soient prioritaires sur toutes les autres. Il peut galement
rendre prioritaires les donnes multimdia, afin de permettre par exemple lusage de la
vidoconfrence.

22
d. Comparaison IP Public /IP Priv :
IP public IP priv
Connexion Connexion Connexion directe sur le rseau de loprateur
scurise via
Internet
Rapidit Ralentissements Optimise (choix de la route la plus rapide)
dus au cryptage
et au
dcryptage.
Scurit Cryptage + Rseau entirement priv gr par loprateur.
tunnels. Mais
chaque site est
vulnrable aux
attaques de par
le fait quil est
connect
Internet.
Administration, Supervision, Supervision gestion et mise en uvre des
gestion, mise en gestion et mise quipements ralises par loprateur.
uvre en uvre des Mise disposition dune solution de
quipements supervision centralise
raliss par le
client ou par
une socit de
service.
Evolutivit Configuration Nouvelle connexion au rseau de loprateur
complte du pas de modification de configuration pour le
nouveau site client.
faire,
redfinition de
lattribution des
tunnels.
Tableau I.3 Comparaison IP Public /IP Priv
Pour un choix de moindre cot il faut mieux choisi IP public (internet) mais si en veut faire
plus de scurit il faut mieux choisir IP priv.
3. Fire wall (pare feu) :
Ds lors qu'un rseau priv est connect un rseau public, son intgrit peut tre affecte par
des intrusions. Pour contrer ces intrusions, lide est de placer des quipements appels pare-
feu (ou firewall ) la frontire de ce rseau, leur but tant de filtrer tout le trafic chang
avec le rseau extrieur et de ne laisser passer que le trafic autoris.
Si l'objectif premier des pare- feu est de se protger des intrusions sur les rseaux privs, il
existe d'autres objectifs bien souvent mis en avant dans les brochures commerciales. Il s'agit
principalement d'amliorer la productivit des entreprises en contrlant l'accs qui est fait
Internet par les employs. En effet, l'accs tant filtr, les employs ne peuvent bien souvent
plus consulter Internet des fins personnelles. Les ressources du rseau de l'entreprise sont
donc mieux exploites et les employs se concentrent davantage sur leur travail.
Les techniques de filtrage se sont beaucoup enrichies depuis le milieu des annes 1990.
Plusieurs familles de pare-feu existent, suivant que le filtrage, plus ou moins fin, est ralis au
23
niveau IP (Internet Protocol), TCP (Transport Control Protocol) ou applicatif, sur un
quipement de rseau ou un ordinateur personnel. Des techniques de filtrage ont rcemment
t dveloppes pour amliorer les performances de filtrage, comme les mcanismes
d'inspection de paquet dynamique ( stateful inspection ) et les systmes de prvention
d'intrusion (IPS : Intrusion Prevention System). Enfin, plusieurs architectures de pare- feu
aboutissent des niveaux de scurit plus ou moins levs.

4. DMZ (zone dmilitarise) :


Notion de cloisonne ment :
Les systmes pare- feu permettent de dfinir des rgles d'accs entre deux rseaux.
Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des
politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en
place des architectures de systmes pare- feu permettant d'isoler les diffrents rseaux de
l'entreprise : on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois
galement utilis).

Architecture DMZ :

Figure I.12 Architecture DMZ

Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur
(serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire
de crer une nouvelle interface vers un rseau part, accessible auss i bien du rseau interne
que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On
parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone) pour dsigner cette
zone isole hbergeant des applications mises disposition du public. La DMZ fait ainsi
office de zone tampon entre le rseau protger et le rseau hostile. La figure ci-dessous
montre la position dune DMZ au sein dun rseau.
Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant
poste dans le rseau de l'entreprise.
La politique de scurit mise en uvre sur la DMZ est gnralement la suivante :
Trafic du rseau externe vers la DMZ autoris.
Trafic du rseau externe vers le rseau interne interdit.

24
Trafic du rseau interne vers la DMZ autoris.
Trafic du rseau interne vers le rseau externe autoris.
Trafic de la DMZ vers le rseau interne interdit.
Trafic de la DMZ vers le rseau externe interdit.

La DMZ possde donc un niveau de scurit intermd iaire, mais son niveau de scurisation
n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise.
Il est noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le
rseau interne selon diffrents niveaux de pro tection et ainsi viter les intrusions venant de
l'intrieur.

5. NAT Network Address Translation :


Principe du NAT :
Le mcanisme de translation d'adresses NAT a t mis au point afin de rpondre la
pnurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 rpondra terme ce
problme).
En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la plante)
n'est pas suffisant pour permettre toutes les machines ncessitant d'tre connectes internet
de l'tre.
Le principe du NAT consiste donc utiliser une adresse IP routable (ou un nombre limit
d'adresses IP) pour connecter l'ensemble des machines du rseau en ralisant, au niveau de la
passerelle de connexion internet, une translation (littralement une traduction ) entre
l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la
passerelle. Cette passerelle peut tre un routeur tel que montr dans la figure suivante.

Figure I.13 Le mcanis me de translation d'adresses

D'autre part, le mcanisme de translation d'adresses permet de scuriser le rseau interne tant
donn qu'il camoufle compltement l'adressage interne. En effet, pour un observateur externe
au rseau, toutes les requtes semblent provenir de la mme adresse IP.

25
Espaces dadressages :
L'organisme grant l'espace d'adressage public (adresses IP routables) est l'IANA. La RFC
1918 dfinit un espace d'adressage priv permettant toute organisation d'attribuer des
adresses IP aux machines de son rseau interne sans risque d'entrer en conflit avec une
adresse IP publique alloue par l'IANA.
Ces adresses dites non-routables correspondent aux plages d'adresses suivantes :
Classe A : plage de 10.0.0.0 10.255.255.255 ;
Classe B : plage de 172.16.0.0 172.31.255.255 ;
Classe C : plage de 192.168.0.0 192.168.255.55 ;
Toutes les machines d'un rseau interne, connectes internet par l'intermdiaire d'un routeur
et ne possdant pas d'adresse IP publique doivent utiliser une adresse contenue dans l'une de
ces plages. Pour les petits rseaux domestiques, la plage d'adresses de 192.168.0.1
192.168.0.255 est gnralement utilise.
Translation statique :
Le principe du NAT statique consiste associer une adresse IP pub lique une adresse IP
prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer
une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur
Internet et de faire la traduction, dans un sens co mme dans l'autre, en modifiant l'adresse dans
le paquet IP.
La translation d'adresse statique permet ainsi de connecter des machines du rseau interne
internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans
la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau
interne.
Avantages et inconvnients du NAT statique :
En associant une adresse IP publique une adresse IP prive, nous avons pu rendre une
machine accessible sur Internet. Par contre, on remarque qu'avec ce principe, on est oblig
d'avoir une adresse publique par machine voulant accder Internet. Cela ne va pas rgler
notre problme de pnurie d'adresses IP... D'autre part, tant qu' donner une adresse publique
par machine, pourquoi ne pas leur donner cette adresse directement plutt que de passer par
un intermdiaire ? A cette question, on peut apporter plusieurs lments de rponse. D'une
part, il est souvent prfrable de garder un adressage uniforme en interne et de ne pas mler
les adresses publiques aux adresses prives. Ainsi, si on doit faire des modifications,
changements, interventions sur le rseau local, on peut facilement changer la correspondance
entre les adresses prives et les adresses publiques pour rediriger les requtes vers un serveur
en tat de marche. D'autre part, on gche un certain nombre d'adresses lorsqu'on dcoupe un
rseau en sous-rseaux (adresse de rseau, adresse de broadcast...), comme lorsqu'on veut
crer une DMZ pour rendre ses serveurs publiques disponibles. Avec le NAT statique, on
vite de perdre ces adresses.
Malgr ces quelques avantages, le problme de pnurie d'adresses n'a toujours pas t rgl.
Pour cela, on va se pencher sur la NAT dynamique.

26
Translation dynamique :
Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit
d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les
machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP.
C'est la raison pour laquelle le terme de mascarade IP est parfois utilis pour dsigner le
mcanisme de translation d'adresse dynamique.
Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs
adresses IP routables, le NAT dynamique utilise le mcanisme de translation de port (PAT -
Port Address Translation), c'est--dire l'affectation d'un port source diffrent chaque requte
de telle manire pouvoir maintenir une correspondance entre les requtes provenant du
rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du
routeur.
Avantages et inconvnients du NAT dynamique :
Comme nous l'avons vu, le NAT dynamique permet des machines ayant des adresses
prives d'accder Internet. Cependant, contrairement au NAT statique, il ne permet pas
d'tre joint par une machine de l'Internet. Effectivement, si le NAT dynamique marche, c'est
parce que le routeur qui fait le NAT reoit les informations de la machine en interne (Adresse
IP, port TCP/UDP). Par contre, il n'aura aucune de ces informations si la connexion est
initialise de l'extrieur... Le paquet arrivera avec comme adresse de destination le routeur, et
le routeur ne saura pas vers qui rediriger la requte en interne.
La NAT dynamique ne permet donc que de sortir sur Internet, et non pas d'tre joignable. Il
est donc utile pour partager un accs Internet, mais pas pour rendre un serveur accessible. De
plus, tant donn que l'on peut "cacher" un grand nombre de machines derri re une seule
adresse publique, cela permet de rpondre notre problme de pnurie d'adresses.
Par contre, les machines n'tant pas accessibles de l'extrieur, cela donne un petit plus au
niveau de la scurit.

IX. But de la scurit


La scurit informatique tente de maintenir six caractristiques principales :
a. La confidentialit : reprsente le fait que les donnes informatiques ne sont accessibles
que par les personnes autorises. Le type d'accs s'talant de la simple connaissance de
l'existence de l'objet la surimpression de celui-ci. La confidentialit reste la notion de
scurit informatique la plus proche du monde rel et semble ds lors la plus claire.
b. L'authentification: dans le cas d'un simple message, le service d'authentification assure
que le message provient de l'endroit d'o il prtend venir. Dans le cas d'un change
bidirectionnel, deux aspects sont prsents. Il faut assurer que les deux entits sont bien
ce qu'elles affirment tre. De plus, le service d'authentification doit montrer que la
connexion ne peut tre brouille par une troisime entit essayant de se faire passer
pour un des deux correspondants.
c. L'intgrit : signifie que l'information ne peut tre modifie que par les personnes
autorises ou seulement par les moyens autoriss. L'intgrit reste un domaine trs
large couvrant la fois les modifications, les moyens de modification mais galement
l'aprs- modification et donc la consistance.

27
d. La disponibilit : se reflte dans l'information et dans les services. Ce domaine est
aujourd'hui en pleine expansion. Il regroupe des sujets aussi varis que les temps de
rponse, la tolrance aux fautes, le contrle de concurrence, le partage quitable de
ressources, ...
e. La non-rpudiation : permet au rcepteur ou l'metteur de ne pas refuser un message
transmis. Donc, quand un message est envoy, le rcepteur peut prouver que le
message a bien t envoy par l'metteur. De mme, lorsqu'un message est reu,
l'metteur peut prouver que le message a bien t reu par le bon rcepteur.

f. Le contrle d'accs : reprsente la capacit de limiter et de contrler les accs aux


systmes et applications via les liens de communication. Pour cela, chaque entit
demandant un accs se voit identifie ou authentifie afin de lui adapter ses droits
d'accs.
Ce sont ces six buts qui forment ensemble la scurit informatique. Parfois, ils se chevauchent
mais ils peuvent ventuellement tre mutuellement exclusifs (ex. une confidentialit trop forte
entranant une perte de disponibilit).

X. Conclusion
Dans ce chapitre, on a prsent quelques notions gnrales sur rseau et la scurit, dans le
prochain chapitre on va dtailler lune des solutions de protection de rseaux la plus efficace
et qui est trs fortement conseille de dployer mme sur le PC personnel: le firewall.

28
CHAPITE II : Gnralits sur les firewalls

I. Dfinition

La traduction officielle du terme anglais firewall est, mur anti feu ou pare- feu . La dfinition
qui est associe est la suivante :
Dispositif informatique qui filtre les flux d'informations entre un rseau interne un
organisme et un rseau externe en vue de neutraliser les tentatives de pntration en
provenance de l'extrieur et de matriser les accs vers l'extrieur.
Cette description souffre de quelques erreurs parmi lesquelles le recours aux notions
d'intrieur et d'extrieur qui sont des notions trangres l'quipement et qui relvent en fait
de choix d'architecture, et un prsuppos restrictif sur la politique de scurit applicable.
On pourra retenir de faon assez large qu'il s'agit d'un dispositif informatique de filtrage de
protocoles rseaux (routables) et, par extension, d'un systme ou d'un groupe de systmes
permettant d'imposer une politique de scurit entre plusieurs primtres rseaux.

Figure II.14 Le pare-feu

II. Le fonctionnement d'un systme pare-feu

Un systme pare-feu contient un ensemble de rgles prdfinies permettant :


-soit d'autoriser uniquement les communications ayant t explicitement autorises
-soit d'empcher les changes qui ont t explicitement interdits.
Le choix de l'une ou l'autre de ces mthodes dpend de la politique de scurit adopte par
l'entreprise dsirant mettre en uvre un filtrage des communications. La premire mthode de
pare-feu est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et
contraignante des besoins en communication.

III. Principes du filtrage :


Selon l'quipement, des informations sont extraites des flux rseaux depuis une ou plusieurs
des couches 2 7 du modle OSI, ventuellement corrles entre elles, et compares un
ensemble de rgles de filtrage. Un tat peut tre mmoris pour chaque flux identifi, ce qui
permet en outre de grer la dimension temporelle avec un filtrage en fonction de l'historique
du flux.
29
Les types de filtrage les plus courants sont :
o Liaison (adresse MAC Ethernet,...),
o Rseau (enttes IP, IPX,... et type/code ICMP),
o Transport (ports TCP/UDP),
o Filtrage adaptatif ( stateful inspection ) ou dynamique,
o Session ( circuit level gateway , proxys gnriques),
o Application : serveur(s) mandataire(s)/relais applicatifs ( proxys ).
Dans la pratique une combinaison des types prcdents est utilise : un pare- feu protgeant un
serveur http fera passer les requtes clientes travers un relais applicatif tandis que la rponse
serveur ne sera analyse qu'au niveau transport pour mettre jour l'tat des sessions
dynamiques.
1. Le filtrage de paquets IP :
Il s'agit d'un filtrage ralis au niveau des couches 2 4 dans un routeur - une passerelle -, un
pont ou un hte.
Les critres se basent sur les champs des enttes des diffrentes couches ainsi que sur
l'interface d'entre ou de sortie du paquet :
o Couche 2 : adresse MAC,
o protocole IP (gnralement limit au choix accept/refus l'exception des types 1
ICMP, 6 TCP et 17 UDP qui bnficient d'une meilleure granularit),
o dure de vie (TTL : typiquement les paquets arrivant expiration peuve nt tre
limins),
o adresses IPs source et destination,
o Flags et options IP.
o Couche 4 (et ICMP) :
o ports source et destination (TCP/UDP),
o Flags TCP,
o type/code (ICMP).

Figure II.15 Le filtrage de paquets IP

30
Les avantages :
o l'espace noyau est performant mais plus risqu (une faille induit un risque de
compromission administrateur/root),
o il est facilement adaptable au routage (un routeur est par essence un filtre),
o il est transparent pour l'utilisateur,
o il permet une corrlation adresse source/interface en particulier :
o anti-spoof (les paquets avec une adresse source correspondant l'adressage interne
ne peuvent venir de l'extrieur),
o egress filtering (vrifier que les adresses sources sortant du domaine interne sont
cohrentes avec le plan d'adressage).
o cependant il suppose que les applications respectent les ports par dfauts assigns par
l'IANA (si on laisse ouvert l'accs au port 25/tcp (smtp), un serveur http coutant sur
ce port au lieu de 80/tcp sera alors accessible),
o en l'absence d'historique, beaucoup de ports doivent rester ouverts pour permettre le
passage des paquets en retour. Exemple de rgles pour l'accs web (http) :
192.168.10.0/24:1024-65535 => *:80
192.168.10.0/24:1024-65535 <= *:80
Les inconvnients :
o il ne gre pas l'abstraction de la rsolution de nom (mal adapt au filtrage des
bannires insres depuis domaine. envahissant.tld,...),
o la fragmentation IP pose problme (les informations de la couche transport peuvent
tre : absentes du 1er paquet, rparties sur plusieurs paquets, n'apparaissent pas dans
les paquets suivants,...),
o l'adresse et le port source ne sont pas des donnes fiables,
o le filtrage des services RPC ( Remote Procdure Call ) est complexe : les ports ne
sont pas standardiss et sont assigns dynamiquement (on ne peut se limiter filtrer le
service de mappage, une recherche par balayage des ports restant possible),
o il ne peut prendre en compte les services avec ports dynamiques : FTP,...
o il est difficile de filtrer spcifiquement un ou des htes si DHCP est employ sans
prcaution,
o il n'y a gnralement pas de filtrage des utilisateurs.
2. Le filtrage en couches 5 7 : les serveurs mandataires :
On peut distinguer deux types de serveur mandataire ( proxy , qui agit en lieu et place de
son mandant, un serveur ou un client) :
a. Les gnriques, appels Circuit Level Gateway qui valident la session avant
d'ouvrir une connexion (vrifications adresses/ports source et destination, identifiant
utilisateur, ventuelle requte ident,...) ; il s'agit gnralement de SOCKS (la V4
supporte TCP uniquement, et la V5 rajoute l'UDP et le support de protocoles
d'authentifications fortes),
b. Les relais applicatifs, qui ne supportent qu'un protocole de haut niveau particulier
(http, smtp,...), dont les principales caractristiques sont :
o relais soumis la politique de scurit,

31
o ne supporte qu'un sous-ensemble minimal de la RFC de manire avoir un code rduit
et donc moins susceptible d'inclure une faille majeure,
o peut inclure une fonction cache.
La notion de reverse-proxy est parfois employe : elle dsigne les relais qui sont
mandataires pour un serveur ; le cas le plus courant, donc appel proxy , tant de faire
cran pour des clients.

Figure II.16 Le serveur mandataire


Les avantages :
o Possibilit de filtrage de contenu (scripts, applets java, ActiveX,...) et smantique,
mais qui n'est pas toujours utilisable dans la pratique, beaucoup de sites recourant
massivement ces technologies sans offrir de prsentation alternative,
o interface possible avec un antivirus (protocole d'change le plus courant : CVP
dvelopp par Check Point Software),
o authentification possible des utilisateurs,
o masque les adresses des machines clientes.

Les inconvnients :
o ne ncessite pas de fonction de routage,
o processus en espace utilisateur [une vulnrabilit peut tre moins critique si les
privilges sont bien grs, mais vulnrabilits additionnelles du systme d'exploitation
sous-jacent - pile IP, journalisation,...-] qui peut tre plus lent (changements de
contexte noyau/espace utilisateur),
o anonymisation des clients ou des serveurs avec les mmes limitations que le filtrage de
contenu,
o ncessite un serveur relais diffrent par application ou de se limiter un filtrage
gnrique,

32
o il faut un processus par connexion (20 utilisateurs dont le butineur ralise 5
connexions simultanes induit 100 processus ou fils),
o ne peut tre employ pour des protocoles aux spcifications fermes,
o sont difficilement transparents :
o configuration spcifique des clients (par exemple des butineurs),
o bibliothque client spcifique (SOCKS),
o redirection par filtre de paquets base sur le port destination.

3. Le filtrage dynamique et adaptatif


Ce mcanisme se veut le meilleur des deux mondes prcdents en apportant une capacit de
filtrage applicative tout en restant au niveau de la couche transport/session.
Le filtrage dynamique ajoute la prise en compte de l'historique au simple filtrage de paquet :
l'ide de base tant qu'avec un change client/serveur si un paquet est pass dans un sens il en
passera un dans l'autre (commutation de la source et destination du couple IP/port pour les
paquets TCP/UDP). Diverses temporisations sont introduites : poigns de main TCP,
fermeture de connexion ou de session,.... Ce mode permet de gnrer la vole des rgles
temporaires de filtrage des paquets. Ces dernires disparaissent lorsqu'aucun paquet ne passe
pendant un dlai configur ou avec la fermeture de la session en TCP (RST, FIN).
En reprenant l'exemple prcdent de l'accs au service http : Rgle dynamique :
192.168.10.0/24:1024-65535 => *:80
Initiation d'une connexion : 192.168.10.12:1036 => 10.0.0.1:80
Rgle gnre temporairement : 192.168.10.12:1036 <= 10.0.0.1:80
Le filtrage adaptatif recherche, en outre, des signatures dans le segment de donnes des
paquets afin de dterminer le type et l'tat du protocole applicatif transport et de procder
ainsi des vrifications de cohrences. C'est dans cette catgorie que l'on peut ranger le
terme de stateful inspection utilise par divers diteurs.

33
Figure II.17 Rgles dynamiques et adaptatives pour une session FTP active
Les avantages :
o Moins de ports ouverts qu'avec le filtrage de paquet simple,
o Analyse du contenu applicatif avec les performances et les risques du mode noyau.
Les inconvnients :
o Limitation de l'adaptatif aux protocoles applicatifs connus et documents,
o A l'inverse du serveur mandataire applicatif, le filtre adaptatif peut tre induit en erreur
quant l'tat du protocole et donc tre source de comportements vulnrables (cration
de rgles dynamiques sous contrle d'un client distant par exemple).

IV. Les autres fonctionnalits


L'volution des pare- feu a conduit l'ajout de fonctionnalits dont le domaine peut sembler
connexe. Parmi celles-ci ont peut distinguer :
a. Les rseaux privs virtuels VPN : les possibilits proposes vont de la cration
d'un extranet (rseau interne multi-site utilisant des tunnels chiffrant entre sites)
la scurisation de l'accs aux ressources internes des itinrants ;
b. Lauthentification : peut tre intgre dans les relais, qui peuvent alors gnralement
s'interfacer avec les serveurs d'authentification les plus rpandus (Radius, SecurID,...)
c. lection du routeur : les htes tant supposs avoir une adresse IP de passerelle par
dfaut statique, la redondance est assure par plusieurs routeurs qui partagent cette
adresse et se coordonnent grce une diffusion multicast utilisant le protocole
112/ip. Dans le domaine on trouve VRRP (RFC 3768) volution du protocole HSRP
de Cisco et CARP issu du monde OpenBSD et tendu aux autres BSDs mais qui n'est
pas officialis par l'IANA,
34
d. Synchronisation des tables de filtrage : OpenBSD a dvelopp pfsync pour le systme
de filtrage pf ; utilisant toujours du multicast mais sur 240/ip galement sans
officialisation de l'IANA.
La traduction d'adresse qui consiste rcrire les champs adresse IP source et/ou destination
pour permettre le routage d'adresses prives, rpondre la pnurie d'adresses IPv4, tenter de
dissimuler le plan d'adressage interne,...
enfin certains quipements se proposent d'inclure des filtres du niveau applicatif, comme un
antivirus, la recherche de contenus licencieux, une sonde de dtection d'intrusion,...Cela se
fait gnralement au prix d'une consommation de ressources (recherches de signatures) qui
peut grever les performances globales, et cela contrevient au principe de minimisation de la
taille du code pour minimiser les risques de faille rsiduelle.

V. Les diffrents types de firewall

1. Les fire walls bridge


Ces derniers sont relativement rpandus. Ils agissent comme de vrais cbles rseau avec la
fonction de filtrage en plus, d'o leur appellation de firewall. Leurs interfaces ne possdent
pas d'adresse Ip, et ne font que transfrer les paquets d'une interface une autre en leur
appliquant les rgles prdfinies. Cette absence est particulirement utile, car cela signifie que
le firewall est indtectable pour un hacker lambda. En effet, quand une requte ARP est mise
sur le cble rseau, le firewall ne rpondra jamais. Ses adresses Mac ne circuleront jamais sur
le rseau, et comme il ne fait que transmettre les paquets, il sera totalement invisible sur le
rseau. Cela rend impossible toute attaque dirige directement contre le firewall, tant donn
qu'aucun paquet ne sera trait par ce dernier comme tant sa propre destination. Donc, la seule
faon de le contourner est de passer outre ses rgles de drop. Toute attaque devra donc
Faire avec ses rgles, et essayer de les contourner.
Dans la plupart des cas, ces derniers ont une interface de configuration spare. Un cble
vient se brancher sur une troisime interface, srie ou mme Ethernet, et qui ne doit tre
utilise que ponctuellement et dans un environnement scuris de prfrence.
Ces firewalls se trouvent typiquement sur les Switchs.
Les Avantages
o Impossible de l'viter (les paquets passeront par ses interfaces)
o Peu coteux
Inconvnients :
o Possibilit de le contourner (il suffit de passer outre ses rgles)
o Configuration souvent contraignante
o Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le plus
souvent en Stateless).

2. Les fire walls mat riel


Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs
comme Cisco ou Nortel. Intgrs directement dans la machine, ils font office de boite noire
, et ont une intgration parfaite avec le matriel. Leur configuration est souvent relativement
ardue, mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est

35
simplifie de par leur prsence sur le mme quipement rseau. Souvent relativement peu
flexibles en terme de configuration, ils sont aussi peu vulnrables aux attaques, car prsent
dans la boite noire qu'est le routeur. De plus, tant souvent trs lis au matriel, l'accs
leur code est assez difficile, et le constructeur a eu toute latitude pour produire des systmes
de codes signs afin d'authentifier le logiciel (systme RSA ou assimils). Ce systme
n'est implant que dans les firewalls haut de gamme, car cela vite un remplacement du
logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant
ainsi le firewall trs sr. Son administration est souvent plus aise que les firewalls bridges,
les grandes marques de routeurs utilisant cet argument comme argument de vente. Leur
niveau de scurit est de plus trs bon, sauf dcouverte de faille ventuelle comme tout
firewall. Nanmoins, il faut savoir que l'on est totalement dpendant du constructeur du
matriel pour cette mise jour, ce qui peut tre, dans certains cas, assez contraignant. Enfin,
seules les spcificits prvues par le constructeur du matriel sont implmentes. Cette
dpendance induit que si une possibilit nous intresse sur un firewall d'une autre marque, son
utilisation est impossible. Il faut donc bien dterminer l'avance ses besoins et choisir le
constructeur du routeur avec soin.

Avantages :
o Intgr au matriel rseau.
o Administration relativement simple.
o Bon niveau de scurit.

Inconvnients :
o Dpendant du constructeur pour les mises jour.
o Souvent peu flexibles.

3. Les fire walls logiciels


Prsents la fois dans les serveurs et les routeurs faits maison , on peut les classer en
plusieurs catgories :
Les firewalls personnels
Ils sont assez souvent commerciaux et ont pour but de scuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre contraignants et quelque
fois trs peu scuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que
vers l'exhaustivit, afin de rester accessible l'utilisateur final.
Avantage :
o Scurit en bout de chane (le poste client).
o Personnalisable assez facilement.
Inconvnients :
o Facilement contournable.
o Difficiles dpartager de par leur nombre norme.

4. Les fire walls plus srieux


Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un
contrle plus adquat, ils ont gnralement pour but d'avoir le mme comportement que les

36
firewalls matriels des routeurs, ceci prt qu'ils sont configurables la main. Le plus courant
est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalit des firewalls de routeurs est potentiellement ralisable sur une telle plateforme.
Avantage :
o Personnalisables
o Niveau de scurit trs bon
Inconvnients :
o Ncessite une administration systme supplmentaire

Ces firewalls logiciels ont nanmoins une grande faille : ils n'utilisent pas la couche bas
rseau. Il suffit donc de passer outre le noyau en ce qui concerne la rcupration de ces
paquets, en utilisant une librairie spciale, pour rcuprer les paquets qui auraient t
normalement dropps par le firewall. Nanmoins, cette faille induit de s'introd uire sur
l'ordinateur en question pour y faire des modifications... chose qui induit dj une intrusion
dans le rseau, ou une prise de contrle physique de l'ordinateur, ce qui est dj Synonyme
d'inefficacit de la part du firewall.

VI. Les ractions des firewalls aux attaques classiques


IP spoofing
L'IP spoofing consiste modifier les paquets IP afin de faire croire au firewall qu'ils
proviennent d'une adresse IP considre comme de confiance . Par exemple, une IP
prsente dans le rseau local de l'entreprise. Cela laissera donc toute latitude au hacker de
passer outre les rgles du firewall afin d'envoyer ses propres paquets dans le rseau de
l'entreprise. Les derniers firewalls peuvent offrir une protection contre ce type d'attaque,
notamment en utilisant un protocole VPN, par exemple IPSec. Cela va crypter les enttes des
paquets, et ainsi rendre impossible leur modification par un intrus, et surtout, l'intrus ne
pourra gnrer de paquets comme provenant de ce rseau local, ce dernier n'ayant pas la cl
ncessaire au cryptage. Les algorithmes utiliss dans de tels protocoles sont de type RSA.

DOS et DDOS
Le DOS, ou Denial Of Service attack, consiste envoyer le plus de paquets possibles vers un
serveur, gnrant beaucoup de trafic inutile, et bloquant ainsi l'accs aux utilisateurs normaux.
Le DDOS, pour Distributed DOS, implique venir de diffrentes machines simultanes, cette
action tant le plus souvent dclenche par un virus : ce dernier va d'abord infecter nombre de
machines, puis une date donne, va envoyer depuis chaque ordinateur infect des paquets
inutiles vers une cible donne. On appelle aussi ce type d'attaque flood . Les firewalls ici
n'ont que peu d'utilit. En effet, une attaque DOS ou DDOS utilise le plus souvent des
adresses sources diffrentes (le but n'est pas de rcuprer une rponse ici) et souvent,
impossible de distinguer ces paquets des autres... Certains firewalls offrent une protection
basique contre ce genre d'attaque, par exemple en droppant les paquets si une source devient
trop gourmande, mais gnralement, ces protections sont inutiles. Cette attaque brute reste un
des gros problmes actuels, car elle est trs difficilement vitable.

37
Port scanning
Ceci constitue en fait une pr-attaque (Etape de dcouverte). Elle consiste dterminer
quels ports sont ouverts afin de dterminer quelles sont les vulnrabilits du systme. Le
firewall va, dans quasiment tous les cas, pouvoir bloquer ces scans en annoncent le port
comme ferm . Elles sont aussi aisment dtectables car elles proviennent de la mme
source faisant les requtes sur tous les ports de la machine. Il suffit donc au firewall de
bloquer temporairement cette adresse afin de ne renvoyer aucun rsultat au scanner.

Exploit
Les exploits se font en exploitant les vulnrabilits des logiciels installs, par exemple un
serveur Http, Ftp, etc. Le problme est que ce type d'attaque est trs souvent considr comme
des requtes tout a fait valides et que chaque attaque est diffrente d'une autre, vu que le
bug passe souvent par reproduction de requtes valides non prvues par le programmeur du
logiciel. Autrement dit, il est quasiment impossible au firewall d'intercepter ces attaques, qui
sont considres comme des requtes normales au systme, mais exploitant un bug du serveur
le plus souvent. La seule solution est la mise jour priodique des logiciels utiliss afin de
barrer cette voie d'accs au fur et mesure qu'elles sont dcouvertes.

VII. Intrts et limites du pare-feu

Avantage :
o Avec une architecture rseau cohrente, on bnficie d'une centralisation dans la
gestion des flux rseaux.
o De plus, avec un plan d'adressage correct, la configuration du pare-feu est peu ou pas
sensible au facteur d'chelle (rgles identiques pour 10 comme 10000 quipements
protgs).
o L'utilisation de la journalisation offre une capacit d'audit du trafic rseau et peut donc
fournir des traces robustes en cas d'incident, si le pare- feu n'est pas lui- mme une des
cibles.
o Enfin le pare-feu permet de relcher les contraintes de mise jour rapide de l'ensemble
d'un parc en cas de vulnrabilit sur un service rseau : il est possible de maintenir une
certaine protection des quipements non vitaux au prix de la dgradation du service
avec la mise en place d'un filtrage.

Inconvnients :
o La capacit de filtrage d'un quipement dpend de son intgration dans le rseau mais
le transforme en goulet d'tranglement (capacit rseau et ressources du pare- feu).
o De par sa fonction, le pare-feu est un point nvralgique de l'architecture de scurit
avec de fortes contraintes de disponibilit. Il existe des solutions permettant la
synchronisation de l'tat des pare- feu, comme l'lection du routeur avec VRRP, ou le
systme de haute disponibilit CARP/pfsync dvelopp pour OpenBSD, mais
beaucoup de configurations reposent encore sur un quipement unique.

38
Enfin une bonne gestion d'un pare-feu ncessite la comprhension des protocoles filtrs
surtout lorsque les interactions deviennent complexes comme dans les cas FTP, H323,...avec
le transport de paramtres de connexion dans le segment de donnes. De plus il apparat bien
souvent des effets de bord lis aux diverses fonctions (couches rseaux filtres, traduction
d'adresses) et influences par l'ordre d'application des rgles.

Conclusion

Nous avons vu dans ce chapitre les diffrents types de firewalls, les diffrentes attaques et
parades. Il ne faut pas perdre de vue qu'aucun firewall n'est infaillible et que tout firewall n'est
efficace que si bien configur. De plus, un firewall n'apporte pas une scurit maximale et
n'est pas une fin en soi. Il n'est qu'un outil pour scuriser et ne peut en aucun cas tre le seul
instrument de scurisation d'un rseau. Un systme comportant normment de failles ne
deviendra jamais ultra-scuris juste par l'installation d'un firewall.
Toutes ces technologies sont et seront en pleine volution, car la base mme de tout cela est
de jouer au chat et la souris entre les hackers et les programmeurs de firewall ainsi que les
administrateurs. Une grande bataille d'imagination qui n'aura certainement jamais de fin.

39
CHAPITRE III : Installation et configuration dun firewall

I. Introduction
Dans ce chapitre, on va prsenter en dtail lacheminement de notre travail, qui consiste en
linstallation dune passerelle avec rgles de filtrage et de scurit pour scuriser un LAN.
Et la prsentation dun rseau scuriser.

Figure II.17 : Rseau test

II. Etude comparative


Pour mener bien notre travail, trois solutions soffraient nous
o Routeur ADSL Cisco 2600
o Pare-feu matriel
o Machine ddie avec une distribution Linux Oriente passerelle Internet
Plusieurs distributions soffraient nous pour la mise en place dune machine ddie faisant
office de passerelle Internet dont quelques une ci-dessous :
o Debian Sarge
o Ipcop
o Smooth Wall

40
III. Comparatif des diffrents solutions
Solution Cisco 2600 Ordinateur Ddi Pare-feu Matriel

Processeur Cisco 2612(MPC860) Athlon XP 1800+


Processor (rvision
0x101)

Ram 64 Mo Dram 2x 512Mo DDR- 64 Mo Dram


SDRAM PC3200
(Chips Samsung)

Disque Dur 8Mo Flash Maxtor 40 Go 7200


RPM

Garantie 3 ans

Carte Rseaux 2x Ethernet/IEEE 802.3 4x Intel Pro/100 srie 4x Ethernet, Fast


S: Ethernet

Nombre 2 4 4
dinterface
Rseaux possible

Cot Main 3h 4h 3h
duvre en heure
estime (Install
+configuration)

41
Administration HyperTerminal, Telnet, Interface Web (ssl), Interface web
snmp ssh

Evolution Oui (trs couteuse) Oui Non


Possible

Fonction -DHCP -DHCP -Rgle de filtrage

Disponible -Rgle de filtrage -Rgle de filtrage (Pare-feu)


(PareFeu)

-Serveur DNS (cache)

-Proxy Web (graphes


du proxy)

Tableau II.4 Comparatif des solutions matrielle

IV. Solution choisie

Pour plusieurs raisons voir tableau ci-dessus, la solution de la machine ddie a t


privilgie. La solution de la machine ddie nous permettait dtablir des rgles de filtrage
plus pousss. De plus la machine ddie nous apportait plus dinformations sur la connexion,
les machines connectes aux rseaux, ltat du rseau etc.
Et parmi les inconvnients de cette solution est lenvironnement.
La machine ddie apporte davantage doptions que le routeur Cisco 2600 : consultation des
journaux, des dtails plus importants, une facilit de visualisation et de configuration.
Nous avons choisis Smoothwall pour un choix personnel puisque il ntait pas dj trait.

V. Prsentation de SmoothWall

SmoothWall est le nom de la communaut qui utilise le pare-feu Smoothwall Express.


SmoothWall Express est en fait une distribution Linux, Open Source et distribue sous licence
GPL. Smoothwall Express est ddie tre utilise comme pare- feu dans un rseau
dentreprise. Cette distribution a t dveloppe partir de RedHat linux (devenu plus tard
Fedora Project) en vue dun usage facile qui ne ncessite aucune connaissance en Linux. En
effet, Smoothwall Express est totalement administrable via une interface WEB. Smoothwall

42
Express permet de scuriser les changes entre Internet et le rseau interne de le ntreprise
quel que soit son architecture.

VI. Architectures possibles avec Smoothwall Express

Avant daller plus loin, il est ncessaire de dfinir les termes interface Vert, interface Rouge,
interface Violet et interface Orange :
a) Interface Vert : Dsigne linterface rseau (carte rseau) de Smoothwall Express qui
sera directement relie au rseau interne cbl de lentreprise.
b) Interface Rouge : Dsigne linterface de Smoothwall Express qui sera relie Internet.
c) Interface Violet : Dsigne linterface rseau sans fil de Smoothwall Express.
d) Interface Orange : Dsigne linterface de Smoothwall Express qui sera relie la zone
dmilitarise (partie du rseau de lentreprise o lon isole les serveurs). Cette zone est
sauf exception cble

Figure II.18 Dfinition des interfaces Vert, Rouge, Orange et Violet

Il faut noter aussi que ces appellations ne sont pas propres la communaut Smoothwall. On
utilise gnralement ces mmes termes quelque soit le pare-feu.
Voyons maintenant les architectures rseau quoffre Smoothwall Express :
e) Architecture vert : Cette architecture est utilise si Smoothwall Express devait utiliser
une seule carte rseau qui sera relie au rseau interne de lentreprise. Linterface
rouge est dans cette configuration relie directement un modem (ou RNIS).
f) Architecture vert + Orange : Architecture base sur deux cartes rseau. La premire
est utilise pour relier le rseau interne de lentreprise. La deuxime relie la zone
dmilitarise. Linterface rouge est dans cette configuration aussi relie directement
un modem/RNIS.

43
g) Architecture vert+Rouge : Smoothwall Express utilisera dans ce cas de figure une
carte rseau pour se connecter au rseau interne et une autre pour relier Internet.
h) Architecture vert + Orange + Rouge : Larchitecture Green + Orange + Red est choisie
dans le cas o lon utilise trois cartes rseau pour relier Smoothwall Expres la zone
dmilitarise, le rseau interne et Internet.
i) Architecture vert + violet (Rouge is modem/ISDN): Ici linterface rouge est
directement relie un modem/RNIS. Smoothwall Express sera en outre reli au
rseau interne de lentreprise via une carte rseau (gnralement une carte Ethernet) et
au rseau sans fil de lentreprise via une carte rseau sans fil

j) Architecture vert + violet + Orange : Smoothwall Express propose cette architecture


afin de se connecter via trois cartes rseaux spares aux : zones dmilitarise, rseau
sans fil et rseau interne de lentreprise. Linterface rouge est directement relie un
modem/RNIS.

k) Architecture vert+ violet + Red : Ici on utilise deux cartes rseaux pour cbles (afin de
relier le rseau interne de lentreprise et Internet Smoothwall Express) et une carte
rseau sans fil pour connecter le rseau sans fil d e lentreprise au pare- feu.

l) Architecture vert + violet + Orange + Red : Cette configuration rseau utilise trois
cartes rseaux pour cbles (afin de relier le rseau interne de lentreprise, la zone
dmilitarise et Internet Smoothwall Express) et une carte rseau sans fil pour
connecter le rseau sans fil de lentreprise au pare- feu.

Smoothwall Express offre donc 8 configurations rseau possibles. Lune de ces configurations
devra tre choisie et traite lors de linstallation.
Remarque :
Linstallation de Smoothwall Express sur un disque dur provoquera la perte totale des
donnes quil contient. Smoothwall Express nest en outre pas dvelopp pour fonctionner
avec un autre systme dexploitation. Un double boot nest pas possible sur une machine o
est installe Smoothwall Express.

44
-Les spcifications suivantes sont les spcifications matrielles minimales et des
recommandations pour SmoothWall Express:
Systme / Matriel Exigence / recommandations
Processeur Intel Pentium 200 ou processeurs compatibles.
Mmoire 128 Mo de RAM. Plus de RAM est requis pour des services
supplmentaires.
Stockage 2 giga-octets de disque dur - priphriques IDE et SCSI pris
en charge.
Cartes d'interface rseau A minimum of one supported network interface card (NIC).
Si la connexion Internet se fait via un dispositif large
bande comme un modem cble, ADSL ethernet prsentes,
ou d'une autre ethernet prsent connexion, vous aurez besoin
d'une seconde carte.

Clavier Si le BIOS systme supporte dmarrage sans clavier, ce n'est


que requis pour l'installation initiale.
Carte vido Seulement requis lors de l'installation SmoothWall Express.
Moniteur Seulement requis lors de l'installation SmoothWall Express.
CD-ROM Seulement requis lors de l'installation SmoothWall Express.
Lecteur de disquette Recommand pour la mise niveau des versions prcdentes.
Type de connexion internet Internet une carte rseau appropri est requis.
une carte PCI ou un modem USB soutenue est
ADSL ncessaire.
une carte RNIS soutenus ou externe RS232 ou
RNIS
USB adaptateur connect est ncessaire.
un modem, un modem pris en charge RS232,
Modem ISA ou PCI est ncessaires

Tableau II.5 les spcifications matrielles minimales et des recommandations pour


SmoothWall Express

VII. Les messages et les conventions


L'installation SmoothWall Express et les programmes de la configuration initiale utilisent une
interface base de texte qui est compatible avec tous les types de carte graphique.
Les commandes clavier suivantes sont utilises pour interagir avec les programmes:
Cls Explication
Dplacer le curseur / focus / mettre en vidence entre les
Flches
options.
Tab Les progrs de la mise au point l'objet cran suivant.
Espace sur un bouton si elle a le focus.
Clique sur un bouton si elle a le focus.
Entre ou Retour Clique OK si l'accent n'est pas actuellement sur un bouton.

Quitte la section courante de l'installation ou le processus de


Annuler
configuration sans enregistrer ou de activant tous les changements.
45
Si le programme d'installation est excut dans le cadre du processus
d'installation pour la premire fois, la Bouton pour quitter le
programme d'installation et exiger que le processus d'installation
pour tre redmarr.
Indique que la configuration de la fonction actuelle est termine. Les
modifications seront sauvegardes et activ et le contrle sera de
Fait
retour au menu ou la procdure d'installation.

Quitte fois tous les changements de configuration ont t raliss


Finis dans le programme d'installation.

la slection de l'option en surbrillance, reconnat un message ou


Ok prcde l'cran suivant.

VIII. Installation et configuration de Smoothwall express:


Installez SmoothWall Express est conu pour fonctionner sur un poste de travail avec un CD-
ROM.
Il vrifie automatiquement le poste de travail et des composants matriels et installe
SmoothWall Express en consquence.
Pour installer SmoothWall Express : on a procd aux tapes suivantes :
1.Sur le site http://www.smoothwall.org/ http://www.smoothwall.org/ on a tlcharg et grav
un CD de SmoothWall Express.
2. Puis on a procd linstallation avec l'cran suivant qui s'est affich :

46
Cette bote de dialogue nous permet de choisir le type de configuration rseau qui convient
notre installation.

Figure III.19 type de configuration rseau.


Ici nous utilisons la configuration green + red , un rseau scuris (la zone verte) et le
rseau Internet (zone Rouge).
Enfin nous devrons indiquer la manire par laquelle linterface rouge obtient son adresse IP.
Ceci dpend du FAI et du type de connexion.

47
Figure III.20 : Configuration de linterface rouge

Aprs linstallation, la configuration se fait directement sur la machine, ou distance avec un


terminal en mode scuris SSH ; ssh (192.168.0.1 sur le port 222) en mode console.

Figure III.21 : Mode console.

48
Figure III.22 : Mode console via le port 222

En trouve au niveau de Smoothwall diffrents outils sont disponibles, parmi eux loutil
Netfilter- iptables qui est conu pour le filtrage.

IX. Filtrage rseau et pare-feu avec Netfilter et iptables

1. Gnralits
Depuis la version 2.4, Linux contient un module destin a u filtrage rseau, Netfilte r. Il se
configure au moyen d'un outil appel iptables.
Le filtrage rseau consiste en l'examen des paquets rseaux et prendre des dcisions sur le
traitement leur appliquer. C'est ce que fait un pare-feu ou, en anglais, fire wall. Avec un
systme GNU/Linux, pour configurer des rgles de pare-feu, il faudra donc simplement
utiliser Netfilter l'aide d'iptables.
Cet article s'interesse uniquement au filtrage rseau IPV4 (qui est probablement celui que
vous utilisez si cela ne vous voque rien). Cela est possible pour d'autres protocoles et les
principes exposs ici resteront pour la plupart valides.
Netfilter travaille sur des paquets rseaux. Il s'agit de parties des informations transmises.
Pour, par exemple, tlcharger un fichier, celui-ci est dcoup en plusieurs paquets avant de

49
transiter sur le rseau. Chacun de ces paquets comporte en plus des donnes, des informations
ajoutes par les couches rseaux. Ce sont sur ces informations que s'effectueront les tests de
filtrage.
La couche rseau Linux prsente plusieurs points d'accs (en anglais hook). Netfilter dispose
de fonctions de rappel (callback). Celles-ci sont des suites d'instructions qui prcisent ce qui
doit tre fait lorsque survient un vnement.
Concrtement, lorsqu'un paquet rseau atteint un de ces points d'accs, il est pass Netfilter
par l'intermdiaire de sa fonction de rappel. Il est alors examin pour prendre une dcision
concernant son traitement futur.
Netfilter se comporte comme un automate qui compare le paquet successivement plusieurs
rgles.

File dattente Fonction de la file Transformation de Fonction de la chane


dattente paquet dans la chane
Filter Filtrage de paquet F ORWARD Filtre les paquets
destins des
serveurs accessibles
par une autre carte
rseau sur le pare-
feu.
INPUT Filtre les paquets
destins au pare- feu.
OUTPUT Filtre les paquets
mis par le pare-feu.
Nat Traduction dadresse PREROUTING Habituellement
rseau utilis pour traduire
50
les adresses avant le
routage. La
principale utilisation
est le destination
NAT (DNAT).
POSTROUTING Habituellement
utilis pour traduire
les adresses aprs le
routage. La
principale utilisation
est le source
NAT (SNAT).
OUTPUT Traduction dadresse
rseau pour les
paquets gnrs par
le pare- feu.
Mangle Modification des PREROUTING Modification du
paquets POSTROUTING paquet IP.
OUTPUT
INPUT
FORWARD

Tableau III.7 : Les diffrentes files dattente et chanes

Traitement des paquets par iptables

Il est ncessaire de spcifier la table et la chane pour chaque rgle dfinie. Il y a cependant
une exception : la plupart des rgles sont relatives au filtrage ; ainsi, toute chane qui est
dfinie sans table associe fera partie de la table filter. La table filter est donc la table par
dfaut.
Pour mieux comprendre, il suffit de se rfrer la figure ci-dessous. Dans cette figure, un
paquet TCP venant dInternet arrive sur linterface rseau du pare- feu via le rseau A pour
crer une connexion.

51
Figure III.19 Diagramme de traite ment des paquets dans iptables
Cibles et sauts :
Chaque rgle du pare- feu inspecte chaque paquet IP et puis tente de lidentifier afin de
dterminer quelle opration est effectuer dessus. Une fois la cible identifie, le paquet est
mis en attente pour un traitement ultrieur. Le tableau ci-dessous liste les utilisations des
cibles prdfinies.
Cible Description Options les plus utilises
ACCEPT o Iptables stoppe le N/A
traitement
o Le paquet est autoris
passer
DROP o Iptables stoppe le N/A
traitement
o Le paquet est bloqu
LOG o Linformation sur le --logprefix string
paquet est envoye au Indique iptables de prfixer tous
dmon syslog pour les messages de journalisation avec
journalisation. un chane de caractre dfinie par
o Iptables continue le lutilisateur.
52
traitement avec la rgle Frquemment utilis pour indiquer
suivante dans la table. pourquoi le paquet a t bloqu.
o Comme il nest pas --log- level niveau
possible de journaliser et Indique iptables et syslog le niveau
de bloquer en mme de journalisation utiliser.Le
temps. Il est dusage niveaux est
davoir deux rgles debug.info.notice.warning.err.crit.ale
similaires la suite. La rt.emerg
premire enregistre le
paquet. La seconde le
bloque.
REJECT o Fonctionne comme la cible --reject-with raison
DROP, mais retourne en La raison indique quel type de
plus un message message est
lmetteur du paquet retourn. Les raisons peuvent tre les
indiquant que le paquet a suivantes :
t bloqu. icmp-port-unreachable (default)
icmp-net-unreachable
icmp-host-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
tcp-reset
echo-reply
DNAT o Utilis pour faire une --to-destination <adresse> [-
traduction de ladresse <adresse>][:<port>[-<port>]]
rseau de destination, cest Indique iptables ce que
- dire une rcriture de l(les)adresse(s) IP et le(s) port(s) de
ladresse IP de destination destination doivent tre.
du paquet.
SNAT o Utilis pour faire une --to-source <addresse>[-
traduction de ladresse <addresse>][:<port>-<port>]
rseau source, c'est--dire Spcifie ladresse IP source et les
une rcriture de ladresse ports utiliser par SNAT.
IP source du paquet.
o Ladresse IP source est
dfinie par lutilisateur.
MASQUERADE o Utilis pour faire une [--to-ports <port>[-<port>]]
traduction dadresse Spcifie la plage de ports source
rseau source. laquelle le port source peut tre
o Par dfaut, ladresse IP mapp.
source est la mme que
celle utilise par
linterface du pare- feu.
o Cette option doit tre
utilise lorsque lIP de
linterface est susceptible
de changer, par exemple
dans le cas dune
connexion PPP.
Tableau III.8 Description des cibles les plus utilises
53
Les cibles SNAT et MASQUERADE sont quasiment similaires, mais il existe des diffrences
subtiles : la cible MASQUERADE est une forme spcialise de SNAT. Utilise de faon
basique comme la cible SNAT, elle ne ncessite aucune option --to-source, car a t
spcialement cre pour fonctionner avec des adresses IP dynamiques.
Si un systme utilise uniquement des adresses IP statiques, il est prfrable d'utiliser la cible
SNAT. Il est toujours possible d'utiliser la cible MASQUERADE au lieu de SNAT, mais au
dtriment de l'efficacit, car MASQUERADE doit vrifier chaque fois l'adresse IP source.
Oprations importantes
Chaque ligne dun script iptables a non seulement un saut, mais elle a aussi un certain nombre
doptions en ligne de commande qui sont utilises pour ajouter des rgles aux chanes qui
correspondent aux caractristiques du paquet, comme ladresse IP source ou le port TCP. Il y
a aussi des options qui peuvent tre utilises pour purger une chane. Le tableau ci-dessous
liste la plupart des options couramment utilises.
Commande Description
-t <-table-> Si la table nest pas spcifie, alors la table choisie par dfaut est
filter. Les tables prdfinies sont : filter, nat, mangle.
-j <cible> Saute la cible spcifie lorsque le paquet correspond la rgle.
-A Ajoute la rgle la fin de la chane.
-F Flush. Supprime toutes les rgles de la table slectionne.
-p < type-protocole> Protocole surveiller. Le type inclut icmp, tcp, udp, etc.
-s < addresse-ip> Adresse IP source surveiller.
-d < addresse-ip > Adresse IP destination surveiller.
-i <nom- interface> Interface dentre surveiller (le paquet entre par cette interface).
-o < nom- interface > Interface de sortie surveiller (le paquet sort par cette interface).
Tableau III.9 Critres gnraux de slection

Commande Description
-p tcp --sport <port> Port TCP source. Peut tre une valeur
unique ou une plage dans ce format :
numro-portde-
dpart:numro-port- fin.
-p tcp --dport <port> Port TCP destination. Peut tre une valeur
unique ou une plage dans ce format :
numroport-
de-dpart:numro-port- fin.
-p tcp --syn Utilis pour identifier une nouvelle demande
de connexion TCP. ! syn indique tout
sauf une nouvelle requte de connexion .
-p udp --sport <port> Port UDP source. Peut tre une valeur unique
ou une plage dans ce format : numro-
portde-
dpart:numro-port- fin.
-p udp --dport <port> Port UDP destination. Peut tre une valeur
unique ou une plage dans ce format :
numroport-
de-dpart:numro-port- fin.

Tableau III.10 Critres de slection tcp et udp


54
Correspondance Description
--icmp-type <type> Les types les plus couramment utiliss sont
echo-reply et echo-request
Tableau III.10 Critre de slection ICMP (ping)
Il est possible dutiliser la fonction limit pour rduire la vulnrabilit du systme certains
types dattaques par dni de service. Ici, la dfense contre des attaques par SYN flood a t
mise en place en limitant le nombre de segments TCP avec le bit S YN fix un nombre
maximal de cinq par seconde.

Commande Description
-m multiport --sport <port, port> Une varit de ports source TCP/UDP,
spars par des virgules.
-m multiport --dport <port, port> Une varit de ports destination TCP/UDP,
spars par des virgules.
-m multiport --port <port, port> Une varit de ports TCP/UDP, spars par
des virgules. Les ports source et
destination sont supposs tre les mmes.
-m --state <tat> Les tats les plus utiliss sont les suivants :
ESTABLISHED : Le paquet est une partie
dune connexion o il y a eu un
change bilatral.
NEW: Le paquet est le dbut dune nouvelle
connexion.
RELATED: Le paquet est le dbut dune
nouvelle connexion secondaire.
Cest une caractristique commune des
protocoles comme le transfert des
donnes FTP ou une erreur ICMP.
INVALID: Le paquet ne peut pas tre
identifi. Peut tre en raison de
linsuffisance des ressources du systme, ou
des erreurs ICMP qui ne correspondent pas
un flux de donne existant.
Lannexe 1 fournit des informations
complmentaires sur les tats des
connexions.

Tableau III.11 Critres tendus de slection

55
1. Quelque exemple de rgle :
Effacer de toutes les rgles :
Iptables F

Listage des rgles :


Iptables L t FILTER, iptables -L t MANGLE, iptables L t nat

Blocage bas sur linterface :


Iptables A INPUT i eth0 s 10.10.10.0/24 j DROP

Blocage base sur le protocol:


Iptables A INPUT p udp dport 514 j ACCEPT

Effacer toutes les rgles dune chane :


Iptables Z t NAT (Z : ze ro)

Cration dune nouvelle chane :


Iptables N nom (ex : iptables N INTRANET)
Renommer une chane : iptables E ancien nouveau

Redirection vers la nouvelle chane : iptables A INPUT s 10.10.10.0/24 j INTRANET

Plusieurs ports : iptables A INPUT p tcp m multiport dport 23,80 j DROP

@MAC : iptables A INPUT p tcp m mac mac-source 00 :bb :aa :cc :ed :08 j DROP
@MAC : iptables A INPUT p tcp m mac mac-destination 00 :bb :aa :cc :ed :08 j DROP

56
2. Exprime ntation et Application au rseau test :

Figure III.22 rseau test

1. Gnration des rgles :

Initialisation de la table filter :


Iptables F
Iptables -X

On ignore tout ce qui entre ou transite par la passerelle :


Iptables P INPUT DROP
Iptables P FORWARD DROP

On accepte, ce qui sort


Iptables P OUTPUT ACCEPT

Autorise laccs la loopback,


Iptables A INPUT i lo j ACCEPT
Iptables A OUTPUT o lo j ACCEPT

On autorise les clients accde internet en crant une nouvelle chane, appelons- la local-
internet
Iptables N local-internet

local- internet concerne toutes les connections sauf celles venant dinternet
Iptables A local-internet m state state NEW i ! ppp0 -j ACCEPT

Evidemment, une fois accepts comme local- internet, les connections peuvent continuer

57
Iptables A local-internet m state state ESTABLISHED, RELATED j
ACCEPT
Iptables A INPUT j local-internet
Iptables A FORWARD j local-internet

Initialisation des tables nat et mangle

Iptables -t nat -F
Iptables -t nat -X
Iptables -t nat P PREROUTING ACCEPT
Iptables -t nat P POSTROUTING ACCEPT
Iptables -t nat P OUTPUT ACCEPT

Iptables -t mangle -F
Iptables -t mangle X
Iptables -t mangle -P PREROUTING ACCEPT
Iptables -t mangle -P POSTROUTING ACCEPT

Partage de connexion :
Iptables -t nat A POSTROUTING s 192.1680.0/24 o ppp0 j MASQUERADE

Activation de la passerelle :
Echo "[activation de la passerelle]"
Echo 1> /proc/sys/net/ipv4/ip_forward

Fonctionnalits serveurs:
A ce stade, tous nos clients du rseau local et de la passerelle ont accs internet. Mieux, On
suppose quon possde un serveur http ou messagerie nos clients du rseau local, ont accs
notre serveurs Mais personne depuis internet ne peux accder ce serveur que vous hbergs.
Il est bien-sr possible de dverrouiller ponctuellement laccs un serveur depuis internet,
voila quelque exemple :
Autorisation du serveur ssh(22)
Iptables A INPUT p tcp dport ssh j ACCEPT
Autorisation du serveur smtp(25)
Iptables A INPUT p tcp dport s mtp j ACCEPT

Autorisation du serveur http(80)


Iptables A INPUT p tcp dport www j ACCEPT

2. Enregistrement : les logs


Il peut tre intressant denregistrer les tentatives de connexion votre machine, les scans de
ports. Mais attention, si tous les ports scanns sont enregistrs, le serveur risque de saturer
aussi bien en performance CPU aussi bien quen espace disque.

58
Pour enregistrer les scans de ports TCP furtifs avec un maximum de trois par secondes, il
suffit dajouter la ligne suivante avant la rgle rejetant le paquet.
Iptables A INPUT m limit limit 3/s LOG log-prefix "BAD INPUT"
Chaque ligne sera prfixe par BAD INPUT, le prfixe pouvant faire jusqu 29 caractres.
Le fichier messages dans le rpertoire /var/log contient tout lhistorique on peut lafficher a
laide de commende cat.

Figure III.23 Exemple de log

3. Gnration de script fire wall


La configuration du pare- feu iptables Smoothwall est stocke dans / etc / rc.d / rc.firewall.up,
afin d'apporter des modifications au pare- feu, vous aurez besoin pour diter ce script.
Notez que vous pouvez utiliser divers pseudonymes dans le script de pare- feu pour faire
rfrence des interfaces rseau vert et rouge (c'est dire, RED_DEV $, GREEN_DEV $),
les adresses IP (c'est dire, GREEN_ADDRESS $), les adresses rseau (c'est dire,
GREEN_NETADDRESS $), et des sous-rseaux ( ie, $ GREEN_NETMASK).
Ces alias sont dfinis dans / var / Smoothwall / Ethernet / rglages et que ce fichier ne doit pas
tre modifi, car il est gnr par le programme de configuration de Smoothwall.
Notez que si votre interface ROUGE est un modem, RNIS ou via PPPoE ou PPPoA, vous ne
pouvez pas utiliser l'alias $ RED_DEV, mais besoin de spcifier le nom de l'interface relle,
par exemple, ppp0.

4. Appliquer les modifications


Toute modification apporte au script de pare-feu ne prendra pas effet immdiatement.

Aprs avoir modifi le script du pare- feu, on doit soit redmarrer le Smoothwall, ou excuter
la commande suivante partir dune ligne de commande:

/etc/rc.d/rc.netaddress.down; /etc/rc.d/rc.netaddress.up

Ce sera une nouvelle demande de pare- feu, et les modifications dans le script de pare- feu
devraient prendre effet.
Notons que on a du excut cette commande sur une seule ligne, sinon la connexion SSH
sera rsili. Notons galement que si on veut utiliser le proxy Web Smoothwall en mode
transparent, et utiliser les scripts rc.netaddress.down pour redmarrer le pare- feu sans avoir

59
redmarrer le PC, les rgles appropries iptables pour rediriger le trafic Web via le proxy ne
seront pas charges.

Pour appliquer le script au dmarrage, il a fallu rajouter dans le fichier /etc/rc.d la ligne :
/etc/init.d/firewall
Notre script contenant un certain nombre dargument, Start pour dmarrer, stop pour larrter,
restart pour le redmarrer et status pour voir les rgles en cours, dont voici le contenu.

############################REGLES PAR DEFAUT###########################


firewall_start () {
echo "[Initialisation de la table filter]"
Iptables F
Iptables X

echo "[Politique par dfaut de la table filter]"

#On ignore tout ce qui entre ou transite par la passerelle


Iptables P INPUT DROP
Iptables P FORWARD DROP

#On accepte, ce qui sort


Iptables P OUTPUT ACCEPT

#Autorise laccs la loopback,


Iptables A INPUT i lo j ACCEPT
Iptables A OUTPUT o lo j ACCEPT

########################LOCAL-INTERNET#################################

echo "[On autorise les clients accde internet]"


#en crant une nouvelle chane, appelons- la local- internet
Iptables N local-internet

#On dfinit le profil de ceux qui appartiendront "local- internet"


Iptables A local-internet m state state NEW i ppp0 -j DROP

#Evidemment, une fois accepts comme local- internet, les connections peuvent continuer
Iptables A local-internet m state state ESTABLISHED, RELATED j
ACCEPT
Iptables A INPUT j local-internet
Iptables A FORWARD j local-internet

60
#######################LES TABLES NAT ET MANGLE########################
echo "[Initialisation des tables nat et mangle]"

Iptables -t nat -F
Iptables -t nat -X
Iptables -t nat P PREROUTING ACCEPT
Iptables -t nat P POSTROUTING ACCEPT
Iptables -t nat P OUTPUT ACCEPT

Iptables -t mangle -F
Iptables -t mangle X
Iptables -t mangle -P PREROUTING ACCEPT
Iptables -t mangle -P OUTPUT ACCEPT

##########################LE MASQUERADING##############################
#Commentez ces 2 lignes, si vous ne fates pas du masquerading (nat)
echo "[Mise en place du masquerading]"
Iptables -t nat A POSTROUTING s 192.1680.0/24 o ppp0 j MASQUERADE

###########################ACTIVATION DE LA PASSERELLE#################
Echo "[activation de la passerelle]"
Echo 1> /proc/sys/net/ipv4/ip_forward

##############################PAS DE SYNFLOOD###########################

echo "[pas de synfood]"


if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

#############################PAS DE PING##################################
#Commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas de Ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_respinses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

###################On prpare iptables pour utilisation de logs######################


iptables A INPUT j LOG --log-prefix "BAD INPUT"
iptables -P INPUT DROP

iptables A INPUT j LOG log-prefix Bad FORWARD

61
iptables P FORWARD DROP

##########################Fonctionnalits serveurs ############################

echo "[tude Fonctionnalits serveurs, visibles depuis internet]"

#A ce stade, tous nos clients du rseau local et de la passerelle ont accs internet.
#Mieux, On suppose quon possde un serveur http ou messagerie nos clients du rseau

#en dcommettant les 2 ou 3 lignes correspondantes

#Autorisation du serveur ssh(22)


#Iptables A INPUT p tcp dport ssh j ACCEPT

#Autorisation du serveur smtp(25)


#Iptables A INPUT p tcp dport s mtp j ACCEPT
#Autorisation du serveur http(80)
#Iptables A INPUT p tcp dport www j ACCEPT

echo "[fire wall activ!]"


}

firewall_stop () {

iptables F
iptables -X
iptables P INPUT ACCEPT
iptables P FORWARD ACCEPT
iptables P OUTPUT ACCEPT

iptables -t nat - F
iptables - t nat -X
iptables - t nat P PREROUTING ACCEPT
iptables - t nat P POSTROUTING ACCEPT
iptables - t nat P OUTPUT ACCEPT

iptables - t mangle -F
iptables - t mangle -X
iptables - t mangle P PREROUTING ACCEPT
iptables - t mangle P OUTPUT ACCEPT

echo "[firewall dsactiv!]"


}

62
fire wall_restart () {
fire wall_stop
sleep2
fire wall_start
}

case "$1" in
start)
firewall_start
;;
stop)
firewall_stop
;;
restart)
firewall_restart
;;
status)
iptables L
iptables t nat L
iptables t mangle L
;;
*)
echo "Usage: fire wall {start|stop|restart|status}"
esac

63
5. Les Tests du fire wall

Apres la mise en marche de firewall on doit tester sa fonctionnalit. Dans notre test linterface
rouge (internet) est reprsenter par un PC (IP : 192.168.0.1).On effectu trois test lists ci-
dessous :

a) Les pings

Avant dactiver le firewall :

Figure III.23: Ping avant dactiver le firewall

Figure III.24: Ping aprs lactivation de fire wall

64
b) Scanner les ports

Pour scanner les ports on utilise : zenmap

Avant dactiver le firewall :

Figure III.25: Rsultat du scan avant lactivation du par feu (scanner de port)

Comme on peut le voir, il y a 2 ports ouverts.

Figure III.26: Rsultat du scan Apres (scanner de port)


Le scan ne donne rien comme rsultat car le firewall a empch le scan.
65
c) Bloquer un port
A titre dexemple en prend le port 53, pour la vrification on utilise toujours Zenmap. Pour
bloquer un port on utilise la commande iptables suivante :
iptables A INPUT p tcp dport 53 --j DROP
Avant dintroduire la rgle dans le script :

Figure III.27: Rsultat de scan avant (Bloquer un port)

Figure III.28: Rsultat du scan Aprs (Bloquer un port)

66
Conclusion

Maitriser les outils de scurisation des rseaux locaux nest pas chose aise, surtout que le
nombre de failles ne cesse daugmenter et les intrusions nombreuses.
Protger sa vie prive, ses donnes ou laccs son rseau est une ncessit notre poque.
Dans ce chapitre, on a mont un rseau test qui nous a permis dexprimenter le degr de
scurit quapporte un firewall un rseau local ou mme un PC personnel.
En rsume, les rsultats observs nous permettent de dire que nous avons russi scuriser
notre rseau contre certaines attaques connues, car les mfaits des virus et autres programmes
espions ne sont nullement arrts par le firewall. Ce point faible du firewall na pas trouv de
solutions, car il nest pas envisageable ce jour de faire rechercher les virus par le firewall,
sinon on ralentirait dramatiquement le rseau, chose qui est exclue moins davoir des
avances concernant la rapidit de traitements dans un proche avenir. On a procd
plusieurs essais pour connecter des utilisateurs non autoriss, sans succs. Le firewall
fonctionne correctement sans tre parfait 100 pourcent.

67
Conclusion Gnrale

Dans ce PFE, on sest propos de nous intresser la scurit des rseaux informatiques et en
particulier la mise en place dun firewall, qui filtrera tout ce qui rentre et sort du rseau priv
vers INTERNET. Pour cela, on sest dabord intress aux attaques existantes et aux
techniques de scurit utilises jusqu ce jour. Entre autre, lauthentification, le contrle
daccs, la confidentialit et lintgrit des donnes, le non rpudiation etc.

Il existe un moyen pour effectuer plusieurs actions scuritaires en mme temps et un


endroit nvralgique, qui pourrait tre lentre du rseau priv, par lintermdiaire dun
firewall, do notre intrt pour ce moyen efficace de scuriser un rseau LAN. Cest ce qui a
motiv ce travail, et donc on a install et configur un firewall, en tablissant des rgles de
filtrage prcises, selon nos besoins et on a ensuite effectu des tests de bon fonctionnement,
en utilisant un rseau test constitu du firewall au milieu de rseau LAN priv et le net.

Les rsultats obtenus nous confortent dans lide que pour scuriser les donnes nvralgiques
ou tout btement sa vie prive, un firewall simpose comme une solution trs efficace et peu
coteuse.

68
Rfrences Bibliographiques

[1] www.smoothwall.org/ dernier visite le : 26/09/2011

[2] Cisco CCNA1 Module 9 Piles des protocoles TCP/IP et adressage IP V3.1.

[3] Mme Nadia Nouali -Les firewalls comme solution aux problmes de scurit -2008

[5] www.c-sait.net/cours/iptables dernier visite le : 25/09/2001

[6] patrick Ducrot-Scurit Informatique-2009


www.ducrot.org/securite.pdf

[7] Scurit des rseaux informatiques - Bernard Cousin -Universit de Rennes 1

[8] Guide de configuration Netfilter- iptables.

69
Liste de figure

Figure I.1 Exemple des trois types de rseaux..........................................................................7


Figure I.2 Configuration ncessaire pour le Non Blind Spoofing...........................................12
Figure I.3 Exemple de pile contenant deux tableaux...15
Figure I.4 Exemple de Buffer Over flow.................................................................................15
Figure I.5 Chiffrement et dchiffrement..................................................................................17
Figure I.6 Chiffrement conventionnel......................................................................................18
Figure I.7 Chiffrement cl publique......................................................................................19
Figure I.8 Comment fonctionne le chiffrement de PGP..........................................................20
Figure I.9 Comment fonctionne le dchiffrement de PGP......................................................20
Figure I.10 VPN IPSec............................................................................................................21
Figure I.11 VPN IP MPLS......................................................................................................22
Figure I.12 Architecture DMZ.................................................................................................23
Figure I.13 Le mcanisme de translation d'adresses................................................................24
Figure II.14 Le pare- feu...........................................................................................................28
Figure II.15 Le filtrage de paquets IP......................................................................................29
Figure II.16 Le serveur mandataire.........................................................................................31
Figure II.17 Rgles dynamiques et adaptatives pour une session FTP active.........................32
Figure III.17 Rseau test..........................................................................................................38
Figure III.18 Dfinition des interfaces vert, Rouge, Orange et violet ....39
Figure III.19 type de configuration rseau..............................................................................43
Figure III.20 configuration de linterface rouge......43
Figure III.21 mode console......................................................................................................43
Figure III.19 Diagramme de traitement des paquets dans iptables..........................................46
Figure III.22 rseau test...........................................................................................................52
Figure III.23 Ping avant dactiver le firewall..........................................................................58
Figure III.24 Ping aprs lactivation de firewall.....................................................................58
Figure III.25 rsultat du scan avant (scanner de port).............................................................59
Figure III.26 Rsultat du scan Apres (scanner de port)...........................................................59
Figure III.27 Rsultat de scan avant (Bloquer un porte).........................................................60
Figure III.28 Rsultat du scan Aprs (Bloquer un porte)........................................................60

70
Liste des tableaux

Tableau I.1 Support de communication......................................................................................8


Tableau I.2 correspondance de modle TCP /IP en OSI.............................................................8
Tableau I.3 Comparaison IP Public /IP Priv...........................................................................21
Tableau III.4 Comparatif des solutions.....................................................................................38
Tableau III.5 les spcifications matrielles minimales ............................................................41
Tableau III.6 : Les Messages et Les conventions.....................................................................41
Tableau III.7 les diffrentes files dattente et chanes...............................................................44
Tableau III.8 Description des cibles les plus utilises..............................................................48
Tableau III.9 Critres gnraux de slection.............................................................................48
Tableau III.10 Critres de slection tcp et udp.........................................................................49
Tableau III.11 Critres tendus de slection.............................................................................50

71
Liste des abrviations

A
ACK : l'acquittement d'une donne ou d'une information consiste informer son metteur de
sa bonne rception. On utilise souvent le terme ack pour un acquittement, ce terme correspond
l'quivalent anglais du terme : acknowledgement.

ADSL:LAsymmetric Digital Subscriber Line (ADSL) est une technique de communication


qui permet d'utiliser une ligne tlphonique ou une ligne RNIS pour transmettre et recevoir
des donnes numriques de manire indpendante du service tlphonique proprement dit
(contrairement aux modems dits analogiques). Cette technologie est massivement mise en
uvre par les fournisseurs d'accs Internet pour le support des accs dits haut-dbit .

ARP : LAddress resolution protocol (ARP, protocole de rsolution dadresse) est un


protocole effectuant la traduction dune adresse de protocole de couche rseau (typiquement
une adresse IPv4) en une adresse MAC (typiquement une adresse ethernet), ou mme de tout
matriel de couche de liaison. Il se situe linterface entre la couche rseau (couche 3 du
modle OSI) et la couche de liaison (couche 2 du modle OSI).

B
BIOS :Le Basic Input Output System (BIOS, en franais : s ystme lmentaire
d'entre/sortie ) est, au sens strict, un ensemble de fonctions, contenu dans la mmoire morte
(ROM) de la carte mre d'un ordinateur, lui permettant d'effectuer des oprations lmentaires
lors de sa mise sous tension, par exemple la lecture d'un secteur sur un disque. Par extension,
le terme est souvent utilis pour dcrire l'ensemble du micrologiciel de la carte mre.

BSD : Berkeley Software Distribution, abrg en BSD, dsigne en informatique une famille
de systmes d'exploitation Unix, dvelopps l'Universit de Californie (Berkeley) entre
1977 et 1995 par un groupe de programmeurs qui comprend notamment Bill Joy, Mars hall
Kirk McKusick et Kenneth Thompson.

D
DES : Le Data Encryption Standard (DES) est un algorithme de chiffrement symtrique
(chiffrement par bloc) utilisant des cls de 56 bits. Son emploi n'est plus recommand
aujourd'hui, du fait de sa lenteur l'excution et de son espace de cls trop petit permettant
une attaque systmatique en un temps raisonnable. Quand il est encore utilis c'est
gnralement en Triple DES, ce qui ne fait rien pour amliorer ses performances. DES a
notamment t utilis dans le systme de mots de passe UNIX.

DHCP:Dynamic Host Configuration Protocol (DHCP) est un terme anglais dsignant un


protocole rseau dont le rle est dassurer la configuration automatique des paramtres IP
dune station, notamment en lui affectant automatiq uement une adresse IP et un masque de
sous-rseau. DHCP peut aussi configurer ladresse de la passerelle par dfaut, des serveurs de
noms DNS et des serveurs de noms NBNS (connus sous le nom de serveurs WINS sur les
rseaux de la socit Microsoft).

72
DMZ : En informatique, une zone dmilitarise (ou DMZ, de l'anglais demilitarized zone) est
un sous-rseau spar du rseau local et isol de celui-ci et d'Internet par un pare- feu. Ce
sous-rseau contient les machines tant susceptibles d'tre accdes depuis Internet.
Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les services
susceptibles d'tre accds depuis Internet seront situs en DMZ.

DoS : Une attaque par dni de service (denial of service attack, d'o l'abrviation DoS) est une
attaque ayant pour but de rendre indisponible un service, d'empcher les utilisateurs lgitimes
d'un service de l'utiliser.

F
FTP : Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole
de communication destin l'change informatique de fichiers sur un rseau TCP/IP. Il
permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du rseau,
d'alimenter un site web, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur.

H
HSRP : Hot Standby Router Protocol (HSRP) est un protocole propritaire de Cisco
implment sur les routeurs et les commutateurs de niveau 3 per mettant une continuit de
service. HSRP est principalement utilis pour assurer la disponibilit de la passerelle par
dfaut dans un sous-rseau en dpit d'une panne d'un routeur.

I
IANA :L'Internet Assigned Numbers Authority (IANA) est une organisation dont le rle est
la gestion de l'espace d'adressage IP d'Internet, et des autres ressources partages de
numrotation requises soit par les protocoles de communication sur Internet, soit pour
l'interconnexion de rseaux Internet.

ICMP :Internet Control Message Protocol est l'un des protocoles fondamentaux constituant la
suite de protocoles Internet. Il est utilis pour vhiculer des messages de contrle et d'erreur
pour cette suite de protocoles, par exemple lorsqu'un service ou un hte est inaccessible.

IDE : Un environnement de dveloppement intgr (EDI ou IDE en anglais pour Integrated


Development Environment) est un programme regroupant un ensemble d'outils pour le
dveloppement de logiciels.

IGMP : Internet Group Management Protocol (IGMP) est un protocole qui permet des
routeurs IP de dterminer de faon dynamique les groupes multicast qui disposent de clients
dans un sous-rseau.

IP : Internet Protocol (abrg en IP) est une famille de protocoles de communication de


rseau informatique conus pour et utiliss par Internet. Les protocoles IP sont au niveau 3
dans le modle OSI. Les protocoles IP s'intgrent dans la suite des protocoles Internet et
permettent un service d'adressage unique pour l'ensemble des terminaux connects.

73
IPS : Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil
des spcialistes en scurit des systmes d'information, similaire aux IDS, permettant de
prendre des mesures afin de diminuer les impacts d'une attaque.

L
LAN : Un rseau local, souvent dsign par l'acronyme anglais LAN de Local Area Network,
est un rseau informatique tel que les terminaux qui y participent (ordinateurs, etc.) s'envoient
des trames au niveau de la couche de liaison sans utiliser de routeur intermdiaire.

LIFO : Last In, First Out, souvent abrg par l'acronyme LIFO, signifie dernier arriv,
premier sorti . Cette expression est utilise en informatique pour dcrire une manire de
traiter des donnes. La dernire donne ajoute la structure est ainsi la premire tre
retire. La structure de pile repose sur ce principe.

M
MAC : Le Contrle d'accs au support (Media Access Control en anglais ou MAC) est une
sous-couche, selon les standards de rseaux informatiques IEEE 802.x, de la partie infrieure
de la couche de liaison de donnes dans le modle OSI.

MAN : Un rseau mtropolitain (en anglais Metropolitan Area Network, MAN) dsigne un
rseau compos d'ordinateurs habituellement utilis dans les camp us ou dans les villes. Le
rseau utilise gnralement des fibres optiques.

N
NAT :En rseau informatique, on dit qu'un routeur fait du Network Address Translation
(NAT) ( traduction d'adresse rseau [1]) lorsqu'il fait correspondre les adresses IP internes
non-uniques et souvent non routables d'un intranet un ensemble d'adresses externes uniques
et routables.

NIC : Une carte rseau est matrialise par un ensemble de composants lectroniques souds
sur un circuit imprim. L'ensemble constitu par le circuit imprim et les composants souds
s'appelle une carte lectronique, d'o le nom de carte rseau.

O
OSI : Le modle OSI (de l'anglais Open Systems Interconnection, Interconnexion de
systmes ouverts ) d'interconnexion en rseau des systmes ouverts est un modle de
communications entre ordinateurs propos par l'ISO (Organisation internationale de
normalisation).

P
PGP : La cryptographie hybride est un systme de cryptographie faisant appel aux deux
grandes familles de systmes cryptographiques : la cryptographie asymtrique et la
cryptographie symtrique. Les logiciels comme PGP et GnuPG reposent sur ce concept qui
permet de combiner les avantages des deux systmes.
74
POP : POP (Post Office Protocol littralement le protocole du bureau de poste), est un
protocole qui permet de rcuprer les courriers lectroniques situs sur un serveur de
messagerie lectronique.

R
RAM : La mmoire vive, mmoire systme ou mmoire volatile, aussi appele RAM de
l'anglais Random Access Memory (que l'on traduit en franais par mmoire accs direct.

RARP : RARP (pour Reverse ARP) permet partir d'une adresse matrielle (adresse MAC)
de dterminer l'adresse IP d'une machine. En rsum, RARP fait l'inverse de ARP.

RFC : Les requests for comments (RFC), littralement demande de commentaires , sont
une srie numrote de documents officiels dcrivant les aspects techniques d'Internet, ou de
diffrent matriel informatique (routeurs, serveur DHCP).

RJ45 : Un connecteur RJ45 est une interface physique souvent utilise pour terminer les
cbles de type paire torsade.

RNIS : Un rseau numrique intgration de services (RNIS, en anglais ISDN pour


Integrated Services Digital Network) est une liaison autorisant une meilleure qualit et des
vitesses pouvant atteindre 2 Mbit/s (accs S2) contre 56 kbit/s pour un modem classique.

RSA : Rivest Shamir Adleman (presque toujours abrg en RSA) est un algorithme de
cryptographie asymtrique, trs utilis dans le commerce lectronique, et plus gnralement
pour changer des donnes confidentielles sur Internet.

S
SCSI :SCSI, Small Computer System Interface en anglais, est un standard dfinissant un bus
informatique permettant de relier un ordinateur des priphriques ou bien mme un autre
ordinateur.

SMTP : Le Simple Mail Transfer Protocol (littralement Protocole simple de transfert de


courrier ), gnralement abrg SMTP, est un protocole de communication utilis pour
transfrer le courrier lectronique (courriel) vers les serveurs de messagerie lect ronique.

SSH : Secure Shell (SSH) est la fois un programme informatique et un protocole de


communication scuris. Le protocole de connexion impose un change de cls de
chiffrement en dbut de connexion. Par la suite toutes les trames sont chiffres. I l devient
donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur.

T
TCP : Transmission Control Protocol (littralement, protocole de contrle de transmissions
) abrg TCP, est un protocole de transport fiable, en mode connect, doc ument dans la
RFC 793 de l' IETF.

TELNET : Telnet (TErminal NETwork ou TELecommunication NETwork, ou encore


TELetype NETwork) est un protocole rseau utilis sur tout rseau supportant le protocole
75
TCP/IP. Il appartient la couche session du modle OSI et la couche application du modle
ARPA.

TTL : Transistor-Transistor Logic ou TTL est une famille de circuits logiques utilise en
lectronique invente dans les annes 1960. Cette famille est ralise avec la technologie du
transistor bipolaire et tend disparatre du fait de sa consommation nergtique leve
(comparativement aux circuits CMOS).

U
UDP : LUser Datagram Protocol (UDP, en franais protocole de datagramme utilisateur) est
un des principaux protocoles de tlcommunication utiliss par Internet. Il fait partie de la
couche transport de la pile de protocole TCP/IP : dans l'adaptation approximative de cette
dernire au modle OSI, il appartiendrait la couche 4, comme TCP.

V
VPN : Dans les rseaux informatiques et les tlcommunications, le rseau priv virtuel
(Virtual Private Network en anglais, abrg en VPN) est vu comme une extension des rseaux
locaux et prserve la scurit logique que l'on peut avoir l'intrieur d'un rseau local. Il
correspond en fait une interconnexion de rseaux locaux via une technique de tunnel .

VRRP : Virtual Router Redundancy Protocol (protocole de redondance de routeur virtuel,


VRRP) est un protocole non propritaire redondant dcrit dans la RFC 3768 dont le but est
d'augmenter la disponibilit de la passerelle par dfaut servant les htes d'un mme sous-
rseau.

W
WAN : Un rseau tendu (terme recommand au Qubec par l'OQLF[1]), souvent dsign par
l'anglais Wide Area Network (WAN), est un rseau informatique couvrant une grande zone
gographique, typiquement l'chelle d'un pays, d'un continent, voire de la plante entire. Le
plus grand WAN est le rseau Internet.

76
Dans ce PFE, on sest propos de nous intresser la scurit des rseaux informatiques et en
particulier la mise en place dun firewall, qui filtrera tout ce qui rentre et sort du rseau priv
vers INTERNET. Pour cela, on sest dabord intress aux attaques existantes et aux
techniques de scurit utilises jusqu ce jour. Entre autre, lauthentification, le contrle
daccs, la confidentialit et lintgrit des donnes, le non rpudiation etc.

Le premier chapitre consiste a tudier le rseau local et les mthodes de hackings ainsi les
mthodes de dfenses associe puis en a tudier le firewall et enfin un tude pratique sur le
systme de protection Smoothwall et outil de filtrage netfilter a laide diptables ...

77

Vous aimerez peut-être aussi