Ecole Nationale d’Electronique et des

Télécommunications de Sfax

TD 1 : Architectures sécurisées des réseaux

Exercice 1
Considérons un réseau d'entreprise dont formé par deux PC : PC1 et PC2 et une zone
démilitarisé contenant un serveur web. Ce réseau est protégé par un firewall
Iptables.Configurez la politique par défaut du pare-feu pour refuser tout trafic.
1. Configurez le pare-feu pour autoriser les requêtes ping (echo request/echo reply) à destination
et en provenance du pare-feu.
2. Configurez le pare-feu pour autoriser les connexions SSH en provenance du PC1 et à
destination du pare-feu.
3. Configurez le pare-feu pour autoriser le LAN à naviguer sur le Web (http).
4. Configurez le pare-feu pour autorisez les connexions SSH en provenance du PC1 et à
destination du serveur de la DMZ.

10.10.1.2

10.10.1.1

eth 0 eth 1

10.10.1.10

Exercice 2
Considérons un réseau d'entreprise dont l'adresse est 120.1.0.0/16. La machine d'adresse
120.1.0.1 héberge un serveur HTTP et un serveur SMTP. Nous l'appellerons dans la suite
«serveur». Le réseau de cette entreprise est relié à Internet par un routeur. Le but de cet
exercice est d'étudier le firewall implémenté sur le routeur. La figure suivante représente le
réseau étudié.

A.U 2020/2021 1
Voici la politique de sécurité à appliquer :

✔Seules les machines du LAN peuvent ouvrir des connexions sur le serveur HTTP interne.

✔ Toutes les machines du LAN peuvent ouvrir une connexion sur un serveur HTTP de
l'extérieur.

✔ Toutes les machines (du LAN ou de l'extérieur) peuvent ouvrir des connexions sur le
serveur SMTP interne.

✔ Toutes les machines du LAN peuvent ouvrir une connexion sur un serveur SMTP de
l'extérieur.

✔Tous les autres trafics sont interdits.

Voici une première version du filtre appliqué sur routeur (pour simplifier la lecture, le numéro
de chaque règle est ajouté en début de ligne) :
règle 1 iptables -F
règle 2 iptables -P INPUT DROP
règle 3 iptables -P OUTPUT DROP
règle 4 iptables -P FORWARD DROP
règle 5 iptables -A FORWARD -i eth1 -o eth0 -s 120.1.0.0/16 -p tcp --dport 80 -j ACCEPT
règle 6 iptables -A FORWARD -o eth1 -i eth0 -d 120.1.0.0/16 -p tcp --sport 80 -j ACCEPT
règle 7 iptables -A FORWARD -i eth1 -o eth0 -s 120.1.0.0/16 -p tcp --dport 25 -j ACCEPT
règle 8 iptables -A FORWARD -o eth1 -i eth0 -d 120.1.0.0/16 -p tcp --sport 25 -j ACCEPT
règle 9 iptables -A FORWARD -i eth0 -o eth1 -d 120.1.0.0/16 -p tcp --dport 25 -j ACCEPT
règle 10 iptables -A FORWARD -o eth0 -i eth1 -s 120.1.0.0/16 -p tcp --sport 25 -j ACCEPT
1) Donner un exemple de règle qui permet de forwarder tout paquet relatif à une
connexion déjà établi ou en rapport avec une connexion déjà établi de eth0 vers eth1
2) Pourquoi précise-t-on les interfaces et les adresses IP dans les règles 5 à 10 ? Les
adresses IP seules ne suffisent-elles pas ?
3) Pour chaque tentative de connexion décrite ci-dessous (a) b) c) d)), indiquez :
- si la connexion aboutit ou non,
- dans le cas où la connexion aboutit, précisez grâce à quelles règles
- dans le cas où la connexion n'aboutit pas, précisez à cause de quelles règles
a) Une machine interne tente de se connecter à un serveur HTTP externe
b) Une machine interne tente de se connecter à un serveur SSH externe
c) Une machine externe tente de se connecter au serveur SMTP interne
d) Une machine interne tente de se connecter à un serveur SMTP externe
4) Comment un pirate utilisant une machine externe pourrait-il se connecter sur le
serveur HTTP interne malgré ces règles de filtrage ? Expliquez le principe de l'attaque
et indiquez les règles laissant passer les paquets.

A.U 2020/2021 2
Exercice 3
L’entreprise X, dispose d’un réseau informatique protégé par un firewall (Netfilter).

Les règles de sécurité suivantes sont mises en œuvre :

Ces règles sont traitées séquentiellement jusqu’à ce que l’une d’entre elles soit vérifiée.
Adresses MAC des cartes Ethernet du Pare feu :
 Réseau interne : 00-10-5A-A6-42-A4
 Côté ADSL : 00-40-05-56-B0-D9
1. Déterminez l’action du pare-feu à la réception des trames 1, 2 et 3 Justifiez en indiquant
la règle qui vérifie chacune d’entre elles.
2. Quelle règle faut-il ajouter (et entre quelles règles) pour que la trame 4 ne soit pas
refusée ?

A.U 2020/2021 3
Trame 1
Des: 00-10-5A-A6-42-A4 Src : 00-60-08-1F-F7-4E Type:0800 Ethernet_II
IP Ver=4 Service=00 LenHead=5 TotalLen=005C Number=C605 frag=0000 TTL=0x01
Des=193.252. 19. 3 Src=192.168.106. 99
Prot=ICMP Demande d'écho
00 E8 FF 01 00 0E 00 00 00 00 00 00 00 00 00 00

Trame 2
Des: 00-10-5A-A6-42-A4 Src : 00-60-08-1F-F7-4E Type:0800 Ethernet_II
IP Ver=4 Service=00 LenHead=5 TotalLen=003C Number=B905 frag=0000 TTL=0x80
Des=193.252. 19. 1 Src=192.168.106. 99
Prot=UDP Ports Des=0035 Src=0448 len=0028
00 01 01 00 00 01 00 00 00 00 00 00 03 70 6F 70

Trame 3
Des: 00-40-05-56-B0-D9 Src : 00-02-3B-00-22-6F Type:8864 Ethernet_II
PPP over Ethernet . Ver=01 Type=01. Etape = PPP Session
SessionID=0484 Longueur=003E Protocole=0021
IP Ver=4 Service=00 LenHead=5 TotalLen=003C Number=29DC frag=4000 TTL=0x30
Des=217.128. 50.102 Src=216.239. 39.101
Prot=TCP Ports Des=EE4C Src=0050 seqNum=F648FC38 AckNum=E8D1F0C7
Win=7EDC Control=00010010 Accepte Connexion. SYN Len entete TCP=28
Options =
Taille maxi d'un segment=1412

Trame 4
Des: 00-10-5A-A6-42-A4 Src : 00-60-08-1F-F7-4E Type:0800 Ethernet_II
IP Ver=4 Service=00 LenHead=5 TotalLen=002C Number=1D06 frag=4000 TTL=0x80
Des=216.239. 39.101 Src=192.168.106. 99
Prot=TCP Ports Des=0017 Src=0452 seqNum=00AA442E
Win=2000 Control=00000010 Demande de Connexion. SYN Len entete TCP=18
Options =
Taille maxi d'un segment=1460

A.U 2020/2021 4