M1 Systèmes Réseaux et Infrastructures Virtuelles

Administration et supervision des réseaux

Cheikh Sidy Mouhamed CISSE Enseignant Associé en Informatique à l’UVS
Chapitre 3 : Sécurité des réseaux

Objectifs spécifiques : A la suite de cette séquence, l’étudiant doit être capable de:
1. Comprendre l’importance de la sécurité dans un réseau
2. Utiliser les commandes de sécurité réseaux sous Linux
3. Mettre en œuvre un système de sécurité:
Définition

 La notion de sécurité fait référence à la propriété d’un système, d’un service ou d’une
entité.

 Elle consiste à déterminer, prévenir, détecter et corriger les violations qui surviennent
lors de la transmission et le stockage de l’information.
PRINCIPES

 Empêcher toute intrusion  impossible

 Rendre le travail nécessaire à l’intrusion  gain qu’on en tire

PRINCIPES

 Intrusion « locale» : accès physique à la machine

 protéger le bios
 protéger la séquence de démarrage
 droits d’accès des fichiers de configuration
 Intrusion distante : accès par le réseau
 réduire l’ouverture des ports
 protéger les démons
PRINCIPES

 Interface ligne de commande

 Configuration NetFilter

 Applicable en IPv4 et IPv6 (ip6tables)

STRUCTURE GENERALE
STRUCTURE GENERALE

 PREROUTING : gestion avant décision de routage

 INPUT : paquet livré sur l’hôte local

 FORWARD : paquets acheminés mais non livrés

 OUTPUT : paquets envoyés par l’hôte local

 POSTROUTING : paquets envoyés à destination

TABLES ET CHAÎNES

 Nous rencontrons quatre tables :

 la table raw (brute) ou conntrack ;
 la table mangle (estropieuse), utilisée en général pour changer certains champs en-
tête de la trame (par exemple le TOS de l’en-tête IP) ;
 la table nat, utilisée pour la traduction d’adresses ;
 la table filter, utilisée surtout pour le filtrage d’adresses.
TABLES ET CHAÎNES

 NAT
 Gestion de la translation d’adresse
 Gestion de la redirection de port
 Chaînes associées
 PREROUTING, POSTROUTING, OUTPUT
TABLES ET CHAÎNES

 MANGLE
 Marquage des paquets
 Objectif de traitement spécifique des paquets marqués
 Chaînes associées
 PREROUTING, OUTPUT
TABLES ET CHAÎNES

 FILTER
 Filtrage de paquets
 Gestion des accès
 Chaînes associées
 INPUT, OUTPUT, FORWARD
 Stratégies de filtrage
 Port
 protocole de transport
 protocole applicatif
TABLES ET CHAÎNES

 Filtrage de paquets (FILTER)

 fonction firewall

 Mise en place et gestion du NAT (NAT)

 gestion de passerelle et de forward

 Marquage de paquets (MANGLE)

 gestion de passerelle
ACHEMINEMENT

paquet arrive => le noyau regarde sa destination (routage)

Si paquet destiné à la machine => transmis à la chaîne INPUT
Sinon :
si noyau linux non configure en mode forwarding
ou si on ne sait comment faire le forward :
alors détruire le paquet
sinon si paquet destine à une autre interface réseau :
alors transmettre le paquet a la chaîne FORWARD
Si celle-ci l’accepte, envoyer le paquet en sortie
1 logiciel tournant sur la machine peut envoyer des paquets transmettre ceux-ci a la chaîne
OUTPUT
FIREWALL

 IP tables
 Filtre de paquets
 Examine les en-têtes des paquets transitant par une machine et décide quoi faire avec
(accepter le paquet, le supprimer, etc.)
 Format général:
iptables -commande chaine spécification_de_règle [options]
COMMANDE IPTABLES

 iptables -L!
 lister les chaînes et règles actives
 iptables -F [chain]
 vider une chaîne (ou toutes)
 iptables -A chain règle
 ajouter une règle à la chaîne
 iptables -P chain cible
 traitement par défaut pour une règle (définition de la politique par défaut)
 iptables -I chain [numéro] règle
 insérer une chaîne en position numéro
 iptables -D chain [numéro] [règle]
 effacer une règle
 iptables -R chain [numéro] [règle]
 remplacer une règle
OPTIONS IPTABLES

 -i interface
 appliquer la règle sur cette interface d'entrée
 -o interface
 appliquer la règle sur cette interface de sortie
 -t table
 table concernée ( filter par défaut)
 -s [!] X.X.X.X/lg
 adresse source, longueur du masque (! : négation)
 -d [!] X.X.X.X/lg
 adresse dest (et longueur du masque)
OPTIONS IPTABLES

 -p protocole
 tcp / udp / icmp / all
 --source-port [!] [port[:port]]
 port source (ou intervalle de ports) ou --sport
 --destination-port [!] [port[:port]]
 port destination (ou intervalle) ou --dport
 -j cible
 ACCEPT/DROP
PRINCIPE DES FONCTIONNEMENT DES IPTABLES

 Le noyau démarre avec 3 listes ( chaînes) :INPUT, OUTPUT et FORWARD

 paquet arrive sur chaîne => celle-ci décide de son sort :

 DROP : le paquet est détruit
 ACCEPT : le paquet continue sa traversée dans le diagramme

 chaîne = liste de règles :

 règle = si en-tête du paquet a telle forme alors faire...
 si une règle ne matche pas, on passe à la suivante
 s’il n’y a plus de règles, on applique la politique de la chaîne
QUELQUES RÈGLES

 Poursuite des connexions établies (ssh)

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 Acceptation de nouvelles connexion

iptables -A INPUT -m state --state NEW -j ACCEPT

 Acceptation de toutes les entrées

iptables -P INPUT ACCEPT
QUELQUES RÈGLES

 Rejet du trafic entant sur le port 80

iptables -i eth0 -A INPUT -p tcp -dport http -j DROP

 Rejet du trafic sortant vers le port 80

iptables -o eth0 -A OUTPUT -p tcp --destination-port 80 -j DROP

Ou
iptables -o eth0 -A OUTPUT -p tcp --dport 80 -j DROP
QUELQUES RÈGLES

 Accepter les connexions SSH

iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

 La gestion du ping
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 Accepter le trafic local

iptables -I INPUT -i lo -j ACCEPT
Mettre en œuvre un système de sécurité

TP