Master 2 RCS – Module Sec2 TD: Filtrage

Exercices sécurité
Exercice 1

1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses ?
a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis. X
b) Il vaut mieux permettre tout ce qui n'est pas explicitement interdit.
c) Dans un système informatique, il ne sert à rien de multiplier les mesures de sécurité. X
d) Plus le système est simple, plus il est facile de le sécuriser. X
2. Quelles attaques sont considérées comme des dénis de service ?
a) Le spoofing
b) Le flooding X
c) Les virus
d) Le phishing
e) Le spamming
3. Le« social engineering » ou le « phishing » consistent le plus souvent à :
a) Inonder une machine cible d'applications inutiles
b) Récupérer les informations confidentielles pour pénétrer dans un réseau X
c) Installer un programme caché dans un autre programme
d) Utiliser un analyseur de réseau pour capturer des trames
4. Le but du DNS spoofing est :
a) De falsifier l'adresse IP d'un utilisateur
b) De rediriger un utilisateur vers un site falsifié
c) De falsifier un serveur DNS X
5. Dans une attaque de type DDOS
a) Une machine maître contrôle d'autres machines qui pourront réaliser une attaque distribuée sur la
cible X
b) Une machine maître inonde des machines cible à l'aide d’applications distribuées
c) L'objectif est de paralyser la machine cible
6. Le rôle d'un Firewall est :
a) De créer des connexions sécurisées entre les machines internes et externes
b) D'empêcher l'accès à certaines ressources du réseau interne
c) De détecter les virus accompagnant les messages
d) De filtrer les accès entre l'Internet et le réseau local X

Exercice 2

Il est décidé d'installer un VPN entre deux sites distants dans une entreprise. Quels sont les protocoles qu’il
est possible d’utiliser ?
a) WEP // est un protocole de cryptage pour le wi-fi
b) PGP // est un protocole de chiffrement de mails niveau application
c) IPSec X
d) SNMP // ce n’est pas un protocole de cryptage mais un protocole d’administration de réseau
e) SSH // VPN des pauvres X

Fonctionnement de Iptables

S.EUSCHI Page 1
À l’arrivée d’un paquet (après décision de routage) :
1: Si le paquet est destiné à l’hôte local Alors
2: il traverse la chaîne INPUT.
3: Si il n’est pas rejeté Alors
4: il est transmis au processus impliqué.
5: Sinon
6: Si le paquet est destiné à un hôte d’un autre réseau Alors
7: il traverse la chaîne FORWARD
8: Si il n’est pas rejeté Alors
9: il poursuit alors sa route
Tous les paquets émis par des processus locaux au routeur traversent la chaîne OUTPUT.

Exercice1

1. Accepter tous les paquets en provenance de n’importe où et destinés à l’adresse du routeur 192.168.0.1.

iptables -A INPUT -s 0/0 -i eth0 -d 192.168.0.1 -p TCP -j ACCEPT

2. Accepter de router les paquets entrant sur eth0 tels que :

@source @dest P-source P-dest
0/0 192.168.0.58 1024-65535 80
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.0.58 –o eth1 -p TCP -sport 1024:65535 -dport 80 -j
ACCEPT
3. Accepter un paquet ICMP “echo-request” (ping) par seconde
iptables -A INPUT -p icmp -icmp-type echo-request –m limit -limit 1/s -i eth0 -j ACCEPT

Remarque : nmap, nessus,. . . . Logiciels permettant de diagnostiquer l’état d’un firewall (trouver les ports ouverts,
détecter les services utilisant les ports, . . . )

Université Kasdi Merbah Ouargla Page 2

Master 2 RCS – Module Sec2 TD: Filtrage

Exercice
1. Pour commencer la configuration d'un firewall on doit en premier effacer toute les règles existantes et s'assurer qu'aucune
règle n'est appliquée. Donner les règles iptables correspondantes.

Iptables –F INPUT , Iptables –F OUPUT , Iptables –F FORWARD,

2. Généralement, lorsqu'on décide de mettre en place un firewall efficace, on commence toujours par appliquer une politique par
défaut qui refuse tous les paquets. Donner les règles iptables correspondantes à cette politique.

iptables-P INPUT DROP, iptables-P OUTPUT DROP , iptables-P FORWARD DROP

3. On va maintenant permettre tout le tout le trafic rentrant ou sortant du firewall. Donner la règle qui permet de faire cela.

4. Je souhaite pouvoir héberger un dns/mail/http/ftp sur ma machine qui fait aussi firewall. Donnez les règles qui
permettent de faire cela:
Mail: iptables –I INPUT –p tcp--dport25 –j ACCEPT
DNS: iptables –I INPUT –p udp--dport53 –j ACCEPT
http: iptables –I INPUT –p TCP --dport80 –j ACCEPT
ftp: iptables –I INPUT –p TCP --dport21 –j ACCEPT

Exercice 3
Ci-dessous, la règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2 alors que la règle
C devait l'interdire. Comment remédier à cela ?

Si l’on veut interdire l’accès du LAN à DMZ2 il faut supprimer la ligne A ou mettre la ligne A après la ligne
C. En effet dans les règles de filtrage, les autorisations doivent toujours être interprétées avant la règle de
blocage.

S.EUSCHI Page 3
Exercice 4
Le tableau suivant représente un ensemble de règles de filtrage sur un firewall.

1. Rappeler le numéro de port associé à l’application de transfert de fichier FTP.

FTP est accessible via le port 21
2. Compte tenu des règles ci-dessus, est-ce que :
a. Les transferts FTP vers un serveur interne sont toujours autorisés ? OUI (cf ligne A)
b. Les transferts FTP vers un serveur interne sont autorisés seulement si la connexion est initiée
de l'extérieur ? NON ( il n’y a pas de restriction dans la colonne ACK de la ligne A)
c. Les transferts FTP vers un serveur externe sont toujours autorisés ? OUI (cf ligne C)
d. Les transferts FTP vers un serveur externe sont autorisés seulement si la connexion est initiée
de l'intérieur ? (NON , il n’y a pas de restriction dans la colonne ACK de la ligne C)
e. Les transferts de courrier SMTP sont autorisés dans les deux sens ? NON, car SMTP utilise
le port 25 et tous les ports autres que 21 ne sont pas autorisés en ligne E.

Exercice5
Essayer la séquence de commandes suivantes et expliquer le comportement.
# ping -i 1 127.0.0.1
[...]
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
[...]
# ping -i 1 127.0.0.1
[...]
#
-i 1 (TTL : durée de vie)

Réponses :
 Vérifiez que votre interface de bouclage fonctionne correctement (0% des paquets perdus) :
# ping –i 1 127.0.0.1
 Appliquez un filtre sur la chaîne d’entrée INPUT :
# iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP
 Vérifiez que votre modification a bien été prise en compte en affichant la chaîne INPUT :
# iptables –L INPUT
 Lancer une 2 ème fois le ping
# ping –i 1 127.0.0.1

Université Kasdi Merbah Ouargla Page 4

Master 2 RCS – Module Sec2 TD: Filtrage

Exercice 6
Lecture de nmap
Interprétez les résultats des scan nmap ci-dessous. Vous préciserez en particulier si la machine dispose d’un firewall
et si elle est vulnérable à des attaques ou non.

1. starting Nmap 6.40 ( http://nmap.org ) at 2014-02-06 2. Starting nmapV. 2.54BETA31 (

14:54 CET www.insecure.org/nmap/ )
Nmap scan report for maachine.unice.fr (134.5.4.3) Interesting ports on (192.168.1.2) :
Host is up (0.00028s latency). (The 1549 ports scanned but not shown below are in
Not shown: 988 closed ports state : closed)
PORT STATE SERVICE VERSION Port State Service
22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 21/tcp filtered ftp
2.0) 22/tcp filtered ssh
25/tcp open smtp Postfix smtpd 111/tcp open sunrpc
53/tcp open domain ISC BIND 9.5.1-P3 515/tcp open printer
80/tcp open http Apache httpd 2.2.9 ((Debian)) 1024/tcp open kdm
110/tcp open pop3 Dovecot pop3d Nmap run completed --1 IP address (1 host up)
143/tcp open imap Dovecot imapd scanned in 1 second
993/tcp open ssl/imap Dovecot imapd
995/tcp open ssl/pop3 Dovecot pop3d
MAC Address: 00:50:56:A7:4E:D0 (VMware) Les ports 21 (ftp) et 22 (ssh) sont filtrés, la machine
Running: Linux 2.6.X d’@IP 192.168.1.2 dispose d’un Firewall mais
d’autres ports sont encore ouverts
Tous les ports sont ouverts, pas de port filtré donc la
machine d’@ IP 134.5.4.3 ne dispose pas de Firewall.
Les ports ouverts sont vulnérables aux différents attaques
réseau

S.EUSCHI Page 5