Scribd Logo
Importer

Bienvenue sur Scribd !

  • 22 vues

    03 - SEQUENCE 03 DU COURS Administration Et Supervision

    Transféré par

    Ousmane PENE
    Ce document décrit les principes et concepts de base de la sécurité des réseaux. Il explique l'importance de la sécurité, les principes de sécurité, la structure et les tables de Netfilter/iptables ainsi que quelques commandes et règles de base pour la configuration d'un pare-feu Linux.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    03 - SEQUENCE 03 DU COURS Administration Et Supervision

    Transféré par

    Ousmane PENE
    22 vues23 pages
    Ce document décrit les principes et concepts de base de la sécurité des réseaux. Il explique l'importance de la sécurité, les principes de sécurité, la structure et les tables de Netfilter/iptables ainsi que quelques commandes et règles de base pour la configuration d'un pare-feu Linux.

    Titre original

    03_SEQUENCE 03 DU COURS Administration et supervision

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit les principes et concepts de base de la sécurité des réseaux. Il explique l'importance de la sécurité, les principes de sécurité, la structure et les tables de Netfilter/iptables ainsi que quelques commandes et règles de base pour la configuration d'un pare-feu Linux.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    22 vues23 pages

    03 - SEQUENCE 03 DU COURS Administration Et Supervision

    Transféré par

    Ousmane PENE
    Ce document décrit les principes et concepts de base de la sécurité des réseaux. Il explique l'importance de la sécurité, les principes de sécurité, la structure et les tables de Netfilter/iptables ainsi que quelques commandes et règles de base pour la configuration d'un pare-feu Linux.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 23

    M1 Systèmes Réseaux et Infrastructures Virtuelles

    Administration et supervision des réseaux


    Cheikh Sidy Mouhamed CISSE Enseignant Associé en Informatique à l’UVS
    Chapitre 3 : Sécurité des réseaux

    Objectifs spécifiques : A la suite de cette séquence, l’étudiant doit être capable de:
    1. Comprendre l’importance de la sécurité dans un réseau
    2. Utiliser les commandes de sécurité réseaux sous Linux
    3. Mettre en œuvre un système de sécurité:
    Définition

     La notion de sécurité fait référence à la propriété d’un système, d’un service ou d’une
    entité.

     Elle consiste à déterminer, prévenir, détecter et corriger les violations qui surviennent
    lors de la transmission et le stockage de l’information.
    PRINCIPES

     Empêcher toute intrusion  impossible

     Rendre le travail nécessaire à l’intrusion  gain qu’on en tire


    PRINCIPES

     Intrusion « locale» : accès physique à la machine


     protéger le bios
     protéger la séquence de démarrage
     droits d’accès des fichiers de configuration
     Intrusion distante : accès par le réseau
     réduire l’ouverture des ports
     protéger les démons
    PRINCIPES

     Interface ligne de commande

     Configuration NetFilter

     Applicable en IPv4 et IPv6 (ip6tables)


    STRUCTURE GENERALE
    STRUCTURE GENERALE

     PREROUTING : gestion avant décision de routage

     INPUT : paquet livré sur l’hôte local

     FORWARD : paquets acheminés mais non livrés

     OUTPUT : paquets envoyés par l’hôte local

     POSTROUTING : paquets envoyés à destination


    TABLES ET CHAÎNES

     Nous rencontrons quatre tables :


     la table raw (brute) ou conntrack ;
     la table mangle (estropieuse), utilisée en général pour changer certains champs en-
    tête de la trame (par exemple le TOS de l’en-tête IP) ;
     la table nat, utilisée pour la traduction d’adresses ;
     la table filter, utilisée surtout pour le filtrage d’adresses.
    TABLES ET CHAÎNES

     NAT
     Gestion de la translation d’adresse
     Gestion de la redirection de port
     Chaînes associées
     PREROUTING, POSTROUTING, OUTPUT
    TABLES ET CHAÎNES

     MANGLE
     Marquage des paquets
     Objectif de traitement spécifique des paquets marqués
     Chaînes associées
     PREROUTING, OUTPUT
    TABLES ET CHAÎNES

     FILTER
     Filtrage de paquets
     Gestion des accès
     Chaînes associées
     INPUT, OUTPUT, FORWARD
     Stratégies de filtrage
     Port
     protocole de transport
     protocole applicatif
    TABLES ET CHAÎNES

     Filtrage de paquets (FILTER)


     fonction firewall

     Mise en place et gestion du NAT (NAT)


     gestion de passerelle et de forward

     Marquage de paquets (MANGLE)


     gestion de passerelle
    ACHEMINEMENT

    paquet arrive => le noyau regarde sa destination (routage)


    Si paquet destiné à la machine => transmis à la chaîne INPUT
    Sinon :
    si noyau linux non configure en mode forwarding
    ou si on ne sait comment faire le forward :
    alors détruire le paquet
    sinon si paquet destine à une autre interface réseau :
    alors transmettre le paquet a la chaîne FORWARD
    Si celle-ci l’accepte, envoyer le paquet en sortie
    1 logiciel tournant sur la machine peut envoyer des paquets transmettre ceux-ci a la chaîne
    OUTPUT
    FIREWALL

     IP tables
     Filtre de paquets
     Examine les en-têtes des paquets transitant par une machine et décide quoi faire avec
    (accepter le paquet, le supprimer, etc.)
     Format général:
    iptables -commande chaine spécification_de_règle [options]
    COMMANDE IPTABLES

     iptables -L!
     lister les chaînes et règles actives
     iptables -F [chain]
     vider une chaîne (ou toutes)
     iptables -A chain règle
     ajouter une règle à la chaîne
     iptables -P chain cible
     traitement par défaut pour une règle (définition de la politique par défaut)
     iptables -I chain [numéro] règle
     insérer une chaîne en position numéro
     iptables -D chain [numéro] [règle]
     effacer une règle
     iptables -R chain [numéro] [règle]
     remplacer une règle
    OPTIONS IPTABLES

     -i interface
     appliquer la règle sur cette interface d'entrée
     -o interface
     appliquer la règle sur cette interface de sortie
     -t table
     table concernée ( filter par défaut)
     -s [!] X.X.X.X/lg
     adresse source, longueur du masque (! : négation)
     -d [!] X.X.X.X/lg
     adresse dest (et longueur du masque)
    OPTIONS IPTABLES

     -p protocole
     tcp / udp / icmp / all
     --source-port [!] [port[:port]]
     port source (ou intervalle de ports) ou --sport
     --destination-port [!] [port[:port]]
     port destination (ou intervalle) ou --dport
     -j cible
     ACCEPT/DROP
    PRINCIPE DES FONCTIONNEMENT DES IPTABLES

     Le noyau démarre avec 3 listes ( chaînes) :INPUT, OUTPUT et FORWARD

     paquet arrive sur chaîne => celle-ci décide de son sort :


     DROP : le paquet est détruit
     ACCEPT : le paquet continue sa traversée dans le diagramme

     chaîne = liste de règles :


     règle = si en-tête du paquet a telle forme alors faire...
     si une règle ne matche pas, on passe à la suivante
     s’il n’y a plus de règles, on applique la politique de la chaîne
    QUELQUES RÈGLES

     Poursuite des connexions établies (ssh)


    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

     Acceptation de nouvelles connexion


    iptables -A INPUT -m state --state NEW -j ACCEPT

     Acceptation de toutes les entrées


    iptables -P INPUT ACCEPT
    QUELQUES RÈGLES

     Rejet du trafic entant sur le port 80


    iptables -i eth0 -A INPUT -p tcp -dport http -j DROP

     Rejet du trafic sortant vers le port 80


    iptables -o eth0 -A OUTPUT -p tcp --destination-port 80 -j DROP

    Ou
    iptables -o eth0 -A OUTPUT -p tcp --dport 80 -j DROP
    QUELQUES RÈGLES

     Accepter les connexions SSH


    iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

     La gestion du ping
    iptables -A INPUT -p icmp -j DROP
    iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

     Accepter le trafic local


    iptables -I INPUT -i lo -j ACCEPT
    Mettre en œuvre un système de sécurité

    TP

    Vous aimerez peut-être aussi