Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pha

LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 1 - SOMMAIRE : INTRODUCTION I- PREMIERE PARTIE I.1 NOTION DE FIREWALL OU DE PARE -FEU I.2 MISE EN PLACE ET CONFIGURATION D’UN PARE -FEU SOUS UN SYSTEME UNIX I.2.1 CONFIGURER LINUX POUR JOUER LE ROLE D’UN FIREWALL FILTRANT I.2.2 QUELQUES MOTS SUR “IPCHAINS” I.2.3 FONCTIONNEMENT D’IPCHAINS I.3 MANIPULATIONS II- DEUXIEME PARTIE II.1 PRESENTATION DU FIREWALL DE MICROSOFT INTERNET SECURITY & ACCELERATION (ISA) SERVER II.2 INSTALLATION DE ISA SERVER II.3 CONFIGURATION DE LA TABLE D’ADRESSES LOCALE II.4 NOTION DE RESEAU DE PERIMETRE II.5 CONFIGURATION DE ISA II.6 LES ELEMENTS DE BASE DE ISA SERVER II.6.1 FILTRES DE PAQUETS II.6.2 LES REGLES DE STRATEGIES D’ACCES II.6.3 LES REGLES DE PUBLICATION II.7 SCENARIO DE TRAVAIL II.8 CREATION DES FILTRES DE PAQUETS POUR LES SERVEURS DU RESEAU DE PERIMETRE III.9 CREATION DE LA REGLE DE PUBLICATION WEB CONCLUSION LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 2 - I- Première Partie : Cette partie traite de la sécurisation d’un réseau de serveurs en utilisant un ordinateur LINUX dédié fonctionnant comme pare-feu I.1 Notion de FireWALL ou Pare-Feu : Un Firewall est un ordinateur ou appareil muni de deux interfaces réseau qui sert à protéger et isoler les réseaux les uns des autres. Le cas le plus courant d’utilisation est de protéger un réseau interne d’une entreprise ou d’un particulier du réseau Internet, mais il peut aussi bien servir pour séparer les réseaux de deux entreprises ou de deux services. On voit sur ce schéma que le seul moyen pour accéder d’un réseau à l’autre est de passer par la machine firewall, ce qui permet de contrôler totalement ce qui s’échange entre les deux réseaux en ouvrant ou fermant les voies d’accès sur le firewall. Il existe deux types de firewall : § Les firewall IP ou filtrants : ils fonctionnent au niveau paquets. Ils sont conçus pour contrôler le flux de paquets en fonction de l’origine, la destination, le port et l’information de type de paquets contenues dans chacun de ceux-ci. § Les serveurs Proxy : ils utilisent un soft particulier pour faire passer les requêtes d’un réseau à l’autre, ils permettent l’accès indirecte à Internet depuis l’arrière d’un firewall. I.2 Mise en place et configuration d’un Pare-Feu sous un système UNIX : A supposer qu’on a déjà installé LINUX, mais qu’on ne dispose pas des fonctionnalités du FireWall, dans ce cas on doit recompiler le noyau. Cette opération n’est réalisable que si on dispose des sources de ce dernier. Réseau Interne Réseau Externe LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 3 - I.2.1 Configurer Linux pour jouer le rôle d’un firewall filtrant : Le noyau Linux inclut nativement un module de filtrage de paquets, pour exploiter ses fonctionnalités il faut employer un utilitaire appelé « ipchains ». Celui ci est compris dans les distributions “Mandrake” ou “RedHat” de LINUX. Pour utiliser ces fonctions, il est nécessaire de recompiler le noyau comme suit : § On se place d’abord dans le répertoire “/usr/src/linux” § On tape commande “make xconfig”, La fenêtre de configuration du kernel s’affiche : § On sélectionne : Netwoking Options, LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 4 - On active les options suivantes : § Firewall réseau § Protocole TCP/IP § Transmission/routage IP (forwarding/gatewaying) § Firewalling IP § Masquage pour ICMP (nécessaire si on veut utiliser ping et traceroute) § Gestion des comptes (accounting) § L’Aliasing n’est pas nécessaire, mais on peut l’activer pour simuler plusieurs cartes réseau à des fins de test. On entre ensuite les commandes : “make zImage” et “make modules”, pour compiler le noyau et les modules associés, puis on réinstalle le noyau et redémarre l’ordinateur. Il ne faut pas perdre de vue qu’une machine firewall doit, pour jouer son rôle de protection, posséder deux interfaces réseau. En effet si ce n’est pas le cas, rien n’empêche une station sur le réseau externe d’accéder au réseau interne sans passer par le firewall, le rendant ainsi inutile. Un dernier point à contrôler : linux possède un interrupteur général autorisant (ou non) le passage des trames IP d’une interface à l’autre. Si cet interrupteur est à off, aucun passage ne sera autorisé quelque soit la configuration que on appliquera. On peut contrôler l’état de cet interrupteur au moyen de la commande suivante : “cat /proc/sys/net/ipv4/ip_forward” Si l’on obtient 0 : pas de passage, 1 : passage autorisé selon la configuration. On peut changer l’état grâce à la commande : “echo 1 > /proc/sys/net/ipv4/ip_forward” Les distributions “RedHat” et “ Mandrake” forcent cet interrupteur à off par défaut. LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 5 - Il est possible de disposer des fonctionnalités du Firewall de Linux directement après le premier démarrage si l’on effectue une sélection individuelle des paquetages lors de l’installation, et en cochant les cases “Firewall” et “Routeur”. Cependant la transmission des paquets d’une interface réseau à l’autre ne sera possible qu’après modification de l’état de l’interrupteur. I.2.2 Quelques mots sur Ipchains : Ipchains est un module du noyau Linux qui réalise essentiellement du filtrage de paquets IP. Les Ipchains Linux sont une réécriture du code pare-feu IPv4 de Linux (en grande partie inspiré de BSD) ainsi que de ipfwadm qui était lui-même une réécriture du ipfw de BSD. I.2.3 Fonctionnement d’Ipchains: Ipchains peut filtrer les paquets selon 3 chaînes : ce qui rentre (input), ce qui sort (ouput) et ce qui est transmis (forward). Une chaîne est une vérification de règles. Bien entendu, on peut définir des chaînes différentes suivant l’interface utilisée. Par exemple : • Tout ce qui arrive sur eth0 (la carte réseau) est filtré d’une manière. • Tout ce qui rentre sur l’interface ppp0 (modem) est filtré d’une autre manière. Pour chacune des chaînes, 3 polices peuvent être utilisées : • on accepte le paquet (ACCEPT), • on rejette le paquet en prévenant la source dont on a droppé le paquet (REJECT) • ou on supprime le paquet directement (DENY). Remarque : il n'est pas conseillé d'utiliser REJECT mais plutôt DENY, car lorsque quelqu'un essaye de pirater notre système, il vaut mieux qu'il ne sache pas si le paquet est accepté ou rejeté. L’outil Ipchains propose plusieurs opérations pour gérer les chaînes. On peut agir sur la règle et/ou ses paramètres par les opérations ci-dessous : LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 6 - OPERATION Syntaxe Créer une nouvelle chaîne -N Supprimer une chaîne vide -X Changer la police d’une chaîne intégrée -P Lister les règles d’une chaîne -L Supprimer les règles d’une chaîne -F Mettre à zéro les compteurs de paquets et d’octets sur toutes les règles d’une chaîne -Z Ajouter une nouvelle règle à une chaîne -A Insérer une nouvelle règle à une position quelconque de la chaîne -I Remplacer une règle à une position quelconque de la chaîne -R Supprimer une règle à une position quelconque de la chaîne -D Supprimer la première règle vérifiée dans la chaîne -D Lister les connexions masquées actuelles -M -L Configurer les valeurs de timeout pour le camouflage -M -S Chaque règle d’une chaîne se termine par l’une de ces six actions : • ACCEPT : le paquet passe • DENY : le paquet est rejeté • REJECT : le paquet est rejeté et l’émetteur est prévenu avec un message d’erreur LAZREK Hammad Administrateur Réseaux Informatique Faculté de Médecine et de Pharmacie - 7 - • MASQ : le paquet est camouflé et le destinataire ne connaîtra pas l’adresse de l’émetteur (action applicable uniquement dans la chaîne forward) • REDIRECT : le paquet est redirigé vers un port destination particulier (action applicable uniquement dans la chaîne input) • RETURN : force à terminer le parcours de la chaîne à ce niveau et appliquer la police Notre travail consistait à protéger un réseau de serveurs de type SCO Open Server (qui est une variante de UNIX) de toutes les attaques provenant aussi bien de l’intérieur que de l’extérieur. Les failles de sécurité sur ces serveurs provenaient essentiellement des services installés par défaut tels que “finger” et “netstat”, et de l’accès non autorisés de certains utilisateurs. Un firewall filtrant représentait une solution idéale pour limiter l’accès aux services autorisés (filtrage sur les ports des serveurs), en effectuant préalablement un filtrage sur les adresses IP des utilisateurs. Sachant que ce genre de firewall ne peut effectuer le filtrage que sur des adresse IP statiques, on ne pouvait effectuer aucun contrôle sur les clients DHCP, la mesure que nous avons adopté face à cette situation, est d’interdire tout accès aux serveurs et de délivrer des autorisations au compte-goutte. A supposer que l’on dispose déjà d’une machine configurée comme routeur et comme firewall, la chaîne qui effectue la transmission des paquets d’une interface à l’autre est la chaîne : “Forward”. C’est sur cette chaîne que nous avons effectué toutes les restrictions, une question légitime pourrait alors se poser : Pourquoi uploads/Ingenierie_Lourd/ firewall-rapport.pdf