Element D Infrastructrure Reseau

Éléments d'infrastructure réseaux
ELEMENTS D'INFRASTRUCTURES RESEAUX

Nicolas Prunier
slides originaux de Cédric Foll & Paul Tavernier

Plan

Les VLAN

Les Firewalls

Les IDS
− HIDS
− NIDS
− IPS

Les proxys

Les reverse proxys

Réflexions autour d'architectures de sécurité
INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 2
Les VLAN

Rappel sur les switchs
− Équipement de niveau 2.
− Il «connaît» pour chacun de ses ports, la liste des
équipements reliés en niveau 2, c'est à dire les adresses
MAC
− La connaissance de la liste de ces adresses MAC se fait par
apprentissage au fur et à mesure des trames
− Quand il reçoit un paquet, il regarde l'adresse de niveau 2
de destination (i.e. adresse MAC) et transmet le paquet
sur le port où se trouve la machine avec cette adresse
MAC
− Il n'a (théoriquement) aucune connaissance des adresses
IP

Rappel sur les routeurs

Un routeur permet de relier (au moins) deux
(sous-)réseaux différents. C'est à dire deux classes
d'adresses différentes

Il reçoit un paquet sur une interface et en consultant sa
table de routage le transmet sur une autre

On dit qu'un routeur «adosse» des domaines de
broadcast

Exemple de commande sur un routeur cisco
rrgi1#show arp
Protocol Address Age (min) Hardware Addr Type
Interface
Internet 172.30.205.125 230 000b.5fe7.8180 ARPA
Vlan99
Internet 172.30.205.124 000b.5fe7.8a80 ARPA
Vlan99
Internet 172.30.195.116 9 0030.0589.f54c ARPA Vlan5
Internet 172.30.195.100 1 0006.5b26.16e0 ARPA Vlan5
Internet 172.30.192.103 0800.46db.f2d3 ARPA
Internet 172.30.192.100 0800.46dc.7d36 ARPA
Internet 172.30.192.101 0800.46da.c7de ARPA

Un réseau hier

Problèmes

Je veux placer dans la salle machine/baie du réseau
192.168.2.0/24 un serveur du réseau 192.168.1.0/24.
− Il faut tirer un câble jusqu'au réseau 192.168.2.0/24.
− Ou déplacer physiquement le serveur

Si l'on désire subnetter un réseau, il faut acheter un
nouveau routeur s'il n'y a plus de port libre sur celui
existant

Les VLAN

Concept
− Les VLAN permettent de faire coexister de manière
étanche plusieurs domaines de broadcast sur un même
switch.

Buts:
− Simplifier le brassage. «Comment changer un poste de
réseau sans avoir à déplacer le poste» ?
− Ne pas multiplier le nombre de routeurs.
− Ne pas multiplier le nombre de ports sur les routeurs et
firewalls.
− Subnetter facilement.
− Rentabiliser l'investissement des switches
VLAN sur un switch

Les ports 1 et 2 sont
configurés en VLAN1.

Le port 3 est configuré en
VLAN2.

10.0.0.1 et 10.0.0.2 peuvent
communiquer (ils
appartiennent au même
VLAN).

Les postes sur le VLAN 1
(bleu) ne peuvent joindre
ceux du VLAN 2 (rouge).

Le réseau d'hier....aujourd'hui!

Notion de lien 802.1Q (ou «port tagging»)

Un lien 802.1q ou TRUNK (terminologie cisco) ou
« Tagged Link » permet de faire transiter
plusieurs VLAN sur un lien physique.

Afin de savoir à quel VLAN appartient une trame
d'un lien 802.1q, un «tag» est ajouté sur la
couche 2.

Comparaison trame Ethernet & Trame taggée

Ethernet

Ethernet 802.1Q

Le même réseau avec un trunk

Pour simplifier, un seul switch
est représenté, mais des liens
802.1q peuvent se propager de
switch en switch

Les switchs de niveau 3

Ils permettent de faire du routage Inter-VLAN

Ils ont des adresses IP comme des routeurs (1 par VLAN)

La différence entre routeur et switch niveau 3 est
faible.
− Ils sont mono-protocole (Ethernet!)
− Ils sont plus “performants” que les routeurs (CEF chez
Cisco). Le premier paquet remonte par le moteur de
routage, les suivants sont commutés au niveau2.
− Les possibilités de routage sont plus “limitées”.

Comment-on les configure ?

Les switchs L2
− A configurer sur chaque port:

A quel VLAN appartient-il ?

Si c'est un TRUNK, quels sont les VLANS propagés?

Quel est mon VLAN natif (trames Ethernet non taggées)

Les switchs L3
− Pareil & ajouter une IP par VLAN (comme sur un routeur,
on ajoute une IP par interface logique)

Il est possible d'automatiser la propagation des VLAN
vers les switchs d'extrémité
− GVRP
− VTP (propriétaire CISCO)
Comment-on les configure?

Native VLAN X
− Sur un lien «tagged», il spécifie que les trames non
taggées appartiennent au VLAN X. En général c'est le
VLAN 1 si rien n'est déclaré.

L'utilisation de ce VLAN est à éviter pour isoler les ports non
configurés.

Private/Isolated VLAN
− Mécanismes permettant à deux ports d'un VLAN de ne pas
pouvoir communiquer

Typiquement empêche les machines d'un même LAN de se
voir. Les oblige à passer par leur gateway

Peut-être réalisé aussi par des ACL spécifiques (VLAN MAPS
chez Cisco)

Exemple de conf sur switch cisco

Sur ce port arrivent des trames non taggées membre du
VLAN 600
interface GigabitEthernet0/1
switchport access vlan 600

switchport mode access

Sur ce port les trames sont taggées et les VLANS 600 à
610 peuvent transiter
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q

switchport trunk allowed vlan 600-610
switchport mode trunk

Un réseau typique

Les switchs d'extrémité possèdent un port de cascade en
mode «tagged» et tous les autres sont configurés avec un
VLAN donné (sur lesquels sont branchés les serveurs, PC)

Ils sont reliés directement (ou en cascade) aux switchs de
niveau 3 « de coeur » effectuant SEUL le routage inter-VLAN.

La redondance est assurée en doublant les liens et en créant
des boucles entre les switchs
− Le Spanning Tree Protocol (STP) est chargé d'empêcher les
boucles en désactivant certains chemins.
− STP est un peu un équivalent du routage dynamique pour
le niveau 2.
− Des technologies propriétaires (plus performantes) sont
déployées dans les switches modernes (Flexlink chez
Cisco)
Routage inter-VLAN

Aujourd'hui un routeur/Firewall n'a plus besoin que
d'une interface physique s'il supporte les liens « 802.1q »
− La trame entre avec un tag indiquant qu'elle appartient
au VLAN X et ressort en indiquant qu'elle appartient au
VLAN Y.

Windows et Linux supportent le routage inter-VLAN de
même que la plupart des routeurs et firewalls
propriétaires.

Routage inter-VLAN sous Linux

Activer le coeur de routage:
# echo 1 > /proc/sys/net/ipv4/ip_forward

Chargement du module noyau de VLAN:
# modprobe 8021q

Création des VLAN 100 et VLAN 200
# vconfig add eth0 100
# vconfig add eth0 200

Routage inter-VLAN sous Linux

Attribution d'adresses IP:
− # ifconfig eth0.100 192.168.1.1
− # ifconfig eth0.200 192.168.2.1

Au final:
− Sur eth0 la machine est capable de recevoir un trunk
contenant les VLAN 100 et 200
− Elle est capable de router 192.168.1.0/24 et
192.168.2.0/24, les paquets rentrent et sortent sur la
même interface mais avec un tag 802.1q différent.
− Les paquets non taggés arrivent sur eth0, on lui attribue
en général une adresse IP dédiée au management.

Routage inter-VLAN

Infrastructure de sécurité

« If you think technology can solve your
security problems, then you don't
understand the problems and you don't
understand the technology....»

Bruce Schneier

Les Firewalls

A quoi ça sert ?
− Élément permettant de trier parmi les flux réseaux, en
bloquant certains, en autorisant d'autres

2 grandes familles de firewalls
− Firewall personnel

Protège la machine sur laquelle il est installé.

Traite les applications locales et leurs demandes d'accès au
réseau
− Firewall réseau

Effectue le routage inter-zones tout en appliquant des
règles de filtrage.

En général, il se place en coupure entre les zones de niveau
de sécurité diffèrents (LAN / Datacenter / DMZ / Internet).
Qu'est ce que filtre un firewall ?

Un firewall est un équipement de couche 4
(historiquement)
− Il laisse passer ce qui est explicitement autorisé, se
basant sur:

Les informations de couche 3
− IP source et IP destination, protocole de couche 4 (ie icmp,
udp, tcp, ...)

Les informations de couche 4
− port source, port destination, message icmp, ...
− Il filtre le reste!
− La grande règle à observer:

« On INTERDIT TOUT sauf... »

Exemple de règle

Considérons un site web d'adresse 10.0.0.1 auquel nous
voulons autoriser l'accès
− « autoriser le trafic venant de n'importe où vers 10.0.0.1
en TCP sur le port 80 »
− « rejeter tout le reste! »

Notions de stateful/stateless

Un firewall stateless ne sait pas si un paquet appartient
à une connexion déjà établie.

Pour un flux TCP, la «solution» consiste à analyser les
drapeaux TCP SYN, SYN-ACK et ACK

Pour chaque flux autorisé, il faut explicitement autoriser
les paquets entrant ET sortant

Incomplet en terme de sécurité, en particulier ne sait pas
gérer les flux UDP, ICMP

complexe à maintenir

Un firewall stateful connaît l'état de chaque connexion

Qui a initié la connexion

Plus sécurisé et plus simple à gérer

Mais demande plus de ressource CPU et de mémoire

2 grandes familles de firewalls

Firewall stateless
− les routeurs d'entrée de gamme voire certains firewalls
«tout-en-un» destinés aux particuliers
− Ex: ipchains (firewall des linux 2.2.X)

Firewall stateful:
− netfilter (firewall des noyaux linux 2.4 et suivant)
− tous les firewalls modernes

FireWall: IPChains (Linux 2.2)

On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP
ipchains -A forward -p TCP

-s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT

On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN
d'initialisation de connexion (-y)
ipchains -A forward -p TCP

-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT

Tous les paquets venant de 192.168.2.0 avec comme port source 80 et sans SYN sont
autorisés

Pour chaque règle autorisant un flux il faut écrire une règle autorisant la réponse
Firewall: NetFilter (Linux 2.4, 2.6)

On autorise tous les paquets appartenant à une connexion déjà établie
− iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80/tcp
− iptables -A FORWARD -p tcp -m tcp -m state --state NEW
-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT

Seuls les paquets appartenant à une connexion établie à l'initiative d'une machine du
réseau 192.168.1.0/24 (et vers le réseau 192.168.2.0/24) sont autorisés

Network address translation

Problèmes
− Il n'y a plus assez d'adresses IPv4 disponibles pour le
nombre de machines reliées à internet sur la planète
− Les adresses IP coûtent cher

Solution: le N.A.T.
− Le réseau interne est en adressage privé (RFC1918), un
routeur/firewall translate les adresses des connexions
sortantes

NAT

NAT

Inconvénients
− Certains protocoles fonctionnent pas ou mal avec les
mécanismes de translation d'adresse (H323, SIP, ...)

Avantages
− On économise nombre d'adresses IP publiques

Netfilter

Apparu dans le noyau 2.4
− Firewall stateful
− Fonctions de translation d'adresses très évoluées
− Très répandu et concurrence sans problème des firewalls
commerciaux

PIX/ASA de CISCO

Firewall1 de CheckPoint

ARKOON/NetASQ

NetSCREEN de Juniper
− Il existe d'excellentes GUI aujourd'hui, fwbuilder,
shorewall, etc.

Netfilter en pratique

iptables: commande permettant d'interagir avec
netfilter
− iptable-save: affiche la configuration du firewall
− iptables ajoute/modifie/supprime des règles netfilter
(noyau)
− Dans la pratique on utilise souvent une GUI pour gérer la
configuration des règles

fwbuilder: http://www.fwbuilder.org/

Netfilter: interface iptables
− iptables -t TABLES -A CHAINE REGLES -j ACTIONS

− TABLES

filter (defaut, table de filtrage)

nat (translation d'adresse)

mangle (tracking avancé, alteration avancé des paquets)

raw (peu utilisé, exception avant les autres tables)
− CHAINES

INPUT (trafic à destination du fw)

OUTPUT (trafic émis par le firewall)

FORWARD (trafic routé)
− REGLES

Comment est caractérisé le paquet (ip src/dst, port
src/dst, proto, interface in/out) ? Appartient-il à la
connexion initialisée ou pas ?
− ACTIONS

ACCEPT|DROP|REJECT

Manipulation de paquet (pour le nat): SNAT, DNAT, ...


Police par défaut, option -P
− iptables -P FORWARD -j DROP

Effacer toutes les règles d'une chaîne, option -F
− iptables -F FORWARD

Effacer une règle donnée -D
− iptables -D num règle
− iptables -D toute la règle

Lister les règles
− iptables-save

netfilter: cookbook

Police par défaut sur le forward DROP
− iptables -P FORWARD DROP

Accepter toutes les connexions actives
− iptables -A FORWARD -m state –state
ESTABLISHED,RELATED -j ACCEPT

Accepter les ssh de pc1 vers pc2
− iptables -A FORWARD -m state –state NEW -s
pc1 -d pc2 -p tcp –dport 22 -j ACCEPT

netfilter: cookbook

Masquerading (pour partager une IP publique sur eth0,
eventuellement récupérée via dhcp)
− iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE

SNAT (comme le précédent mais avec une autre IP):
− Altérer l'ip source du trafic routé (et/ou sortant)

Penser au routage de l'IP si besoin
− iptables -t nat -A POSTROUTING -o eth0 -j
SNAT --to-source 192.168.0.1

netfilter: cookbook

REDIRECT (redirige un flux en local), utile pour faire du
proxy transparent ou des attaques man in the middle.
− iptables -t nat -A PREROUTING -p tcp
--dport 80 -j REDIRECT --to-ports 8080

DNAT (transformation de l'IP destination), utile pour Man
In The Middle ou pour l'accès publique à un serveur en
adressage privé (port forwarding):
− iptables -t nat -A PREROUTING -p tcp -d
www.google.com --dport 80 -j DNAT --to-
destination www.faux-google.com

Les IDS

Types d'IDS
− Les NIDS
− Les HIDS

Analyse de logs

Empreinte

Ce qu'ils détectent et ce qu'ils ne détectent pas

Les NIDS

Les NIDS (Network Intrusion Detection System)
− Analyse les flux réseau et recherche des signatures
d'attaques

Ex: /etc/passwd dans une urls, User-Agent: nikto,...

La plupart des NIDS fonctionnent ainsi, dont snort
− Vérification du respect de la conformité des protocoles
aux RFC

Ex: le paramètre de GET dans une requête HTTP possède
moins de 1024 bytes

Ne nombreux IDS fonctionnent ainsi
− Analyse statistique (ou analyse comportementale)

Mesure de la déviation entre le trafic réseau habituel et le
trafic à un instant T
Les NIDS

Qu'est ce qu'ils vont détecter ?
− Toutes les attaques venant des outils de tests
automatiques

Nessus, nikto, whisker, nmap, ...
− Certaines attaques visibles

En particulier certaines failles webs génériques
− XSS

L'exploitation de failles sur des applis web connues (phpbb,
webcalendar, phpnuke, ...)

L'exploitation de faille touchant un logiciel connu (apache,
IIS, CS-IOS, ...)

Les NIDS

Qu'est ce qu'ils ne vont pas détecter ?
− Les attaques webs faites à la main.

Les injections SQL, Remote include PHP

Les forces brutes sur des applis webs (sauf celles réalisant
une analyse statistique)
− La plupart des forces brutes (POP3, FTP, telnet, ...)
− Les flux chiffrés

HTTPS

SSH

IPSec

Les NIDS

Dans le monde libre
− Snort, très actif et efficace. Fonctionne par signature
d'attaque
− BRO, vérification de conformité protocolaire

Les NIDS: Pourquoi cet insuccès ?
− Les réseaux deviennent trop gros


«Impossible» d'analyser des liens GE, 10GE...
− Les attaques sont trop fréquentes

On ne va pas réagir à chaque attaque

Seules les attaques les plus visibles donnent lieu à un
signalement (en gros, l'utilisation de logiciels d'écoute
active (scan))
− Les flux chiffrés (tels que HTTPS) ne peuvent être
analysés
− L'exploitation demande des personnes qualifiées (et c'est
un travail ingrat!)
− Grosse mobilisation de ressources techniques évoluées
(donc chère)

Les HIDS

Deux grandes familles
− Logiciels fonctionnant par scellement de fichiers (ex:
tripwire, samhain)
− Logiciels analysant les journaux

Détecte les forces brutes et les crash/redémarrage de
processus

Les IPS

Intrusion Prevention System
− Grand succès marketing

Tous les firewalls propriétaires sont aujourd'hui des IPS
− En fait un firewall qui réalise de l'analyse de couche 7
(comme un IDS) et qui bloque sur la base de signatures
d'attaques ou de conformité protocolaire
− Utilisation avec parcimonie, les faux-positifs sont
inadmissibles

Solution libre: snort-inline
− Une version de snort compilée pour intéragir avec netfilter

Les Proxys
− Pour sortir sur internet, le client passe par un serveur

mandataire
− Avantages:

Possibilité d'analyser plus finement le trafic.

Des journaux de connexions.

Sur les flux HTTP, possibilité de filtrer certains sites, de
faire du contrôle anti-virus.

Confinement avec coupure
− contrairement à des mécanismes de NAT
− Le proxy maintient 2 connexions TCP ouvertes
− Inconvénients:

Moins performant en terme de débit.

Ne fonctionne que pour quelques protocoles.

Les Proxys

Les Proxys

Solutions libres
− Squid, très largement utilisé
− Pour le filtrage

Dansguardian
− Filtrage par listes noires
− Filtres de contenu (par mots clefs)
− Filtrage anti-virus (par ClamAV ou anti-virus propriétaire)

Les Reverses Proxys

Permettre à des machines en adressage privé d'être
accessibles de l'extérieur

Faire de la répartition de charge entre plusieurs
serveurs webs.

Filtrer les attaques.

Réaliser de l'accélération HTTP
− Pré-loading
− Mise en cache des pages dynamiques
− ...

Les Reverses Proxys

Les Proxys

Solutions libres
− Squid
− Apache

mod_proxy

mod_security
− Varnish

Le plus abouti, orienté accélération

Architectures

Comment concevoir son réseau en termes de sécurité ?
− Compartimentation/Confinement
− Répartition des équipements de sécurité(1)

Buts
− Maximiser l’impact des protections
− Minimiser l’effet d’escalade en cas d’intrusion
(1)Illustrations extraites de ”Building Internet Firewalls”, éditions

O’Reilly

Filtre Simple

Filtre simple

Seul le trafic sortant est autorisé, système de la diode
− Avantage

Simple

On ne risque pas d'attaques externes
− Limitations

Pas de possibilité d'offrir l'accès à des services depuis
l'extérieur

Pas de traçabilité sur ce que font les utilisateurs en interne
(sites visités, ...)

Pas de protection contre la récupération de code hostile
(web, pop3, ...)

Bastion filtrant (fw+proxy)

Bastion filtrant (fw+proxy)

Avantages
− Un seul équipement
− Filtrage applicatif possible (proxy web, pop3, ...)

Inconvénients
− Ne fonctionne qu'avec les flux «proxyfiables»
− Un serveur avec beaucoup de services (les différents
proxy) très exposé (branché en direct sur internet sans
firewall).
− L'hébergement est possible mais risqué (pas de protection
par un firewall).

Filtre & Bastion

Filtre & bastion

Avantages
− Le bastion est mieux protégé

Inconvénients
− Pas d'hébergement possible (ou alors via une redirection
de port qui rend extrêmement vulnérable le réseau
interne).
− Les postes de travail peuvent contourner la politique de
filtrage/log du bastion via des attaques de couche 2 (arp
cache poisoning et NAT pour se faire passer pour le
bastion).

Bastion en sandwich

Bastion en sandwich
− Avantages

Le bastion est protégé à la fois des utilisateurs internes et
de l'exterieur.

On peut commencer à envisager un hébergement de
services
− Inconvénients

Deux firewalls...

Besoins d'une table de routage avec deux passerelles sur le
bastion (trop compliqué pour un admin système ;-)).

En cas de compromission du serveur d'hébergement, le
pirate a accès à la zone par laquelle transite tous les flux
entre l'extérieur et l'intérieur (très grave!)

Le bastion en DMZ

Le bastion en DMZ

Avantages
− Comme précédent en plus simple

Inconvénients
− Les mêmes que dans le précédent si ce n'est que la
compromission est un peu moins grave car elle ne permet
l'écoute et l'altération «que» des flux proxysés.

Pistes vers de meilleures solutions?

Un firewall avec deux DMZ
− Une DMZ pour le(s) serveur(s) hébergeant des services

Impact d'une compromission faible, pas d'accès aux postes
internes ou aux flux sortant des postes.
− Une DMZ pour le(s) proxy(s)

Protection contre les compromissions éventuelles des
serveurs d'hébergement.

Pas de risque d'attaque de couche 2 des postes de travail
pour contourner la protection.

Element D Infrastructrure Reseau

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Element D Infrastructrure Reseau

Uploaded by

Copyright:

Available Formats

Éléments d'infrastructure réseaux

ELEMENTS D'INFRASTRUCTURES RESEAUX

slides originaux de Cédric Foll & Paul Tavernier

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 3

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 4

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 5

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 6

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 7

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 9

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 10

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 11

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 12

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 13

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 14

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 16

switchport access vlan 600

switchport trunk encapsulation dot1q

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 17

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 19

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 20

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 21

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 22

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 23

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 25

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 26

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 27

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 28

ipchains -A forward -p TCP

ipchains -A forward -p TCP

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 30

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 31

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 32

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 33

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 34

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 35

− iptables -t TABLES -A CHAINE REGLES -j ACTIONS

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 37

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 38

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 39

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 40

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 41

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 42

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 44

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 45

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 46

− Les réseaux deviennent trop gros

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 47

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 48

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 49

− Pour sortir sur internet, le client passe par un serveur

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 50

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 51

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 52

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 53

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 54

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 55

(1)Illustrations extraites de ”Building Internet Firewalls”, éditions

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 56

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 57

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 58

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 59

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 60

INSA ASI4 - CM - OUTILS1 - Paul Tavernier - Nicolas Prunier - 2010/2011 61