d’entreprise Sécurité dans les réseauxcsmaniac.free.fr/STRI/cours/M1/S%E9curit%E9%20... ·...
Transcript of d’entreprise Sécurité dans les réseauxcsmaniac.free.fr/STRI/cours/M1/S%E9curit%E9%20... ·...
Technologies réseaux d’entreprises
2
SECURITE ET RESEAUX
� SOCIETE DE L’INFORMATION
� Besoin de plus en plus d'informations� Grande diversité dans la nature des informations:
� données financières� données techniques� Données scientifiques, industrielles (aéronautiques, spatial, atomiques…..� données santé, recherche médicales� Données défense nationale ….. � …
� Source de convoitise pour répondre à des besoins économiques
� Un monde avec de nouvelles ou sans ……..frontières � Guerre économique,� Mutation des mentalités,� Mutation des relations sociales � ……
Technologies réseaux d’entreprises
3
SECURITE ET RESEAUX
� L'évolution des risques� Diversification des réseaux
� Dérégulation, opérateurs alternatifs, panels de solutions d’interconnexion
� Mutation des technologies ( réseaux filaires vs réseaux sans fils)
� VPN IP, VPN MPLS, � Croissance de l'Internet� Croissance des attaques� Failles des technologies� Failles des configurations� Failles des politiques de sécurité� Changement de profil des pirates
Technologies réseaux d’entreprises
4
SECURITE ET RESEAUX
� INTERNET et ses protocoles au cœur des débats
� Échange de fichiers de tous types ( textes, images, vidéo, musique,……)
� Pas de frontière spatiale et temporelle,� Nombre d’internautes en augmentation permanente,� Gain de productivité,� Révolution avec la E_economie, la E_administration……� ……….
Technologies réseaux d’entreprises
5
SECURITE ET RESEAUX
� INTERNET et ses protocoles au cœur des débats
� Quel contrôle de l’information ( est-elle certifiée)� Diffusion de contenus dangereux.� Supports des communication entre criminels (terrorisme).� Présence de sites diffamatoires,� Support d’escroqueries� Non respect des droits d'auteurs.
Technologies réseaux d’entreprises
6
� RESEAU : vecteur des attaques
� Qui sont les attaquants ? � Quelles sont les techniques d’attaque ?� Quelles sont les outils utilisés ?� Comment s’y prennent –ils ?� Quelles sont les ressources attaquées ?� Quelles sont leurs motivations ?� Comment organiser sa défense :
� Approche individuelle ou collective ? � Quelles mesures employer ? � Quelles sont leurs limites ?� Sur quel arsenal juridique s’appuyer ?� Quels outils propres aux réseaux de communication ?
SECURITE ET RESEAUX
Technologies réseaux d’entreprises
7
Problématique de la sécurité
� Lu dans la presse :� Une caisse d’allocation familiale se voit soutirer 6 à 7 MF par
un groupe de 6 ou 7 personnes,� Un virus a infecté le système d’informations de l’entreprise
ABC,� Le coût des attaques par virus, déni de service … est estimé à
1,2 milliards de francs pour l’année 95,� Perquisitions multiples dans le sud de la France pour mettre
fin aux agissements d’un gang spécialisé dans la fabrication de Yes Cards,
� Démantèlement d’un groupe de personnes spécialisées dans le piratage de systèmes téléphoniques,
� …..
Technologies réseaux d’entreprises
8
Exemple de pirate
� Kevin Mitnick : Génie informatique ou simple pirate ?
� Le plus médiatisé des pirates,
� On lui attribue âgé de 17 ans le piratage du réseau téléphonique et des ordinateurs de Pacific Bell avec modification de factures téléphoniques,
� Aurait pénétré une station du North American Air Defense Commando (1979) : aurait inspiré Wargames en 1983
� Appréhendé après avoir causé $ 4 millions à un ordinateur de DEC,
� Il a pénétré les serveurs du Whole Earth ‘Lectronic Link (WELL)
� Aurait attaqué les odinateurs de Shimomura (ancien pirate reconverti) � Conséquences
� 5 ans de prison et interdiction d’utiliser des ordinateurs� Les forces de Mitnick étaient :
� Le social engineering� La capacité d’échapper aux forces de police
Technologies réseaux d’entreprises
9
Dénis de services
� FAITS
� En février 2000, plusieurs sites web majeurs sont mis hors service (ebay, cnn, amazon, microsoft, …)
� pendant quelques heures, ils sont inondés d’un trafic estimé à 1Gbps et provenant d’adresses diverses
� Le 16 février un dénommé « Mafiaboy » est suspecté d’avoir lancé les attaques
� Le 15 avril il est arrêté au Canada, il a 15 ans
� CONSEQUENCES
� Impossibilité de joindre les serveurs pendant toute la durée de l’attaque, perte de messages, perte de crédibilité…..
� 8 mois de détention pour l’attaquant
Technologies réseaux d’entreprises
10
Dénis de services
� FAITS� Le 16 février un dénommé « Mafiaboy » est suspecté d’avoir lancé
des attaques :� A l’aide d’un programme automatique, Mafiaboy aurait compromis 75
ordinateurs par une faille dans leur serveur FTP� Il a installé un programme d’attaque distribué sur ces machines� Suspecté lors de l’examen d’un fichier log d’un serveur de Chat
(IRC): il demandait le nom de sites à attaquer, dans l’heure quisuivait, les sites étaient hors service
� CONSEQUENCES
� Le 15 avril il est arrêté au Canada, il a 15 ans � 8 mois de détention pour l’attaquant
Technologies réseaux d’entreprises
11
Infection par virus et vers
� FAITS� Melissa: premier virus planétaire instantané� Exploitation d’une macro dans un fichier Word qui en
exécution envoyait le fichier à 50 adresses prises dans le carnet d’adresses
� CONSEQUENCES� Son auteur a été arrêté dans la semaine� Nouveautés « i love you », « kournikova », « sircam » etc
Technologies réseaux d’entreprises
12
Infection par virus et vers
� Nimda est un vers qui a infecté plus de 100 000 serveurs en quelques jours en septembre 2001
� Principes de propagation :� Il cherche des serveurs web au hasard et les infecte grâce aux failles
de Ms-IIS� Il envoie Nimda à toutes les adresses e-mail d’Outlook qu’il trouve sur la
machine (readme.exe). � Il infecte les pages HTML des serveurs Web. Les clients qui visitent
récupèrent le fichier readme.exe� Il infecte des exécutables qui se trouvent sur des disques partagés
� Les failles exploitées par Nimda étaient vieilles de plusieurs mois, des patchs étaient disponibles (Windows Update)
� Les firewalls munis d’antivirus et/ou de proxies bien configurés limitent ce type d’infection ( pas d’attachement .exe, pas de trafic TFTP….)
Technologies réseaux d’entreprises
13
Infection par virus et vers
� Sircam� virus qui se propage par e-mail et par les disques partagés� pour se propager par e-mail il infecte un fichier local et
l'envoie comme attachement à toutes les adresses e-mailqu'il trouve dans le carnet d’adresses
Technologies réseaux d’entreprises
15
CAN-2004-0569Déni de service, Atteinte àla confidentialité des
données
Moyen2004-10-131.0Vulnérabilité dans la librairie "RPC Runtime" sur
Microsoft WIndows NT 4
CERT-IST/AV-2004.311
CAN-2003-0718Déni de serviceMoyen2004-10-131.0Vulnérabilité dans la gestion des messages XML par le composant WebDAV du
serveur web Microsoft IIS 5.x et 6.0
CERT-IST/AV-2004.312
CAN-2004-0206Prise de contrôle du système, Déni de service
Elevé2004-10-131.0Vulnérabilité dans les services "NetDDE" sous les
systèmes Microsoft Windows
CERT-IST/AV-2004.313
_Atteinte à la confidentialitédes données
Moyen2004-10-151.0Vulnérabilité dans le lecteur "Adobe Reader" version 6.x
CERT-IST/AV-2004.315
Référence CVE Date de la version
Version Description
Technologies réseaux d’entreprises
16
_Accès au systèmeElevé2004-09-24
1.0Ver "Zusha" sur les systèmes Microsoft Windows
CERT-IST/AV-2004.287
_Interruption de service (déni de service
partiel)
Faible2004-09-27
1.0Vulnérabilité dans MySQLversions 4.1.4 et antérieures
CERT-IST/AV-2004.288
CAN-2004-0828Déni de service,
Atteinte à l'intégritédes données
Faible2004-09-28
1.0Vulnérabilité dans la commande "ctstrtcasd" sous
IBM AIX 5.2 et 5.3
CERT-IST/AV-2004.289
CAN-2004-0833Elévation de privilègesElevé2004-09-
271.0Vulnérabilité dans la version
sécurisée de Sendmail(Sendmail + "SASL") sous
Linux Debian
CERT-IST/AV-2004.290
Technologies réseaux d’entreprises
17
ORGANISATION D’UN RESEAU
SARL
SA
N1
DSLAM
Modem
Filtre ATM
ATM ATM
Technologies réseaux d’entreprises
18
CIBLES DES ATTAQUES DANS UN RESEAU
� SYSTEMES D’EXTREMITE� Infection de fichiers,� Destruction d’informations,� Rendre le système inexploitable,� Vols de fichiers ( password, cookies…..)
� EQUIPEMENTS ACTIFS� Hubs, Commutateurs, Routeurs, Firewall …..� Supports de communication (brouillage WiFI….)
� INFRASTRUCTURES RESEAUX� Immobilisation des FAI par déni de service
� SERVICES � Corruption de flux, de services applicatifs
� ........
Technologies réseaux d’entreprises
19
Positionnement des attaques
Application
Presentation
SessionTransport
Network
Data Link
Physical
Application
Transport
Internet
Network Interface
MODELE TCPMODELE OSI MODELE IEEE
Physical
MAC
Data Link
Technologies réseaux d’entreprises
20
Sécurité : laxisme vs paranoïa
� Personne n’est à l’abri d’une attaque : nous sommes tous des cibles potentielles
� Il est facile de se protéger d’une attaque connue, mais pas des attaques à venir
� Certaines attaques sont menées par « jeu » alors que d’autres sont délibérées,
� La législation dispose de textes pour punir les auteurs de délits mais trop jeune elle reste « imparfaite »
� Faut-il se couper de tout réseau ?� Laissez-vous votre carte de crédit et son code confidentiel
en évidence ?� Envoyez vous du courrier contenant des informations
confidentielles sur une carte postale ?� ……
Technologies réseaux d’entreprises
21
Quelques dictons à méditer …..
� Si les serruriers participent à la sécurisation des bâtiments, ce sont les architectes qui la pense…
� Thucydite : ce ne sont pas les murs qui protègent la citadelle mais l’esprit de ses habitants
� Pour que l’enfant joue, pour que l’homme gagne son pain, pour que …… , sans arrêt sur les murs de la citadelle, il faut que le soldat veille…
Technologies réseaux d’entreprises
22
Approches historiques en matière de sécurité
� Secteurs touchés par la sécurité :� Etats, Défense nationale, transactions bancaires, commerce,
vie privée des individus……
� Différents mécanismes permettent de sécuriser :� Envoi d’un émissaire bien identifié ou disposant de lettres de
créance,…� Contrôler les mouvements dans une zone géographique,…..� Mettre en place un réseau privé, …..� Exploiter des techniques de chiffrement de l’information….
� Choix de mécanismes sécuritaires dépendant de la nature des biens, des personnes, des informations à protéger…..
Technologies réseaux d’entreprises
23
Ebauche d’un plan de sécurisation
Audit d’une situationsite, entreprise, produit…..
Examen des Risques PotentielsMenaces réellesAttaques passées……
Politique de sécurité
Choix mesuresde sécurité
Test et validation
Déploiement
Technologies réseaux d’entreprises
24
Ebauche d’un plan de sécurisation
� Politique de sécurité :� inventaire du système d ’information,� classification de l ’information,� identification des domaines à sécuriser,� aspects physiques et organisationnels,� …
� Mesures de sécurité :� Accès aux locaux,� Protection physique des systèmes,� Choix technologiques :
� firewalls, filtres, anti-virus, chiffrement, signatures électroniques
� authentification & contrôle d ’accès� ….
Technologies réseaux d’entreprises
25
Ebauche d’un plan de sécurisation
� Tests et validation� Installation d’une maquette,� Tests de configuration d’équipements,� Validation automatique à l’aide de scanners de vulnérabilités,
de générateurs de trafic,� Audit manuel,� Test de d'intrusion (simulation hackers)� …
� Déploiement� Installation et configuration des équipements grandeur
nature,� Mise en œuvre de protocoles de déploiement de politiques
sécuritaires (COPS, COPS-PR,….)� Vérification de la conformité� …
Technologies réseaux d’entreprises
26
Dilemme en matière de sécurité
� Compatibilité des moyens de sécurisation avec les prérequis en matière de sécurité des états et de la société :� Assurer la confidentialité des communications, garantir la sûreté,� Veiller à ce que les moyens mis en œuvre ne se retournent pas
contre l’état, les entreprises, les citoyens….
� Loi Française de 1837 :� Quiconque transmettra sans autorisation des signaux d’un lieu à un
autre, soit à l’aide de machines télégraphiques, soit par tout autre moyen sera puni d’une peine d’emprisonnement de 1 mois à 1 an etd’une amende de 1000 à 10000F. Le tribunal fera en outre démolir la machine et les moyens de transmission
� Aujourd’hui :� Contraintes légales en terme d’utilisation de techniques de
chiffrement des informations :� Régime soumis à déclaration,� Régime soumis à autorisation
Technologies réseaux d’entreprises
27
Approche pour traiter de la sécurité
� Identifier ce qui doit être protégé dans la structure d’un système d’informations,
� Identifier les types d’attaques du système d’informations,
� Identifier la « nature » des attaquants,
� Identifier la manière dont on peut protéger un système d’informations des attaques,
Technologies réseaux d’entreprises
28
ATTAQUES DE NIVEAU LIGNE
� Génération de signaux parasites sur le support,
� Ecoute du support de communication ( recupération de mots de passe, analyse des trames)
� Atteinte des équipements centralisateurs programmables� Hub programmables,� Commutateurs,
� Génération de trames pour saturer la bande passante,
Technologies réseaux d’entreprises
29
ATTAQUES DE NIVEAU PROTOCOLE
� Les attaques sur les protocoles de communications� exploiter les failles des protocoles IP, ICMP, TCP, UDP
� Les attaques sur les applications� Attaquer les applications SMTP, DNS, SNMP, X-Window, NFS, HTTP, FTP
� Les attaques sur l’information� L’écoute de données communiquées sur le réseau
� La modification des données communiquées sur le réseau
� Les attaques sur les systèmes� Le vol de mot de passe, accès aux données, corruption des fichiers (virus)
Technologies réseaux d’entreprises
30
SNIFFER
� Outil de base indispensable.� Permet de visualiser les trames sur un segment de réseau� Configure la carte en mode promiscuité� Permet d’enregistrer des séquences
� Exemples� TCPDUMP� SNIFFIT� SPYNET� SNORT (plus qu’un sniffer)� …..
Technologies réseaux d’entreprises
31
NetworkNetwork
� Mode Promiscuous NIC� récupère tous les paquets� Accès à toute info non
cryptée� Services ftp, telnet fragiles
� PARADES� Crypter les mots de passe� Crypter les flux � Chercher toute faille dans
les protocoles
SNIFFER
Technologies réseaux d’entreprises
32
Protocoles en environnement IP
Adresse IP SRCE
Application
Transport
Network Interface
IP Datagram
IP Layer
Internet
VERS HLEN Type of Service
Total Length ID Flags Frag
Offset TTL Protocol Header Checksum
Data
Internet Control Message Protocol (ICMP)
Internet Protocol (IP)
Address Resolution Protocol (ARP)
Reverse Address Resolution Protocol (RARP)
Adresse IP Dest Options IP
Technologies réseaux d’entreprises
33
STRUCTURE SEGMENT TCP
Transport Layer
Port Srce
Port Dest Seq # Ack # HLEN Reserved Code
Bits Window Check Sum
Urgent Ptr Option Data
Transmission Control Protocol (TCP)
User DatagramProtocol (UDP)
Application
Network Interface
InternetTransport
Protocoles en environnement IP
STRUCTURE SEGMENT UDP
Port Source Port Dest Longueur Controle Données
Technologies réseaux d’entreprises
34
Web Browsing HTTP
File Transfer (FTP, TFTP, NFS, File Sharing)
E-Mail (SMTP, POP2, POP3)
Remote Login (Telnet, rlogin)
Name Management (DNS)
Microsoft Networking Services
Application Layer
Transport
Network Interface
Internet
Application
Protocoles en environnement IP
Technologies réseaux d’entreprises
35
NUMEROS DE PORTS
UDP
443
Application
Transport Port Numbers
Telnet SMTP DNS HTTP SSL DNS TFTP
23 25 53 80 6953
TCP
Technologies réseaux d’entreprises
36
ALTERATION DES CHAMPS D’ADRESSE
Data
Options
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
Proto
Source IP
Destination IP
� Land attack : les adresses source et destination sont les mêmes ( provoque un crash du système)
� Forger des datagrammes IP avec l’adresse d’un site de confiance ( permet de mener une attaque MITM)
� Nécessité de mettre en place des access list
� Numéro de PROTO inconnu
Technologies réseaux d’entreprises
37
� IP Spoofing
� ARP Spoofing
� SMURF
� Ping Flooding
� Ping of Death attack
Attaques de niveau réseau IP
Technologies réseaux d’entreprises
38
Altération des champs de fragmentation
� Champ fragmentation trop petit ou trop grand
� Ping exploite icmp echo/reply� Taille max datagramme IP 65536
ICMP est encapsulé par IP� L ’attaque consiste à générer des
paquets ICMP de taille 65510 (8 octets pour le header icmp et 20 octets pour le header IP)
� Fragmentation à la source et crash du buffer au réassemblage
� STATE FULL INSPECTION
Data
Options
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
Proto
Source IP
Destination IP
Technologies réseaux d’entreprises
39
Exploitation du champ option datagramme IP
� Entête IP � 20 bytes
� Options IP� 40 octets additionnels� Quelques options
Data
Options
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
Proto
Source IP
Destination IP
0 1 2 3 4 5 6 7
CP Class Option #
0 1 2 3 4 5 6 7
Length (if used) Parameters... x 0 0 0 0 0 0 0
0 1 2 3 4 5 6 70 1 2 3 4 5 6 7
Copy: 0 don’t include options in packet fragments1 include options in packet fragments
Class: 0 Network Control / 2 DebuggingOption: one of eight valid optionsLength: number of bytes in option (if used by option)Parameters: parameters passed by the optionLast option is always option 0.
Technologies réseaux d’entreprises
40
� Exploitation régulière des options 2 4 7 et 8
� Attention aux options 3 et 9 du routage par la source� Options qui permettent
d’outrepasser le fonctionnement d’ACL
Exploitation du champ option datagramme IP
Option #Option # Option NameOption Name00 End of OptionsEnd of Options11 No OperationNo Operation22 SecuritySecurity33 Loose Source RteLoose Source Rte44 TimestampTimestamp77 Record RouteRecord Route88 Stream IDStream ID99 Strict Source RteStrict Source Rte
Technologies réseaux d’entreprises
41
FORMAT ICMP REQUEST
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
ICMP
IP
HEADER
Type Code ChecksumICMP
Identifier Sequence
DATA
Type:0—Echo Reply 15—Information Request8—Echo Request 16—Information Reply13—Timestamp Request 17—Address Mask Request14—Timestamp Reply 18—Address Mask Reply
Code: codes associated with each ICMP typeChecksum: checksum value of header fields (exc. checksum)
Type:0—Echo Reply 15—Information Request8—Echo Request 16—Information Reply13—Timestamp Request 17—Address Mask Request14—Timestamp Reply 18—Address Mask Reply
Code: codes associated with each ICMP typeChecksum: checksum value of header fields (exc. checksum)
Technologies réseaux d’entreprises
42
FORMAT ICMP ERROR MESSAGE
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
ICMP
IP
HEADER
Type Code ChecksumICMP
Identifier Unused
SequenceUnused
DATAIP HEADER + 8 Octets
datagramme original
Type:3—Destination Unreachable 11—Time Exceeded4—Source Quench 12—Parameter Problem5—Redirect
Code: codes associated with each ICMP typeChecksum: checksum value of header fields (exc. checksum)
Type:3—Destination Unreachable 11—Time Exceeded4—Source Quench 12—Parameter Problem5—Redirect
Code: codes associated with each ICMP typeChecksum: checksum value of header fields (exc. checksum)
Technologies réseaux d’entreprises
43
PING FLOODING / PING OF DEATH
Destination IP
Source IP
TTL Proto Checksum
Identification Flg Frag Offset
Ver Len Serv Length
ICMP
IP
HEADER
Type Code ChecksumICMP
Identifier Sequence
DATA=
� Emission de datagrammes (type = 0 echo reply) à destination d’une machine unique, jusqu’à saturation
� Ping of death : � Le champ FLAG indique Last Fragment� La longueur totale est supérieure à 65536 octets ( 64Ko)
Technologies réseaux d’entreprises
44
SMURF
� Envoie d'une trame ICMP "echo request« sur une adresse de diffusion.
� Exemple: ping 193.49.200.255� Exploitée par les sniffers pour déterminer les
machines actives sur une plage IP donnée.
� Attaque SMURF : forger un datagramme IP en donnant comme adresse source l’adresse de la machine qui doit etre attaquée
Technologies réseaux d’entreprises
45
ATTAQUE SMURF
gatewayDoSSource
DoSTarget
1 ICMP Echo ReqSrc: Dos TargetDest: brdct addr
3 ICMP Echo ReplyDest: Dos Target
Technologies réseaux d’entreprises
46
ARP SPOOFING
� Pollution des caches arp avec de fausses associations adresse mac/adresse IP
� Parades contre ce spoofing:� Utiliser des associations statiques� Utiliser arpwatch qui surveille les changements d'association
Technologies réseaux d’entreprises
47
TCP SYN FLOODING� Connexion établie en 3 échanges
C S
SYNC
SYNS, ACKC
ACKS
Listening
Store data
Wait
Connected
Technologies réseaux d’entreprises
48
TCP SYN FLOODING� Exemple de connexion HTTP
No. Time Source Destination Protocol Info1 10.181832 192.168.0.10 141.115.20.1 TCP 5432 > http [SYN] 2 10.185924 141.115.20.1 192.168.0.10 TCP http > 5432 [SYN, ACK] 3 10.200224 192.168.0.10 141.115.20.1 TCP 5432 > http [ACK]4 10.210432 192.168.0.10 141.115.20.1 HTTP GET / HTTP/1.1
SYN x
SYNy, ACKx+1
ACK y+1
LISTEN
Technologies réseaux d’entreprises
49
TRAME SYN
Transmission Control ProtocolSource port: 5432Destination port: http (80)Sequence number: 11110001 Header length: 28 bytes Flags: 0x0002 (SYN) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Technologies réseaux d’entreprises
50
TRAME SYN ACK
Transmission Control ProtocolSource port: http (80) Destination port: 5432Sequence number: 2220222Acknowledgement number: 11110002Header length: 28 bytes Flags: 0x0012 (SYN, ACK) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set...1 .... = Acknowledgment: Set.... 0... = Push: Not set .... .0.. = Reset: Not set.... ..1. = Syn: Set.... ...0 = Fin: Not set
Technologies réseaux d’entreprises
51
TRAME ACK
Transmission Control ProtocolSource port:5432 Destination port: http (80)Sequence number: 11110002 Acknowledgement number: 2220223Header length: 20 bytes Flags: 0x0010 (ACK) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set...1 .... = Acknowledgment: Set.... 0... = Push: Not set .... .0.. = Reset: Not set .... ..0. = Syn: Not set .... ...0 = Fin: Not set Window size: 16944 Checksum: 0xe79b (correct)
Technologies réseaux d’entreprises
52
TCP FLOODING
� Attaquant envoie plusieurs requêtes,
� La victime alloue autant d’espace que de requêtes
� Bien sûr les adresses sont forgées
� Déni de service garanti
C S
SYNC1 Listening
Store dataSYNC2
SYNC3
SYNC4
SYNC5
Technologies réseaux d’entreprises
53
� Allocation des structures: inpcb, tcpcb� Attente dans l ’état SYN_RECVD (75s)� Nombre limité de connexions dans cet état� Parades
� augmentation du nbr. de connexions semi-ouvertes, � désactivations des ports inutiles, � réduction du timer, � filtrage, et proxy� Modifier la numérotation des séquences lors du handshake
sqn = f(src addr, src port, dest addr, dest port, rand)
TCP SYN FLOODING
Technologies réseaux d’entreprises
54
TCP SYN
� Connexion TCP entre S et D� A se substitue à S� Utilisation de plusieurs attaques :
� IP spoofing,� ICMP redirect,� TCP connection killing
� Effets :� détournement d ’une communication autorisée� Contourne les protections d ’authentification forte de
l ’utilisateur SKEY et Kerberos
Technologies réseaux d’entreprises
56
Exemples de menaces (E-mail truqués 1/6)
� Gestion de messagerie sur Internet
� SMTP (Simple Mail Transfer Protocol) RFC 821, 1982
� Protocole n’utilisant aucune identification� Possibilité d’émettre des mails truqués
� Connexion à SMTP en utilisant le port 25
� Quelques commandes SMTP :� helo annonce d’un serveur sans vérification� mail from: définition expéditeur sans vérification� rcpt to: définition destinataire (individuel, liste de diffusion)� data: définition du contenu du message
Technologies réseaux d’entreprises
57
Exemples de menaces (E-mail truqués 2/6)
� Exemple de séquence pour émettre un courrier bidon
telnet mail.site.fr 25220 mail.site.fr ESMTP Sendmail 8.12.4/8.12.4; Tue, 19 Nov 2002 18:31:27 +0100MET)
helo exemple.domaine.fr250 mail.site.fr Hello machine [192.168.10.23], pleased to meet you
mail from:[email protected] 2.1.0 [email protected]... Sender ok
rcpt to: [email protected] 2.1.5 [email protected]... Recipient ok
data354 Enter mail, end with "." on a line by itself
ceci est un exemple d envoi de courrier avec emetteur falsifiebonne analyse.250 2.0.0 gAJHVRlf021313 Message accepted for delivery
quit
Technologies réseaux d’entreprises
58
Exemples de menaces (E-mail truqués 3/6)
� Identification des réponses� 211 Etat système, ou réponse d'aide système� 214 Message d'aide� 220 domaine Service disponible� 221 domaine Canal de transmission en cours de fermeture� 250 Action de messagerie effectuée, succes� 251 Utilisateur non local ; reémission vers route-directe (avec relais
automatique)� 354 Début de message ; arrêt par CRLF.CRLF� 421 domaine Service non disponible, canal en fermeture� 450 Action non effectuée : boîte-aux-lettres non disponible� 451 Action arrêtee : erreur de traitement� 452 Action non effectuée : manque de ressources système.� 500 Erreur de syntaxe, commande non reconnue� 501 Erreur de syntaxe dans des paramètres ou arguments� 502 Commande non implementée� 503 Mauvaise séquence de commandes
Technologies réseaux d’entreprises
59
Exemples de menaces (E-mail truqués 4/6)
� Parcours suivi par le message :� Le message est déposé dans le serveur SMTP sortant
� Le DNS est interrogé pour localiser le domaine de destination,
� Le message est transmis de serveur en serveur jusqu’à gagner le système dont dépend le destinataire du message
� Chaque serveur qui est traversé ajoute un entête au message,
� Les serveurs mis en œuvre peuvent ou non conserver dans le fichier d’audit les informations données
� Certaines tâches peuvent modifier le contenu du message…
Technologies réseaux d’entreprises
60
Exemples de menaces (E-mail truqués 5/6)
� Examen du tracé de route du message
Return-Path: <[email protected]>Delivered-To: [email protected]: (qmail 23219 invoked from network); 19 Nov 2002 17:34:33 -0000Received: from gw2-mail.cict.fr (195.220.59.21)by mrelay2-1.free.fr with SMTP; 19 Nov 2002 17:34:33 -0000
Received: from gw2-mail.cict.fr (localhost.localdomain [127.0.0.1])by gw2-mail.cict.fr (8.12.5/8.12.5) with ESMTP id gAJHYTut015118
for <[email protected]>; Tue, 19 Nov 2002 18:34:29 +0100
Received: from mail.site.fr (mail.site.fr [192.168.11.3])by gw2-mail.cict.fr (8.12.5/8.12.5) with ESMTP id gAJHYTto015107
for <[email protected] >; Tue, 19 Nov 2002 18:34:29 +0100
Received: from exemple.domaine.fr (machine [192.168.10.23])by mail.site.fr (8.12.4/8.12.4) with SMTP id gAJHVRlf021313
for <[email protected]; Tue, 19 Nov 2002 18:33:37 +0100 (MET)Date: Tue, 19 Nov 2002 18:31:27 +0100 (MET)From: [email protected]: <[email protected]>
Technologies réseaux d’entreprises
61
Exemples de menaces (E-mail truqués 6/6)
� Mise en garde…� Le serveur initial qui reçoit le message note:
� Le commentaire de la commande helo� L’adresse IP de l’émetteur du message� L’heure de réception� Possibilité d’identifier le plaisantin….
� Comment se fait-il que tout ne soit pas traçable ?
� Pour être intraçable il faut lancer la connexion telnet depuis une machine qui ne tient pas de logs,
� Danger potentiel si quelqu’un usurpe votre identité (volonté de nuire)
� Certains systèmes de messagerie sont réellement anonymes et modifient les entêtes de message source….� Pas de possibilité d’identifier le pirate
Technologies réseaux d’entreprises
62
� Définition et Fonctionnalités�� FirewallFirewall ou coupeou coupe--feufeu = composant ou ensemble de composants qui
restreignent l’accès entre un réseau protégé privé et l’Internet ou un ensemble d’autres réseaux
� création d’un « sas logique », véritable goulet d’étranglement, passage obligatoire pour les flux entrant et sortant du réseau protégé, agent de circulation selon des règles de sécurité de lapolitique établie...
� fonctions possibles sur les flux de communication :• filtrage• analyse• autorisation/rejet• historisation
� Ne peut contrôler que le trafic passant par lui...= = > pb des connexions RTC par modem
� Ne protège pas des virus présents sur le trafic autorisé...
Firewall
Technologies réseaux d’entreprises
63
�� Les Les FirewallsFirewalls routeursrouteurs :�� Portée de l’analysePortée de l’analyse : concerne les niveaux 3 et 4�� Fonction Fonction : Routage ou blocage des paquets selon un filtrage
déterminé par les règles de sécurité�� Information analysée Information analysée : Ce type de firewall analyse les en-têtes des
protocoles de réseau et de transport et applique les règles de filtrage à partir des informations suivantes et en fonction des interfaces d’arrivée ou de départ éventuel du datagramme :� Adresse IP source� Adresse IP destination� Protocole client de IP (TCP, UDP, ICMP...)� Port TCP ou UDP source� Port TCP ou UDP destination� Type de message ICMP
= = > blocage possible sur :� hosts ,réseaux� protocoles, services applicatifs (well-known ports)
Typologie logique des Firewalls (1/4)
Technologies réseaux d’entreprises
64
Typologie logique des Firewalls (2/4)
�� Les Les FirewallsFirewalls routeursrouteurs :�� routeur classique vs routeur écranrouteur classique vs routeur écran :
� Routeur classique : s’il sait(peut) router, il le fait, si non message ICMP
� Routeur Ecran : se demande en plus s’il doit ou non router�� Illustration du concept Illustration du concept :
INTERNETINTERNET
Réseau interneà protéger
Routeur Ecran
Technologies réseaux d’entreprises
65
Typologie logique des Firewalls (3/4)
�� Les Les FirewallsFirewalls circuitcircuit :�� Portée de l’analysePortée de l’analyse : concerne surtout le niveau 4 (TCP)�� Fonction Fonction : Occulter le réseau interne et son accès en interdisant les
connexions de bout en bout�� Principe Principe : Gérer des correspondances entre connexions internes et
connexions externes�� Illustration du concept Illustration du concept :
INTERNETINTERNET
Réseau interneà protéger
Firewall « circuit »
Connexioninterne
Connexionexterne
Technologies réseaux d’entreprises
66
Typologie logique des Firewalls (4/4)
�� Les Les FirewallsFirewalls applicatif ou applicatif ou proxiesproxies :�� Portée de l’analysePortée de l’analyse : concerne les niveaux applicatifs �� Fonction Fonction : Proposer aux clients internes un service virtuel implanté sur le
firewall qui masque le réseau interne aux serveurs réels extérieurs= = > pas de communication directe entre clients et serveurs réels
Réseau interneà protéger
Firewall « applicatif »
Connexionsinternes
Connexionsexternes
FTP Proxy
HTTP Proxy
SMTP Proxy
Prog. applicatif
INTERN
ETIN
TERNET
clients mandataires serveurs réels
Technologies réseaux d’entreprises
67
Typologie des architectures de Firewalls (1/3)
�� Hôte à doubleHôte à double--réseauréseau :�� PrincipesPrincipes : Blocage total du trafic IP
= = > Pas de routage direct (fonction de routage désactivée)= = > pas de communication directe (extérieur/intérieur)
�� ContraintesContraintes : = = > soit uniquement des services par mandatement (proxies) = = > soit connexion des utilisateurs (gestion des comptes...)
INTERNETINTERNET
Réseau interne
Firewall Hôte à double-réseau
Technologies réseaux d’entreprises
68
Typologie des architectures de Firewalls (2/3)
�� Hôte à écran Hôte à écran :�� PrincipesPrincipes : Filtrage (routeur écran) et mandatement (bastion)
= = > le filtrage des paquets impose le passage par le bastion= = > il permet aussi au bastion de communiquer avec l’extérieur
�� Contraintes Contraintes : = = > le bastion doit être fortement sécurisé = = > routeur et bastion fortement critiques...)
INTERNETINTERNET
Réseau interneFirewall
Bastion
Routeur Ecran
Technologies réseaux d’entreprises
69
Typologie des architectures de Firewalls (3/3)
�� SousSous--réseau à écran réseau à écran :�� Principes Principes : Ajouter un niveau de sécurité supplémentaire par la mise en
oeuvre d’un réseau périphérique : pas de trafic confidentiel sur ce réseau� présence de deux routeurs (extérieur et intérieur) � l’architecture peut être itérée
INTERNETINTERNET
Réseau périphérique
Firewallou DMZBastion
Routeur écran Extérieur
Réseau interne
Routeur Ecran Intérieur
Technologies réseaux d’entreprises
70
Variations d’architectures de Firewalls (1/6)
�� Plusieurs bastions dans la DMZ Plusieurs bastions dans la DMZ :�� Principes Principes : Multiplier les bastions dans la DMZ pour des questions de
performances, redondance, séparation des données et des services
INTERNETINTERNET
Réseau périphériqueFirewallou DMZ
HTTPFTP
Routeur écran Extérieur
Réseau interne
Routeur Ecran IntérieurSMTPDNS
Technologies réseaux d’entreprises
71
Variations d’architectures de Firewalls (2/6)
�� Fusion des routeurs intérieur et extérieur Fusion des routeurs intérieur et extérieur :�� Principes Principes : Un seul routeur puissant et souple � équipement critique
INTERNETINTERNET
Réseau périphérique
Firewallou DMZ
HTTPFTP
Routeur écran unique
Réseau interne
SMTPDNS
Technologies réseaux d’entreprises
72
Variations d’architectures de Firewalls (3/6)
�� Fusion du routeur intérieur et du bastion Fusion du routeur intérieur et du bastion :�� Principes Principes : Un seul host double-réseau qui abrite à la fois le routeur
extérieur et le bastion= = > plutôt adapté aux liaisons à faible débit
Réseau périphérique
Firewallou DMZ
Bastion etRouteur Extérieur
Réseau interne
Routeur Intérieur
INTERNETINTERNET
Technologies réseaux d’entreprises
73
Variations d’architectures de Firewalls (4/6)
�� Plusieurs réseaux internes Plusieurs réseaux internes :�� Principes Principes : Organisation complexe comprenant peu de sous-réseaux
= = > architecture avec routeur intérieur à plusieurs interfaces
INTERNETINTERNET
Réseau périphériqueFirewallou DMZ
HTTPFTP
Routeur écran Extérieur
Réseau interne 1
Routeur Ecran IntérieurSMTPDNS
Réseau interne 2
Technologies réseaux d’entreprises
74
Variations d’architectures de Firewalls (5/6)
�� Plusieurs réseaux internes Plusieurs réseaux internes :�� Principes Principes : Organisation complexe comprenant plusieurs sous-réseaux
= = > architecture de dorsale
INTERNETINTERNET
Réseau périphériqueFirewallou DMZ
HTTPFTP
Routeur écran Extérieur
Réseau interne 1
Routeur Ecran IntérieurSMTPDNS
Réseau interne 2
Dorsale ou backboneRouteur interne 1 Routeur interne 2
Technologies réseaux d’entreprises
75
Variations d’architectures de Firewalls (6/6)
�� FirewallsFirewalls internes internes :�� Principes Principes : Itérer la présence de firewalls pour sécuriser des secteurs du
réseau interne
INTERNETINTERNET
Réseau interne
Sous - Réseau interneultra-sécurisé
Firewall« externe »
Firewall« interne »
Technologies réseaux d’entreprises
76
Le Filtrage de paquets (1/3)
�� Définition des règlesDéfinition des règles :�� Analyse des besoinsAnalyse des besoins :
• Quels services veut-on offrir et dans quelle direction ?• Veut-on limiter l’accès à Internet ?• Existe-t-il des équipements qui nécessitent des accès au réseau interne depuis
l’internet ? �� Informations à analyserInformations à analyser :
• interface et direction (arrivée et départ des paquets)• Adresses IP source et destination• Protocole client de IP (TCP, UDP, ICMP...)• options IP (routage par la source)• Ports TCP/UDP source et destination• Information de connexion des segments TCP (ACK, SEQ…)• Type de message ICMP
�� Actions à entreprendreActions à entreprendre :• retransmission autorisée ou blocage explicité (message ICMP envoyé à
l’expéditeur) ou non (conseillé)• enregistrement des décisions (log) pour audit
Technologies réseaux d’entreprises
77
Le Filtrage de paquets (2/3)
�� Expression des règlesExpression des règles :�� Formalisation Formalisation :
= = > syntaxe qui dépend de la solution produit retenue� De façon générique :
• numérotation de la règle• direction du trafic sur lequel elle porte• informations à analyser (@sses IP, #ports, bits…)• action(s) à entreprendre
� En langage naturel utiliser un tableau de ce type :#règle direction(s) @sse_source @sse_dest type #ports…. action
�� OrdonnancementOrdonnancement := = > veiller à l ’ordre par lequel sont appliquées les règles énoncées
�� Politique par défautPolitique par défaut := = > permission par défaut vs refus par défaut= = > Préfèrer la position de refus : « tout ce qui n ’est pas explicité est interdit »
(parfois règle du « drop all » nécessaire en fin de liste)
Technologies réseaux d’entreprises
78
Le Filtrage de paquets (3/3)
�� ExemplesExemples :�� Filtrage par adresses Filtrage par adresses :
= = > éviter les attaques par falsification d’adresses� Bloquer tout le trafic entrant portant une adresse appartenant au
réseau interne à protéger� Règle correspondante :
#règle direction(s) @sse_source @sse_dest type #ports…. ActionA entrant interne Toutes REFUS
�� Filtrage par serviceFiltrage par service := = > on ne veut autoriser que du telnet sortant (connexion sur un serveur extériur à partir d ’un client sur le réseau interne)
� serveur TCP port 23, client port quelconque� Règles correspondantes :
#règle direction(s) @sse_source @sse_dest type #ports ActionA sortant interne Toutes TCP >1023 23 PERMIS B entrant Toutes interne TCP 23 >1023 ACK=1 PERMISC Toutes Toutes Toutes Tous Tous Tous REFUS
Technologies réseaux d’entreprises
79
Les Translateurs d’adresses (1/4)
�� Principe du NAT (Network Principe du NAT (Network AddressAddress Translation)Translation) :�� NAT = ProxyNAT = Proxy : service mandataire qui substitue les adresses IP du réseau
interne par une autre adresse IP (ou plage d’adresses) pour relayer les requêtes et les réponses vers et de l’Internet
�� Fonction Fonction :• lorsqu’une requête est envoyée à travers le firewall, NAT substitue le champ
adresse source de l’entête IP• lorsqu’une réponse est reçue sur le firewall, NAT substitue le champ adresse
destination de l’entête IP� = = > recalcul obligatoire du checksum…
= = > mémorisation des associations si multiples possibles...� Peut être utilisé de façon unidirectionnelle ou bidirectionnelle�� Avantages Avantages :
• Sécurité : plan d’adressage caché à l’extérieur• Augmentation de la taille de l’espace d’adressage interne
(possibilité d’utiliser les adresses privées RFC 1918)
Technologies réseaux d’entreprises
80
Les Translateurs d’adresses (2/4)
�� Le NAT statique Le NAT statique :�� Mode statique ou «Mode statique ou « one to oneone to one »» :
L’affectation entre adresse interne et externe est statiqueA 1 client correspond une adresse externe
�� Cas dCas d ’application ’application :Serveurs dédiés
�� Illustration Illustration :
INTERNETINTERNET
Réseau interne
FirewallNAT
10.0.0.0
10.0.0.12Serveur SMTP
193.12.20.0
Mail to :[email protected]
10.0.0.12 <----> 193.12.20.10
Technologies réseaux d’entreprises
81
Les Translateurs d’adresses (3/4)
�� Le NAT dynamique Le NAT dynamique :�� Mode dynamique «Mode dynamique « manymany to to manymany »» :
Correspondance dynamique « un-un » entre espace d ’adressage interne et espace d ’adressage publicCette correspondance vit durant une session
� Un pool d’adresses IP publiques doit être affecté à cette opération= = > autant d’adresses IP que de sessions actives à moment donné
�� Cas dCas d ’application ’application :Clients internes
�� Illustration Illustration :
INTERNETINTERNET
Réseau interne
FirewallNAT
10.0.0.0
10.0.0.32Client 1
193.12.20.0
10.0.0.32 <----> 193.12.20.1110.0.0.44 <----> 193.12.20.7
10.0.0.44Client 2
Technologies réseaux d’entreprises
82
Les Translateurs d’adresses (4/4)
�� Le NAPT ou PAT Le NAPT ou PAT (Port (Port AddressAddress Translation)Translation) :�� Mode dynamique «Mode dynamique « manymany to oneto one »» :
PAT remplace à la fois l’adresse IP source et le numéro de port source� Une seule adresse IP publique valide suffit� mémorisation de numéros de ports pour identifier des équipements
�� Illustration Illustration :
INTERNETINTERNET
Réseau interne
FirewallNAT
10.0.0.0
10.0.0.32Client http
193.12.20.15
10.0.0.32 <----> 193.12.20.15/234510.0.0.44 <----> 193.12.20.15/2600
10.0.0.44Client smtp
Technologies réseaux d’entreprises
83
Les Proxies applicatifs (1/1)
�� Les mandataires Les mandataires :� logiciels intermédiaires qui évaluent les requêtes des clients,
y donnent suite ou non. Dans le cas positif, ils communiquent avec le serveur réel à la place du client et relayent requêtes et réponses
�� Transparents ou nonTransparents ou non :non transparence : authentification du clienttransparence : interception des requêtes
�� Dédiés ou génériques Dédiés ou génériques :dédié : un mandataire par service
interprétation du protocole(exemple : approche TIS Internet Firewall Toolkit)
génériques : un mandataire pour tous les services(exemple : approche SOCKS)
Technologies réseaux d’entreprises
84
Construction d’un firewall avec NetFilter & Iptables
IP_PREROUTING IP_FORWARD IP_POSTROUTING
IP_LOCAL_IN IP_LOCAL_OUT
PROCESSUS LOCAUX
ENTREE SORTIE
CARACTERISATION « TRAFFIC IP »
Technologies réseaux d’entreprises
85
� PREROUTING : chaîne qui spécifie le travail à faire pour les paquets entrant dans le fw
� POSTROUTING : chaîne qui spécifie le travail à faire pour les paquets sortant du fw
� FORWARD :chaîne qui spécifie le travail à faire pour les paquets traversant le fw
� INPUT : chaîne qui spécifie le travail à faire pour les paquets entrant en local
� OUTPUT : chaîne qui spécifie le travail à faire pour les paquets sortant du processus local
Construction d’un firewall avec NetFilter & Iptables
Technologies réseaux d’entreprises
86
IPTABLES
� TABLE FILTER� Cette table va contenir toutes les règles qui permettront de
filtrer les paquets. Cette table contient trois chaînes:� La chaîne INPUT.
Cette chaîne décidera du sort des paquets entrant localementsur l'hôte.
� La chaîne OUTPUT.Ici, ce ne sont que les paquets émis par l'hôte local qui seront filtrés
� La chaîne FORWARD.Enfin, les paquets qui traversent l'hôte, suivant les routes implantées, seront filtrés ici.
� CIBLES� ACCEPT DROP DENY REJECT
Technologies réseaux d’entreprises
87
� TABLE NAT� Cette table permet d'effectuer toutes les translations
d'adresses nécessaires.� La chaîne PREROUTING.
Permet de faire de la translation d'adresse de destination. Cette méthode est intéressante si l'on veut faire croire au monde extérieur, par exemple, qu'il y a un serveur WEB sur le port 80 de la passerelle, alors que celui-ci est hébergé par un hôte du réseau privé, sur le port 8080.
� La chaîne POSTROUTING.Elle permet de faire de la translation d'adresse de la source, comme du masquage d'adresse, la méthode classique pour connecter un réseau privé comme client de l'Internet, avec une seule adresse IP "officielle".
� CIBLES� DNAT, SNAT, MASQUERADE
IPTABLES
Technologies réseaux d’entreprises
88
IPTABLES
� TABLE MANGLE
� Cette table permet le marquage des paquets entrants (PREROUTING) et générés localement (OUTPUT).
� Le marquage de paquets va permettre un traitement spécifique
� Peu utilisée pour l’instant
Technologies réseaux d’entreprises
89
CIBLES
�Caractérise l’action à effectuer option –j ou –jump <name_cible>
Exemple :
iptables -A INPUT -i eth0 -p icmp -j LOGAjoute à la chaine INPUT que les PDU arrivant sur l’interface d’entrée -i eth0 associées au protocole -p ICMP doivent être tracées -j LOG
Technologies réseaux d’entreprises
90
CIBLESTable NAT
SNAT : permet de modifier l'adresse source du paquet.
DNAT : permet de modifier l'adresse destination du paquet.
MASQUERADE : modification des adresses et numéros de ports pour masquer la véritable identité des systèmes à l’origine ou destinataires des données
LOG : permet de tracer les paquets qui entrent ou sortent
Table FILTER
ACCEPT : politique d’acceptation des paquets, la règle étant vérifiée.
DENY : politique de refus d’un paquet car la règle est vérifiée,
DROP : politique de rejet d'un paquet sans message d'erreur si la règle est vérifiée
REJECT : politique de rejet avec un retour de paquet d'erreur à l'expéditeur si la larègle est verifiée
Table MANGLE
MARK : modification des donnéesLOG : permet de tracer les paquets qui entrent ou sortent
Technologies réseaux d’entreprises
91
COMMANDES PRINCIPALES
-A --append : Ajoute la règle à la fin de la chaîne spécifiéeExemple : # iptables -A INPUT ...
-D --delete : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer.Exemples : # iptables -D INPUT --dport 80 -j DROP
# iptables -D INPUT 1
-R -- replace : Permet contrairement à delete de remplacer la chaîne pécifiée.Exemple : # iptables -R INPUT 1 -s 192.168.0.1 -j DROP
-I --insert : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne.Exemple : # iptables -I INPUT 1 --dport 80 -j ACCEPT
-L --list : Permet d'afficher les règles.Exemples : # iptables -L Affiche toutes les règles des chaînes de FILTER
# iptables -L INPUT Affiche toutes les règles de INPUT
Technologies réseaux d’entreprises
92
COMMANDES PRINCIPALES
-N --new.chain : Permet de créer une nouvelle chaîne.Exemple : # iptables -N LOG_DROP
-X --delete.chain : Permet d'effacer une chaîne.
Exemple :# iptables -X LOG_DROP
-P --policy : Permet de spécifier au noyau la cible par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ...
Exemple : # iptables .P INPUT DROP
-F --flush : Permet de vider toutes les règles d'une chaîne.Exemple : # iptables -F INPUT
Technologies réseaux d’entreprises
93
OPERATIONS DE FILTRAGE
Paramètres pris en considération :
Adresses IP sources et destinationsNuméros de ports Protocoles : tcp, udp, icmp, ip, ipv6, etc..Adresse MACTOS (Type Of Service)TTL (Time To Live)
Mais égalementUser IDGroup IDProcessus IDSession ID
Technologies réseaux d’entreprises
94
Stipulation des paramètres-p --protocol : Spécifier un protocole : tcp, udp, icmp, all (tous)Exemple : # iptables -A INPUT -p icmp -j DENY
-s --source : Spécifier une adresse source à matcherExemple : # iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT
-d --destination : Spécifier une adresse destinationExemple : # iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT
-i --in-interface : Spécifier une interface d'entréeExemple : # iptables -A INPUT -p icmp -i eth0 -j DENY
-o --out-interface : Spécifier une interface de sortieExemple : # iptables -A OUTPUT -p icmp -o eth0 -j DENY
-f --fragment : Paquet fragmentéExemple : # iptables -A INPUT -p icmp -f -j DENY
Technologies réseaux d’entreprises
95
Stipulation des paramètres--sport --source-port : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, -m multiport permet de spécifier plusieurs ports à matcher.
Exemples : # iptables -A INPUT -p tcp --sport 80 -j ACCEPT# iptables -A INPUT -p udp --sport 80 -j DROP# iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP# iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT
--dport --destination-port : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, -m multiport permet de spécifier plusieurs ports a matcher-
Exemples : # iptables -A INPUT -p tcp --dport 110 -j DENY# iptables -A INPUT -p udp --dport 110 -j DENY# iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP# iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT
--tcp-flags : Spécifier un flag tcp à matcher : SYN ACK FIN RST URG PSH ALL NONEExemple : # iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT
--icmp-type : Spécifier un type de paquet icmp à matcherExemple : # iptables -A INPUT -p icmp --icmp-type 8 -j DROP
--mac-source : Spécifier l'adresse MAC à matcherExemple : # iptables -A INPUT --mac-source 42.2.AA.42.42.AA -j DROP
Technologies réseaux d’entreprises
96
Stipulation des paramètres--state : Permet de spécifier l'état du paquet à matcher parmi les états suivants :
ESTABLISHED : paquet associé à une connexion déjà établieNEW : paquet demandant une nouvelle connexionINVALID : paquet associé à une connexion inconnueRELATED : Nouvelle connexion mais liée, idéal pour les connexions FTP
Exemples :# iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT
Spécificités NAT :--to-destination : Utilisé en target pour le DNAT, permet de spécifier l'adresse de
destination de la translation, on peut également spécifier un port s'il est différent du port source
Exemples :# iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-
destination 192.168.1.2:6110# iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-
destination 192.168.2.1:3128
--to-source : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation-
Technologies réseaux d’entreprises
97
Quelques exemples de commandes
� Pour fixer les politiques par défaut et tout refuser lorsque les règles ne correspondent pas :� iptables -P INPUT DROP� iptables -P OUTPUT DROP� iptables -P FORWARD DROP
� Pour logguer tout ce qu'on jette :� iptables -N LOG_DROP� iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES
DROP] : '� iptables -A LOG_DROP -j DROP
Technologies réseaux d’entreprises
98
Quelques exemples de commandes� Pour accepter tout ce qui se passe sur l'interface lo iptables -A INPUT
-i lo -j ACCEPT� iptables -A OUTPUT -o lo -j ACCEPT
� Pour accepter tout ce qui se passe sur le réseau local 192.168.1.0 :� iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT� iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT� iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
� Pour accepter les résolutions de nom (ie: le dns) :� iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT� iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT� iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT� iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT
� Pour accepter le traffic web (on veut surfer!) :� iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state
ESTABLISHED –j LOG_ACCEPT� iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state –
state NEW,ESTABLISHED -j LOG_ACCEPT