d’entreprise Sécurité dans les réseauxcsmaniac.free.fr/STRI/cours/M1/S%E9curit%E9%20... ·...

Technologies réseaux d’entreprises

1

Sécurité dans les réseaux d’entreprise


2

SECURITE ET RESEAUX

� SOCIETE DE L’INFORMATION

� Besoin de plus en plus d'informations� Grande diversité dans la nature des informations:

� données financières� données techniques� Données scientifiques, industrielles (aéronautiques, spatial, atomiques…..� données santé, recherche médicales� Données défense nationale ….. � …

� Source de convoitise pour répondre à des besoins économiques

� Un monde avec de nouvelles ou sans ……..frontières � Guerre économique,� Mutation des mentalités,� Mutation des relations sociales � ……


3

SECURITE ET RESEAUX

� L'évolution des risques� Diversification des réseaux

� Dérégulation, opérateurs alternatifs, panels de solutions d’interconnexion

� Mutation des technologies ( réseaux filaires vs réseaux sans fils)

� VPN IP, VPN MPLS, � Croissance de l'Internet� Croissance des attaques� Failles des technologies� Failles des configurations� Failles des politiques de sécurité� Changement de profil des pirates


4

SECURITE ET RESEAUX

� INTERNET et ses protocoles au cœur des débats

� Échange de fichiers de tous types ( textes, images, vidéo, musique,……)

� Pas de frontière spatiale et temporelle,� Nombre d’internautes en augmentation permanente,� Gain de productivité,� Révolution avec la E_economie, la E_administration……� ……….


5

SECURITE ET RESEAUX

� INTERNET et ses protocoles au cœur des débats

� Quel contrôle de l’information ( est-elle certifiée)� Diffusion de contenus dangereux.� Supports des communication entre criminels (terrorisme).� Présence de sites diffamatoires,� Support d’escroqueries� Non respect des droits d'auteurs.


6

� RESEAU : vecteur des attaques

� Qui sont les attaquants ? � Quelles sont les techniques d’attaque ?� Quelles sont les outils utilisés ?� Comment s’y prennent –ils ?� Quelles sont les ressources attaquées ?� Quelles sont leurs motivations ?� Comment organiser sa défense :

� Approche individuelle ou collective ? � Quelles mesures employer ? � Quelles sont leurs limites ?� Sur quel arsenal juridique s’appuyer ?� Quels outils propres aux réseaux de communication ?

SECURITE ET RESEAUX


7

Problématique de la sécurité

� Lu dans la presse :� Une caisse d’allocation familiale se voit soutirer 6 à 7 MF par

un groupe de 6 ou 7 personnes,� Un virus a infecté le système d’informations de l’entreprise

ABC,� Le coût des attaques par virus, déni de service … est estimé à

1,2 milliards de francs pour l’année 95,� Perquisitions multiples dans le sud de la France pour mettre

fin aux agissements d’un gang spécialisé dans la fabrication de Yes Cards,

� Démantèlement d’un groupe de personnes spécialisées dans le piratage de systèmes téléphoniques,

� …..


8

Exemple de pirate

� Kevin Mitnick : Génie informatique ou simple pirate ?

� Le plus médiatisé des pirates,

� On lui attribue âgé de 17 ans le piratage du réseau téléphonique et des ordinateurs de Pacific Bell avec modification de factures téléphoniques,

� Aurait pénétré une station du North American Air Defense Commando (1979) : aurait inspiré Wargames en 1983

� Appréhendé après avoir causé $ 4 millions à un ordinateur de DEC,

� Il a pénétré les serveurs du Whole Earth ‘Lectronic Link (WELL)

� Aurait attaqué les odinateurs de Shimomura (ancien pirate reconverti) � Conséquences

� 5 ans de prison et interdiction d’utiliser des ordinateurs� Les forces de Mitnick étaient :

� Le social engineering� La capacité d’échapper aux forces de police


9

Dénis de services

� FAITS

� En février 2000, plusieurs sites web majeurs sont mis hors service (ebay, cnn, amazon, microsoft, …)

� pendant quelques heures, ils sont inondés d’un trafic estimé à 1Gbps et provenant d’adresses diverses

� Le 16 février un dénommé « Mafiaboy » est suspecté d’avoir lancé les attaques

� Le 15 avril il est arrêté au Canada, il a 15 ans

� CONSEQUENCES

� Impossibilité de joindre les serveurs pendant toute la durée de l’attaque, perte de messages, perte de crédibilité…..

� 8 mois de détention pour l’attaquant


10

Dénis de services

� FAITS� Le 16 février un dénommé « Mafiaboy » est suspecté d’avoir lancé

des attaques :� A l’aide d’un programme automatique, Mafiaboy aurait compromis 75

ordinateurs par une faille dans leur serveur FTP� Il a installé un programme d’attaque distribué sur ces machines� Suspecté lors de l’examen d’un fichier log d’un serveur de Chat

(IRC): il demandait le nom de sites à attaquer, dans l’heure quisuivait, les sites étaient hors service

� CONSEQUENCES

� Le 15 avril il est arrêté au Canada, il a 15 ans � 8 mois de détention pour l’attaquant


11

Infection par virus et vers

� FAITS� Melissa: premier virus planétaire instantané� Exploitation d’une macro dans un fichier Word qui en

exécution envoyait le fichier à 50 adresses prises dans le carnet d’adresses

� CONSEQUENCES� Son auteur a été arrêté dans la semaine� Nouveautés « i love you », « kournikova », « sircam » etc


12


� Nimda est un vers qui a infecté plus de 100 000 serveurs en quelques jours en septembre 2001

� Principes de propagation :� Il cherche des serveurs web au hasard et les infecte grâce aux failles

de Ms-IIS� Il envoie Nimda à toutes les adresses e-mail d’Outlook qu’il trouve sur la

machine (readme.exe). � Il infecte les pages HTML des serveurs Web. Les clients qui visitent

récupèrent le fichier readme.exe� Il infecte des exécutables qui se trouvent sur des disques partagés

� Les failles exploitées par Nimda étaient vieilles de plusieurs mois, des patchs étaient disponibles (Windows Update)

� Les firewalls munis d’antivirus et/ou de proxies bien configurés limitent ce type d’infection ( pas d’attachement .exe, pas de trafic TFTP….)


13


� Sircam� virus qui se propage par e-mail et par les disques partagés� pour se propager par e-mail il infecte un fichier local et

l'envoie comme attachement à toutes les adresses e-mailqu'il trouve dans le carnet d’adresses


14

Computer Emergency Response Team


15

CAN-2004-0569Déni de service, Atteinte àla confidentialité des

données

Moyen2004-10-131.0Vulnérabilité dans la librairie "RPC Runtime" sur

Microsoft WIndows NT 4

CERT-IST/AV-2004.311

CAN-2003-0718Déni de serviceMoyen2004-10-131.0Vulnérabilité dans la gestion des messages XML par le composant WebDAV du

serveur web Microsoft IIS 5.x et 6.0


CAN-2004-0206Prise de contrôle du système, Déni de service

Elevé2004-10-131.0Vulnérabilité dans les services "NetDDE" sous les

systèmes Microsoft Windows


_Atteinte à la confidentialitédes données

Moyen2004-10-151.0Vulnérabilité dans le lecteur "Adobe Reader" version 6.x


Référence CVE Date de la version

Version Description


16

_Accès au systèmeElevé2004-09-24

1.0Ver "Zusha" sur les systèmes Microsoft Windows


_Interruption de service (déni de service

partiel)

Faible2004-09-27

1.0Vulnérabilité dans MySQLversions 4.1.4 et antérieures


CAN-2004-0828Déni de service,

Atteinte à l'intégritédes données

Faible2004-09-28

1.0Vulnérabilité dans la commande "ctstrtcasd" sous

IBM AIX 5.2 et 5.3


CAN-2004-0833Elévation de privilègesElevé2004-09-

271.0Vulnérabilité dans la version

sécurisée de Sendmail(Sendmail + "SASL") sous

Linux Debian



17

ORGANISATION D’UN RESEAU

SARL

SA

N1

DSLAM

Modem

Filtre ATM

ATM ATM


18

CIBLES DES ATTAQUES DANS UN RESEAU

� SYSTEMES D’EXTREMITE� Infection de fichiers,� Destruction d’informations,� Rendre le système inexploitable,� Vols de fichiers ( password, cookies…..)

� EQUIPEMENTS ACTIFS� Hubs, Commutateurs, Routeurs, Firewall …..� Supports de communication (brouillage WiFI….)

� INFRASTRUCTURES RESEAUX� Immobilisation des FAI par déni de service

� SERVICES � Corruption de flux, de services applicatifs

� ........


19

Positionnement des attaques

Application

Presentation

SessionTransport

Network

Data Link

Physical

Application

Transport

Internet

Network Interface

MODELE TCPMODELE OSI MODELE IEEE

Physical

MAC

Data Link


20

Sécurité : laxisme vs paranoïa

� Personne n’est à l’abri d’une attaque : nous sommes tous des cibles potentielles

� Il est facile de se protéger d’une attaque connue, mais pas des attaques à venir

� Certaines attaques sont menées par « jeu » alors que d’autres sont délibérées,

� La législation dispose de textes pour punir les auteurs de délits mais trop jeune elle reste « imparfaite »

� Faut-il se couper de tout réseau ?� Laissez-vous votre carte de crédit et son code confidentiel

en évidence ?� Envoyez vous du courrier contenant des informations

confidentielles sur une carte postale ?� ……


21

Quelques dictons à méditer …..

� Si les serruriers participent à la sécurisation des bâtiments, ce sont les architectes qui la pense…

� Thucydite : ce ne sont pas les murs qui protègent la citadelle mais l’esprit de ses habitants

� Pour que l’enfant joue, pour que l’homme gagne son pain, pour que …… , sans arrêt sur les murs de la citadelle, il faut que le soldat veille…


22

Approches historiques en matière de sécurité

� Secteurs touchés par la sécurité :� Etats, Défense nationale, transactions bancaires, commerce,

vie privée des individus……

� Différents mécanismes permettent de sécuriser :� Envoi d’un émissaire bien identifié ou disposant de lettres de

créance,…� Contrôler les mouvements dans une zone géographique,…..� Mettre en place un réseau privé, …..� Exploiter des techniques de chiffrement de l’information….

� Choix de mécanismes sécuritaires dépendant de la nature des biens, des personnes, des informations à protéger…..


23

Ebauche d’un plan de sécurisation

Audit d’une situationsite, entreprise, produit…..

Examen des Risques PotentielsMenaces réellesAttaques passées……

Politique de sécurité

Choix mesuresde sécurité

Test et validation

Déploiement


24


� Politique de sécurité :� inventaire du système d ’information,� classification de l ’information,� identification des domaines à sécuriser,� aspects physiques et organisationnels,� …

� Mesures de sécurité :� Accès aux locaux,� Protection physique des systèmes,� Choix technologiques :

� firewalls, filtres, anti-virus, chiffrement, signatures électroniques

� authentification & contrôle d ’accès� ….


25


� Tests et validation� Installation d’une maquette,� Tests de configuration d’équipements,� Validation automatique à l’aide de scanners de vulnérabilités,

de générateurs de trafic,� Audit manuel,� Test de d'intrusion (simulation hackers)� …

� Déploiement� Installation et configuration des équipements grandeur

nature,� Mise en œuvre de protocoles de déploiement de politiques

sécuritaires (COPS, COPS-PR,….)� Vérification de la conformité� …


26

Dilemme en matière de sécurité

� Compatibilité des moyens de sécurisation avec les prérequis en matière de sécurité des états et de la société :� Assurer la confidentialité des communications, garantir la sûreté,� Veiller à ce que les moyens mis en œuvre ne se retournent pas

contre l’état, les entreprises, les citoyens….

� Loi Française de 1837 :� Quiconque transmettra sans autorisation des signaux d’un lieu à un

autre, soit à l’aide de machines télégraphiques, soit par tout autre moyen sera puni d’une peine d’emprisonnement de 1 mois à 1 an etd’une amende de 1000 à 10000F. Le tribunal fera en outre démolir la machine et les moyens de transmission

� Aujourd’hui :� Contraintes légales en terme d’utilisation de techniques de

chiffrement des informations :� Régime soumis à déclaration,� Régime soumis à autorisation


27

Approche pour traiter de la sécurité

� Identifier ce qui doit être protégé dans la structure d’un système d’informations,

� Identifier les types d’attaques du système d’informations,

� Identifier la « nature » des attaquants,

� Identifier la manière dont on peut protéger un système d’informations des attaques,


28

ATTAQUES DE NIVEAU LIGNE

� Génération de signaux parasites sur le support,

� Ecoute du support de communication ( recupération de mots de passe, analyse des trames)

� Atteinte des équipements centralisateurs programmables� Hub programmables,� Commutateurs,

� Génération de trames pour saturer la bande passante,


29

ATTAQUES DE NIVEAU PROTOCOLE

� Les attaques sur les protocoles de communications� exploiter les failles des protocoles IP, ICMP, TCP, UDP

� Les attaques sur les applications� Attaquer les applications SMTP, DNS, SNMP, X-Window, NFS, HTTP, FTP

� Les attaques sur l’information� L’écoute de données communiquées sur le réseau

� La modification des données communiquées sur le réseau

� Les attaques sur les systèmes� Le vol de mot de passe, accès aux données, corruption des fichiers (virus)


30

SNIFFER

� Outil de base indispensable.� Permet de visualiser les trames sur un segment de réseau� Configure la carte en mode promiscuité� Permet d’enregistrer des séquences

� Exemples� TCPDUMP� SNIFFIT� SPYNET� SNORT (plus qu’un sniffer)� …..


31

NetworkNetwork

� Mode Promiscuous NIC� récupère tous les paquets� Accès à toute info non

cryptée� Services ftp, telnet fragiles

� PARADES� Crypter les mots de passe� Crypter les flux � Chercher toute faille dans

les protocoles

SNIFFER


32

Protocoles en environnement IP

Adresse IP SRCE

Application

Transport

Network Interface

IP Datagram

IP Layer

Internet

VERS HLEN Type of Service

Total Length ID Flags Frag

Offset TTL Protocol Header Checksum

Data

Internet Control Message Protocol (ICMP)

Internet Protocol (IP)

Address Resolution Protocol (ARP)

Reverse Address Resolution Protocol (RARP)

Adresse IP Dest Options IP


33

STRUCTURE SEGMENT TCP

Transport Layer

Port Srce

Port Dest Seq # Ack # HLEN Reserved Code

Bits Window Check Sum

Urgent Ptr Option Data

Transmission Control Protocol (TCP)

User DatagramProtocol (UDP)

Application

Network Interface

InternetTransport


STRUCTURE SEGMENT UDP

Port Source Port Dest Longueur Controle Données


34

Web Browsing HTTP

File Transfer (FTP, TFTP, NFS, File Sharing)

E-Mail (SMTP, POP2, POP3)

Remote Login (Telnet, rlogin)

Name Management (DNS)

Microsoft Networking Services

Application Layer

Transport

Network Interface

Internet

Application



35

NUMEROS DE PORTS

UDP

443

Application

Transport Port Numbers

Telnet SMTP DNS HTTP SSL DNS TFTP

23 25 53 80 6953

TCP


36

ALTERATION DES CHAMPS D’ADRESSE

Data

Options

Destination IP

Source IP

TTL Proto Checksum

Identification Flg Frag Offset

Ver Len Serv Length

Proto

Source IP

Destination IP

� Land attack : les adresses source et destination sont les mêmes ( provoque un crash du système)

� Forger des datagrammes IP avec l’adresse d’un site de confiance ( permet de mener une attaque MITM)

� Nécessité de mettre en place des access list

� Numéro de PROTO inconnu


37

� IP Spoofing

� ARP Spoofing

� SMURF

� Ping Flooding

� Ping of Death attack

Attaques de niveau réseau IP


38

Altération des champs de fragmentation

� Champ fragmentation trop petit ou trop grand

� Ping exploite icmp echo/reply� Taille max datagramme IP 65536

ICMP est encapsulé par IP� L ’attaque consiste à générer des

paquets ICMP de taille 65510 (8 octets pour le header icmp et 20 octets pour le header IP)

� Fragmentation à la source et crash du buffer au réassemblage

� STATE FULL INSPECTION

Data

Options

Destination IP

Source IP

TTL Proto Checksum


Ver Len Serv Length

Proto

Source IP

Destination IP


39

Exploitation du champ option datagramme IP

� Entête IP � 20 bytes

� Options IP� 40 octets additionnels� Quelques options

Data

Options

Destination IP

Source IP

TTL Proto Checksum


Ver Len Serv Length

Proto

Source IP

Destination IP

0 1 2 3 4 5 6 7

CP Class Option #

0 1 2 3 4 5 6 7

Length (if used) Parameters... x 0 0 0 0 0 0 0

0 1 2 3 4 5 6 70 1 2 3 4 5 6 7

Copy: 0 don’t include options in packet fragments1 include options in packet fragments

Class: 0 Network Control / 2 DebuggingOption: one of eight valid optionsLength: number of bytes in option (if used by option)Parameters: parameters passed by the optionLast option is always option 0.


40

� Exploitation régulière des options 2 4 7 et 8

� Attention aux options 3 et 9 du routage par la source� Options qui permettent

d’outrepasser le fonctionnement d’ACL

Exploitation du champ option datagramme IP

Option #Option # Option NameOption Name00 End of OptionsEnd of Options11 No OperationNo Operation22 SecuritySecurity33 Loose Source RteLoose Source Rte44 TimestampTimestamp77 Record RouteRecord Route88 Stream IDStream ID99 Strict Source RteStrict Source Rte


41

FORMAT ICMP REQUEST

Destination IP

Source IP

TTL Proto Checksum


Ver Len Serv Length

ICMP

IP

HEADER

Type Code ChecksumICMP

Identifier Sequence

DATA

Type:0—Echo Reply 15—Information Request8—Echo Request 16—Information Reply13—Timestamp Request 17—Address Mask Request14—Timestamp Reply 18—Address Mask Reply

Code: codes associated with each ICMP typeChecksum: checksum value of header fields (exc. checksum)

Type:0—Echo Reply 15—Information Request8—Echo Request 16—Information Reply13—Timestamp Request 17—Address Mask Request14—Timestamp Reply 18—Address Mask Reply



42

FORMAT ICMP ERROR MESSAGE

Destination IP

Source IP

TTL Proto Checksum


Ver Len Serv Length

ICMP

IP

HEADER


Identifier Unused

SequenceUnused

DATAIP HEADER + 8 Octets

datagramme original

Type:3—Destination Unreachable 11—Time Exceeded4—Source Quench 12—Parameter Problem5—Redirect


Type:3—Destination Unreachable 11—Time Exceeded4—Source Quench 12—Parameter Problem5—Redirect



43

PING FLOODING / PING OF DEATH

Destination IP

Source IP

TTL Proto Checksum


Ver Len Serv Length

ICMP

IP

HEADER


Identifier Sequence

DATA=

� Emission de datagrammes (type = 0 echo reply) à destination d’une machine unique, jusqu’à saturation

� Ping of death : � Le champ FLAG indique Last Fragment� La longueur totale est supérieure à 65536 octets ( 64Ko)


44

SMURF

� Envoie d'une trame ICMP "echo request« sur une adresse de diffusion.

� Exemple: ping 193.49.200.255� Exploitée par les sniffers pour déterminer les

machines actives sur une plage IP donnée.

� Attaque SMURF : forger un datagramme IP en donnant comme adresse source l’adresse de la machine qui doit etre attaquée


45

ATTAQUE SMURF

gatewayDoSSource

DoSTarget

1 ICMP Echo ReqSrc: Dos TargetDest: brdct addr

3 ICMP Echo ReplyDest: Dos Target


46

ARP SPOOFING

� Pollution des caches arp avec de fausses associations adresse mac/adresse IP

� Parades contre ce spoofing:� Utiliser des associations statiques� Utiliser arpwatch qui surveille les changements d'association


47

TCP SYN FLOODING� Connexion établie en 3 échanges

C S

SYNC

SYNS, ACKC

ACKS

Listening

Store data

Wait

Connected


48

TCP SYN FLOODING� Exemple de connexion HTTP

No. Time Source Destination Protocol Info1 10.181832 192.168.0.10 141.115.20.1 TCP 5432 > http [SYN] 2 10.185924 141.115.20.1 192.168.0.10 TCP http > 5432 [SYN, ACK] 3 10.200224 192.168.0.10 141.115.20.1 TCP 5432 > http [ACK]4 10.210432 192.168.0.10 141.115.20.1 HTTP GET / HTTP/1.1

SYN x

SYNy, ACKx+1

ACK y+1

LISTEN


49

TRAME SYN

Transmission Control ProtocolSource port: 5432Destination port: http (80)Sequence number: 11110001 Header length: 28 bytes Flags: 0x0002 (SYN) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set

..0. .... = Urgent: Not set

...0 .... = Acknowledgment: Not set

.... 0... = Push: Not set

.... .0.. = Reset: Not set

.... ..1. = Syn: Set

.... ...0 = Fin: Not set


50

TRAME SYN ACK

Transmission Control ProtocolSource port: http (80) Destination port: 5432Sequence number: 2220222Acknowledgement number: 11110002Header length: 28 bytes Flags: 0x0012 (SYN, ACK) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set...1 .... = Acknowledgment: Set.... 0... = Push: Not set .... .0.. = Reset: Not set.... ..1. = Syn: Set.... ...0 = Fin: Not set


51

TRAME ACK

Transmission Control ProtocolSource port:5432 Destination port: http (80)Sequence number: 11110002 Acknowledgement number: 2220223Header length: 20 bytes Flags: 0x0010 (ACK) 0... .... = Congestion Window Reduced (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set...1 .... = Acknowledgment: Set.... 0... = Push: Not set .... .0.. = Reset: Not set .... ..0. = Syn: Not set .... ...0 = Fin: Not set Window size: 16944 Checksum: 0xe79b (correct)


52

TCP FLOODING

� Attaquant envoie plusieurs requêtes,

� La victime alloue autant d’espace que de requêtes

� Bien sûr les adresses sont forgées

� Déni de service garanti

C S

SYNC1 Listening

Store dataSYNC2

SYNC3

SYNC4

SYNC5


53

� Allocation des structures: inpcb, tcpcb� Attente dans l ’état SYN_RECVD (75s)� Nombre limité de connexions dans cet état� Parades

� augmentation du nbr. de connexions semi-ouvertes, � désactivations des ports inutiles, � réduction du timer, � filtrage, et proxy� Modifier la numérotation des séquences lors du handshake

sqn = f(src addr, src port, dest addr, dest port, rand)

TCP SYN FLOODING


54

TCP SYN

� Connexion TCP entre S et D� A se substitue à S� Utilisation de plusieurs attaques :

� IP spoofing,� ICMP redirect,� TCP connection killing

� Effets :� détournement d ’une communication autorisée� Contourne les protections d ’authentification forte de

l ’utilisateur SKEY et Kerberos


55

EXEMPLES D’ATTAQUESAU NIVEAU APPLICATIF


56

Exemples de menaces (E-mail truqués 1/6)

� Gestion de messagerie sur Internet

� SMTP (Simple Mail Transfer Protocol) RFC 821, 1982

� Protocole n’utilisant aucune identification� Possibilité d’émettre des mails truqués

� Connexion à SMTP en utilisant le port 25

� Quelques commandes SMTP :� helo annonce d’un serveur sans vérification� mail from: définition expéditeur sans vérification� rcpt to: définition destinataire (individuel, liste de diffusion)� data: définition du contenu du message


57


� Exemple de séquence pour émettre un courrier bidon

telnet mail.site.fr 25220 mail.site.fr ESMTP Sendmail 8.12.4/8.12.4; Tue, 19 Nov 2002 18:31:27 +0100MET)

helo exemple.domaine.fr250 mail.site.fr Hello machine [192.168.10.23], pleased to meet you

mail from:[email protected] 2.1.0 [email protected]... Sender ok

rcpt to: [email protected] 2.1.5 [email protected]... Recipient ok

data354 Enter mail, end with "." on a line by itself

ceci est un exemple d envoi de courrier avec emetteur falsifiebonne analyse.250 2.0.0 gAJHVRlf021313 Message accepted for delivery

quit


58


� Identification des réponses� 211 Etat système, ou réponse d'aide système� 214 Message d'aide� 220 domaine Service disponible� 221 domaine Canal de transmission en cours de fermeture� 250 Action de messagerie effectuée, succes� 251 Utilisateur non local ; reémission vers route-directe (avec relais

automatique)� 354 Début de message ; arrêt par CRLF.CRLF� 421 domaine Service non disponible, canal en fermeture� 450 Action non effectuée : boîte-aux-lettres non disponible� 451 Action arrêtee : erreur de traitement� 452 Action non effectuée : manque de ressources système.� 500 Erreur de syntaxe, commande non reconnue� 501 Erreur de syntaxe dans des paramètres ou arguments� 502 Commande non implementée� 503 Mauvaise séquence de commandes


59


� Parcours suivi par le message :� Le message est déposé dans le serveur SMTP sortant

� Le DNS est interrogé pour localiser le domaine de destination,

� Le message est transmis de serveur en serveur jusqu’à gagner le système dont dépend le destinataire du message

� Chaque serveur qui est traversé ajoute un entête au message,

� Les serveurs mis en œuvre peuvent ou non conserver dans le fichier d’audit les informations données

� Certaines tâches peuvent modifier le contenu du message…


60


� Examen du tracé de route du message

Return-Path: <[email protected]>Delivered-To: [email protected]: (qmail 23219 invoked from network); 19 Nov 2002 17:34:33 -0000Received: from gw2-mail.cict.fr (195.220.59.21)by mrelay2-1.free.fr with SMTP; 19 Nov 2002 17:34:33 -0000

Received: from gw2-mail.cict.fr (localhost.localdomain [127.0.0.1])by gw2-mail.cict.fr (8.12.5/8.12.5) with ESMTP id gAJHYTut015118

for <[email protected]>; Tue, 19 Nov 2002 18:34:29 +0100

Received: from mail.site.fr (mail.site.fr [192.168.11.3])by gw2-mail.cict.fr (8.12.5/8.12.5) with ESMTP id gAJHYTto015107

for <[email protected] >; Tue, 19 Nov 2002 18:34:29 +0100

Received: from exemple.domaine.fr (machine [192.168.10.23])by mail.site.fr (8.12.4/8.12.4) with SMTP id gAJHVRlf021313

for <[email protected]; Tue, 19 Nov 2002 18:33:37 +0100 (MET)Date: Tue, 19 Nov 2002 18:31:27 +0100 (MET)From: [email protected]: <[email protected]>


61


� Mise en garde…� Le serveur initial qui reçoit le message note:

� Le commentaire de la commande helo� L’adresse IP de l’émetteur du message� L’heure de réception� Possibilité d’identifier le plaisantin….

� Comment se fait-il que tout ne soit pas traçable ?

� Pour être intraçable il faut lancer la connexion telnet depuis une machine qui ne tient pas de logs,

� Danger potentiel si quelqu’un usurpe votre identité (volonté de nuire)

� Certains systèmes de messagerie sont réellement anonymes et modifient les entêtes de message source….� Pas de possibilité d’identifier le pirate


62

� Définition et Fonctionnalités�� FirewallFirewall ou coupeou coupe--feufeu = composant ou ensemble de composants qui

restreignent l’accès entre un réseau protégé privé et l’Internet ou un ensemble d’autres réseaux

� création d’un « sas logique », véritable goulet d’étranglement, passage obligatoire pour les flux entrant et sortant du réseau protégé, agent de circulation selon des règles de sécurité de lapolitique établie...

� fonctions possibles sur les flux de communication :• filtrage• analyse• autorisation/rejet• historisation

� Ne peut contrôler que le trafic passant par lui...= = > pb des connexions RTC par modem

� Ne protège pas des virus présents sur le trafic autorisé...

Firewall


63

�� Les Les FirewallsFirewalls routeursrouteurs :�� Portée de l’analysePortée de l’analyse : concerne les niveaux 3 et 4�� Fonction Fonction : Routage ou blocage des paquets selon un filtrage

déterminé par les règles de sécurité�� Information analysée Information analysée : Ce type de firewall analyse les en-têtes des

protocoles de réseau et de transport et applique les règles de filtrage à partir des informations suivantes et en fonction des interfaces d’arrivée ou de départ éventuel du datagramme :� Adresse IP source� Adresse IP destination� Protocole client de IP (TCP, UDP, ICMP...)� Port TCP ou UDP source� Port TCP ou UDP destination� Type de message ICMP

= = > blocage possible sur :� hosts ,réseaux� protocoles, services applicatifs (well-known ports)

Typologie logique des Firewalls (1/4)


64


�� Les Les FirewallsFirewalls routeursrouteurs :�� routeur classique vs routeur écranrouteur classique vs routeur écran :

� Routeur classique : s’il sait(peut) router, il le fait, si non message ICMP

� Routeur Ecran : se demande en plus s’il doit ou non router�� Illustration du concept Illustration du concept :

INTERNETINTERNET

Réseau interneà protéger

Routeur Ecran


65


�� Les Les FirewallsFirewalls circuitcircuit :�� Portée de l’analysePortée de l’analyse : concerne surtout le niveau 4 (TCP)�� Fonction Fonction : Occulter le réseau interne et son accès en interdisant les

connexions de bout en bout�� Principe Principe : Gérer des correspondances entre connexions internes et

connexions externes�� Illustration du concept Illustration du concept :

INTERNETINTERNET


Firewall « circuit »

Connexioninterne

Connexionexterne


66


�� Les Les FirewallsFirewalls applicatif ou applicatif ou proxiesproxies :�� Portée de l’analysePortée de l’analyse : concerne les niveaux applicatifs �� Fonction Fonction : Proposer aux clients internes un service virtuel implanté sur le

firewall qui masque le réseau interne aux serveurs réels extérieurs= = > pas de communication directe entre clients et serveurs réels


Firewall « applicatif »

Connexionsinternes

Connexionsexternes

FTP Proxy

HTTP Proxy

SMTP Proxy

Prog. applicatif

INTERN

ETIN

TERNET

clients mandataires serveurs réels


67

Typologie des architectures de Firewalls (1/3)

�� Hôte à doubleHôte à double--réseauréseau :�� PrincipesPrincipes : Blocage total du trafic IP

= = > Pas de routage direct (fonction de routage désactivée)= = > pas de communication directe (extérieur/intérieur)

�� ContraintesContraintes : = = > soit uniquement des services par mandatement (proxies) = = > soit connexion des utilisateurs (gestion des comptes...)

INTERNETINTERNET

Réseau interne

Firewall Hôte à double-réseau


68


�� Hôte à écran Hôte à écran :�� PrincipesPrincipes : Filtrage (routeur écran) et mandatement (bastion)

= = > le filtrage des paquets impose le passage par le bastion= = > il permet aussi au bastion de communiquer avec l’extérieur

�� Contraintes Contraintes : = = > le bastion doit être fortement sécurisé = = > routeur et bastion fortement critiques...)

INTERNETINTERNET

Réseau interneFirewall

Bastion

Routeur Ecran


69


�� SousSous--réseau à écran réseau à écran :�� Principes Principes : Ajouter un niveau de sécurité supplémentaire par la mise en

oeuvre d’un réseau périphérique : pas de trafic confidentiel sur ce réseau� présence de deux routeurs (extérieur et intérieur) � l’architecture peut être itérée

INTERNETINTERNET

Réseau périphérique

Firewallou DMZBastion

Routeur écran Extérieur

Réseau interne

Routeur Ecran Intérieur


70

Variations d’architectures de Firewalls (1/6)

�� Plusieurs bastions dans la DMZ Plusieurs bastions dans la DMZ :�� Principes Principes : Multiplier les bastions dans la DMZ pour des questions de

performances, redondance, séparation des données et des services

INTERNETINTERNET

Réseau périphériqueFirewallou DMZ

HTTPFTP


Réseau interne

Routeur Ecran IntérieurSMTPDNS


71


�� Fusion des routeurs intérieur et extérieur Fusion des routeurs intérieur et extérieur :�� Principes Principes : Un seul routeur puissant et souple � équipement critique

INTERNETINTERNET


Firewallou DMZ

HTTPFTP

Routeur écran unique

Réseau interne

SMTPDNS


72


�� Fusion du routeur intérieur et du bastion Fusion du routeur intérieur et du bastion :�� Principes Principes : Un seul host double-réseau qui abrite à la fois le routeur

extérieur et le bastion= = > plutôt adapté aux liaisons à faible débit


Firewallou DMZ

Bastion etRouteur Extérieur

Réseau interne

Routeur Intérieur

INTERNETINTERNET


73


�� Plusieurs réseaux internes Plusieurs réseaux internes :�� Principes Principes : Organisation complexe comprenant peu de sous-réseaux

= = > architecture avec routeur intérieur à plusieurs interfaces

INTERNETINTERNET


HTTPFTP


Réseau interne 1


Réseau interne 2


74


�� Plusieurs réseaux internes Plusieurs réseaux internes :�� Principes Principes : Organisation complexe comprenant plusieurs sous-réseaux

= = > architecture de dorsale

INTERNETINTERNET


HTTPFTP


Réseau interne 1


Réseau interne 2

Dorsale ou backboneRouteur interne 1 Routeur interne 2


75


�� FirewallsFirewalls internes internes :�� Principes Principes : Itérer la présence de firewalls pour sécuriser des secteurs du

réseau interne

INTERNETINTERNET

Réseau interne

Sous - Réseau interneultra-sécurisé

Firewall« externe »

Firewall« interne »


76

Le Filtrage de paquets (1/3)

�� Définition des règlesDéfinition des règles :�� Analyse des besoinsAnalyse des besoins :

• Quels services veut-on offrir et dans quelle direction ?• Veut-on limiter l’accès à Internet ?• Existe-t-il des équipements qui nécessitent des accès au réseau interne depuis

l’internet ? �� Informations à analyserInformations à analyser :

• interface et direction (arrivée et départ des paquets)• Adresses IP source et destination• Protocole client de IP (TCP, UDP, ICMP...)• options IP (routage par la source)• Ports TCP/UDP source et destination• Information de connexion des segments TCP (ACK, SEQ…)• Type de message ICMP

�� Actions à entreprendreActions à entreprendre :• retransmission autorisée ou blocage explicité (message ICMP envoyé à

l’expéditeur) ou non (conseillé)• enregistrement des décisions (log) pour audit


77


�� Expression des règlesExpression des règles :�� Formalisation Formalisation :

= = > syntaxe qui dépend de la solution produit retenue� De façon générique :

• numérotation de la règle• direction du trafic sur lequel elle porte• informations à analyser (@sses IP, #ports, bits…)• action(s) à entreprendre

� En langage naturel utiliser un tableau de ce type :#règle direction(s) @sse_source @sse_dest type #ports…. action

�� OrdonnancementOrdonnancement := = > veiller à l ’ordre par lequel sont appliquées les règles énoncées

�� Politique par défautPolitique par défaut := = > permission par défaut vs refus par défaut= = > Préfèrer la position de refus : « tout ce qui n ’est pas explicité est interdit »

(parfois règle du « drop all » nécessaire en fin de liste)


78


�� ExemplesExemples :�� Filtrage par adresses Filtrage par adresses :

= = > éviter les attaques par falsification d’adresses� Bloquer tout le trafic entrant portant une adresse appartenant au

réseau interne à protéger� Règle correspondante :

#règle direction(s) @sse_source @sse_dest type #ports…. ActionA entrant interne Toutes REFUS

�� Filtrage par serviceFiltrage par service := = > on ne veut autoriser que du telnet sortant (connexion sur un serveur extériur à partir d ’un client sur le réseau interne)

� serveur TCP port 23, client port quelconque� Règles correspondantes :

#règle direction(s) @sse_source @sse_dest type #ports ActionA sortant interne Toutes TCP >1023 23 PERMIS B entrant Toutes interne TCP 23 >1023 ACK=1 PERMISC Toutes Toutes Toutes Tous Tous Tous REFUS


79

Les Translateurs d’adresses (1/4)

�� Principe du NAT (Network Principe du NAT (Network AddressAddress Translation)Translation) :�� NAT = ProxyNAT = Proxy : service mandataire qui substitue les adresses IP du réseau

interne par une autre adresse IP (ou plage d’adresses) pour relayer les requêtes et les réponses vers et de l’Internet

�� Fonction Fonction :• lorsqu’une requête est envoyée à travers le firewall, NAT substitue le champ

adresse source de l’entête IP• lorsqu’une réponse est reçue sur le firewall, NAT substitue le champ adresse

destination de l’entête IP� = = > recalcul obligatoire du checksum…

= = > mémorisation des associations si multiples possibles...� Peut être utilisé de façon unidirectionnelle ou bidirectionnelle�� Avantages Avantages :

• Sécurité : plan d’adressage caché à l’extérieur• Augmentation de la taille de l’espace d’adressage interne

(possibilité d’utiliser les adresses privées RFC 1918)


80


�� Le NAT statique Le NAT statique :�� Mode statique ou «Mode statique ou « one to oneone to one »» :

L’affectation entre adresse interne et externe est statiqueA 1 client correspond une adresse externe

�� Cas dCas d ’application ’application :Serveurs dédiés

�� Illustration Illustration :

INTERNETINTERNET

Réseau interne

FirewallNAT

10.0.0.0

10.0.0.12Serveur SMTP

193.12.20.0

Mail to :[email protected]

10.0.0.12 <----> 193.12.20.10


81


�� Le NAT dynamique Le NAT dynamique :�� Mode dynamique «Mode dynamique « manymany to to manymany »» :

Correspondance dynamique « un-un » entre espace d ’adressage interne et espace d ’adressage publicCette correspondance vit durant une session

� Un pool d’adresses IP publiques doit être affecté à cette opération= = > autant d’adresses IP que de sessions actives à moment donné

�� Cas dCas d ’application ’application :Clients internes


INTERNETINTERNET

Réseau interne

FirewallNAT

10.0.0.0

10.0.0.32Client 1

193.12.20.0

10.0.0.32 <----> 193.12.20.1110.0.0.44 <----> 193.12.20.7

10.0.0.44Client 2


82


�� Le NAPT ou PAT Le NAPT ou PAT (Port (Port AddressAddress Translation)Translation) :�� Mode dynamique «Mode dynamique « manymany to oneto one »» :

PAT remplace à la fois l’adresse IP source et le numéro de port source� Une seule adresse IP publique valide suffit� mémorisation de numéros de ports pour identifier des équipements


INTERNETINTERNET

Réseau interne

FirewallNAT

10.0.0.0

10.0.0.32Client http

193.12.20.15

10.0.0.32 <----> 193.12.20.15/234510.0.0.44 <----> 193.12.20.15/2600

10.0.0.44Client smtp


83

Les Proxies applicatifs (1/1)

�� Les mandataires Les mandataires :� logiciels intermédiaires qui évaluent les requêtes des clients,

y donnent suite ou non. Dans le cas positif, ils communiquent avec le serveur réel à la place du client et relayent requêtes et réponses

�� Transparents ou nonTransparents ou non :non transparence : authentification du clienttransparence : interception des requêtes

�� Dédiés ou génériques Dédiés ou génériques :dédié : un mandataire par service

interprétation du protocole(exemple : approche TIS Internet Firewall Toolkit)

génériques : un mandataire pour tous les services(exemple : approche SOCKS)


84

Construction d’un firewall avec NetFilter & Iptables

IP_PREROUTING IP_FORWARD IP_POSTROUTING

IP_LOCAL_IN IP_LOCAL_OUT

PROCESSUS LOCAUX

ENTREE SORTIE

CARACTERISATION « TRAFFIC IP »


85

� PREROUTING : chaîne qui spécifie le travail à faire pour les paquets entrant dans le fw

� POSTROUTING : chaîne qui spécifie le travail à faire pour les paquets sortant du fw

� FORWARD :chaîne qui spécifie le travail à faire pour les paquets traversant le fw

� INPUT : chaîne qui spécifie le travail à faire pour les paquets entrant en local

� OUTPUT : chaîne qui spécifie le travail à faire pour les paquets sortant du processus local

Construction d’un firewall avec NetFilter & Iptables


86

IPTABLES

� TABLE FILTER� Cette table va contenir toutes les règles qui permettront de

filtrer les paquets. Cette table contient trois chaînes:� La chaîne INPUT.

Cette chaîne décidera du sort des paquets entrant localementsur l'hôte.

� La chaîne OUTPUT.Ici, ce ne sont que les paquets émis par l'hôte local qui seront filtrés

� La chaîne FORWARD.Enfin, les paquets qui traversent l'hôte, suivant les routes implantées, seront filtrés ici.

� CIBLES� ACCEPT DROP DENY REJECT


87

� TABLE NAT� Cette table permet d'effectuer toutes les translations

d'adresses nécessaires.� La chaîne PREROUTING.

Permet de faire de la translation d'adresse de destination. Cette méthode est intéressante si l'on veut faire croire au monde extérieur, par exemple, qu'il y a un serveur WEB sur le port 80 de la passerelle, alors que celui-ci est hébergé par un hôte du réseau privé, sur le port 8080.

� La chaîne POSTROUTING.Elle permet de faire de la translation d'adresse de la source, comme du masquage d'adresse, la méthode classique pour connecter un réseau privé comme client de l'Internet, avec une seule adresse IP "officielle".

� CIBLES� DNAT, SNAT, MASQUERADE

IPTABLES


88

IPTABLES

� TABLE MANGLE

� Cette table permet le marquage des paquets entrants (PREROUTING) et générés localement (OUTPUT).

� Le marquage de paquets va permettre un traitement spécifique

� Peu utilisée pour l’instant


89

CIBLES

�Caractérise l’action à effectuer option –j ou –jump <name_cible>

Exemple :

iptables -A INPUT -i eth0 -p icmp -j LOGAjoute à la chaine INPUT que les PDU arrivant sur l’interface d’entrée -i eth0 associées au protocole -p ICMP doivent être tracées -j LOG


90

CIBLESTable NAT

SNAT : permet de modifier l'adresse source du paquet.

DNAT : permet de modifier l'adresse destination du paquet.

MASQUERADE : modification des adresses et numéros de ports pour masquer la véritable identité des systèmes à l’origine ou destinataires des données

LOG : permet de tracer les paquets qui entrent ou sortent

Table FILTER

ACCEPT : politique d’acceptation des paquets, la règle étant vérifiée.

DENY : politique de refus d’un paquet car la règle est vérifiée,

DROP : politique de rejet d'un paquet sans message d'erreur si la règle est vérifiée

REJECT : politique de rejet avec un retour de paquet d'erreur à l'expéditeur si la larègle est verifiée

Table MANGLE

MARK : modification des donnéesLOG : permet de tracer les paquets qui entrent ou sortent


91

COMMANDES PRINCIPALES

-A --append : Ajoute la règle à la fin de la chaîne spécifiéeExemple : # iptables -A INPUT ...

-D --delete : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer.Exemples : # iptables -D INPUT --dport 80 -j DROP

# iptables -D INPUT 1

-R -- replace : Permet contrairement à delete de remplacer la chaîne pécifiée.Exemple : # iptables -R INPUT 1 -s 192.168.0.1 -j DROP

-I --insert : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne.Exemple : # iptables -I INPUT 1 --dport 80 -j ACCEPT

-L --list : Permet d'afficher les règles.Exemples : # iptables -L Affiche toutes les règles des chaînes de FILTER

# iptables -L INPUT Affiche toutes les règles de INPUT


92

COMMANDES PRINCIPALES

-N --new.chain : Permet de créer une nouvelle chaîne.Exemple : # iptables -N LOG_DROP

-X --delete.chain : Permet d'effacer une chaîne.

Exemple :# iptables -X LOG_DROP

-P --policy : Permet de spécifier au noyau la cible par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ...

Exemple : # iptables .P INPUT DROP

-F --flush : Permet de vider toutes les règles d'une chaîne.Exemple : # iptables -F INPUT


93

OPERATIONS DE FILTRAGE

Paramètres pris en considération :

Adresses IP sources et destinationsNuméros de ports Protocoles : tcp, udp, icmp, ip, ipv6, etc..Adresse MACTOS (Type Of Service)TTL (Time To Live)

Mais égalementUser IDGroup IDProcessus IDSession ID


94

Stipulation des paramètres-p --protocol : Spécifier un protocole : tcp, udp, icmp, all (tous)Exemple : # iptables -A INPUT -p icmp -j DENY

-s --source : Spécifier une adresse source à matcherExemple : # iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT

-d --destination : Spécifier une adresse destinationExemple : # iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT

-i --in-interface : Spécifier une interface d'entréeExemple : # iptables -A INPUT -p icmp -i eth0 -j DENY

-o --out-interface : Spécifier une interface de sortieExemple : # iptables -A OUTPUT -p icmp -o eth0 -j DENY

-f --fragment : Paquet fragmentéExemple : # iptables -A INPUT -p icmp -f -j DENY


95

Stipulation des paramètres--sport --source-port : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, -m multiport permet de spécifier plusieurs ports à matcher.

Exemples : # iptables -A INPUT -p tcp --sport 80 -j ACCEPT# iptables -A INPUT -p udp --sport 80 -j DROP# iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP# iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT

--dport --destination-port : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, -m multiport permet de spécifier plusieurs ports a matcher-

Exemples : # iptables -A INPUT -p tcp --dport 110 -j DENY# iptables -A INPUT -p udp --dport 110 -j DENY# iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP# iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT

--tcp-flags : Spécifier un flag tcp à matcher : SYN ACK FIN RST URG PSH ALL NONEExemple : # iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT

--icmp-type : Spécifier un type de paquet icmp à matcherExemple : # iptables -A INPUT -p icmp --icmp-type 8 -j DROP

--mac-source : Spécifier l'adresse MAC à matcherExemple : # iptables -A INPUT --mac-source 42.2.AA.42.42.AA -j DROP


96

Stipulation des paramètres--state : Permet de spécifier l'état du paquet à matcher parmi les états suivants :

ESTABLISHED : paquet associé à une connexion déjà établieNEW : paquet demandant une nouvelle connexionINVALID : paquet associé à une connexion inconnueRELATED : Nouvelle connexion mais liée, idéal pour les connexions FTP

Exemples :# iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state

NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j

ACCEPT

Spécificités NAT :--to-destination : Utilisé en target pour le DNAT, permet de spécifier l'adresse de

destination de la translation, on peut également spécifier un port s'il est différent du port source

Exemples :# iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-

destination 192.168.1.2:6110# iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-

destination 192.168.2.1:3128

--to-source : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation-


97

Quelques exemples de commandes

� Pour fixer les politiques par défaut et tout refuser lorsque les règles ne correspondent pas :� iptables -P INPUT DROP� iptables -P OUTPUT DROP� iptables -P FORWARD DROP

� Pour logguer tout ce qu'on jette :� iptables -N LOG_DROP� iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES

DROP] : '� iptables -A LOG_DROP -j DROP


98

Quelques exemples de commandes� Pour accepter tout ce qui se passe sur l'interface lo iptables -A INPUT

-i lo -j ACCEPT� iptables -A OUTPUT -o lo -j ACCEPT

� Pour accepter tout ce qui se passe sur le réseau local 192.168.1.0 :� iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT� iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT� iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

� Pour accepter les résolutions de nom (ie: le dns) :� iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT� iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT� iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT� iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT

� Pour accepter le traffic web (on veut surfer!) :� iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state

ESTABLISHED –j LOG_ACCEPT� iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state –

state NEW,ESTABLISHED -j LOG_ACCEPT

d’entreprise Sécurité dans les réseauxcsmaniac.free.fr/STRI/cours/M1/S%E9curit%E9%20... ·...

Documents

Transcript of d’entreprise Sécurité dans les réseauxcsmaniac.free.fr/STRI/cours/M1/S%E9curit%E9%20... ·...