Beruflich Dokumente
Kultur Dokumente
ASR4
réseaux • Protéger un environnement (vis à vis de l’extérieur et de
l’intérieur)
– tout n'est pas bien administré
Barrière de Sécurité – des machines ne doivent pas être accessibles par tous
– certaines doivent être « accessibles" (serveur WWW,
FTP, Courriel)
Introduction • Contrôler les accès entrant et sortant
Serveur de proximité, pare-feu IP, filtrage, – Contrôler/espionner
architecture – autoriser certains services seulement
• dans un sens pas dans l'autre
• vers/depuis certaines machines seulement
1 2
3 4
1
Translation d'adresses - NAT Partage de connexion
Réseau privé
• Network Adresse Translation - Masquerading – Une adresse publique :
80.8.128.5 Internet
Mascarade - usurpation d’identité
Partager une connexion permet de relier
plusieurs machines à Internet (ou à un autre adresses IP privées
réseau) au travers d'une seule machine (la Ex: 192.168.15.0/24
passerelle)
Les hôtes du réseau privé ont accès à tous les
services sur Internet
7 8
9 10
2
Illustration des chaînes pour le filtrage Cibles – actions pour le filtrage
Paquet arrivant d’une
• ACCEPT Les paquets/segments
interface réseau poursuivront leur cheminement au travers des
couches réseaux
OUTPUT • DROP refus des paquets (qui seront donc
INPUT ignorés)
FORWARD • REJECT refus du paquets et envoie d’une
réponse à l'émetteur pour lui signaler que son
paquet a été refusé
• LOG enregistrement un message dans
Paquets allant à une /var/log/messages
interface réseau
13 14
option de action
filtrage 17 18
3
Protocoles liés à TCP/IP Option de filtrages
Trames
DNS BOOTP FTP SMTP HTTP … --in-interface Interface réseau d'entrée
--out-interface Interface réseau de sortie
ICMP UDP TCP Paquet IP
--source Adresse IP origine du paquet
--destination Adresse IP de destination
IP --protocol tcp, udp, icmp ou all
ARP
correspondant au champ « protocole » de
l’entête IP
par exemple Ethernet
19 20
23 24
4
Exemples de filtrage de segments TCP Exemples de filtrage de segments TCP
iptables -t filter -A OUTPUT iptables -t filter -A INPUT
--protocol tcp --source-port 80 --protocol tcp
–-jump ACCEPT --destination-port 80 –-jump ACCEPT
iptables -t filter -A OUTPUT iptables -t filter -A INPUT
--protocol tcp
--protocol tcp ! --source-port 80 ! --destination-port 80
--jump DROP –-jump DROP
//Ces règles permettent de laisser passer tout le Ces règles permettent de laisser passer tout le trafic
trafic TCP sortant du port 80. TCP entrant sur le port 80
Par contre les autres segments sortants TCP sont Par contre les autres segments entrants TCP sont
ignorés ignorés
25 26
Exemples de filtrage
(suite)
M1
tcp : NEW, RELATED, ESTABLISHED
5
Cibles – actions pour le NAT Option de NAT
31 32
option de action
filtrage 35 36
6
Usage des règles de manière Usage des règles de manière
permanente (sous Linux Debian) permanente (sous Linux Debian)
• Dans /etc/network/interfaces • Dans /etc/network/interfaces
iface eth0 inet static iface eth0 inet dhcp
address x.x.x.x [.. option ..]
netmask 255.255.0.0 pre-up iptables-restore < /etc/firewall
network x.x.0.0
broadcast x.x.255.255
pre-up iptables-restore < /etc/firewall
37 38
Serveur de Proximité
• Dispositif informatique
– Une application sur un poste qui prend en charge
certaines fonctions applicatives à la place d’un
Serveur de Proximité ensemble de postes
1. Requêtes
HTTP 4. URL
7
économiseur de ressources réseaux Exemple – visualisation des paquet IP
Clients Web Serveur Web client Web Serveur Web • No.Source Destination Protocol Info
• 4 192.168.0.10 11.169.0.253 HTTP GET …
1. GET A 2. GET A
La requête a été faite au proxy et non pas à la cible. Le
4. A proxy transmet la requête à la cible.
3. A
• 11 11.169.0.253 42.16.0.251 HTTP GET …
5. GET A La cible répond au proxy :
A,…
Cache web • 13 42.16.0.251 11.169.0.253 HTTP … 200
6. A qui retransmet au client:
Clients perçoivent un débit plus élevé • 15 11.169.0.253 192.168.0.10 HTTP … 200
Diminution du trafic Web et ainsi de suite...
Plus de services 43 44
2
Serveur web externe 80
45 46
2&3
Serveur web externe 80
Serveur web externe 80
47 48
8
A l’IUT Serveur de proximité WEB : Rôle d’un serveur de proximité
cache.ens.iut-orsay.fr
• Economiser les ressources réseaux - cache
Proxy
• Enregistre les communications
Serveur
8080
Proxy • Sécuriser le réseau local (Filtre)
51 52
Structuration
• 3 types de zones :
– Réseau interne (les hôtes)
Une zone démilitarisée - DMZ - demilitarized
Architecture zone – serveurs du réseau interne qui
doivent être accessibles de l’extérieur (DNS,
SMTP, HTTP, FTP, News)
Réseau Externe (Internet)
Pas d’accès directe de l’extérieur
vers l’intérieur, intérieur vers extérieur ???
53 54
9
Architecture 1 Architecture 2
coupe-feu pare-feu
R. Interne
R. Interne dmz
dmz 55 56
10