Embed Size (px)
DESCRIPTION
2.TD4 Pare FeuFRCorrige
Citation preview
TD pare-feu Questions : Qu’est-ce qu’un pare-feu ? Quels sont ses rôles et fonctions ?
- Entité matérielle ou logicielle qui permet de filtrer les entrées indésirables - Protéger les environnements informatiques en les masquant, séparant, créant un
périmètre de sécurité - Fonction de relais (proxy) et masquage
Un pare-feu est un outil de sécurité nécessaire mais pas suffisant, pourquoi ?
- Il ne peut réaliser à lui seul l’ensemble des fonctions de sécurité identifiées dans une politique de sécurité
- Par exemple, il n’assure ni la cryptographie ni la vérification d’intégrité - Permet de définir des zones dans lesquelles les accès sont contrôlés - Peut être un point important de vulnérabilité (pare-feu unique…) - Peut donner aux utilisateurs un faux sentiment de sécurité
Définissez le concept de sécurité périmétrique (zone démilitarisée)
- Périmètre de sécurité dans lequel on isole les serveurs (web) ouverts au public - Les serveurs privés ne sont pas visibles ou atteignables depuis internet
Exercice 2 : Pool d'adresse Une entreprise pratique la translation d'adresse dynamique avec un spool de trois adresses IP (193.49.96.60, 193.49.96.61 et 193.49.96.62). Quatre stations (A, B, C, D) souhaitent accéder au site web dont l'adresse IP est 128.178.50.93. Les adresses internes des stations sont respectivement 192.168.10.1, 192.168.10.2, 192.168.10.3 et 192.168.10.4. Les quatre machines utilisent le port source 3001. Compléter la table de translation du pare-feu pendant la connexion (plusieurs solutions possibles et correctes).
Table de translation du pare-feu pendant la connexion Interne Externe
Source Port Dest port Source Port Dest port 192.168.10.1 192.168.10.2 192.168.10.3 192.168.10.4 Réponse : Exercice 37 page 52 ( pas pour les masters) Il existe plusieurs réponses plausibles à cette question selon la règle d'attribution des adresses de pool. On considère ici que le pare-feu effectuant le NAT distribue
EXERCICES D'ENTRAINEMENT
Ex 3 : Pare-feu 5.1 Proposer une architecture autour d'un pare-feu admettant:
- un réseau privé composé de deux machines, une faisant office de serveur DNS et une machine client
- une zone démilitarisée (DMZ) composée d'un serveur web et dns et d'un serveur de messagerie
- un accès à un réseau externe
Un pare-feu du type du Netascq F50 utilisé en TP, avec trois interfaces réseau pourra faire l'affaire.
5.2 Proposez un choix de numérotation pour les réseaux et les machines, y compris les interfaces du pare-feu
que l'on pourra appeler IN (interne), OUT (externe) et DMZ, sachant que l'on veut que les machines du réseau
interne ne soient pas visibles depuis l'internet.
On peut utiliser l'adresse publique 152.77.63.61
On pourra utiliser un réseau de type 10.1.0.0/16 ou /24 pour le réseau IN et un réseau de type 192.168.1.0/24 ou
172.16.6.0/24 (de toute manière avec des adresses privées) pour la DMZ.
5.3 Etablir des règles de translation pour permettre aux machines du réseau interne de se connecter sur l'internet.
On pourra utiliser une syntaxe de la forme suivante:
'Source port translaté'
Source: adresse IP de la machine source ou du réseau source
Port: port (numéro (ex: 53) ou protocole (ex: udp) associé, on peut mettre 'aucun' ou 'tous', si nécessaire)
Translaté: adresse IP de la machine qui effectue la translation (vue du réseau extérieur) Ex:
- 10.3.0.0 http 192.54.10.7
- 172.16.6.0 tous 192.27.18.32
Il faut que les machines du réseau IN soient translatées vers l'extérieur :
IN tous 152.77.63.61
De même les machines de la DMZ devront être translatées vers l'extérieur
DMZ tous 152.77.63.61
5.4 Proposer des règles de filtrage permettant de se protéger le plus possible et de connecter les machines du
réseau privé sur l'internet pour faire des pings (protocole icmp), et avoir accès à des serveurs http (protocole http,
sans distinction de sites). Précisez clairement les choix que vous effectuez concernant les règles de filtrage.
On fera notamment attention à la stratégie à mettre en place concernant les dns : le dns du réseau privé
interrogera le dns de la DMZ qui interrogera un dns extérieur à l'adresse 193.58.231.94
On pourra utiliser une syntaxe de ce type:
'Protocole source destination service action'
Protocole: protocole concerné (on pourra mettre 'tous' si nécessaire)
Source: adresse IP de la machine ou du réseau source
Destination: adresse IP de la machine ou du réseau destination (on pourra mettre 'tous' si nécessaire)
Service: numéro de port (on pourra mettre 'tous' si nécessaire)
Action: 'passer' ou 'bloquer'
Ex:
- tcp 10.3.0.0 172.16.6.0 tous passer
- icmp 10.3.0.4 tous tous bloquer
Pour que le réseau privé puisse faire des pings:
- icmp IN tous tous passer
Pour que le réseau privé puisse envoyer des requêtes à des serveurs http
- http IN tous tous passer
On pourrait envisager le même type de règles pour la DMZ (cela n'était pas explicité dans l'énoncé). On a
restreint ici l'accès aux sites de type http (cela veut dire que l'accès à des sites sécurisés https n'est pas permis).
Pour permettre le transfert du trafic DNS :
- dns adresse_IP_serveur_DNS_interne adresse_IP_serveur_DNS_DMZ trafic_dns passer
- dns adresse_IP_serveur_DNS_DMZ 193.54.231.94 trafic_dns passer
5.5 Proposer des règles de filtrage permettant à des utilisateurs extérieurs d'avoir accès au serveur de messagerie (port 143) ou au serveur web (port 80) + translations d’adresse.
