Upload
flo-francois
View
103
Download
0
Embed Size (px)
Citation preview
M2: Les parefeux
Université Paris II & LRI
Michel de Rougemont
http://www.lri.fr/~mdr
1. Qu’est ce qu’un parefeu ?
2. Architecture des parefeux
3. Commandes IPTABLES
Qu’est-ce-qu’un parefeu?
1. Programme sur un routeur ou un seveur
2. Permet de restreindre les services
3. Protége un réseau local contre les attaques
4. Espionne les utilisateurs
5. Politique de sécurité
API :Internet Application Interface
Une communication utilise un port.Smtp : 25Ftp : 21Pop : 110Www: 80
Internet
210.46.12.5:234
129.15.13.201:234
Réseau local
Différentes architectures
1. Routeur Parefeu
Internet
Internet
2. Parefeu : connexions vers un serveur autorisé.
Web
Architecture générale
Problème : le serveur compromisPeut compromettre le réseau local
Internet
Réseau local protégé.
Web
Politique de sécurité
Implémentation selon les systèmes d’exploitation.
Linux : Iptables (Ipchains)
/etc/init.d/iptables
Programme standard sous linux de gestion des règles de parefeu.
Iptables sur dup2.dyndns.org
# Source 'em up. /etc/init.d/functions
IPTABLES_CONFIG=/etc/sysconfig/iptables
if [ ! -x /sbin/iptables ]; then exit 0fi
KERNELMAJ=`uname -r | sed -e 's,\..*,,'`KERNELMIN=`uname -r | sed -e 's,[^\.]*\.,,' -e 's,\..*,,'`
if [ "$KERNELMAJ" -lt 2 ] ; then exit 0fiif [ "$KERNELMAJ" -eq 2 -a "$KERNELMIN" -lt 3 ] ; then exit 0fi……………..
Iptables
3 chaines : FORWARD, INPUT, OUTPUT
Iptables –P INPUT DROP (plus de paquets ne passent vers la machine)
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT (On Ajoute la règle : les paquets TCP du port 80 sont acceptés)
FORWARD
OUTPUTINPUT M.locale
Politique de sécurité
Configuration: /etc/sysconfig/iptables
[root@dhcppc2 init.d]# more /etc/sysconfig/ipchains# Firewall configuration written by lokkit# Manual customization of this file is not recommended.# Note: ifup-post will punch the current nameservers through the# firewall; such entries will *not* be listed here.:input ACCEPT:forward ACCEPT:output ACCEPT-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT-A input -s 0/0 -d 0/0 443 -p tcp -y -j ACCEPT-A input -s 0/0 -d 0/0 3306 -p tcp -y -j ACCEPT-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth0 -j ACCEPT-A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth1 -j ACCEPT-A input -s 0/0 -d 0/0 -i lo -j ACCEPT-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
Gestion des ports sur un routeur
Routeur Netgear 114
T.D. M2
• Protéger query.php sur votre site à l’aide de .htaccess
• Insérer un hyperlien sécurisé vershttps://www.lri.fr/wmdr/sec.htm ethttps://dup2.dyndns.org/etud/phpsec
• Exemple: http:// www.lri.fr/~mdr/f3.htm
• M’envoyer un email signé avec PGP et un certificat de mail
Projets informatiques
1. Outil query.php• Afficher le schéma des tables dans
une nouvelle fenêtre.• Feuilles de style dans l’affichage.
2. Outil FG ( f.php et g.php) pour éviter FTP.
• Concevoir une table à 3 champsNom, type, ProgrammeQui va stocker dans programme les
scripts à tester.Le script f.php lit un Nom et permet
d’éditer le programme ou de l’exécuter avec eval($p) ;