M2: Les parefeux

1. M2: Les parefeux Université Paris II & LRI Michel de Rougemont mdr@lri.fr http://www.lri.fr/~mdr • Qu’est ce qu’un parefeu ? • Architecture des parefeux • Commandes IPTABLES

2. Qu’est-ce-qu’un parefeu? • Programme sur un routeur ou un seveur • Permet de restreindre les services • Protége un réseau local contre les attaques • Espionne les utilisateurs • Politique de sécurité

3. API :Internet Application Interface Internet 129.15.13.201:234 Une communication utilise un port. Smtp : 25 Ftp : 21 Pop : 110 Www: 80 210.46.12.5:234 Réseau local

4. Différentes architectures 1. Routeur Parefeu Internet Web Internet • Parefeu : connexions vers un • serveur autorisé.

5. Architecture générale Problème : le serveur compromis Peut compromettre le réseau local Internet Web Réseau local protégé.

6. Politique de sécurité Implémentation selon les systèmes d’exploitation. Linux : Iptables (Ipchains) /etc/init.d/iptables Programme standard sous linux de gestion des règles de parefeu.

7. Iptables sur dup2.dyndns.org # Source 'em up . /etc/init.d/functions IPTABLES_CONFIG=/etc/sysconfig/iptables if [ ! -x /sbin/iptables ]; then exit 0 fi KERNELMAJ=`uname -r | sed -e 's,\..*,,'` KERNELMIN=`uname -r | sed -e 's,[^\.]*\.,,' -e 's,\..*,,'` if [ "$KERNELMAJ" -lt 2 ] ; then exit 0 fi if [ "$KERNELMAJ" -eq 2 -a "$KERNELMIN" -lt 3 ] ; then exit 0 fi ……………..

8. Iptables FORWARD 3 chaines : FORWARD, INPUT, OUTPUT Iptables –P INPUT DROP (plus de paquets ne passent vers la machine) -A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT (On Ajoute la règle : les paquets TCP du port 80 sont acceptés) M.locale OUTPUT INPUT

9. Politique de sécurité Configuration: /etc/sysconfig/iptables [root@dhcppc2 init.d]# more /etc/sysconfig/ipchains # Firewall configuration written by lokkit # Manual customization of this file is not recommended. # Note: ifup-post will punch the current nameservers through the # firewall; such entries will *not* be listed here. :input ACCEPT :forward ACCEPT :output ACCEPT -A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 443 -p tcp -y -j ACCEPT -A input -s 0/0 -d 0/0 3306 -p tcp -y -j ACCEPT -A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth0 -j ACCEPT -A input -s 0/0 67:68 -d 0/0 67:68 -p udp -i eth1 -j ACCEPT -A input -s 0/0 -d 0/0 -i lo -j ACCEPT -A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT -A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT -A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT -A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

10. Gestion des ports sur un routeur Routeur Netgear 114

11. T.D. M2 • Protéger query.php sur votre site à l’aide de .htaccess • Insérer un hyperlien sécurisé vers https://www.lri.fr/wmdr/sec.htm et https://dup2.dyndns.org/etud/phpsec • Exemple: http:// www.lri.fr/~mdr/f3.htm • M’envoyer un email signé avec PGP et un certificat de mail

12. Projets informatiques • Outil query.php • Afficher le schéma des tables dans une nouvelle fenêtre. • Feuilles de style dans l’affichage. • Outil FG ( f.php et g.php) pour éviter FTP. • Concevoir une table à 3 champs Nom, type, Programme Qui va stocker dans programme les scripts à tester. Le script f.php lit un Nom et permet d’éditer le programme ou de l’exécuter avec eval($p) ;