IUP
2002
-
en
ohan
place
Univ
d'un
No
réseau
ODRIGUEZ,
sécurisé
ALETTE
-
Informatique
R5
Claude
Ab
on
dalla
em
AL
R
TUNAIJI,
Y
Hugo
V
ETIEV
Maîtrise
ANT,
Génie
Rem
Réseau
y
ersité
F
Bernard
ABREGES,
Ly
Benoît
1
MA
v
YNARD,
bre
Jean-F
Mise
rançois2sur
que
ressources
1
de
In
erte
tro
hes,
duction
depuis
Ce
dev
rapp
partage
ort
a
scanning,
p
deux
our
t,
but
,
de
t
présen
de
ter
d'un
la
d'autres
construction
du
pas
tâc
à
b
pas
P
d'un
3
réseau
sur
sécurisé.
t
Elle
d'accès
sera
des
suivie
t
d'une
et
phase
nous
de
en
tests
ar
et
nous
d'attaques
problème
à
TP
l'aide
:
d'outils
scripts,
logiciels
à
disp
applications.
onibles
v
sur
e
In
réseau
ternet.
in
1.1
la
Sujet
tableau
Création
osition
d'un
terfaces
réseau
passerelle
informatique
nous
sécurisé.
nécessaires
Ce
bastion)
réseau
In
comprendra
réseau
un
de
routeur
a
utilisan
La
t
herc
un
téléc
Fi-
applications
rew
t
all,
se
un
des
ou
.
des
une
clien
mac
ts
priv
dans
t.
un
t
réseau
salles
lo
v
cal,
es
un
la
bastion
de
prop
la
osan
renouv
t
haque
au
ré-installation
moins
Répartition
un
Nous
service
réparti
w
notre
eb
fonction
in
de
tranet.
rew
Un
externes,
service
et
T
v
elnet
de
distan
oir
t
page
ou
disp
SSH
que
p
in
ermettra
réseaux
de
notre
comm
alors
uniquer
trois
a
auraien
v
été
ec
(clien
un
extérieur,
clien
L'absence
t
à
distan
ternet
t.
le
Protection
global
du
salles
réseau
TP
lo
nous
cal.
considérablemen
Les
freiné.
clien
phase
ts
rec
lo
he
caux
de
devron
hargemen
t
des
être
qui
protégés
étaien
du
nécessaires
monde
ait
extérieur.
faire
VPN.
dehors
Un
heures
tunnel
TP
sécurisé
P
devra
ailleurs,
p
panne
ermettre
une
à
hine
un
a
clien
é
t
clien
extérieur
Le
de
récurren
se
du
connecter
des
de
de
façon
a
sûre
ec
au
élèv
routeur.
implique
T
ests.
p
La
systématique
sécurité
nos
de
l'ensem
conguration
ble
système
devra
elée
être
c
dûmen
scéance,
t
la
testée
des
par
1.3
les
des
outils
hes
adéquats.
a
1.2
ons
Limitations
les
P
de
ar
équip
manque
en
de
des
matériel,
esoins
nous
notre
n'a
:
v
all,
ons
attaques
pas
attaques
pu
ternes
installer
VPN.
de
our
DMZ
oir
(zone
répartition
démilitarisée)
tâc
puisque
v
nous
le
n'a
1.1
vions
4.
à
Chapitre
notre1.1
comme
osé
CHAPITRE
in
1.
tation
INTR
p
ODUCTION
o
Nom
apac
Tâc
tâc
he
présen
Outils
endredi
Altunaiji
heure.
installation
do
d'un
oin
VPN
crac
sur
T
SSH
Répartition
Etiév
1.4
an
L'équip
t
un
installation
le
rew
décem
all,
t
tests
v
T
ort
elnet
t
ip
er
c
4
hains
tranet
F
k,
abrèges
he
scanning,
ab.
piratage
nmap
des
Ma
hes
ynard
Présen
clien
orale
t
e
distan
tera
t
exp
ip
oral
c
v
hains
13
Ro
bre
driguez
endan
attaques
1
et
A
tests
ec
nessus,
supp
uito
un
V
cumen
alette
P
crac
w
k
P
mot
t.
de
passe,Sc
réseau
de
2
Chapitre
Arc
héma
hitecture
notre
Fig.
5
2.1
AR
6
CHITECTURE
CHAPITRE
2.haîne
REJECT
par
3
celles
Firew
tre
all
donc
L'in
de
tallation
Les
d'un
haîne
rew
er
all
alors
(pare
olice
feu)
DENY
sur
c
le
page
routeur
arriv
qui
par
sert
ph
de
règles
passerelle
ob
en
s'appliquan
tre
la
notre
de
réseau
sécurité
lo
)
cal
de
et
t
le
euv
reste
oir
du
d'autres
monde
tan
est
t
une
qui
étap
t
e
an
obligée
Un
de
haîne
la
haîne
sécurisation
corresp
de
p
nos
ée.
installations.
n'a
olice
Les
fait
no
a
y
de
aux
c
2.0
en
disp
sortie
osen
en
t
de
de
t
IPfwadm
ariés
ées
Les
qui
no
t
y
base
aux
tableau
2.2
ou
on
par
t
se
IPChains
au
et
t
IPMasqadm
la
.
Les
t
no
pare-feu
y
la
aux
a
2.4
leur
p
eectiv
ossèden
qui
t
une
IPtables
toutes
a
la
v
en
ec
qui
Netfilter
Et
$
à
uname
sp
-sr
règle
Linux
aucune
2.2.20
au
Notre
trouv
routeur
la
tournan
défaut
t
haîne
sous
Il
Lin
ortan
ux
an
de
les
v
la
ersion
défaut
de
P
no
rejète
y
(
au
et
2.2,
output
nous
on
a
(
v
3.1.3
ons
Les
c
rep
hoisi
des
d'utiliser
très
l'outil
7
natif
group
de
en
Lin
haînes
ux
p
:
en
Ip
être
chains
de
.
(v
3.1
le
L'outil
3.1
ip
10)
c
bien
hains
dénies
3.1.1
l'utilisateur.
Présen
paquets
tation
présen
Le
t
rew
pare-feu
all
en
ip
automatiquemen
c
dans
hains
c
p
input
ermet
Ceux
d'établir
son
des
émis
règles
le
de
passen
ltrage
dans
organisées
c
selon
output
une
v
hiérarc
t
hie
sortie
de
ysique
c
e.
haînes
paquet
arb
en
orescen
dans
te.
c
Il
teste
ne
les
sera
de
pas
c
discuté
jusqu'à
ici
trouv
de
une
la
lui
syn
onde.
taxe
il
de
éit
cet
la
outil
olice
mais
éciée
de
la
la
trouv
stratégie
Si
de
règle
sécurisation
t
de
paquet
notre
été
passerelle.
ée,
3.1.2
c'est
F
p
onctionnemen
par
t
de
Les
c
règles
qui
de
loi.
ltrage
est
déterminen
imp
t
t,
le
v
dev
t
enir
créer
des
règles,
paquets
dénir
grâce
p
à
par
une
d'une
p
haîne.
olice
ar
qui
on
p
en
eut
trée
être
input
l'une
)
de
en
celles
(
du
REJECT
tableau
et
3.2
ignore
page
redirection
10
forward
ou
).
bien
Critères
une
ltrage
redirection
règles
v
ltrage
ers
osen
une
sur
autre
critères
c
sélection
haîne.
v
Les
:
règles
Chapitre
son
test
d'une
CHAPITRE
des
3.
an
FIREW
ordonnée
ALL
:
du
adresse
script
IP
source
R
adresse
p
IP
à
destination
o
Limiter
p
c
ort
8
source
Chaînes
suppression
p
ort
jout
destination
D
t
proto
Un
cole
p
(UDP
,
déterminé
TCP
alier
,
le
ICMP)
v
(FTP
in
trac
terface
(
et
TOS
les
(qualité
:
de
création
service)
F
drap
olice
eaux
hage
sp
éciaux
du
proto
remplacemen
cole
c
TCP
R
3.2
t
de
yp
d'appliquer
es
de
de
IP
co
elnet
des
clien
sp
In
éciaux
du
l'IP
proto
cole
w
ICMP
priv
3.1.4
l'extérieur
A
autres
ctions
rlogin,
p
er
ossibles
dans
sur
de
les
)
paquets
p
Les
notre
règles
t
p
suiv
euv
tes
en
t
N
en
vidage
plus
de
X
la
aectation
p
p
olice
P
ac
dénir
L
diéren
Règles
tes
a
actions
A
sur
insertion
un
I
paquet
suppression
:
t
mise
en
hangemen
c
d'ordre
hier
de
C
log
Stratégie
script
redirection
démarrage
v
ermet
ers
notre
une
olitique
autre
sécurité
c
haîne
masquerading
T
marquage
limité
d'un
un
paquet
t
application
terdiction
d'une
ping
p
P
olice
à
3.1.5
Sp
Mo
ong
de
Autoriser
de
trac
construction
eb
des
réseau
c
é
haînes
ers
et
des
les
règles
services
Les
,
options
nger...)
de
Conserv
ip
le
chains
sensible
p
un
our
hier
la
log
gestion
/etc/log/messages
des
Ce
c
rend
haînes
ortable
et
réutilisable
des
conguration.
règles
sonolice
de
MASQ
P
enn
ASSERELLE
publique
SÉCURISÉE
ltrage
9
la
3.2.1
esses
Réseau
sur
lo
cal
]
in
proto
visible
l'en
Nous
redirection
p
c
ossédons
ranslation"
un
Dénition
réseau
192.168.0.1
lo
ternet
cal
:
de
:
mac
P
hines
tous
qui
applique
doiv
paquets
en
est
t
réseau
être
t
in
Syn
visibles
e
depuis
p
l'extérieur.
application
Mais
-P
elles
du
doiv
:
en
Dénition
t
eth1
p
up
ouv
de
oir
forward
accéder
conguration
au
[
service
netmask
w
Initialisation
eb
on
à
que
l'extérieur.
le
P
REJECT
our
output
cela,
et
on
paquet
v
p
a
rend
mettre
in
en
tout
place
de
du
les
Masquer
p
ading
-P
.
ou
Le
en
masquerading
ork
1
d
est
la
directemen
:
t
DENY
pris
masque
en
priv
c
terface
harge
eth0
par
255.255.255.0
Lin
l'adresse
ux
l'in
équip
à
é
ifconfig
d'un
netmask
no
en
y
masquerading
au
-b
de
192.168.0.0/24
v
taxe
ersion
carte
sup
interfac
érieur
|
à
esse
2.2.x.
]
Notre
sécurisée
distribution
règles
de
ar
Debian
par
ne
paquets
p
t
ose
la
aucun
ort...
problème
p
de
c
ce
input
côté-là.
rejette
La
en
passerelle
sortie
v
oi
a
(car
assurer
oli).
le
DENY
partage
haîne
de
visible
la
cal
connexion
t
réseau
tout
v
in
ers
v
l'extérieur.
d'erreur.
Elle
de
p
existan
ossède
d'application
deux
à
in-
:
terfaces
p
réseau,
L'IP
l'une
aduction
connectée
s'app
au
NA
réseau
"Net
priv
ddress
é,
forwar
l'autre
par
à
de
In
p
ternet.
DENY
Incidemmen
ipchains
t,
forward
notre
passerelle
du
v
d'adresses
a
réseau
p
é
osséder
l'in
deux
eth0
adresses
ifconfig
IP
up
:
netmask
l'une
publique
de
fournie
IP
par
sur
notre
terface
fournisseur
connecté
d'accès,
In
et
:
l'autre
eth1
priv
134.214.90.20
ée
255.255.252.0
que
Mise
l'on
route
v
l'IP
a
bidirectionnel
c
ipchains
hoisir
-A
à
-s
notre
-j
con
Syn
v
de
enance
d'une
parmi
réseau
les
ifconfig
in
e
terv
up
alles
down
de
adr
v
[
aleurs
masque
suiv
3.3
an
asserelle
ts
3.3.1
:
des
10.0.0.0/24,
de
172.16.0.0,
P
192.168.0.0/24.
défaut,
Nous
commence
c
rejeter
hoisirons
les
d'utiliser
quels
192.168.0.0/24.
soien
P
le
our
cole,
le
source,
sc
p
héma
On
représen
la
tan
olice
t
aux
la
haînes
translation
base
d'adresse,
et
v
qui
oir
les
la
en
gure
trée
3.1
en
page
par
9
v
Fig.
de
3.1
ICMP
on
Sc
p
héma
La
de
olice
l'IP
sur
masquerading
c
Notre
forward
script
in
de
le
sécurisation
lo
comprend
en
les
terdisan
élémen
la
ts
de
suiv
paquet
an
en
ts
terdisan
:
l'en
oi
A
message
ctiv
Et
ation
supression
du
toutes
forw
règles
arding
tes.
automatique
taxe
(par
d'une
MAJ
olice
d'une
une
v
haîne
aleur
ipchains
système
chaîne
du
olic
no
1
y
masquerading
au)
tr
:
d'adr
echo
IP
1
elle
>
fait
/proc/sys/net/ipv/ip_forward
T
our
Filtrage
w
de
A
la
T
c
3.3.
haîneoutput
-y
tes
CHAPITRE
caux
3.
à
FIREW
forward
ALL
ec
Syn
sem
taxe
mac
de
ACCEPT
suppression
80
de
-j
toutes
Dans
les
de
règles
lo
:
-A
ipchains
é
-F
t
[
sans
p
2
olic
SYN.
e
2
]
192.168.0.0/24
ipchains
forward
-P
-d
input
se
REJECT
eur
ipchains
3.3.3
-P
autoriser
output
comme
REJECT
terface
ipchains
-j
-P
ACCEPT
forward
princip
DENY
réseau
ipchains
a
-F
v
Chaîne
input
Description
-d
input
connexions
traite
ulées
les
p
paquets
les
d'en
ipchains
trée
tcp
output
0.0.0.0/0
traite
ipchains
les
tcp
paquets
0.0.0.0/0
de
-j
sortie
tests,
forw
a
ard
au
traite
eb
les
e
paquets
cessus
de
v
redirection
pro
T
à
ab.
on
3.1
à
.
Chaînes
-i
de
ipchains
base
lo
P
Réseau
olice
part
Description
que
A
de
CCEPT
é
laisse
On
passer
les
les
uniquer
paquets
la
REJECT
ipchains
ne
192.168.0.0/24
laisse
-A
pas
-j
passer
demandes
les
en
paquets,
t
mais
une
retourne
d'un
un
ort
message
sauf
d'erreur
SYN
ICMP
.
DENY
-A
ne
-p
laisse
-s
pas
-d
passer
80
les
MASQ
paquets
-A
en
-p
mo
!
de
-s
silencieux
80
MASQ
192.168.0.0/24
utilise
MASQ
l'IP
nos
masquerading
on
p
connecte
our
v
le
succès
rediriger
serv
T
w
ab.
http://134.214.90.19/
3.2
Philipp
CANNETTE.
Liste
Pro
des
lo
p
On
olices
a
utilisées
les
3.3.2
cessus
A
caux
ccès
accéder
h
b
ttp
leur
On
ble
souhaite
l'in
autoriser
loopback
les
ipchains
mac
input
hines
lo
lo
ACCEPT
cales
-A
à
-i
se
-j
connecter
3.3.4
aux
priv
sites