Sécurisation d'un réseau intranet. Cas de CAMTEL (Cameroun télécommunications )

3.4 REACTION DU FIREWALL IPCOP

Nous allons dans cette partie analyser les réactions du firewall IPCop en entrée et sortie ; c'est-à-dire lorsqu'il accepte et lorsqu'il refuse de laisser passer une information. [3]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 56

Sécurisation d'un réseau intranet : cas de CAMTEL

3.4.1 Réaction du firewall IPCop en sortie :

Lorsqu'un employé CAMTEL du réseau interne de l'entreprise veut accéder à internet, ou à d'autres services comme le serveur de mails, il doit passer par le firewall IPCop de l'entreprise. Ainsi, lorsque la demande est favorable à l'employé, trois cas peuvent être envisagés :

a) Le routage

Premièrement, le firewall IPCop peut faire du routage pur et dur, ce qui est très basique pour un firewall. L'employé va donc passer par ce dernier et accéder à ce qu'il demande. Le serveur verra cette personne avec sa propre adresse IP, et non pas avec celle du firewall IPCop.

N'oublions cependant pas que l'employé doit avoir une adresse IP internet et non pas une adresse IP d'un réseau interne. En effet, les adresses internes (généralement de ce genre : 192.168.0.xxx) d'un réseau ne sont pas compatibles avec les services se trouvant sur internet. [4]

b)

^eth1

^{Firewall IPCop}

^{Transparent à l'adresse de l'employé}

^eth0

^Adresse

^Publique

^Employé

^CAMTEL

Le masquerading / NAT

Deuxièmement, le firewall IPCop peut faire du « Masquerading / NAT », ou plus simplement, transition d'adresse IP. Cela revient toujours à faire du routage, mais en moins basique.

L'itinéraire est toujours le même : l'employé CAMTEL veut accéder à quelque chose sur internet et doit passer par le firewall IPCop de l'entreprise. Cet employé dispose d'une adresse IP du réseau interne de l'entreprise et ne peut donc pas aller sur le serveur ; c'est ici

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 57

Sécurisation d'un réseau intranet : cas de CAMTEL

qu'intervient la transition d'adresse IP. L'employé va être vu comme s'il était le firewall, qui lui dispose d'une ou plusieurs adresses IP internet.

Mais pourquoi ne pas avoir tout simplement donné une adresse IP internet à l'employé comme dans le cas précédent ? Tout simplement car il est assez rare d'avoir une IP officielle sur tous les PC du réseau interne (imaginez l'entreprise avec plus de mille employés et à chaque employé une adresse publique ; ça fait beaucoup d'adresses IP internet).

^{INTERNET /DMZ Intranet CAMTEL}

^eth0

^{Firewall IPCop}

^{Adresse Publique}

^eth1

21: ^FTP

22: ^{SSH 25: SMTP 80:HTTP 1863: MSN}

^{Adresse Privée}

^Employé

^CAMTEL

^Serveur

c) Service mandataire (Proxy)

Il peut y avoir un proxy derrière le firewall IPCop. L'employé CAMTEL demande au firewall IPCop de faire tout à sa place, et le proxy lui renverra les informations demandées. L'avantage est que tout se fait en interne.

^{INTERNET /DMZ Intranet CAMTEL}

^eth0

21: ^FTP

22: ^{SSH 25: SMTP 80:HTTP 1863: MSN}

^{Firewall IPCop}

^{Adresse Publique}

^Adresse

^Employé

Privée CAMTEL

^Serveur

^eth1

^{Serveur Proxy}

Le firewall IPCop peut très bien accepter que des informations sortent, tout comme il peut refuser que l'employé CAMTEL ait accès à certaines pages, certaines informations. Le firewall peut alors lui refuser l'accès de deux manières : par " Deny " ou " Reject "

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 58

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Deny

L'employé reçoit une réponse du firewall lui disant que ce qu'il demande est interdit, qu'il n'a pas le droit d'accéder à tel ou tel service.

1' Reject

Ici, l'employé ne reçoit aucune réponse. Il fait sa demande, mais rien ne se passe.

Le but du reject est de mettre plus longtemps à scanner un serveur ou autre, laissant la personne voulant l'atteindre dans l'attente : elle ne sait pas s'il y a quelque chose ou non, et s'il y a quelque chose, c'est peut-être parce que le réseau est surchargé.