WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Conception et déploiement d'une architecture réseau sécurisé à  l'IUT de Ngaoundere.

( Télécharger le fichier original )
par aliou ngoucheme mbouombouo
université de ngaoundéré - ingénieur des travaux en informatique  2012
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

III.11.2. l'activité

Nous allons construire un ensemble de règles initiales d'un pare-feu (firewall) dans un script BASH (Shell ou langage de commande) sur le serveur SVRFWL. La procédure décrite ici se rapporte à notre réseau, c'est-à-dire :

- Une interface réseau publique (eth0) ;

- Une interface connectée au réseau privé (eth1) ; - Une interface connectée à la DMZ (eth2).

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 67

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

La difficulté n'est pas grande, il suffit d'avoir de la méthode. Nous verrons dans un premier script les règles de base avant de voir dans le paragraphe suivant des règles de filtrage un peu plus fines. Rappelons-nous, nous devons commenter les lignes pour le routage et le Nat dans le fichier /etc/rc.lan.

Figure 76 : debut du script pour l'initialisation des variables

Après avoir écrire ce bout de script, nous devons l'enregistrer et en lui donnant les droits en exécution avec la commande chmod 755. Nous poursuivons notre script par le vidage de toutes les règles existantes et verrouillage

Figure 77 : vidage de toutes les régles existantes et verroullage

Pour que le script initialise la table FILTER pour qu'il accepte sur ses trois chaînes il faut ajoute la fonction TableFILTER au début du script

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 68

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Figure 78 : ajout de la fonction TableFILTER() au script

A ce niveau du script et parce qu'il faut toujours se laisser une porte de sortie honorable, il vaut mieux ajouter au script une demande sur la poursuite de celui-ci ou son arrêt éventuel. Cela permet de remettre en état le serveur comme s'il n'y avait pas de pare-feu. Nous remarquerons l'apparition de la remise en vigueur de la fonction routage et de l'ancienne règle pour le NAT.

Figure 79 : activation du routage

Ensuite la règle consiste à fermer toutes les portes pour ensuite les ouvrir une par une. Par contre, là aussi, il faut mieux laisser les règles des tables NAT et MANGLE positionnées par défaut à accepter tout car :

- Le script sera plus court ;

- Des règles FORWARD bien écrites suffisent pour la sécurité ; - La table FILTER nous intéresse

Nous pouvons écrire les règles par défaut

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 69

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Figure 80 : fermeture de toutes portes pour ensuite les ouvrir une par une

A ce stage là nous pouvons déjà effectuer à un test initial du pare-feu par le biais de la commande / parefeu.sh.

La première remarque que l'on tirer est que le ping ne fonctionne ni sur SVRLAN et ni SVRDMZ. Pour remédier à cela, nous devons tester le serveur et le remettre à son état normal en relançant le script et en l'interrompant à la demande vue plus haut.

III.11.2.1. Règles concernant les chaînes INPUT/OUTPUT

Le travail qui suit se fait sur la table FILTER et nous pouvons omettre -t filter car en cas d'absence, cela s'applique sur cette table par défaut. La pratique générale consiste à ouvrir petit à petit les communications qui nous intéressent. Le but ici rechercher est d'autoriser tout type de communication sur l'interface de loopback pour les communications réseau en local sur la passerelle. Pour ce partir de script ci-dessous

- Pour la connexion local

Nous chercher à autoriser l'interface du réseau privé, parlant du principe que ce qui vient de chez nous ne comporte pas de risque (en théorie ou peut être à tort)

- Pour la connexion avec le réseau interne

Là un ping sur 127.0.0.1 fonctionne, ainsi que sur SVRLAN soit 192.168.3.1 mais pas sur 192.168.2.2 SVRDMZ ni vers l'extérieur (par exemple google.com). Ici nous voulons autoriser les communications (paquets IP) pour les connexions sortantes et entrantes déjà établies, c'est-à-dire des flux IP que le serveur SVRFWL aura lui-même demandés.

- Pour la connexion avec l'extérieur

Ce bout de script nous ouvre les portes vers l'extérieur dans notre réseau (le ping sur google.com fonctionne normalement)

Figure 81 : ouverture de la connexion avec l'extérieur

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 70

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Pour toute nouvelle connexion sortante de SVRFWL, Netfilter garder en mémoire la demande et attribue à la réponse un état correspondant (ESTABLISHED), pour les autres l'état sera invalide (INVALID). L'état RELATED correspond aux communications avec des protocoles qui ne répondent pas sur le même port (exemple : FTP). En sortie, tout ce qui n'est pas invalide est accepté.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Qui vit sans folie n'est pas si sage qu'il croit."   La Rochefoucault