Rapport stage Dess Isa
Yüklə 0,52 Mb.
|
- Bu səhifədəki naviqasiya:
- 5Annexes
- 5.1.2La politique de sécurité.
- 5.2Les règles Netfilter et Planets
4ConclusionMerveilleux moyen de communication, Internet qui depuis ces dernières années s’est ouvert sur un public de plus en plus large, permet de transmettre à tout le monde des connaissances, des techniques et un savoir-faire qui peuvent être dangereux. Les progrès réalisés dans la conception d’outil d’attaques des réseaux ont été spectaculaires au cours de ces dix dernières années.
5.1Exemple de réseau
5.1.1Description du réseauNous avons un réseau d'entreprise, comportant une DMZ, le réseau à protéger et 2 firewalls dont un permet l'accès à Internet. Sous le second firewall se trouve le réseau private. Adresse Private : 111.222.2.0/24 Adresse firewall eth0: 111.222.2.1/24 Adresse zone Admin:111.222.2.3/24 à 111.222.2.10/24 Adresse Intranet : 111.222.2.11/24 à 111.222.2.253/24 Adresse DMZ: 111.222.1.0/24 Adresse firewall eth1 : 111.222.1.254/24 Adresse Server_DNS : 111.222.1.2/24 Adresse Multi_Server : 111.222.1.3/24 Adresse Internet : Any
On définit la politique de sécurité du Firewall 2 :
Sens du flux sortant : IN vers OUT paquet sortant passant par le firewall interface eth0 et transmis sur la DMZ via eth1. Sens du flux entrant : OUT vers IN paquet entrant passant par le firewall interface eth1 et transmis sur le réseau interne via eth0.
5.2Les règles Netfilter et Planetsiptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -m iprange --src-range 111.222.2.3/24-111.222.2.10/24 –d 111.222.1.0/24 -j ACCEPT iptables -A FORWARD --m iprange --src-range 111.222.2.11/24-111.222.2.253/24 -j Intranet-To_DMZ iptables -A Intranet-To_DMZ -d 111.222.1.0/24 -p udp --dport 53-j ACCEPT iptables -A Intranet-To_DMZ -d 111.222.1.0/24 -p tcp --dport 80-j ACCEPT iptables -N Intranet-Web_HTTP-To_Internet iptables -A FORWARD -s 111.222.2.0/24 -p tcp --dport 80 -j Intranet-Web_HTTP-To_Internet iptables -A Intranet-Web_HTTP-To_Internet -m iprange --src-range 111.222.2.3/24-111.222.2.10/24 -j RETURN iptables -A Intranet-Web_HTTP-To_Internet -s 111.222.2.1/32 -j RETURN iptables -A Intranet-Web_HTTP-To_Internet -s 111.222.1.254/32 -j RETURN iptables -A Intranet-Web_HTTP-To_Internet -j ACCEPT iptables -N Intranet-Web_HTTP-To_Internet ################################################################## # Dimension protocol definition # ################################################################## # begin_dimension # proto: icmp ip_proto: 1 ip_version: IPv4 connexion: simplex org: -1 length: 16 field: icmp_type offset: 0 length: 1
offset: 1 length: 1
ip_proto: 6 ip_version: IPv4,IPv6 connexion: full_duplex org: -1 length: 20 field: tcp_sp offset: 0 length: 2 partner: tcp_dp field: tcp_dp offset: 2 length: 2 partner: tcp_sp field: tcp_flag offset: 13 length: 1 proto: udp ip_proto: 17 ip_version: IPv4,IPv6 connexion: mirrored org: -1
length: 16 field: udp_sp offset: 0 length: 2 partner: udp_dp field: udp_dp offset: 2 length: 2 partner: udp_sp # # end_dimension ################################################################## # services definition # ################################################################## # # Pas de services défini pour ce test # ################################################################### # Networks names definition # ################################################################## # begin_host Private: 111.222.2.0/24 Admin_start:111.222.2.3/24 Admin_end:111.222.2.10/24 Intranet_start: 111.222.2.11/24 Intranet_end: 111.222.2.253/24 DMZ: 111.222.1.0/24 F_eth0 : 111.222.2.1/24 F_eth1 : 111.222.1.254/24 DNS : 111.222.1.2/24 Multi_Server : 111.222.1.3/24 # end_host # #
# FLUX definition # ################################################################## # begin_flux in : F_eth0 -> F_eth1 inverse out end_flux ################################################################## # Policy rules definition # ################################################################## # begin # Règles IPv4 out : ( ipv4_sa = Admin_start.. Admin_end) &(ipv4_da = DMZ) -> permit; out : ( ipv4_sa = Intranet_start.. Intranet_end) &(ipv4_da = Multi_Server) &( tcp_dp = 80 ) -> permit; out : ( ipv4_sa = Intranet_start.. Intranet_end) &(ipv4_da = DNS) &( udp_dp = 53 ) -> permit; out : ( ipv4_sa = Intranet_start.. Intranet_end) &(ipv4_da = 0.0.0.0/8) &( tcp_dp = 80 ) -> permit in : ( ipv4_sa =0.0.0.0/8) &( ipv4_da = Intranet_start.. Intranet_end) &( tcp_sp = 80 ) -> permit; end Règles pour IPFilter (Free BSD) sur un réseau plus simple. Pour IPFilter on change d’adresse car sinon c’est beaucoup trop long. Adresse Admin:111.222.2.2 Adresse Private : 111.222.2.0 Adresse DMZ: 111.222.1.0 Adresse firewall eth0 : 111.222.2.1 Adresse firewall eth1 : 111.222.1.254 Adresse DNS : 111.222.1.2 Adresse SMTP : 111.222.1.3 pass in quick on eth0 from 111.222.2.2/24 to 111.222.1.0 flags S keep state block in quick on eth0 all head 1 block in log quick on eth0 proto tcp from111.222.2.2/24 to any port = 80 flags S keep state group 1 block in log quick on eth0 proto tcp from 111.222.2.1/24 to any port = 80 flags S keep state group 1 block in log quick on eth0 proto tcp from 111.222.1.254/24 to any port = 80 flags S keep state group 1 pass in quick on eth0 from 111.222.2.0/24 to any port = 80 flags S keep state pass in quick on eth0 from 111.222.2.0/24 to 111.222.1.2 port = 53 flags S keep state pass out quick on eth0 proto tcp from 111.222.1.0/24 port = 80 to any flags S keep state group 1 pass out quick on eth0 proto tcp from 111.222.1.0/24 port = 53 to any flags S keep state group 1 pass out quick on eth0 proto tcp from any port = 80 to 111.222.2.0/24 any flags S keep state group 1
block in quick on eth1 from 192.168.0.0/16 to any group 10 block in quick on eth1 from 172.16.0.0/12 to any group 10 block in quick on eth1 from 10.0.0.0/8 to any group 10 block in quick on eth1 from 127.0.0.0/8 to any group 10
pass in quick on eth1 proto tcp from any port = 80 to 111.222.2.0/24 any flags S keep state group 10 pass out quick on eth1 all Yüklə 0,52 Mb. Dostları ilə paylaş:
|