BTS INFORMATIQUE DE GESTION

Administrateur des rseaux locaux dentreprise

EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES





Identit du candidat : PAPIN Perrine
N dinscription :








ACTIVITE N1

DESCRIPTIF


Titre : Partage de connexion Internet avec filtrage de paquets sous Linux


Outils utiliss : - un poste passerelle sous Linux SuSE avec pare-feu
- un poste client Linux
- un modem
- une connexion Internet


Traitements raliss : - mise en place de la connexion Internet
- partage de la connexion
- filtrage des paquets


Comptences professionnelles couvertes :
C 23 : Installer et configurer un dispositif de scurit
C 25 : Installer un applicatif
C 26 : Installer un priphrique
C 33 : Assurer la scurit du rseau



I- Contexte professionnel

Une entreprise possde une connexion Internet via un modem quelle souhaite
partager sur tous les postes de son rseau. Soucieuse de scuriser son rseau avec
budget limit, cette entreprise choisi Linux pour grer le partage de cette connexion et
le filtrage des paquets.
Comment partager cette connexion Internet avec Linux ?
Comment filtrer les paquets laide de ce mme systme dexploitation ?
Quels paquets interdire en entre et en sortie et pourquoi ?


II- Prsentation
1. La ncessit de filtrer les paquets
Chaque ordinateur connect Internet (et d'une manire plus gnrale
n'importe quel rseau) est susceptible d'tre victime d'une intrusion pouvant
compromettre l'intgrit du systme ou bien y altrer les donnes.
Le firewall ou pare-feu analyse chaque paquet de donnes entrant et sortant
et y recherche les enregistrements conformes la norme qui dfinit ce type de
paquet. Les paquets dont les enregistrements sont conformes sont achemins vers
leur destination; les autres sont abandonns
Trois types de paquet sont vrifis dans le flux d'information :
TCP (protocole de contrle des transmissions);
UDP (protocole de datagramme usager);
les paquets qui ne sont ni du type TCP, ni du type UDP.
Cette menace est d'autant plus grande que la machine est connecte en
permanence Internet. En effet dans le cas d'une connexion permanente haut
dbit :
La machine cible est susceptible d'tre connecte sans pour autant tre surveille
La machine cible est gnralement connecte avec une plus large bande passante
La machine cible ne change pas (ou peu) d'adresse IP
Ainsi, il est ncessaire, notamment pour les entreprises connectes
Internet et les internautes ayant une connexion de type cble ou ADSL, de se
protger des intrusions en installant un systme pare-feu.

2. Quest ce quun pare-feu ?
Un pare-feu firewall en anglais), est un systme physique (matriel) ou
logique (logiciel) servant d'interface entre un ou plusieurs rseaux afin de contrler
et ventuellement bloquer la circulation des paquets de donnes, en analysant les
informations contenues dans les couches 3, 4 et 7 du modle OSI. Il s'agit donc
d'une machine (machine spcifique dans le cas d'un firewall matriel ou d'un
ordinateur scuris hbergeant une application particulire de pare-feu) comportant
au minimum deux interfaces rseau :
une interface pour le rseau protger (rseau interne)
une interface pour le rseau externe

3. Schmatisation de notre cas





III- Droulement des oprations
1. Mise en place des modules ncessaires

Les modules ppp sont utiles pour tablir la connexion sur un poste Linux.
On copie donc les fichiers contenus sur la disquette des ressources partages sur
notre poste afin de les excuter. On commencera par excuter slhc.o puis
ppp_generic.o afin de terminer par les autres modules:
# modprob slhc.o
# modprob ppp_generic.o
# modprob ppp*

2. Connexion du poste passerelle Internet
a) Les paramtres de connexion

Fournisseur : free.fr
Login : stsig1
Mot de passe : u5dbk5mb
Serveur de courrier entrant : pop.free.fr
Serveur de courrier sortant : smtp.free.fr
DNS 1 : 213.228.0.168
DNS 2 : 212.27.32.5
N de tel Serveur : 08 60 92 20 00

b) Configuration de la connexion Internet

Linterface de configuration de la connexion est wvdial.
# wvdial.tcl


On configure donc cette interface avec les paramtres des notre
connexion.

c) Lancement de la connexion

Vrifier si aucune passerelle par dfaut nest indique dans les
paramtres rseau du poste passerelle.
Pour lancer la connexion, on lance le processus wvdial :
# wvdial &
Pour arrter la connexion, on met fin wvdial :
# fg
Entre
Control + C

linux:~ # wvdial &
--> WvDial: Internet dialer version 1.42
[1] 3598
linux:~ # --> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2
ATQ0 V1 E1 S0=0 &C1 &D2
OK
--> Modem initialized.
--> Dialing free.fr .
--> Idle Seconds = 180, disabling automatic reconnect.
--> Sending: ATDT0860922000
--> Waiting for carrier.
ATDT0860922000
CONNECT 44000/ARQ/V90/LAPM/V42BIS
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Wed Dec 4 13:48:27 2002
--> pid of pppd: 3599
--> pppd: Using interface ppp0
--> pppd: Authentication (PAP) started
--> pppd: Authentication (PAP) successful
--> pppd: local IP address 62.147.215.191
--> pppd: remote IP address 192.168.254.254
--> pppd: primary DNS address 212.27.32.5
--> pppd: secondary DNS address 213.228.0.168
--> pppd: Script /etc/ppp/ip-up run successful
--> Default route Ok.
--> Nameserver (DNS) Ok.
--> Connected... Press Ctrl-C to disconnect
fg
wvdial
Caught signal #2! Attempting to exit gracefully...
--> pppd: Terminating on signal 15.
--> pppd: Script /etc/ppp/ip-down started
--> pppd: Terminate Request (Message: "User request")
--> pppd: Connect time 0.5 minutes.
--> Disconnecting at Wed Dec 4 13:48:59 2002




3. Partage de connexion


Afin de partager la connexion, il est ncessaire dindiquer sur le poste client :
- ladresse IP passerelle du poste passerelle, ici 172.16.0.25,
- les DNS du fournisseur daccs, ici 213.228.0.168 et 212.27.32.5 avec
comme nom de domaine celui du poste passerelle soit mercure.org.

Le script concernant le pare-feu indiquera la passerelle quil doit partager la
connexion.

4. Filtrage de paquets

Le filtrage de paquets se fait grce lexcution du script SuSEfirewall2
complt pralablement se trouvant dans /etc/sysconfig/ (voir Annexe)

On excute ce script avant de lancer la connexion :
# rcSuSEfirewall start



************************