EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES
Identit du candidat : PAPIN Perrine N dinscription :
ACTIVITE N1
DESCRIPTIF
Titre : Partage de connexion Internet avec filtrage de paquets sous Linux
Outils utiliss : - un poste passerelle sous Linux SuSE avec pare-feu - un poste client Linux - un modem - une connexion Internet
Traitements raliss : - mise en place de la connexion Internet - partage de la connexion - filtrage des paquets
Comptences professionnelles couvertes : C 23 : Installer et configurer un dispositif de scurit C 25 : Installer un applicatif C 26 : Installer un priphrique C 33 : Assurer la scurit du rseau
I- Contexte professionnel
Une entreprise possde une connexion Internet via un modem quelle souhaite partager sur tous les postes de son rseau. Soucieuse de scuriser son rseau avec budget limit, cette entreprise choisi Linux pour grer le partage de cette connexion et le filtrage des paquets. Comment partager cette connexion Internet avec Linux ? Comment filtrer les paquets laide de ce mme systme dexploitation ? Quels paquets interdire en entre et en sortie et pourquoi ?
II- Prsentation 1. La ncessit de filtrer les paquets Chaque ordinateur connect Internet (et d'une manire plus gnrale n'importe quel rseau) est susceptible d'tre victime d'une intrusion pouvant compromettre l'intgrit du systme ou bien y altrer les donnes. Le firewall ou pare-feu analyse chaque paquet de donnes entrant et sortant et y recherche les enregistrements conformes la norme qui dfinit ce type de paquet. Les paquets dont les enregistrements sont conformes sont achemins vers leur destination; les autres sont abandonns Trois types de paquet sont vrifis dans le flux d'information : TCP (protocole de contrle des transmissions); UDP (protocole de datagramme usager); les paquets qui ne sont ni du type TCP, ni du type UDP. Cette menace est d'autant plus grande que la machine est connecte en permanence Internet. En effet dans le cas d'une connexion permanente haut dbit : La machine cible est susceptible d'tre connecte sans pour autant tre surveille La machine cible est gnralement connecte avec une plus large bande passante La machine cible ne change pas (ou peu) d'adresse IP Ainsi, il est ncessaire, notamment pour les entreprises connectes Internet et les internautes ayant une connexion de type cble ou ADSL, de se protger des intrusions en installant un systme pare-feu.
2. Quest ce quun pare-feu ? Un pare-feu firewall en anglais), est un systme physique (matriel) ou logique (logiciel) servant d'interface entre un ou plusieurs rseaux afin de contrler et ventuellement bloquer la circulation des paquets de donnes, en analysant les informations contenues dans les couches 3, 4 et 7 du modle OSI. Il s'agit donc d'une machine (machine spcifique dans le cas d'un firewall matriel ou d'un ordinateur scuris hbergeant une application particulire de pare-feu) comportant au minimum deux interfaces rseau : une interface pour le rseau protger (rseau interne) une interface pour le rseau externe
3. Schmatisation de notre cas
III- Droulement des oprations 1. Mise en place des modules ncessaires
Les modules ppp sont utiles pour tablir la connexion sur un poste Linux. On copie donc les fichiers contenus sur la disquette des ressources partages sur notre poste afin de les excuter. On commencera par excuter slhc.o puis ppp_generic.o afin de terminer par les autres modules: # modprob slhc.o # modprob ppp_generic.o # modprob ppp*
2. Connexion du poste passerelle Internet a) Les paramtres de connexion
Fournisseur : free.fr Login : stsig1 Mot de passe : u5dbk5mb Serveur de courrier entrant : pop.free.fr Serveur de courrier sortant : smtp.free.fr DNS 1 : 213.228.0.168 DNS 2 : 212.27.32.5 N de tel Serveur : 08 60 92 20 00
b) Configuration de la connexion Internet
Linterface de configuration de la connexion est wvdial. # wvdial.tcl
On configure donc cette interface avec les paramtres des notre connexion.
c) Lancement de la connexion
Vrifier si aucune passerelle par dfaut nest indique dans les paramtres rseau du poste passerelle. Pour lancer la connexion, on lance le processus wvdial : # wvdial & Pour arrter la connexion, on met fin wvdial : # fg Entre Control + C
linux:~ # wvdial & --> WvDial: Internet dialer version 1.42 [1] 3598 linux:~ # --> Initializing modem. --> Sending: ATZ ATZ OK --> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 ATQ0 V1 E1 S0=0 &C1 &D2 OK --> Modem initialized. --> Dialing free.fr . --> Idle Seconds = 180, disabling automatic reconnect. --> Sending: ATDT0860922000 --> Waiting for carrier. ATDT0860922000 CONNECT 44000/ARQ/V90/LAPM/V42BIS --> Carrier detected. Starting PPP immediately. --> Starting pppd at Wed Dec 4 13:48:27 2002 --> pid of pppd: 3599 --> pppd: Using interface ppp0 --> pppd: Authentication (PAP) started --> pppd: Authentication (PAP) successful --> pppd: local IP address 62.147.215.191 --> pppd: remote IP address 192.168.254.254 --> pppd: primary DNS address 212.27.32.5 --> pppd: secondary DNS address 213.228.0.168 --> pppd: Script /etc/ppp/ip-up run successful --> Default route Ok. --> Nameserver (DNS) Ok. --> Connected... Press Ctrl-C to disconnect fg wvdial Caught signal #2! Attempting to exit gracefully... --> pppd: Terminating on signal 15. --> pppd: Script /etc/ppp/ip-down started --> pppd: Terminate Request (Message: "User request") --> pppd: Connect time 0.5 minutes. --> Disconnecting at Wed Dec 4 13:48:59 2002
3. Partage de connexion
Afin de partager la connexion, il est ncessaire dindiquer sur le poste client : - ladresse IP passerelle du poste passerelle, ici 172.16.0.25, - les DNS du fournisseur daccs, ici 213.228.0.168 et 212.27.32.5 avec comme nom de domaine celui du poste passerelle soit mercure.org.
Le script concernant le pare-feu indiquera la passerelle quil doit partager la connexion.
4. Filtrage de paquets
Le filtrage de paquets se fait grce lexcution du script SuSEfirewall2 complt pralablement se trouvant dans /etc/sysconfig/ (voir Annexe)
On excute ce script avant de lancer la connexion : # rcSuSEfirewall start