SIN

Systmes
dInformation et
Numrique

LA SCURIT DANS LES

RSEAUX

Fichier : Les dfenses

matrielles

Tale
Page:1/11

LES DFENSES MATRIELLES

Objectifs du COURS :
Ce cours traitera essentiellement les points suivants :
- les firewalls
- la traduction dadresse (DNAT, SNAT)
- les DMZ (simple et en sandwich )
- les proxys
- les VPN
- QCM et exercices dapplications
Les dfenses matrielles interviennent au niveau de larchitecture du rseau, directement sur le
support sur lequel est stocke linformation protger (protection dune base de donnes
centralise sur le disque dur dun serveur par exemple), sur les mdias servant transporter cette
information (scurisation du rseau sans fil) et sur les quipements intermdiaires traverss lors
du transport (utilisation dun firewall install sur le routeur daccs).
Par ailleurs, quelques principes de base doivent tre respects pour assurer lefficacit des
dfenses :
- principe du moindre privilge : chaque lment du systme (utilisateur, logiciel) ne doit avoir
que le minimum de privilges ncessaires pour accomplir sa tche (les utilisateurs ne doivent pas
tre administrateurs, une session sur un serveur web est ouverte par dfaut sur un compte
utilisateur ).
- dfense en profondeur : plusieurs mesures de scurit valent mieux quune (antispam sur les
postes de messagerie et sur les postes de travail, firewall sur le routeur daccs et sur les
machines dextrmit ).
- interdiction par dfaut : dans la mesure o toutes les menaces ne peuvent tre connues
lavance, il est mieux dinterdire tout ce qui nest pas explicitement permis que de permettre tout ce
qui nest pas explicitement interdit (sur un firewall, il vaut mieux commencer par fermer tous les
ports pour nouvrir ensuite que ceux ncessaires).

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:2/11

- participation des utilisateurs : un systme de protection nest efficace que si tous les
utilisateurs le supportent, un systme trop restrictif pousse les utilisateurs devenir cratifs.
- simplicit : la plupart des problmes de scurit ont leur origine dans une erreur humaine. Dans
un systme simple, le risque derreur est plus faible et les analyses sont plus rapides.

LES FIREWALLS
Le firewall ou pare-feu est charg de filtrer les accs entre lInternet et le LAN ou entre deux LAN.

LAN
priv

Firewall

Rle et situation du firewall

La localisation du firewall (avant ou aprs le routeur, avant ou aprs la NAT) est stratgique. Le
firewall, qui est souvent un routeur intgrant des fonctionnalits de filtrage, possde autant
dinterfaces que de rseaux connects. Suivant la politique de scurit, le filtrage est appliqu
diffremment pour chacune des interfaces dentre et de sortie : blocage des adresses IP prives
entrantes, autorisation des accs entrants vers le serveur didentification ou le serveur web
institutionnel, blocage des accs entrants vers lInternet
Les machines dextrmits possdent galement un firewall mais celui-ci est logiciel (pare-feu
Windows ou iptables sous Linux par exemple) et sert protger les machines du trafic entrant si le
firewall lentre du LAN na pas t suffisamment slectif.
Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donne, les en-ttes
correspondent aux diffrentes couches sont analyss et le filtrage slectif est appliqu suivant la
stratgie de scurit dfinie par ladministrateur rseau.
Le filtrage peut porter sur :
- les adresses MAC source ou destination ;
- les adresses IP source ou destination ;
- les ports TCP ou UDP source ou destination ;
- les flags de len-tte TCP (SYN, ACK, ) ;
- le type de message ICMP ;
- le type de message ou le contenu HTTP, SMTP, POP.

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:3/11

Le firewall peut galement empcher les connexions entrantes en analysant la valeur du bit ACK
de len-tte TCP. Lors dune demande de connexion, le bit ACK du premier segment TCP est 0,
les bits ACK des segments suivants sont gnralement tous 1. Il suffit donc de bloquer les
segments entrants avec le bit ACK 0, les segments suivants pour cette connexion ne seront pas
pris en compte.
SYN=1, ACK=0
SYN=1, ACK=1
SYN=0, ACK=1

LAN
priv

Firewall

Blocage des connexions entrantes

La configuration dun firewall passe par lcriture dune suite de rgles qui dcrivent les actions
effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-ttes des
paquets. Les caractristiques de chaque paquet sont compares aux rgles, les unes aprs les
autres. La premire rgle rencontre qui correspond aux caractristiques du paquet analys est
applique : laction dcrite dans la rgle est effectue. Pour assurer une scurit maximum, la
seule rgle prsente par dfaut doit tre celle qui interdit laccs tous les paquets entrants et
sortants ; dautres rgles seront ensuite insres pour ouvrir les accs souhaits. La stratgie
applique est donc tout ce qui nest pas explicitement autoris est interdit .
Le tableau ci-dessous donne un exemple de rgles dun firewall muni de deux interfaces : une vers
un LAN priv, une autre vers lextrieur. Les rgles prcisent linterface concerne (la direction du
trafic), les adresses IP (une valeur 0 autorise toutes les adresses), le protocole de niveau 4, les
services (valeurs des ports) et ventuellement le blocage des connexions entrantes (test du bit
ACK).
Rgle Destination

A
B
C
D
E

Sortant
Entrant
Sortant
Entrant
Toutes

@ source

@ dest.

192.168.0.0
0.0.0.0
192.168.0.0
0.0.0.0
0.0.0.0

0.0.0.0
192.168.0.0
0.0.0.0
192.168.0.0
0.0.0.0

Proto. Port src.

TCP
TCP
TCP
TCP
Tous

>1023
80
>1023
25
Tous

Port dst.

Action

80
>1023
25
>1023
Tous

Autoris
Autoris
Autoris
Autoris
Refus

La stratgie de scurit est la suivante :

- la rgle A permet toutes les machines situes sur le LAN dadresse 192.168.0.0 douvrir une
connexion TCP vers un serveur web (port 80) externe quelconque (adresse 0.0.0.0) ;
- la rgle B autorise le serveur web consult rpondre aux machines locales ;

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:4/11

- mission (rgle C) ou rception (rgle D) de courrier SMTP (port 25) avec un serveur externe ;
- blocage de tout autre trafic (rgle E).
Quels que soient lorigine du firewall utilis et lOS associ, les rgles portent plus ou moins sur les
mmes proprits des paquets entrants ou sortants. Le degr de filtrage peut cependant varier,
certains firewalls permettent un filtrage en travaillant les contenus des messages et peuvent se
baser sur les connexions antrieures pour prendre leurs dcisions (firewall statefull).
Les syntaxes pour dcrire les rgles sont galement trs variables suivant les constructeurs ou les
OS : utilisation dACL (Access Control List) pour les routeurs/firewall Cisco (bien sr !) ; utilisation
du programme iptables pour les firewalls Linux (of course !) ;

LA TRADUCTION DADRESSE
Remarque :
Voir cours sur le mcanisme de la NAT et de la PAT.
La traduction dadresse (NAT / PAT) est aussi un dispositif de scurit complmentaire au filtrage
dans la mesure o elle masque les adresses prives qui ne sont par consquent plus visibles de
lextrieur. Les firewalls tant gnralement intgrs aux routeurs qui possdent de plus des
fonctionnalits de traduction, il est ncessaire pour la comprhension des rgles de routage et de
filtrage de savoir dans quel ordre sont effectues ces diffrentes oprations.
Pour un paquet entrant, la traduction concerne ladresse de destination (celle qui est masque) ;
cette opration est nomme DNAT (Destination NAT). Il est ncessaire que la traduction soit
ralise avant le processus de routage puisque le routeur doit connatre ladresse interne pour
prendre sa dcision.
Dans lexemple dcrit page suivante, le paquet entrant est destin au serveur web interne.
Ladresse de destination qui est initialement celle du routeur (193.55.45.254), la seule visible de
lextrieur, est traduite vers celle du serveur web (171.16.0.11) grce lindication du numro de
port 80. Le paquet peut ensuite tre rout suivant la table et trait par la premire rgle du firewall,
sur linterface concerne (Eth1).
Pour un paquet sortant, la traduction concerne ladresse source (celle qui doit tre masque) ;
cette opration est nomme SNAT (Source NAT). Dans ce cas, le filtrage est dabord effectu pour
savoir si le paquet est autoris sortir. La traduction est ensuite ralise aprs le processus de
routage, en sortie du routeur.
Dans lexemple, le paquet sortant provient du serveur web interne, il est autoris sortir par la
deuxime rgle du filtrage. Aprs routage, son adresse est traduite vers celle de linterface de
sortie du routeur (Serial1).

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:5/11

Rgles de filtrage
Destination

Interface

@ source

@ dest.

Port src.

Port dst.

Action

Entrant
Sortant

Eth1
Eth1

*
171.16.0.11

171.16.0.11
*

*
80

80
*

Autoris
Autoris

Exemple : NAT, routage et firewall

LES DMZ
Une zone dmilitarise (ou DMZ, DeMilitarized Zone) est une zone de rseau prive ne faisant
partie ni du LAN priv ni de lInternet. la manire dune zone franche au-del de la frontire, la
DMZ permet de regrouper des ressources ncessitant un niveau de protection intermdiaire.
Comme un rseau priv, elle est isole par un firewall mais avec des rgles de filtrage moins
contraignantes.
Zone de protection forte

LAN
priv

Firewall

DMZ

DMZ simple

Zone de
protection
intermdiaire

SIN

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Systmes
dInformation et
Numrique

Tale
Page:6/11

Un niveau supplmentaire de scurit peut tre introduit avec un deuxime firewall. Les rgles
daccs sur le firewall du LAN priv sont plus restrictives. La DMZ est situe entre deux firewalls
(DMZ en sandwich ) avec des rgles moins restrictives introduites par le premier firewall.
Zone de protection forte

LAN
priv

Firewall 2

Firewall 1

DMZ

Zone de
protection
intermdiaire

DMZ en sandwich

LES PROXYS
Un systme mandataire (Proxy) repose sur un accs lInternet pour une machine ddie : le
serveur mandataire ou Proxy server, joue le rle de mandataire pour les autres machines locales
et excute les requtes pour le compte de ces dernires. Un serveur mandataire est configur
pour un ou plusieurs protocoles de niveau applicatif (HTTP, FTP, SMTP, ) et permet de
centraliser, donc de scuriser, les accs extrieurs (filtrage applicatif, enregistrement des
connexions, masquage des adresses des clients, ).
Les serveurs mandataires configurs pour HTTP permettent galement le stockage des pages
web dans un cache pour acclrer le transfert des informations frquemment consultes vers les
clients connects (Proxy cache).

Serveur mandataire

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:7/11

LES VPN
Le rseau priv virtuel (VPN, Virtual Private Network) est un lment essentiel dans les
architectures modernes de scurit. Un VPN est constitu dun ensemble de LAN privs relis
travers Internet par un tunnel scuris dans lequel les donnes sont cryptes. Les postes
distants faisant partie du mme VPN communiquent de manire scurise comme sils taient
dans le mme espace priv, mais celui-ci est virtuel car il ne correspond pas une ralit
physique. Cette solution permet dutiliser les ressources de connexion de lInternet plutt que de
mettre en uvre, comme par le pass, une liaison spcialise prive entre deux sites qui peut tre
trs coteuse si les sites sont fortement loigns. La principale contrainte du VPN est de scuriser
les transmissions, par nature exposes sur les rseaux publics Internet.
Ci-dessous, les PC des deux LAN et le PC nomade font partie du mme VPN. Les
communications passent par des passerelles matrielles ou logicielles charges didentifier les
extrmits du tunnel, de crypter les donnes et de les encapsuler dans un nouveau paquet en
grant un double adressage priv et public.

Principe du VPN
Lexemple ci-dessous permet de mieux comprendre le rle des passerelles et la gestion des
adresses.

Exemple de transfert dans un VPN

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:8/11

- le PC1 (10.1.0.1) envoie un paquet vers le serveur web (10.2.0.2) comme il le ferait si ce dernier
tait sur le mme LAN ;
- le routeur qui joue le rle de passerelle VPN encrypte le paquet, ajoute len-tte VPN et un
nouvel en-tte IP avec les adresses publiques et relaie le paquet ;
- lautre extrmit, le routeur/firewall reoit le paquet, confirme lidentit de lmetteur, confirme
que le paquet na pas t modifi, dcapsule et dcrypte le paquet ;
- le serveur web reoit le paquet dcrypt.
Les protocoles utiliss pour crypter les donnes, encapsuler le paquet et grer les authentifications
sont : PPTP, L2TP, L2F et IPSec. Nous tudierons ces protocoles dans un prochain cours
concernant les dfenses logicielles .

QCM ET EXERCICES DAPPLICATION

QCM
Le tableau ci-dessous reprsente un ensemble de rgles de filtrage sur un firewall.
Rgle Destination

A
B
C
D
E

Entrant
Sortant
Sortant
Entrant
Toutes

@ source

@ dest.

Proto. Port src.

Externe
Interne
Interne
Externe
Toutes

Interne
Externe
Externe
Interne
Toutes

TCP
TCP
TCP
TCP
Tous

>1023
21
>1023
21
Tous

Port dst.

21
>1023
21
>1023
Tous

ACK=1

Oui

Action

Autoris
Autoris
Autoris
Autoris
Refus

Question 1 :
Les transferts FTP vers un serveur interne sont-ils toujours autoriss ?
Rponse : oui
Question 2 :
Les transferts FTP vers un serveur interne sont autoriss seulement si la connexion est initie de
lextrieur.
Rponse : non
Question 3 :
Les transferts FTP vers un serveur externe sont-ils toujours autoriss ?
Rponse : non
Question 4 :
Les transferts de courrier SMTP sont-ils autoriss dans les deux sens ?
Rponse : oui

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:9/11

Question 5 :
Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou
sortants en fonction des adresses IP source et destination.
Quelle rgle de filtrage indique la commande ci-dessous (les adresses sources sont donnes en
premier) ?
Access-list 101 deny ip any host 10.1.1.1
a) Autorisation des paquets IP provenant de nimporte quelle source et destination de la machine
10.1.1.1.
b) Refus des paquets IP provenant de nimporte quelle source et destination de la machine
10.1.1.1.
c) Refus des paquets IP provenant de la machine 10.1.1.1.
Rponse : b
Question 6 :
Sur les machines sous OS Linux, le programme iptables permet de raliser le filtrage des
paquets.
Que ralise la commande ci-dessous ?
Iptables -A INPUT -I eth0 -p icmp -j DROP
a) Le rejet de tous les ping entrants.
b) Le rejet des connexions entrantes vers un serveur web.
c) Le rejet de toutes les trames entrantes vers linterface Ethernet 0.
Rponse(s) : a
Question 7 :
La traduction dadresse NAT permet :
a) Dutiliser davantage dadresses prives que dadresses publiques disponibles sur un site.
b) De raliser le routage des paquets vers le rseau priv.
c) De filtrer les adresses entrantes qui ne correspondent pas une machine du rseau priv.
d) De masquer les adresses prives lInternet.
Rponse(s) : a et d
Question 8 :
Le rle dun systme mandataire proxy est :
a) De relayer les requtes des machines locales pour diverses applications sur Internet.
b) De centraliser les accs extrieurs pour scuriser en un seul point les communications.
c) De filtrer les paquets en fonction de leur numro de port.
d) Denregistrer dans un cache les informations ou les fichiers frquemment consults.
Rponse(s) : a, b et d

SIN

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Systmes
dInformation et
Numrique

Tale
Page:10/11

Question 9 :
Concernant les DMZ, quelles affirmations sont vraies :
a) Une DMZ inclut forcment un firewall.
b) Les serveurs web sont toujours placs lextrieur dune DMZ.
c) Lorsque plusieurs DMZ sont installes, la plus proche du rseau priv est la moins scurise.
d) Une DMZ sert de zone intermdiaire entre un LAN et Internet.
Rponses : a et d
Question 10 :
Concernant les VPN, quelles affirmations sont vraies :
a) Un tunnel scuris est cr entre deux sites distants.
b) Des passerelles sont ncessaires pour isoler les rseaux privs du rseau public.
c) Les paquets qui circulent sur Internet sont crypts.
d) Les utilisateurs doivent crypter tous les messages quils envoient.
Rponse(s) : a, b et c
Question 11 :
Vous dcidez dinstaller un VPN entre deux sites distants. Quels sont les protocoles que vous
pouvez utiliser ?
a) WEP
b) PPTP
c) IPSec
d) SNMP
e) L2TP
Rponses : b, c et e

EXERCICE
Question :
La rgle A du firewall (voir ci-dessous) permet aux machines du LAN priv daccder DMZ 2,
alors que la rgle C devait linterdire. Comment remdier cela ?

Rgle

@ source

@ dest.

Proto. Port src.

A
B
C
D

Toutes
LAN
LAN
Toutes

DMZ 2
DMZ 1
Toutes
Toutes

TCP
TCP
TCP
Tous

Tous
Tous
Tous
Tous

Port dst.

Action

80
25
Tous
Tous

Autoris
Autoris
Autoris
Refus

SIN
Systmes
dInformation et
Numrique

Fichier : Les dfenses

matrielles

LES DFENSES MATRIELLES

Tale
Page:11/11

Une solution est de passer la rgle A en troisime position :

Rgle

@ source

@ dest.

Proto. Port src.

Port dst.

Action

LAN

DMZ 1

TCP

Tous

25

Autoris

LAN

Toutes

TCP

Tous

Tous

Autoris

Toutes

DMZ 2

TCP

Tous

80

Autoris

Toutes

Toutes

Tous

Tous

Tous

Refus

La rgle B permet aux machines du LAN daccder DMZ 1. La rgle C interdit tout autre trafic en
provenance du LAN. La rgle A na plus dinfluence sur le trafic du LAN et permet aux machines
externes daccder DMZ 2.