Exercice sur les règles de filtrage d'un routeur par adresse ip et protocole

Contexte de travail

Vous trouverez en annexe 1 la structure schématique du réseau d'une entreprise

Les routeurs R1 et R2 sont des routeurs filtrants, ils doivent interdire certaines actions et en autoriser d'autres en fonction des règles définies par la politique de sécurité de l'entreprise.

Le filtrage de paquet fonctionne de la manière suivante : {sidebar id=1}

  1. Les critères de filtrage doivent être stockés pour les ports du dispositif de filtrage. On les appelle règle de filtrage de paquets.
  2. Lorsqu'un paquet arrive sur le port, ses en-têtes sont analysés. La plupart des dispositifs de filtrage examinent les champs uniquement dans les en-têtes IP, TCP ou UDP
  3. Les règles de filtrage du paquet sont stockées dans un ordre précis. Chaque règle est appliquée au paquet dans l'ordre de stockage de la règle de filtrage
  4. Si une règle de filtrage bloque la transmission ou la réception d'un paquet, celui-ci se voit interdire l'accès
  5. Si une règle permet la transmission ou la réception d'un paquet, celui-ci est autorisé à suivre son cours
  6. Si un paquet ne satisfait à aucune règle il est bloqué

La règle 3 en regard des règles 4 et 5 implique qu'un mauvais ordonnancement des règles peut conduire à refuser des services valides ou à autoriser des services interdits.

La règle 6 signifie que tout ce qui n'est pas autorisé est interdit.

Pour écrire ces règles l'administrateur réseau utilise la présentation donnée par Karanjit Siyan et Chris Hare ("Internet , sécurité et firewall" Macmillan) avec un rajout emprunté à Douglas Comer (TCP/IP architecture, protocoles applications, Interéditions)

Les règles sont numérotées, elles permettent deux actions, on accepte le paquet ou on le bloque. Un paquet IP arrive sur une des interfaces du routeur.

Un paquet IP contient une adresse source, un port source, une adresse destination et un port destination. Il permet d'identifier des protocoles de transport TCP ou UDP et des protocoles de contrôle comme ICMP

Remarque : un routeur filtrant agit normalement sur la couche 3 du modèle OS! (entête !P dans notre exemple), alors qu'un firewall agit sur les 7 couches en rentrant notamment dans la sémantique du niveau application (que fait le paquet ?) . Cependant cela ne veut pas dire que le routeur filtrant n'utilise pas l'identifiant des protocoles de niveau supérieur (notamment entête TCP dans notre exemple) qu'il route pour filtrer..

Voici une liste des numéros de port ou de protocoles les plus utilisés.


numéros de port TCP réservés :
21          FTP
23          TELNET
25          SMTP
80          HTTP
119        NNTP

numéros de ports UDP réservés :

161        SNMP
68          DHCP
53          DNS

numéros de ports IP réservés (le terme port IP s'entend comme numéro de protocole directement au-dessus d'IP)

1            ICMP
6            TCP
17          UDP

Dans notre exemple et notre exercice, ce sont sur ces éléments que portent les filtres.

Vous trouverez en annexe 2, un exemple de règles appliquées dans le réseau de l’entreprise

Ici la règle numéro 1 stipule que quelle que soit la source on peut adresser le port HTTP sur l'interface 200.100.40.12.

Les règles numéro 2 et 3 interdisent tout trafic ICMP au départ ou à destination du réseau 200.100.50.0

Travail à Réaliser

En respectant la présentation adoptée par l'administrateur de ce réseau, mettre en œuvre les règles de gestion suivantes sur les routeurs R1 et R2.{sidebar id=8}

  1. Les postes connectés sur le réseau 200.100.40.0 sont les seuls à pouvoir utiliser DHCP et DNS.
  2. Les postes du réseau 200.100.40.0 peuvent utiliser les ressources du poste 200.100.50.11.
    1. Seule la communication SMTP peut aller du réseau 200.100.50.0 vers le réseau 200.100.40.0 mais pas au-delà.
    2. Sur le réseau 200.100.50.0 on interdit tous les "broadcast dirigés" en provenance d'un autre réseau.
    3. On ne peut pas ouvrir de session telnet sur le réseau 200.100.40.0 à partir d'un accès distant et sur le réseau 200.100.50.0 à partir d'un autre réseau.
    4. Les adresses réseaux autorisées à utiliser les "données partenaires" sont 195.83.0.0, 202.10.12.0 et 221.12.184.0 (qui correspondent aux adresses IP des réseaux des entreprises partenaires).
    5. Le réseau 202.10.12.0 n'est pas autorisé à utiliser le service NNTP sur les données partenaires.
    6. Il faut interdire tout trafic ICMP en provenance de l'extérieur.
    7. Seules les machines 200.100.40.11 et 200.100.40.12 sont autorisés à ouvrir des connexions TCP vers l'extérieur.
    8. Le trafic FTP entrant est interdit sur les réseaux 200.100.40.0 et 200.100.50.0
       
R. SanchezArticle publié le 25 Septembre 2009 Mise à jour le Lundi, 15 Mars 2010 00:27 par Salim KHALIL