• Aucun résultat trouvé

ASRA 02: Introduction à l'utilisation de packet filter, le filtre de packetd'OpenBSDObjectifs

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "ASRA 02: Introduction à l'utilisation de packet filter, le filtre de packetd'OpenBSDObjectifs"

Copied!
3
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Auteur: P. Petit Titre: TD ASRA: introduction à l'utilisation de pf Version: 1.1 Date: 03/02/2020 Licence: Gnu Free Documentation Licence Durée: 3h00

ASRA 02: Introduction à l'utilisation de packet filter, le filtre de packet d'OpenBSD

Objectifs

comprendre l'utilisation de base de packet filter

utilisation des outils nmap, et ethereal/tcpdump pour le debugging

Configuration initiale

Ce TD est à réaliser avec quatre machines virtuelles:

2 machines virtuelle d'un unix de votre choix : A, B

une machine virtuelle openbsd : FW

Prérequis

configuration réseau d'une station unix (unix A, B et openBSD)

notion théoriques sur les filtres de paquets à suivi de connexion

analyse de trames et utilisation d'outil comme ethereal ou tcpdump.

Outre les pages de manuel ad hoc, vous pourrez consulter la FAQ de packet filter à l'adresse http://www.openbsd.org/faq/pf/index.html

Vous répondrez aux questions en jaune directement après les questions et vous me renverrez ce document en fin de séance.

Exercice 1: étude de règles classiques

1. expliquer les règles packet filter suivantes : groupe de règles No 1:

bloc in all bloc out all

pass in on dc0 from 192.168.0.0/24 to 192.168.1.1 A vous :

groupe de règles No 2:

my_ip="192.168.10.6"

if_in="dc0"

if_out="fxp0"

local_net="192.168.0.0/24"

block in all pass out all

block in quick from $local_net to $my_ip

pass in on $if_in from $local_net proto tcp flags S/SA to any port ssh pass in on $if_in from $local_net proto tcp flags S/SA to any port domain pass in on $if_in from $local_net proto udp to any port domain

A vous :

(2)

Auteur: P. Petit Titre: TD ASRA: introduction à l'utilisation de pf Version: 1.1 Date: 03/02/2020 Licence: Gnu Free Documentation Licence Durée: 3h00

Exercice 2: maquette 1: routage

1. Les machines A et FW sont sur le réseau R1 (192.168.10.0/24) : A a comme IP 192.168.10.1et FW, l'ip 192.168.10.6. Les machines FW et B sont sur le réseau R2

(192.168.20.0/24) : B a comme IP 192.168.20.2 et FW a comme IP 192.168.20.6 (donc FW a 2 interfaces réseau). A et FW réussissent à « se pinger », de même que B et FW. Votre rapport contiendra une explication succincte de ce que vous avez fait ainsi que les noms et une copie des fichiers de configurations concernés.

A vous :

2. Configurez le routage de façon à ce que les machines A, B et F puissent communiquer les unes avec les autres : on garantira que ping fonctionne entre toutes ces machines. Votre rapport contiendra une explication succincte de ce que vous avez fait ainsi que les noms et une copie des fichiers de configurations concernés.

A vous :

Exercice 3: maquette 1: pare feu avec états

1. faites en sorte que packet filter soit actif sur la machine FW et configurez le en utilisant le suivi de session (keep state) de façon à ce que :

il soit possible de « pinger » B depuis A;

que l'hôte A ne puissent pas être « pinger » depuis B ;

qu'il soit possible d'établir des connections ssh sur B depuis A;

que A puisse faire des requêtes dns vers B ;

que les seuls connexions entrante possibles vers FW soient des connexions SSH ;

pas de restrictions sinon.

Vos règles :

2. testez la configuration de votre coupe feu (l'outils nmap pourra vous aider). Vous indiquerez dans votre compte-rendu de TP les commandes utilisées, le résultat de ces commandes et vos commentaires. Quand c'est pertinent, vous pourrez aussi vous appuyer sur des analyses de trames en précisant à chaque fois sur quel hôtes elles ont été réalisées.

A vous :

l'option block-policy permet de définir le comportement à adopter en cas de blocage.

Indiquez la différence entre les deux comportements et testez là. Comparez avec ce que propose Netfilter.

A vous :

vous indiquerez comment on peut afficher les informations suivantes (et le résultat de la commande sur votre maquette) :

liste des règles en cours

(3)

Auteur: P. Petit Titre: TD ASRA: introduction à l'utilisation de pf Version: 1.1 Date: 03/02/2020 Licence: Gnu Free Documentation Licence Durée: 3h00

A vous :

la table d'états A vous :

des informations statistiques sur l'activité du coupe feu et notamment le nombre de fois où chaque règle a été utilisés.

A vous :

Vous indiquerez comment un peu effacer l'ensemble des régles A vous :

Exercice 4: authpf

1. Les règles de notre coupe feu évolue : on interdit toute connexion sortante depuis la réseau 192.168.10.0/24 (R1) et on subordonne l'autorisation des connexions de R1 vers R2 à l'authentification des utilisateurs concernés. Utiliser authpf pour faire en sorte que les utilisateurs des postes de R1 aient toutes leurs connexions vers l'extérieur autorisées après qu'ils se soient authentifiés.

Vous utiliserez pour cela authpf:

créer un utilisateur test

créer un fichier vide /etc/authpf/authpf.conf

créer un fichier /etc/authpf/authpf.rules contenant les règles à appliquer à tous les utilisateurs

insérer une ancre nommée « authpf/* » dans le fichier ipf.conf à l'endroit où ces règles doivent s'appliquer

définir /usr/sbin/authpf comme shell aux utilisateurs concernés avec la commande chsh indiquez le contenu et des fichiers de configuration et illustrez le fonctionnement du mécanisme.

A vous :

Références

Télécharger maintenant ( ODT - 3 Page - 23.48 KB )

Documents relatifs

"Tout ce que vous avez

graphique PCI Express ne pourra accueillir que cartes graphiques au format PCI Express (standard actuel) ; un bus graphique AGP ne pourra accueillir que des cartes graphiques

ce que vous

tant un système d'alimentation variable pour les différents haut-parleurs composant la c,,. Les sons de toute la gamme musicale à reproduire ne doivent pas. On

Tout ce que vous avez toujours voulu savoir sur le sol – A2C le site de l'agriculture de conservation

Cela est dû à la présence de la prairie dans la rotation, au flux de fumier de "la ferme Bretagne" mais aussi à une spécificité de certains sols en particulier du centre

PF: The OpenBSD Packet Filter

Often, redirection rules are used to forward incoming connections from the Internet to a local server with a private address in the internal network or LAN, as in:.. server

Une copie de la thèse; Un rapport sur la publication (annexe 02);

Après étude des rapports sur les états d’avancement des thèses de doctorat en sciences, le CSF émet un avis favorable pour la réinscription des candidats ci-dessous pour

Qu est-ce que je vous sers? Une

Dans sa composition, rentrent de l’eau pure (cinq à dix litres pour un litre de bière) ; de l’orge, transformée en malt dans une malterie, riche en amidon (vingt à vingt- cinq

Que pensez-vous de ce protocole ? Exercice 2

On va l’utiliser dans le cadre de la signature ´electronique d’un document M. Expliquer pourquoi.. 3) On suppose maintenant qu’Alice souhaite signer par RSA un

le vélo pour le boulot Tout ce que vousavez toujoursvoulu savoir sur

Mettre à disposition du personnel un ou plusieurs vélos de service pour les déplacements professionnels est une mesure appréciable à différents égards