Travail Demandé

Il vous est demandé un rapport décrivant votre mise en oeuvre des exercices proposés ci-dessous. On pourra utilement illustrer chacun d’entre eux par une ou plusieurs captures de trames.

Ressources

Il vous est demandé de vous répartir en groupes de 3 à 4 personnes. Il faudra au minimum 3 stations ou VMs par groupe.

Documentations:

• Documentation netfilter/nftables complète en anglais,
• Comment migrer de iptables à nftables
• FAQ netfilter en anglais, en français.
• Une introduction en français.
• Le NAT (masquerading) pour le partage de connexion en français
• Pour aller plus loin: une longue liste de liens

Mise en Oeuvre

Routage

Choisir une station pour faire routeur/parefeu et mettre en place le routage classique.

Rappelez pourquoi le réseau interne ne peut communiquer avec Internet.

Logiciels

Il existe de très nombreuses interfaces webs ou graphiques à netfilter,

• module iptables/nft pour webmin
• gufw
• fwlogwatch
• …

Choisir l’un de ces logiciels, et pour chacune des règles à mettre en place ci-dessous, réaliser la configuration du parefeu. Déterminer si le système utilise iptables ou nftables.

Comparer et commenter ensuite les configurations obtenues.

On pourra utiliser iptables-save/xtables-save.

Filtrage

1. Fermez le trafic ICMP
2. Fermez tous les ports TCP et UDP en entrée
3. Ouvrir le port HTTP
4. Ouvrir le port SSH
5. Quelles solutions pouvez-vous également utiliser pour protéger votre serveur SSH?

NAT

Réouvrir l’ensemble des accès. Mettre en place un partage de connexion par NAT (masquerading).

Vérifier que les stations internes accèdent désormais à Internet. Que peut-on dire en terme de filtrage sur ces stations.

Filtrage + Masquerading

En conservant le partage de connexion, remettre en place les règles de filtrages suivantes

1. Fermez le trafic ICMP
2. Fermez tous les ports TCP et UDP en entrée
3. “Ouvrir” le port HTTP
4. “Ouvrir” le port SSH

Journaux

Essayer différentes connexion sur votre système et commenter les logs obtenus.

Mettre en place syslog de manière sécurisée pour avoir les journaux sur la station interne.

Synthèse

Faire une synthèse sur l’utilisation des logiciels de type GUI par rapport à iptables/xtables en vous appuyant sur les cas traités dans ce TP.

Un Exemple Grandeur Nature

Pour la mise en oeuvre du projet: description à venir…