Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Un exemple de configuration

Nous allons maintenant construire le script shell qui va mettre en place un firewall en tenant compte des principales informations de la première partie.
Notre réseau local est en 192.168.0.0/24. 192.168.0.1 est une machine dont on veut faire un serveur web. 192.168.0.254 est notre routeur firewall. Il possède 2 interfaces :

• Interface locale : 192.168.0.254
• Interface internet : 212.155.x.x

Depuis notre réseau local, on souhaite acceder à n'importe quelle machine et n'importe quel service sur Internet. En revanche, on ne veut aucune connexion entrante sur notre gateway et notre réseau à part pour le serveur web et pour le service ssh (sur la gateway et le serveur ssh). Voilà pour la problématique. Avant de commencer à rédiger le script il faut garder une règle primordiale en tete concernant le traffic : - PAR DEFAUT ON ACCEPTE RIEN - ensuite seulement on fait ce qu'il faut autoriser le traffic qu'on juge necessaire. Il ne faut - JAMAIS - autoriser par defaut et essayer de bloquer tout ce qu'on pense dangeureux, on en oublie *toujours*.
Pour pouvoir utiliser iptables, il faut charger son module noyau :
modprobe ip_tables
Pour utiliser les capacités statefull de netfilter il faut aussi le module adéquat:
modprobe ip_conntrack
Ensuite on ``flush'' les tables pour supprimer les règles qui auraient pu etre entrées plus tot.

  iptables -F

  iptables -t nat -F

  iptables -t mangle -F

On va donc commencer par dire à iptables qu'on jette tout par defaut. Pour cela on utilise l'option -P d'iptables pour changer la décision par défaut.

  iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP

A cet instant, on a dit à iptables d'ignorer tout ce qui vient sur le firewall (INPUT), tout ce qui en part (OUTPUT) et tout ce qui passe par lui (FORWARD - trafic entre le réseau interne et Internet). Maintenant on peut commencer à autoriser les paquets qu'on souhaite voir passer ...

Dream © 2006