Sécurité des Systèmes et Réseaux

Pare-feux :
Translation,
Filtrage,
Mandataires et
Détection
d'Intrusions
Version 1

YACINE CHALLAL

15/04/2018
 Table des
matières

I - Pare-feux : Translation, Filtrage, Mandataires et Détection

d'Intrusions 5

A. Généralités sur les pare-feux....................................................................................5

B. Stratégies de sécurité............................................................................................... 7

C. Translation d'adresses..............................................................................................8

D. Filtrage................................................................................................................... 10
1. Filtrage : Généralités........................................................................................................................11
2. Règles de filtrage..............................................................................................................................11

E. Proxy....................................................................................................................... 16

F. Architectures de Pare-Feux......................................................................................17
1. Pare-feu personnel............................................................................................................................18
2. NAT et filtrage...................................................................................................................................19
3. Pare-feu avec zone démilitarisée (DMZ)...........................................................................................21
4. Pare-feu avec zone démilitarisée en sandwitch...............................................................................22
5. produit du marché............................................................................................................................23

G. Systèmes de Détection d'Intrusions (IDS)...............................................................24

II - Série d'exercices sur les pare-feux, NAT, filtrage, proxy et

IDS 27

A. How to do ?............................................................................................................. 27

B. Pas content après son examen...............................................................................29

C. Contournement d'un proxy.....................................................................................32

D. Règles de filtrage d'un pare-feu avec mémoire......................................................32

3
Pare-feux :
I-

I
Translation,
Filtrage,
Mandataires et
Détection
d'Intrusions

Généralités sur les pare-feux 5

Stratégies de sécurité 7
Translation d'adresses 8
Filtrage 10
Proxy 16
Architectures de Pare-Feux 17
Systèmes de Détection d'Intrusions (IDS) 24

A. Généralités sur les pare-feux

Rôle d'un pare-feu

Un pare-feu a pour rôle d'interconnecter deux réseaux ayant des niveaux de
sécurité différents et d'éviter la propagation d'attaques entre les réseaux reliés

Typologie de pare-feux
On peut classifier les pare-feux selon plusieurs typologies :
 Logiciel/Matériel: un PF matériel offre un niveau de sécurité plus élevé, car le
PF logiciel hérite des vulnérabilités de l'OS, des logiciels etc.
 Avec ou sans état:
- Sans état: le PF analyse chaque paquet indépendamment des autres
- Avec état: le PF mémorise l'état de la connexion, connaît par exemple les
numéros de séquences Si un ACK tarde à venir, envoie lui-même un RST
pour détruire les connexions semi-ouvertes Répond lui-même par SYN-
ACK, et n'evoie SYN au destinataire que lorsqu'i reçoit ACK Modifie les
numéros de séquences pour éviter les attaques qui se basent sur la

5
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions
déduction du prochain ISN

Fonctions de pare-feu
 Translation d'adresses: NAT/PAT
- Dissimuler les services et architecture du réseau interne
- Partage d'une connexion à Internet pour un grand réseau via un pool
réduit (voire une seule) d'adresses publiques
 Filtrage: ACL, niveaux routage et transport
- Prévention d'attaques,
- Coupe propagation d'attaques
 Proxy / Reverse Proxy: filtrage niveau applicatif
- Filtrage de contenus inappropriés,
- Protection contre des attaques applicatives
 Détection d'Intrusions
 Autres:
- Authentification des connexions
- Chiffrement
- Analyse de paquets
- Journalisation

B. Stratégies de sécurité

Méthode
Il existe plusieurs stratégies de sécurité qui sont considérées dans la configuration
des systèmes en général et des pare-feux en particulier :
 Moindre privilège: Chaque utilisateur et chaque module ne doit avoir que les
droits minimaux pour effectuer ses tâches. Ainsi un serveur web sera lancé
sous des droits minimaux (nobody sous unix) pour limiter les conséquences
d'une vulnérabilité ou erreur de configuration
 Défense en profondeur: L'usage de plusieurs mécanismes de sécurité
redondants est encouragé. Ceci permet une sécurité efficace même si l'une
des protections s'avérait être vulnérable. Par exemple, même si un pare-feu
bloque toutes les connexions FTP, il est nécessaire de désactiver les serveurs
FTP installés par défaut
 Goulet d'étranglement Construire un pare-feu de telle sorte que tout le trafic
passe à travers un seul point. C'est une configuration similaire à
l'organisation des services de douanes et PAF dans un aéroport
 Maillon le plus faible : Un système de protection ne sera jamais plus efficace
que son élément le plus faible. Avant d'investir de façon inconsidérée dans
un élément de sécurité, on doit vérifier que tous les éléments du système
possèdent une sécurité équivalente. Par exemple, il ne sert à rien d'utiliser
un antivirus pour les transferts FTP si l'on ne fait pas la même chose pour
HTTP, SMTP
 Déni par défaut : Interdire tout ce qui n'est pas explicitement permis. Par
exemple, dans un pare-feu, décrire le trafic utile et autorisé et interdire tout
le reste.
 Participation des utilisateurs : Tous les utilisateurs doivent adhérer à la
stratégie de sécurité. Ceci d'oit s'appuyer sur une communication
pédagogique des restrictions sécuritaires
 Simplicité : Plus un système de protection est simple, plus il a des chances
d'être configuré correctement

6
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

C. Translation d'adresses
Défi nition : Le NAT (Network Address Translation)
Le NAT a pour rôle de connecter un réseau privé à Internet via une ou un ensemble
réduit d'adresses IP publique routable.

Remarque : Adresses privées

Des plages d'adresses IP non routables sont réservées aux réseaux privés
 10.0.0.0 – 10.255.255.255
 172.16.0.0 – 172.31.255.255
 192.168.0.0 – 192.168.255.255

Méthode : Comment se fait le NAT

Remplacer l'adresse source de tous les paquets quittant le réseau interne pour
Internet par une seule adresse publique
 Il est suffisant d'avoir une seule adresse publique pour connecter toutes les
stations du réseau privé à Internet
 Les PF ou routeurs qui gèrent le NAT doivent gérer une table de translation
 Ceci permet de cacher les services et architecture interne du réseau

Exemple
La figure suivante illustre un exemple d'un pare-feu effectuant la fonction de NAT :

Image 1 Exemple de NAT

Quand une machine interne se connecte vers l'extérieur, le NAT remplace son
adresse source privée par une adresse IP publique routable. Afin de différencier
deux flux appartenant à deux machines différentes, le NAT associe à chaque
machine un numéro de port différent (généralement généré aléatoirement) et
maintient la correspondance dans la table NAT.

Complément : NAT dynamique / statique

Dans le NAT dynamique, l'adresse attribuée à une machine interne (IP publique +
numéro de port) est générée dynamiquement et change d'une connexion à une
autre.
Il est parfois utile voire nécessaire d'attribuer toujours la même adresse à une
machine interne spécifique (serveur web par exemple) pour qu'elle puisse être
accessible de l'extérieur sur la même adresse.
Dans ce cas, il est possible de configurer le NAT pour fixer l'adresse publique (IP +
numéro de port) attribuée à une machine interne.
On parle alors de NAT statique.

7
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

D. Filtrage
Dans ce qui suit on définira le concept de filtrage en général puis on étudiera les
règles de filtrage

1. Filtrage : Généralités

Défi nition : Fonction de filtrage

Il s'agit de filtrer le trafic qui circule entre les zones auxquelles est connecté le PF.
Les règles de filtrage sont définies par l'administrateur du PF.

Exemple : Politique de filtrage

 Connexions d'une origine interne vers Internet sont permises
 Connexions d'Internet vers une machine interne: seules certaines
destinations et services précis seront autorisés (HTTP, SMTP, etc.)

Critères de filtrage
 Adresse IP source ou destination
 Protocole (TCP, UDP, ICMP, ...) et port
 Drapeaux et options: TCP SYN, ACK, ICMP, ...

Exemple : Règles de filtrage

 Refuser un paquet externe portant une adresse IP interne (spoofing)
 Autoriser le ping (echo-request) dans une direction et uniquement les
réponses (echo-reply) de ces requêtes dans l'autre direction

2. Règles de filtrage
Règle de filtrage
La configuration d'un PF repose sur des règles de filtrage. Dans chaque règle on
spécifie les caractéristiques du paquet
 adresses source,
 adresses destination,
 ports,
 drapeux, etc.
On spécifie l'action à prendre
 Permission,
 interdiction

Attention : Ordre des règles

Pour chaque paquet reçu, le PF parcourt la liste des règles jusqu'à ce qu'il en trouve
une qui s'applique. L'ordre est donc très important. On doit toujours terminer par
une règle générale qui s'applique à tous les paquets et qui les détruit.

Image 2 Deny All Rule

8
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

Exemple : PF sans mémoire

On considère la politique de filtrage qui consiste à n'autoriser que le mail (SMTP sur
le port 25). La table des règles de filtrage serait comme suit :

Image 3 Autoriser SMTP uniquement (sans mémoire)

Cette configuration souffre d'une permissivité non souhaitée, par exemple :
 Selon la règle 2, il suffit qu'une station porte l'adresse du serveur et port 25
pour se connecter à n'importe quelle destination
 Selon 4, il suffit qu'un paquet ait port 25 pour se connecter à n'importe quel
port du serveur mail.
Une solution à ce problème serait de préciser les flags TCP pour empêcher le flux
dans une certaine direction

9
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

Exemple : PF sans mémoire avec flags TCP

Avec un PF sans mémoire et test sur des flags TCP, la table de filtrage qui n'autorise
que le protocole SMTP sur port 25 serait la suivante :

Image 4 Autoriser SMTP uniquement avec PF sans mémoire et test sur flags TCP

Exemple : PF avec mémoire

La même politique de filtrage avec un PF avec mémoire donnera lieu à la table
suivante :

Image 5 Autoriser SMTP uniquement en utilisant un PF avec mémoire

Il faudra donc préciser uniquement la direction de la connexion. Le PF autorise
implicitement le flux de retour .

Complément : Les ACL

ACL (Access Control List) sont implémentées dans les routeurs. Il s'agit d'une suite
de ACE (Access Control Entry) décrivant les règles de filtrage

Syntaxe
access-list {numéro} {deny|permit} {source} {masque inverse}
access-list {numéro} {deny|permit} {protocole} {source} {masque inverse} [port]
{destination} {masque inverse} [port] {log | log-input} [fragments] [established]

Exemple : Autoriser le trafic icmp

access-list 100 permit icmp any any /* détruit tout le reste du trafic */
access-list 100 deny ip any any log-input

Exemple : Autoriser un flux émanant d'un réseau précis

!--- This command is used to permit IP traffic from 10.1.1.0
!--- network to 172.16.1.0 network. All packets with a source
!--- address not in this range will be rejected.
access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any

E. Proxy

Méthode : Rôle d'un proxy

Un proxy traite le filtrage au niveau applicatif. Dans cette configuration, un client
communique avec un serveur sans connexion directe, il passe par le proxy. de ce
fait,aucun paquet n'est directement échangé entre le client et Internet.

10
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions
La figure suivante illustre une telle configuration :

Image 6 Proxy

Complément : Filtrage applicatif

Un proxy peut examiner le contenu d'un paquet et le filtrer si ce contenu n'est pas
approprié

Exemple : Fonctionnement du Proxy dans ISA Server

Lorsque le service Web proxy (w3proxy.exe) reçoit une requête, il vérifie si le
serveur ISA possède des règles de protocoles ou des règles de sites et contenus. En
fonction de la définition des règles, un refus, une authentification ou une
acceptation est accordée. Si l'accès est autorisé, alors le service Web proxy fait
appel au driver NAT. Ce dernier modifie l'adresse source du client (interne) par celle
du serveur ISA (externe). Il modifie aussi le port source par un port aléatoire
dynamique, et garde une correspondance entre l'ancien et le nouveau port. Quand
le serveur Web Internet répond, il envoie sa réponse à l'adresse du serveur ISA sur
le numéro de port choisi par le driver NAT. Quand le serveur ISA reçoit cette
réponse, il consulte la table de correspondance et la renvoie au client du réseau
privé.

Reverse Proxy
Un proxy inverse (reverse proxy) est habituellement placé en frontal de serveurs
web. Le proxy inverse permet à un utilisateur d'Internet d'accéder à des serveurs
internes . La figure suivante illustre une telle configuration :

Image 7 Reverse Proxy

Cette technique permet d'assurer les fonctions suivantes:
 Mémoire cache : le proxy inverse peut décharger les serveurs Web de la
charge de pages/objets statiques par la gestion d'un cache web local. On
parle alors d'« accélérateur web » ou d'« accélérateur HTTP ».
 Intermédiaire de sécurité : le proxy inverse protège un serveur Web des
attaques provenant de l'extérieur.
 Chiffrement SSL : le proxy inverse peut être utilisé en tant que « terminateur
SSL », par exemple par le biais de matériel dédié,
 Répartition de charge : le proxy inverse peut distribuer la charge d'un site
unique sur plusieurs serveurs Web applicatifs. Selon sa configuration, un
travail de ré-écriture d'URL sera donc nécessaire,
 Compression : le proxy inverse peut optimiser la compression du contenu
des sites.

11
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

F. Architectures de Pare-Feux
Dans ce chapitre nous allons explorer les différentes architectures possibles de
déploiement de pare-feux. Nous étudierons pour chacune d'elles les avantages et
inconvénients.

1. Pare-feu personnel

Défi nition
Il s'agit d'un pare-feu installé sur un poste de travail et configuré par l'utilisateur du
poste. Il permet d'autoriser certaines applications à générer du flux vers l'extérieurs
et de filtrer les flux acceptables en entrée.

Image 8 Pare-feu personnel

Exemple : Pare-feu Windows

Sous windows on peut configurer le pare-feu pour bloquer toutes les connexions
entrantes et sortantes. Lorsqu'un programme souhaite envoyer un paquet sur
Internet, le logiciel va demander à l'utilisateur de confirmer cette action. La figure
suivante illustre la boîte de dialogue permettant de configurer les accès par
application.

Image 9 Configuration d'un pare-feu windows

2. NAT et filtrage

Il s'agit de connexion d'un réseau local à Internet en utilisant du filtrage et NAT

comme illustré sur la figure suivante :

Image 10 NAT et filtrage

Méthode : Configuration standards

 Translation dynamique d'adresses pour toutes les adresses internes
 Translation statique d'adresses pour les serveurs devant être accessibles

12
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions
depuis Internet (par exemple, SMTP et HTTP pour le serveur de courrier
électronique)
 Filtrage des connexions sortantes pour n'autoriser que les protocoles
nécessaires (par exemple, HTTP, HTTPS, FTP, SMTP, DNS)
 Filtrage des connexions entrantes pour interdire les connexions directes sur
le pare-feu

Attention : Limitations
 Il n'existe pas d'nalyse de contenu (comme les virus) du trafic venant
d'Internet
 Depuis Internet, des connexions directes sont effectuées sur des serveurs
internes

Remarque : Applications
 Niveau de sécurité requis : peu élevé
 Peu adapté pour les serveurs qui nécessitent d'être accessible à un large
public (tels que les serveurs web)

3. Pare-feu avec zone démilitarisée (DMZ)

Défi nition : Demiliterized Zone (DMZ)

Une DMZ est une zone qui n'est connectée directement ni à Internet ni au réseau
interne. Dans cette zone on installe les serveurs sensibles (web, relais, etc.)

Exemple
Dans l'architecture suivante, le serveur proxy est mis dans une DMZ

Image 11 DMZ

Méthode : Configuration standard

 Les machines internes ne sont pas autorisées à se connecter à Internet. Elles
peuvent uniquement communiquer avec le serveur proxy dans la DMZ.
 Seul le proxy est autorisé à établir des connexions à direction d'Internet.
 Translation dynamique d'adresses pour toutes les adresses internes
 Translation statique d'adresses pour les serveurs devant être accessibles
depuis Internet (par exemple, SMTP et HTTP pour le serveur de courrier
électronique)
 Filtrage des connexions sortantes pour n'autoriser que les protocoles
nécessaires (par exemple, HTTP, HTTPS, FTP, SMTP, DNS)
 Filtrage des connexions entrantes pour interdire les connexions directes sur
le pare-feu

13
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

Attention : Limitations
 Le pare-feu est un point critique. Toute vulnérabilité du pare-feu peut être
exploitée pour accéder à l'ensemble des serveurs internes.
 Tous les services passent au travers du proxy. Si l'un des services est
vulnérable, c'est tout le trafic qui peut être compromis (espioné, bloqué,
redirigé, modifié, etc.)

Remarque : Applications
 Niveau de sécurité requis : moyen

4. Pare-feu avec zone démilitarisée en sandwitch

La figure suivante illustre une telle architecture :

Image 12 DMZ en sandwitch

On utilise deux pare-feux, un de chaque côté de la DMZ. On évite de connecter
directement les deux pare-feux en forçant le trafic à traverser les proxy qui sont
connectés à chaque pare-feu. On utilise un proxy différent pour chaque service pour
éviter la contamination en cas d'attaque. Le réseau local qui relie les proxy doit être
commuté (switch) plutôt que partagé (hub) pour éviter l'écoute du trafic.

Méthode : Configuration standard

 Les machines internes ne sont pas autorisées à se connecter à Internet. Elles
peuvent uniquement communiquer avec les proxy dans la DMZ, et de plus
uniquement avec les protocoles respectifs des proxy.
 Seuls les proxy sont autorisés à établir des connexions à direction d'Internet.
 Les fonctions de routage sont désactivées sur les proxy
 Translation dynamique d'adresses pour toutes les adresses internes
 Translation statique d'adresses en direction des proxies pour les protocoles
autorisés à entrer
 Filtrage des connexions sortantes pour n'autoriser que les protocoles
nécessaires en direction des proxies
 Filtrage des connexions entrantes pour interdire les connexions directes sur
le pare-feu

Remarque : Applications
Niveau de sécurité requis : élevé

14
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

5. produit du marché

La figure suivante compare quelques produits du marché :

Image 13 Produits du marché

G. Systèmes de Détection d'Intrusions (IDS)

Méthode
Un IDS analyse le trafic aux alentours du pare-feu en permanence et essaye de
découvrir des attaques. Quand une attaque est découverte, l'IDS soit informe
l'administrateur pour intervention manuelle sur le pare-feu, soit reconfigurer,
automatiquement, le pare-feu pour mettre en place des filtres nécessaires pour
bloquer l'attaque

Techniques de détection d'intrusions

Il existe deux grandes catégories d'IDS (ou techniques de détection d'intrusions) :
 Par signature d'attaque, par exemple:
- Recevoir sur interface externe un paquet dont l'adresse IP est interne (IP
Spoofing)
- Tentatives de connexions sur plusieurs adresses (scan du réseau)
Cette technique souffrent de plusieurs inconvénients :
(-) Une base de données des signatures doit être mise à jour régulièrement
(-) Détecter uniquement les attaques connues
(-) Un attaquant peut contourner ces signatures
 Caractérisation du trafic en se basant sur des statistiques du trafic observé,
si une valeur dépasse ses limites habituelles alors une attaque est
suspectée. Des exemples de statistiques seraient la distribution du trafic en
fonction des protocoles, adresses sources, adresses destinations, durée de
connexions, bande passante, etc.
cette technique souffre du grand nombre de faux positifs: à cause de la
difficulté de caractériser un trafic normal

Défi nition : Network IDS

L'IDS est installé sur une station du réseau et écoute le trafic pour détecter les
intrusions. Deux cartes réseau sont utilisées: une connectée à Internet pour
espionner le trafic. Les alarmes sont envoyées sur un port du pare-feu au moyen de
la seconde carte réseau, ce qui entraine, éventuellement une reconfiguration du
pare-feu

15
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

Défi nition : Host IDS

Il s'agit d'un agent installé sur toutes les stations du réseau qui surveille
constamment les fichiers de configuration, base de registres, paramètres du
système pour détecter une anomalie. Il peut par exemple: détecter :
 qu'un utilisateur obtienne d'une façon soudaine des droits d'administrateur
 l'installation d'un logiciel ne correspondant pas aux logiciels habituellement
installés sur le réseau

Snort
Snort est un IDS célèbre, dont les règles sont décrites dans un langage simple :
 l'en-tête de règle contient :
- l'action de la règle (la réaction de snort);
- le protocole qui est utilisé pour la transmission des données (snort en
considère trois: TCP, UDP et ICMP);
- les adresses IP source et destination et leur masque;
- les ports source et destination sur lesquels il faudra vérifier les paquets.
 les options de la règle (entre parenthèse) qui contiennent
- le message d'alerte;
- les conditions qui déterminent l'envoi de l'alerte en fonction du paquet
inspecté.

16
 Pare-feux : Translation, Filtrage, Mandataires et Détection d'Intrusions

Exemple
L'exemple de règle suivant permet de détecter les tentatives de login sous
l'utilisateur root, pour le protocole ftp (port 21) :
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase; msg:
"Tentative d'accès au FTP pour l'utilisateur root";)

17
Série d'exercices
II -

II
sur les pare-feux,
NAT, filtrage,
proxy et IDS

How to do ? 27
Pas content après son examen 29
Contournement d'un proxy 32
Règles de filtrage d'un pare-feu avec mémoire 32

A. How to do ?
Considérons l'architecture suivante d'un réseau d'entreprise :

19
 Série d'exercices sur les pare-feux, NAT, filtrage, proxy et IDS

Un utilisateur sur Station 4 souhaite visiter le site www.vrai.com. Un intrus occupant

la Station 3 voudrait le rediriger sans qu'il ne s'aperçoive sur le site www.faux.com.

Question 1
En supposant que les systèmes d'exploitation des stations du réseau acceptent les
réponses ARP sans en avoir fait la demande de résolution, expliquer comment
Station 3 peut se substituer au serveur DNS.

Question 2
Comment s'appelle cette attaque ?

Question 3
En supposant que l'attaque ci-dessus est réalisée, donner la liste des échanges dans
le réseau qui sont transmis quand l'utilisateur de Station 4 envoie la requête HTTP
GET www.vrai.com jusqu'à réception de la page web qui se trouve à www.faux.com.

B. Pas content après son examen

Un étudiant mécontent de l'examen qu'il vient de passer était déterminé à
s'introduire dans un serveur de la DE pour modifier sa note. En utilisant WireShark,
il a remarqué que le prof se connectait régulièrement sur deserver.esi.dz avec sa
machine prof.esi.dz et lance des commandes avec rsh, visiblement pour saisir les
notes dans un fichier à distance. Afin de ne pas laisser de traces, il a décidé de
commettre le délit à partir de chez lui.
Pendant le conseil de classe, le prof a remarqué que la note fut modifiée. Afin de
comprendre la source de cette anomalie, la DE a chargé le service réseau de mener
une enquête.
L'administrateur réseau analyse alors les logs de ses serveurs et les extraits
suivants attirent son attention :

1 14:18:25 mecontent.com.1000 > deserver.esi.dz: S

1382726990:1382726990(0)
2 14:18:26 deserver.esi.dz > mecontent.com.1000: S
2021824000:2021824000(0) ack 1382726991
3 14:18:26 mecontent.com.1000 > deserver.esi.dz: R
1382726991:1382726991(0)
4 14:18:26 mecontent.com.999 > deserver.esi.dz: S
1382726991:1382726991(0)
5 14:18:26 deserver.esi.dz > mecontent.com.999: S
2021952000:2021952000(0) ack 1382726992
6 14:18:26 mecontent.com.999 > deserver.esi.dz: R
1382726992:1382726992(0)
7 14:18:27 mecontent.com.998 > deserver.esi.dz: S
1382726992:1382726992(0)
8 14:18:27 deserver.esi.dz > mecontent.com.998: S
2022080000:2022080000(0) ack 1382726993
9 14:18:27 mecontent.com.998 > deserver.esi.dz: R
1382726993:1382726993(0)
10 14:18:27 mecontent.com.997 > deserver.esi.dz: S
1382726993:1382726993(0)
11 14:18:27 deserver.esi.dz > mecontent.com.997: S
2022208000:2022208000(0) ack 1382726994
12 14:18:27 mecontent.com.997 > deserver.esi.dz: R
1382726994:1382726994(0)
13 14:18:28 mecontent.com.996 > deserver.esi.dz: S
1382726994:1382726994(0)
14 14:18:28 deserver.esi.dz > mecontent.com.996: S
2022336000:2022336000(0) ack 1382726995
15 14:18:28 mecontent.com.996 > deserver.esi.dz: R
1382726995:1382726995(0)
16 14:18:28 mecontent.com.995 > deserver.esi.dz: S
1382726995:1382726995(0)

20
 Série d'exercices sur les pare-feux, NAT, filtrage, proxy et IDS

17 14:18:28 deserver.esi.dz > mecontent.com.995: S

2022464000:2022464000(0) ack 1382726996
18 14:18:28 mecontent.com.995 > deserver.esi.dz: R
1382726996:1382726996(0)
19 14:18:29 mecontent.com.600 > prof.esi.dz: S 1382726960:1382726960(0)
20 14:18:29 mecontent.com.601 > prof.esi.dz: S 1382726961:1382726961(0)
21 14:18:29 mecontent.com.602 > prof.esi.dz: S 1382726962:1382726962(0)
22 14:18:29 mecontent.com.603 > prof.esi.dz: S 1382726963:1382726963(0)
23 14:18:30 mecontent.com.604 > prof.esi.dz: S 1382726964:1382726964(0)
24 14:18:30 mecontent.com.605 > prof.esi.dz: S 1382726965:1382726965(0)
25 14:18:30 mecontent.com.606 > prof.esi.dz: S 1382726966:1382726966(0)
26 14:18:30 mecontent.com.607 > prof.esi.dz: S 1382726967:1382726967(0)
27 14:18:31 mecontent.com.608 > prof.esi.dz: S 1382726968:1382726968(0)
28 14:18:31 mecontent.com.609 > prof.esi.dz: S 1382726969:1382726969(0)
29 14:18:31 mecontent.com.610 > prof.esi.dz: S 1382726970:1382726970(0)
30 14:18:32 mecontent.com.611 > prof.esi.dz: S 1382726971:1382726971(0)
31 14:18:32 mecontent.com.612 > prof.esi.dz: S 1382726972:1382726972(0)
32 14:18:33 mecontent.com.613 > prof.esi.dz: S 1382726973:1382726973(0)
33 14:18:33 mecontent.com.614 > prof.esi.dz: S 1382726974:1382726974(0)
34 14:18:34 mecontent.com.615 > prof.esi.dz: S 1382726975:1382726975(0)
35 14:18:34 mecontent.com.616 > prof.esi.dz: S 1382726976:1382726976(0)
36 14:18:34 mecontent.com.617 > prof.esi.dz: S 1382726977:1382726977(0)
37 14:18:35 mecontent.com.618 > prof.esi.dz: S 1382726978:1382726978(0)
38 14:18:36 prof.esi.dz > deserver.esi.dz: S 1382727010:1382727010(0)
39 14:18:36 prof.esi.dz > deserver.esi.dz: . ack 2022592001
40 14:18:37 prof.esi.dz > deserver.esi.dz: P 0:2(2) ack 2022592001
41 14:18:37 prof.esi.dz > deserver.esi.dz: P 2:7(5) ack 2022592001
42 14:18:38 prof.esi.dz > deserver.esi.dz: P 7:32(25) ack 20225920011
43 14:18:41 prof.esi.dz > deserver.esi.dz: . ack 2022592002
44 14:18:42 prof.esi.dz > deserver.esi.dz: . ack 2022592003
45 14:18:43 prof.esi.dz > deserver.esi.dz: F 1382727042:1382727042 (0)
ack 2022592003
46 14:18:52 prof.esi.dz > deserver.esi.dz: R 1382727043:1382727043(0)
47 14:18:52 prof.esi.dz > deserver.esi.dz: R 1382727044:1382727044(0)
48 14:18:52 mecontent.com.600 > prof.esi.dz: R 1382726960:1382726960(0)
49 14:18:52 mecontent.com.601 > prof.esi.dz: R 1382726961:1382726961(0)
50 14:18:52 mecontent.com.602 > prof.esi.dz: R 1382726962:1382726962(0)
51 14:18:52 mecontent.com.603 > prof.esi.dz: R 1382726963:1382726963(0)
52 14:18:52 mecontent.com.604 > prof.esi.dz: R 1382726964:1382726964(0)
53 14:18:52 mecontent.com.605 > prof.esi.dz: R 1382726965:1382726965(0)
54 14:18:52 mecontent.com.606 > prof.esi.dz: R 1382726966:1382726966(0)
55 14:18:52 mecontent.com.607 > prof.esi.dz: R 1382726967:1382726967(0)
56 14:18:52 mecontent.com.608 > prof.esi.dz: R 1382726968:1382726968(0)
57 14:18:52 mecontent.com.609 > prof.esi.dz: R 1382726969:1382726969(0)
58 14:18:52 mecontent.com.610 > prof.esi.dz: R 1382726970:1382726970(0)
59 14:18:52 mecontent.com.611 > prof.esi.dz: R 1382726971:1382726971(0)
60 14:18:53 mecontent.com.612 > prof.esi.dz: R 1382726972:1382726972(0)
61 14:18:53 mecontent.com.613 > prof.esi.dz: R 1382726973:1382726973(0)
62 14:18:53 mecontent.com.614 > prof.esi.dz: R 1382726974:1382726974(0)
63 14:18:53 mecontent.com.615 > prof.esi.dz: R 1382726975:1382726975(0)
64 14:18:53 mecontent.com.616 > prof.esi.dz: R 1382726976:1382726976(0)
65 14:18:53 mecontent.com.617 > prof.esi.dz: R 1382726977:1382726977(0)
66 14:18:53 mecontent.com.618 > prof.esi.dz: R 1382726978:1382726978(0)

21
 Série d'exercices sur les pare-feux, NAT, filtrage, proxy et IDS
Question 1
Vous êtes expert en « cyber forensics ». L'administrateur réseau de l'ESI sollicite vos
services pour l'aider à comprendre ce qui s'est passé exactement. Remplissez ce
tableau pour lui expliquer à quoi correspondent ces différents événements :
Lignes
De A Interpretation

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

……………………………………………………………………………………………………………
…………………………………………….

22
 Série d'exercices sur les pare-feux, NAT, filtrage, proxy et IDS
Question 2
Comment cette attaque aurait été différente si l'étudiant mécontent avait mené son
attaque à partir du réseau de l'ESI ? Expliquer.

C. Contournement d'un proxy

Avoine 2010
On considère le réseau local 193.172.53.0 représenté sur la figure suivante :

Image 14 Proxy mal placé

Les utilisateurs possèdent un compte (non privilégié) sur chacune des machines du
réseau excepté sur la passerelle 193.172.53.1. L'administrateur installe un proxy
HTTP sur l'une de ces machines (193.172.53.7) afin d'optimiser et de contrôler les
accès aux sites web externes. Les navigateurs des utilisateurs sont paramétrés par
défaut pour utiliser ce proxy.

Question 1
Comment les utilisateurs peuvent-ils simplement contourner le proxy ?
Afin de renforcer sa politique de sécurité, l'administrateur décide d'installer un pare-
feu sans mémoire au niveau de la passerelle. Il le configure de telle sorte à ce que
seule la machine 193.172.53.7 puisse accéder à Internet, pour n'effectuer que des
requêtes HTTP ou DNS.

Question 2
Ecrire la table de filtrage du pare-feu.

Question 3
Proposer une méthode qui permette aux utilisateurs de naviguer sur le Web sans
utiliser le proxy.

23
 Série d'exercices sur les pare-feux, NAT, filtrage, proxy et IDS

D. Règles de filtrage d'un pare-feu avec mémoire

Avoine 2010
On considère l'architecture décrite dans la figure suivante.

Image 15 Architecture DMZ en Sandwitch

On suppose que l'adresse du serveur web est 10.0.0.2 et que les proxies SMTP,
HTTP et DNS possèdent respectivement les adresses 192.168.10.25, 192.168.10.80,
et 192.168.10.53.
Les trois proxies sont utilisés en mode direct (donc vers Internet) et inverse (donc
depuis Internet). Le serveur web doit aussi être accessible depuis le réseau interne.
On désigne par dmz.proxy toutes les adresses de la zone des proxies et par
dmz.web toutes les adresses de la zone du serveur web

Question
Ecrire les règles de filtrage pour le pare-feu externe avec mémoire (PF1)

24