Présentation
EnglishRÉSUMÉ
Dans les débuts de l’informatique, les méthodes d’accès se faisaient par des liens directs entre des terminaux et des serveurs « mainframes » centraux. Avec l’avènement d’Internet, de nouveaux risques d’accès vers des systèmes sont apparus sans qu’il soit possible d’empêcher les accès illégitimes. Avec cette nouvelle menace, il est apparu un concept associé visant à réduire ce risque : le pare-feu ou la notion de périmètre. Présent dans de multiples systèmes d’exploitation, IP Filter offre une solution logicielle de pare-feu très complète, performante, utilisable aussi bien pour protéger un serveur qu’un périmètre.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent LEVIER : Certified Information Systems Security Professional (CISSP) - Certified Information Security Manager (CISM) - Officier de sécurité du réseau interne, Équant Télécommunications
INTRODUCTION
Dans les débuts de l’informatique, les méthodes d’accès se faisaient par des liens directs entre des terminaux et des serveurs « mainframes » centraux. À cette époque, les problèmes de sécurité étaient limités car il fallait être physiquement sur un site pour établir une session sur un système.
Avec l’avènement d’Internet, de nouveaux risques d’accès vers des systèmes sont apparus sans qu’il soit possible d’empêcher les accès illégitimes. Avec cette nouvelle menace, il est apparu un concept associé visant à réduire ce risque : le pare-feu ou la notion de périmètre.
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Mise en œuvre d’un pare-feu gratuit à base d’IP Filter > Étude de cas
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Étude de cas
Afin de bien appréhender l’utilisation d’IP Filter dans un environnement technique, nous présentons une situation classique.
Il est possible, si on est un particulier passionné ou un professionnel de petite taille, d’utiliser IP Filter pour offrir un service sur Internet comme une cyberboutique, voire son infrastructure de messagerie comme illustré sur la figure 9.
3.1 Détails de l’architecture
Dans cette architecture, les besoins à satisfaire sont :
-
permettre aux stations de travail (sur le segment 10.0.0.0/24) d’aller sur Internet, mais aussi d’accéder aux machines dans la DMZ en 192.168.250.0/24 pour relever leur courrier ;
-
lorsque les stations de travail surfent sur Internet, leurs flux doivent être redirigés vers un proxy HTTP transparent pour économiser la bande passante et bloquer les sites non autorisés ;
-
il doit être possible depuis Internet de se connecter sur le serveur Web ;
-
tout le courrier envoyé vers l’entreprise (ou le particulier) arrive sur le serveur de messagerie ;
-
il est possible de consulter la messagerie depuis Internet via un protocole POP ou IMAP chiffré en SSL.
3.2 Jeu de règles de translation d’IP Filter
Compte tenu que l’on ne dispose que d’une seule adresse IP sur Internet, celle du pare-feu, différentes règles de translation doivent être mises en place :
-
le réseau d’entreprise doit être masqué d’Internet en une seule adresse IP, celle du pare-feu ;
-
les serveurs qui sont accessibles d’Internet doivent pouvoir être atteints par ce réseau à travers l’adresse du pare-feu, nécessitant une translation des ports des services réseaux concernés.
De plus, l’ordre des règles est important car, par exemple, la redirection vers le proxy doit se faire avant la translation d’adresse vers Internet. Le fichier /etc/ipnat.rules pour l’architecture contient alors :
-
Règle de redirection transparente des flux HTTP (uniquement) vers le proxy qui écoute sur le port 8080/TCP. Tout paquet avec une adresse IP source dans le réseau bureautique,...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Étude de cas
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
IP Filter
http://coombs.anu.edu.au/~avalon/
Ressources
http://www.obfuscation.org/ipf/
Firewall Builder (GUI IP Filter)
HAUT DE PAGECet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive