Pont filtrant - Historique des versions

Lea le 19 décembre 2023 à 22:39

2023-12-19T22:39:41Z

← Version précédente		Version du 19 décembre 2023 à 22:39
Ligne 1 :		Ligne 1 :
	~~[[Category:Sécurité]]~~
	= Les ponts filtrants =		= Les ponts filtrants =

Ligne 114 :		Ligne 114 :
	<br/>		<br/>
	<br/>		<br/>
	'''<b>[[~~Reseau-index~~\|@ Retour à la rubrique ~~Réseau~~ et ~~sécurité~~]]</b>'''		'''<b>[[Sécurité et vie privée\|@ Retour à la rubrique Sécurité et vie privée]]</b>'''
	<br/>		<br/>

Ligne 122 :		Ligne 122 :
	Copyright © 01/11/2002, Tchesmeli serge		Copyright © 01/11/2002, Tchesmeli serge
	{{LDL}}		{{LDL}}

			[[Category:Sécurité et vie privée]]

Lea : Lea a déplacé la page Reseau-secu-pont-filtrant vers Pont filtrant

2023-12-19T22:39:06Z

Lea a déplacé la page Reseau-secu-pont-filtrant vers Pont filtrant

← Version précédente	Version du 19 décembre 2023 à 22:39
(Aucune différence)

Jiel le 31 décembre 2010 à 13:45

2010-12-31T13:45:46Z

@@ Ligne 104 : / Ligne 104 : @@
   iptables -A FORWARD -j DROP
   </nowiki>
 <div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Tchesmeli serge le 01/11/2002.</div>
@@ Ligne 110 : / Ligne 122 : @@
 Copyright &copy; 01/11/2002, Tchesmeli serge
 {{LDL}}

Fred : /* Pré-requis */ : avertissement

2006-08-30T07:44:48Z

Pré-requis : : avertissement

← Version précédente		Version du 30 août 2006 à 07:44
Ligne 22 :		Ligne 22 :

	Appliquez alors le patch à votre kernel, pour le 2.4.19 par exemple, allez dans le répertoire des sources du kernel et faites un :<br /><br /><tt>patch -p1 < bridge-nf-0.0.7-against-2.4.19.diff</tt><br /><br /> Recompilez alors votre kernel, en activant dans la partie <tt> Network Options </tt><nowiki>:</nowiki><br /><tt>Network Packet Filtering (remplace ipchains)</tt> (em module ou en natif)<br /> Passez en module (ou en natif) toutes les options de :<br /><tt> IP: Netfilter Configuration </tt><br /><br /> et activer aussi le support du pont :<br /><br /><tt> [*] 802.1d Ethernet Bridging</tt><br /><br /> A partir de ce moment, notre machine peut faire office de pont, et filtrer les paquets du pont.<br /> Il vous faut aussi les utilitaires de configuration, c'est à dire les programmes pour configurer le pont lui-même, que vous téléchargez ici:<br />[http://bridge.sourceforge.net/bridge-utils/bridge-utils-0.9.6.tar.gz bridge-utils-0.9.6.tar.gz]<br /><br /> Comme avec n'importe quelle source de programmes, vous "détarballez" et compilez le tout :<br /><br /><tt> tar zxvf bridge-utils-0.9.6.tar.gz <br /> cd bridge-utils<br /> ./configure <br /> make <br /> make install <br /><br /> </tt>		Appliquez alors le patch à votre kernel, pour le 2.4.19 par exemple, allez dans le répertoire des sources du kernel et faites un :<br /><br /><tt>patch -p1 < bridge-nf-0.0.7-against-2.4.19.diff</tt><br /><br /> Recompilez alors votre kernel, en activant dans la partie <tt> Network Options </tt><nowiki>:</nowiki><br /><tt>Network Packet Filtering (remplace ipchains)</tt> (em module ou en natif)<br /> Passez en module (ou en natif) toutes les options de :<br /><tt> IP: Netfilter Configuration </tt><br /><br /> et activer aussi le support du pont :<br /><br /><tt> [*] 802.1d Ethernet Bridging</tt><br /><br /> A partir de ce moment, notre machine peut faire office de pont, et filtrer les paquets du pont.<br /> Il vous faut aussi les utilitaires de configuration, c'est à dire les programmes pour configurer le pont lui-même, que vous téléchargez ici:<br />[http://bridge.sourceforge.net/bridge-utils/bridge-utils-0.9.6.tar.gz bridge-utils-0.9.6.tar.gz]<br /><br /> Comme avec n'importe quelle source de programmes, vous "détarballez" et compilez le tout :<br /><br /><tt> tar zxvf bridge-utils-0.9.6.tar.gz <br /> cd bridge-utils<br /> ./configure <br /> make <br /> make install <br /><br /> </tt>

			{{Preferer un paquetage\|bridge-utils}}

	== Configuration du pont lui même ==		== Configuration du pont lui même ==

Goletto : /* Pré-requis */

2005-10-24T08:11:42Z

Pré-requis

← Version précédente		Version du 24 octobre 2005 à 08:11
Ligne 19 :		Ligne 19 :
	== Pré-requis ==		== Pré-requis ==

	Tout d'abord vous devez avoir un ordinateur avec deux cartes réseaux pour pouvoir interconnecter /filtrer les deux réseaux. Le support du "pont" est intégré à partir du kernel 2.4. , mais vous devez prendre le dernier kernel à jour (2.4.19 lors de la rédaction de ce document) pour avoir le meilleur support du pont. Vous devez aussi appliquer un patch kernel, pour ajouter le support du pont à iptable (pour pouvoir filtrer les paquets qui vont traverser le pont):<br />[http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.4.19.diff bridge-nf-0.0.7-against-2.4.19.diff]<br /> Ceci est le patch ~~pourle~~ kernel 2.4.19. Si lors de la lecture de ce document, le dernier kernel n'est plus le 2.4.19, récupérez alors le patch pour la version du kernel actuelle que vous trouverez ici:<br />[http://bridge.sourceforge.net/download.html Site officiel "pont filtrant" pour Linux]		Tout d'abord vous devez avoir un ordinateur avec deux cartes réseaux pour pouvoir interconnecter /filtrer les deux réseaux. Le support du "pont" est intégré à partir du kernel 2.4. , mais vous devez prendre le dernier kernel à jour (2.4.19 lors de la rédaction de ce document) pour avoir le meilleur support du pont. Vous devez aussi appliquer un patch kernel, pour ajouter le support du pont à iptable (pour pouvoir filtrer les paquets qui vont traverser le pont):<br />[http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.4.19.diff bridge-nf-0.0.7-against-2.4.19.diff]<br /> Ceci est le patch pour le kernel 2.4.19. Si lors de la lecture de ce document, le dernier kernel n'est plus le 2.4.19, récupérez alors le patch pour la version du kernel actuelle que vous trouverez ici:<br />[http://bridge.sourceforge.net/download.html Site officiel "pont filtrant" pour Linux]

	Appliquez alors le patch à votre kernel, pour le 2.4.19 par exemple, allez dans le répertoire des sources du kernel et faites un :<br /><br /><tt>patch -p1 < bridge-nf-0.0.7-against-2.4.19.diff</tt><br /><br /> Recompilez alors votre kernel, en activant dans la partie <tt> Network Options </tt><nowiki>:</nowiki><br /><tt>Network Packet Filtering (remplace ipchains)</tt> (em module ou en natif)<br /> Passez en module (ou en natif) toutes les options de :<br /><tt> IP: Netfilter Configuration </tt><br /><br /> et activer aussi le support du pont :<br /><br /><tt> [*] 802.1d Ethernet Bridging</tt><br /><br /> A partir de ce moment, notre machine peut faire office de pont, et filtrer les paquets du pont.<br /> Il vous faut aussi les utilitaires de configuration, c'est à dire les programmes pour configurer le pont lui-même, que vous téléchargez ici:<br />[http://bridge.sourceforge.net/bridge-utils/bridge-utils-0.9.6.tar.gz bridge-utils-0.9.6.tar.gz]<br /><br /> Comme avec n'importe quelle source de programmes, vous "détarballez" et compilez le tout :<br /><br /><tt> tar zxvf bridge-utils-0.9.6.tar.gz <br /> cd bridge-utils<br /> ./configure <br /> make <br /> make install <br /><br /> </tt>		Appliquez alors le patch à votre kernel, pour le 2.4.19 par exemple, allez dans le répertoire des sources du kernel et faites un :<br /><br /><tt>patch -p1 < bridge-nf-0.0.7-against-2.4.19.diff</tt><br /><br /> Recompilez alors votre kernel, en activant dans la partie <tt> Network Options </tt><nowiki>:</nowiki><br /><tt>Network Packet Filtering (remplace ipchains)</tt> (em module ou en natif)<br /> Passez en module (ou en natif) toutes les options de :<br /><tt> IP: Netfilter Configuration </tt><br /><br /> et activer aussi le support du pont :<br /><br /><tt> [*] 802.1d Ethernet Bridging</tt><br /><br /> A partir de ce moment, notre machine peut faire office de pont, et filtrer les paquets du pont.<br /> Il vous faut aussi les utilitaires de configuration, c'est à dire les programmes pour configurer le pont lui-même, que vous téléchargez ici:<br />[http://bridge.sourceforge.net/bridge-utils/bridge-utils-0.9.6.tar.gz bridge-utils-0.9.6.tar.gz]<br /><br /> Comme avec n'importe quelle source de programmes, vous "détarballez" et compilez le tout :<br /><br /><tt> tar zxvf bridge-utils-0.9.6.tar.gz <br /> cd bridge-utils<br /> ./configure <br /> make <br /> make install <br /><br /> </tt>

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

2005-10-14T18:00:43Z

conversion de la documentation originale de Léa par HTML::WikiConverter

← Version précédente		Version du 14 octobre 2005 à 18:00
Ligne 108 :		Ligne 108 :
	Copyright © 01/11/2002, Tchesmeli serge		Copyright © 01/11/2002, Tchesmeli serge
	{{LDL}}		{{LDL}}


			=Autres ressources=

			* [http://bridge.sourceforge.net/ Site officiel "Linux ethernet bridging"]
			* [http://www.madchat.org/netadm/firewall/Howto_Ipfilter_pdf.PDF construction d'un bridge / firewall sous BSD]

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

2005-09-07T11:12:33Z

conversion de la documentation originale de Léa par HTML::WikiConverter

← Version précédente		Version du 7 septembre 2005 à 11:12
Ligne 104 :		Ligne 104 :

	<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Tchesmeli serge le 01/11/2002.</div>		<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Tchesmeli serge le 01/11/2002.</div>

			= Copyright =
			Copyright © 01/11/2002, Tchesmeli serge
			{{LDL}}

ST le 3 septembre 2005 à 15:04

2005-09-03T15:04:56Z

← Version précédente		Version du 3 septembre 2005 à 15:04
Ligne 1 :		Ligne 1 :
	[[Category:Sécurité]]		[[Category:Sécurité]]


	= Les ponts filtrants =		= Les ponts filtrants =

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

2005-09-02T17:10:06Z

conversion de la documentation originale de Léa par HTML::WikiConverter

Nouvelle page

[[Category:Sécurité]]

= Les ponts filtrants =

<div class="leatitre">Les ponts filtrants</div><div class="leapar">[mailto:olio@altern.org Tchesmeli serge]</div><div class="leadesc">Un firewall totalement invisible</div>
----

== Introduction ==

Un pont est un équipement réseau qui permet de relier deux sous-réseaux de manière totalement transparente. Pour ceux qui connaissent un peu le modèle OSI, il effectue une interconnexion au niveau 2, c'est-à-dire qu'il travaille au niveau des trames. En gros, un pont écoute toute l'activité de chaque sous-réseau auquel il est connecté, les stocke en mémoire et les redirige vers le (ou les) sous-réseaux concernés. Il n'a pas besoin d'adresse MAC (donc pas besoin d'adresse IP non plus) pour fonctionner, et est donc totalement indétectable.

Schématiquement, on peut représenter un pont reliant deux réseaux de cette facon (le pont est la machine servant de pont, <tt>eth0</tt> et <tt>eth1</tt> ses deux cartes réseau):

Réseau 1 -------| eth0 Pont eth1 |-------- Réseau 2

Un pont filtrant, lui, est un pont comme décrit plus haut, mais va en plus appliquer des régles de filtrage (firewalling) sur les trames qui vont le "traverser". On vas donc obtenir un firewall qui ne posséde pas d'adresse réseau, donc indétectable. Difficile pour un "pirate" d'attaquer une machine qui n'est pas visible sur un réseau, et qui ne permet aucune connexion réseau car elle n'as pas d'adresse réseau.

Un pont filtrant a aussi un autre avantage : il s'interconnecte de façon totalement transparente sur votre réseau, vous n'avez absolument pas besoin de modifier la topologie de votre réseau (routage, passerelle,...) pour l'ajouter. Il se comporte en gros comme un simple cable réseau intelligent qui filtrerait le traffic qui le traverse.

== Pré-requis ==

Tout d'abord vous devez avoir un ordinateur avec deux cartes réseaux pour pouvoir interconnecter /filtrer les deux réseaux. Le support du "pont" est intégré à partir du kernel 2.4. , mais vous devez prendre le dernier kernel à jour (2.4.19 lors de la rédaction de ce document) pour avoir le meilleur support du pont. Vous devez aussi appliquer un patch kernel, pour ajouter le support du pont à iptable (pour pouvoir filtrer les paquets qui vont traverser le pont): [http://bridge.sourceforge.net/devel/bridge-nf/bridge-nf-0.0.7-against-2.4.19.diff bridge-nf-0.0.7-against-2.4.19.diff] Ceci est le patch pourle kernel 2.4.19. Si lors de la lecture de ce document, le dernier kernel n'est plus le 2.4.19, récupérez alors le patch pour la version du kernel actuelle que vous trouverez ici: [http://bridge.sourceforge.net/download.html Site officiel "pont filtrant" pour Linux]

Appliquez alors le patch à votre kernel, pour le 2.4.19 par exemple, allez dans le répertoire des sources du kernel et faites un : <tt>patch -p1 < bridge-nf-0.0.7-against-2.4.19.diff</tt> Recompilez alors votre kernel, en activant dans la partie <tt> Network Options </tt><nowiki>:</nowiki> <tt>Network Packet Filtering (remplace ipchains)</tt> (em module ou en natif) Passez en module (ou en natif) toutes les options de : <tt> IP: Netfilter Configuration </tt> et activer aussi le support du pont : <tt> [*] 802.1d Ethernet Bridging</tt> A partir de ce moment, notre machine peut faire office de pont, et filtrer les paquets du pont. Il vous faut aussi les utilitaires de configuration, c'est à dire les programmes pour configurer le pont lui-même, que vous téléchargez ici: [http://bridge.sourceforge.net/bridge-utils/bridge-utils-0.9.6.tar.gz bridge-utils-0.9.6.tar.gz] Comme avec n'importe quelle source de programmes, vous "détarballez" et compilez le tout : <tt> tar zxvf bridge-utils-0.9.6.tar.gz cd bridge-utils ./configure make make install </tt>

== Configuration du pont lui même ==

Comme nous l'avons dit plus haut, le pont en lui-même n'a pas besoin d'adresse IP (ni même d'adresse MAC) pour fonctionner. Donc dans un premier temps, nous enlevons toute adresse IP des deux cartes réseaux qui constituent notre pont, et les passons en mode "promisc" pour qu'elles puissent écouter tout le réseau et donc transférer les trames réseaux d'un réseau à l'autre. '''ATTENTION''' Si vous etes en telnet ou ssh sur cette machine, la connexion va être coupée, faites donc ces manipulations en console sur la machine elle-même. <tt> ifconfig eth0 0.0.0.0 promisc ifconfig eth1 0.0.0.0 promisc </tt> Maitenant nous mettons en place le pont lui-même, c'est-à-dire nous donnons un nom au bridge lui-même (mon-pont) et déclarons les interface réseaux qui vont servir au pont (eth0 et eth1): <tt> brctl addbr mon-pont brctl addif mon-pont eth0 brctl addif mon-pont eth1 </tt> Pour certains équipement actifs (switch, routeur, etc) le pont doit se "déclarer" pour que tout fonctionne bien. Si la connexion entre les deux réseaux ne fonctionne pas, essayez ces commandes (mais dans 90% des cas cela n'est pas nécessaire) : <tt> brctl sethello mon-pont 1 brctl setfd mon-pont 4 </tt>

Pour vérifier que tout marche, normalement toute machine du réseau1 doit pouvoir pinguer toutes les machines du réseau2 et inversement. Et si vous faites un "traceroute" d'une machine du réseau1 vers le réseau2 (ou inversement), vous ne verrez PAS le pont. Il se comporte là comme un simple "fil" reliant les deux réseaux. Par contre, vous avez peut-être besoin d'accéder en réseau à la machine qui sert de pont (pour faire du ssh ou autre), il faut donc lui donner une adresse IP. Mais comment faire étant donné que les deux interfaces réseaux servent au pont ? Il y a deux solutions : - Soit vous ajoutez une 3éme carte réseau a cette machine, que vous configurez normalement, avec une adresse IP etc.... - Soit vous configurez le pont lui-même AVEC une adresse Ip. Le pont se comporte donc exactement comme une interface réseau et pour lui affecter une adresse IP, on le fait de la même manière que pour une interface "normale", par exemple : <tt>ifconfig mon-pont 192.168.1.50 netmask 255.255.255.0 </tt> Et si vous refaites des traceroute, vous ne le verrez toujours PAS sur le résultat du traceroute. Placez toute ces commandes dans un fichier de démarrage de votre machine bien sur, pour ne pas avoir à tout retaper à chaque reboot. 

== Mise en place du Filtrage ==

Maitenant que notre pont est opérationnel, il ne reste plus qu'à lui appliquer les règles de filtrage que l'on souhaite. Comme le traffic réseau ne fait QUE le traverser, les règles de filtrage ne sont que des règles de forwarding bien sûr (pas de INPUT ni OUPUT). On applique les règles comme pour un firewall de type "gateway" sauf la chaîne "FORWARD". Je vous donne ici un exemple de filtrage (à vous d'adapter, suivant votre réseau, vos applications - voir la rubrique iptable pour cela). Appeler ce fichier <tt>rc.firewall</tt> par exemple et lancez-le au boot de la machine. 

<nowiki>
#!/bin/bash
# Script Firewalling exemple

PATH="/usr/sbin:$PATH"

# On vide les chaines
iptables -F

#On efface toute les chaines utilisateurs
iptables -X

#Notre réseau que l'on sécurise:
LANS="192.168.0.0/255.255.255.0"

# Adresse de notre serveur web et ftp
WEB="192.168.0.10"
FTP="192.168.0.20"

#On créé la chaine KEEP_STATE pour suivre l'état des connexions
iptables -N KEEP_STATE
iptables -F KEEP_STATE

#On drop les paquets non valides
iptables -A KEEP_STATE -m state --state INVALID -j DROP

#On accepte les paquets provenant bien
#d'une connexion et dont l'etat est correct
iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT

#On drop et log tout paquet dans un état incorect et
#qui permet des scans/Denial of service
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH \
-m limit --limit 5/minute \
-j LOG --log-level notice --log-prefix "NMAP-XMAS: "
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN \
-m limit --limit 5/minute \
-j LOG --log-level notice --log-prefix "SYN/FIN: "
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST \
-m limit --limit 5/minute \
-j LOG --log-level notice --log-prefix "SYN/RST: "
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags RST RST,ACK \
-m limit --limit 5/minute \
-j LOG --log-level notice --log-prefix "RST/ACK: "
iptables -A FORWARD -p tcp --tcp-flags RST RST,ACK -j DROP

#On passe les paquets valides dans notre chaine KEEP_STATE
iptables -A FORWARD -j KEEP_STATE

#On permet le controle de "time exceeded"
#et de "port not found" sur notre réseau
iptables -A FORWARD -p udp -s $LANS --dport 11 -j ACCEPT
iptables -A FORWARD -p udp -s $LANS --dport 3 -j ACCEPT

#On permet le http sur notre serveur web
iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT

#On permet le Ftp sur notre serveur FTP
iptables -A FORWARD -p tcp -d $FTP --dport 21 -j ACCEPT

# Tout notre réseau a le droit de "sortir" vers l'internet
iptables -A FORWARD -s $LANS -j ACCEPT

# Tout ce qui n'est pas déclaré doit etre bloqué
iptables -A FORWARD -j DROP
</nowiki>

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Tchesmeli serge le 01/11/2002.</div>

Pont filtrant - Historique des versions

Lea le 19 décembre 2023 à 22:39

Lea : Lea a déplacé la page Reseau-secu-pont-filtrant vers Pont filtrant

Jiel le 31 décembre 2010 à 13:45

Fred : /* Pré-requis */ : avertissement

Goletto : /* Pré-requis */

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

ST le 3 septembre 2005 à 15:04

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

Lea : Lea a déplacé la page Reseau-secu-pont-filtrant vers Pont filtrant

Fred : /* Pré-requis */ : avertissement

Goletto : /* Pré-requis */

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter

PingouinMigrateur : conversion de la documentation originale de Léa par HTML::WikiConverter