SlideShare une entreprise Scribd logo

Firewall opensource et gestion de configuration pour l'infrastructure

Johan Moreau
Johan Moreau

Petite présentation de problématiques liés au filtrage dans une infrastructure PME/PMI avancée.

Logiciels
1  sur  37
Télécharger pour lire hors ligne
Firewall et NAC OpenSource Pr´esentation Clusir-Est Johan Moreau IRCAD/IHU 3 juin 2014 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 1 / 37
Le monde de l’OpenSource `a notre niveau Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 2 / 37
Le monde de l’OpenSource `a notre niveau Historique Quelques exemples de soci´et´es ayant choisies des outils UNIX et opensource : Outils BSD IPv4 Microsoft 9* OSX et iOS bas´e sur BSD 4.4 Juniper JunOS bas´e FreeBSD NetApp DataOnTap bas´e FreeBSD Google Android Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 3 / 37
Le monde de l’OpenSource `a notre niveau Les fondements Les motivations : Acc`es aux sources : pour v´erifier mais c’est rare pour corriger si le temps ou si pas d’autres solutions pour g´erer la p´erennit´e ou l’interop´erabilit´e avec les jolis contre exemples de Debian, OpenSSL, TrueCrypt( ?) Licences contaminantes ou non Adapat´e aux logiciels mais aussi aux donn´ees Communaut´e d’utilisateurs Coˆut d’exploitation Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 4 / 37
Le monde de l’OpenSource `a notre niveau Plus que jamais d’actualit´es Android / Linux OpenStack / docker open/libre office Hadoop Firefox Apache Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 5 / 37
Le monde de l’OpenSource `a notre niveau Exemple dans la SSI Architecture robuste : RAID logiciel, LXC, Xen, Keepalived, Heartbeat Firewall : IPTables, PF, IPF, NuFW IDS/HIDS/SIEM : prelude, snort, suricata, bro, ossec, OSSIM, ... Authentification : FreeRadius, OpenLDAP, Shibboleth, ... Antivirus/antispam/proxy : ClamAV, SpamAssassin, ASSP, squid, ... Chiffrement : OpenSSL, GPG, OpenVPN, ... Renforcement OS : SELinux, AppArmor, ... Audit : OpenVAS, Metasploit, Nikto, Kismet, ... Supervision : Nagios/Shinken, Cacti, Munin, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 6 / 37
IPTables et PF Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 7 / 37
IPTables et PF Architecture r´eseau mini-campus Segmenter en VLAN (mˆeme si attaque possible, mˆeme si l´eg`ere augmentation de la complexit´e du SI, ...) : chez nous 1 VLAN par entit´e juridique disctince ou par service au sein d’une mˆeme entit´e (plus tous ceux n´ecessaires au SI lui-mˆeme) > 60 Redondance r´eseau : maillage tr`es fort : 2 `a 3 attachements par ´equipements (802.1ad, VRRP, STP), stack/chassis, 3 rattachements data, 2 pour la voix Filtrage `a tout va : ACL r´eseaux, filtrage machines, filtrage r´eseaux Particularit´es : Mutliples infog´erences chez nos partenaires Mutliples domaines d’authentification Double-stack IP v4/v6 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 8 / 37
IPTables et PF VLAN Je laisse de cˆot´e les probl´ematiques de t´el´ephonies, visioconf´erence, reverse-proxy, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 9 / 37
IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 10 / 37
IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 11 / 37
IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 12 / 37
IPTables et PF Le filtrage IP Un pare-feu (ou firewall) est un ´equipement r´eseau de filtrage agissant au niveau 2, 3 et 4 du mod`ele OSI (on parle aussi de firewall de niv7/applicatif avec le DPI). Son objectif est d’inspecter puis d’appliquer des politiques sur le trafic r´eseau en fonction de divers crit`eres : Interface d’entr´eee dans un routeur Appartenance `a un r´eseau IP Utilisation d’un protocole de couche transport sp´ecifique Communication vers des ports / services r´eseaux pr´ecis Il peut choisir de le d´etruire, le laisser passer, r´epondre qu’il n’est pas int´eress´e, etc... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 13 / 37
IPTables et PF Le filtrage IP Un filtre `a paquets est un programme qui examine l’en-tˆete des paquets qui passent, et d´ecide du sort du paquet entier. Sous Linux, le filtrage de paquets s’effectue au niveau du noyau. Successeur d’Ipchains (noyau linux 2.2) et Ipfwadm (noyau linux 2.0) Netfilter : architecture de filtrage IP du noyau IPTables : application de contrˆole de cette architecture En cours d’´evolution vers nftable Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 14 / 37
IPTables et PF IPtables Code Listing 1– sch´ema iptables A p p l i c a t i o n s . . . . . . . . . . . . . . . ˆ . | | | OUTPUT INPUT | |−−−−+ +−−−>| | . ˆ . | | d e c i s i o n de routage −−−−−−−−>| |FORWARD−−+ . ˆ . | | V PREROUTING | |−+ . ˆ . | |POSTROUTING | | | V I n t e r f a c e d ’ e n t r e e I n t e r f a c e de s o r t i e Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 15 / 37
IPTables et PF IPtables La commande iptables sert `a administrer ces fonctionnalit´es de filtrage. Cette commande accepte de nombreuses options. Pour ajouter des r`egles de filtrage qui s’applique aux paquets rout´es, la premi`ere forme de la commande utilis´ee est : Code Listing 2– iptables avec une r`egle simple iptables −A FORWARD rule Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 16 / 37
IPTables et PF IPtables La r`egle suivante autorise les paquets en provenance de l’adresse ip IpSrc, port PortSrc et `a destination de l’adresse IP IpDst, port PortDst, de protocole Proto (qui peut ˆetre tcp ou udp). Code Listing 3– iptables avec autorisation iptables −A FORWARD −p Proto −s IpSrc/Nbm −−sport PortSrc −d IpDst/Nbm −− dport PortDst −j ACCEPT Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 17 / 37
IPTables et PF IPtables La r`egle suivante bloque les paquets en provenance de IpSrc et `a destination de IpDst, de protocole Proto (qui peut ˆetre tcp, udp ou icmp ; en l’absence de protocole la r`egle bloquera tous les paquets IP correspondants). Code Listing 4– iptables avec refus iptables −A FORWARD −p Proto −s IpSrc/Nbm −d IpDst/Nbm −j DROP Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 18 / 37
IPTables et PF IPtables Lorsqu’une r`egle est ajout´ee avec la commande iptables, elle est imm´ediatement active. Les ports et le protocole sont optionnels. Ainsi on peut simplement construire un filtre sur des adresses IP (comme les access-list simples sur cisco). iptables supporte l’inspection de paquet via des modules optionnels (par exemple ip conntrack ftp pour le FTP) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 19 / 37
IPTables et PF IPtables Code Listing 5– iptables avec blocage du icmp # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes 64 bytes from 127.0.0.1: icmp seq=0 ttl=64 time=0.2 ms −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 1 packets received , 0% packet loss round−trip min/avg/max = 0.2/0.2/0.2 ms # iptables −A INPUT −s 127.0.0.1 −p icmp −j DROP # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 0 packets received , 100% packet loss Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 20 / 37
IPTables et PF nftable Am´elioration des performances Gestion des ensembles Bas´e sur une pseudo-machine `a ´etat Migration progressive possible Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 21 / 37
IPTables et PF OpenBSD Bas´e sur 4.4BSD, orient´e s´ecurit´e Seulement 2 vuln´erabilit´es `a distance dans l’installation par d´efaut en quasiment 20 ans Protection de pages m´emoires (WˆX, ProPolice, StackGhost, ...) Protection de certains appels syst`emes (strlcpy, ...) S´eparation/r´evocation de privil`eges, ... R´eimpl´ementation de logiciels (smptd, ntpd, ssh, pf, ...) Utilis´e chez nous depuis la version 3.0, d´ecembre 2001 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 22 / 37
IPTables et PF PF sur OpenBSD FreeBSD, NetBSD, DragonFly BSD, Mac OS X, Apple iOS, QNX Gestion de configuration atomique ALTQ, gestion des priorit´es (http>smpt,ipvoice,...) Pas d’inspection de service (`a faire en userland) Syntaxe lisible, souple et claire Redondance (HA) via pfsync/CARP pf + dhcpd pour bloquer les adresses fix´ees a la main Exemple de fichier pf.conf block all pass in on em0 proto tcp from 192.168.0.0/24 to !192. port 80 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 23 / 37
IPTables et PF PF sur OpenBSD Ecriture int´eressante : table <my_network> 192.168.160.0/21, 192.168.199.10 set block-policy drop pass in quick on proxy inet proto tcp from <proxy_network> to <fs> port 80 pass in quick on supervision proto udp from <monitor> to <mo- nitoring_network> port 161 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 24 / 37
802.1X et NAC Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 25 / 37
802.1X et NAC Multi-OS et Multi-domaine Nouvelles contraintes : Multi-OS (Windows XP/7/8, Linux Ubuntu 12.04/14.04, OSX 10.6+) T´el´ephonie IP avec cˆablage mutualis´e Multi-domaine d’authentification Zone filaire invit´ee Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 26 / 37
802.1X et NAC FreeRadius pour le 802.1X 802.1X AAA (Authentification : qui me parle ? Authorization : Quelles autorisations je lui accorde ? Accounting : Que fait-il ?) Supplicant : le client Authenticator : le switch dans notre cas Authentication Server : FreeRadius dans notre cas FreeRadius Support EAP (MD5, SIM TLS TTLS, PEAP, MSCHAPv2, ...) 50 dictionnaires vendor-specific Sait fonctionner avec un backend LDAP,mySQL,SAMBA,PAM,... Distribution PacketFence dans les cas simples Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 27 / 37
802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 28 / 37
802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 29 / 37
802.1X et NAC Politique de s´ecurit´e V´erification de l’utilisateur Affectation dynamique du VLAN D´etection de l’OS En fonction de l’OS, mise en conformit´e Mise en conformit´e via l’antivirus Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 30 / 37
Pourquoi maintenant Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 31 / 37
Pourquoi maintenant Le cloud hybrid et la mobilit´e Nouveaux acteurs/concepts : Arista/Cumulus Networks (commutateurs 10G/bits linux natif), virtualisation du stockage (NetApp, HDS, ...), Scale-Out NAS Densit´e d’´equipements, d’OS, de logiciels, de donn´ees en explosition Performance et qualit´e toujours plus importante Dynamique des entreprises (rachat, fusion, r´eorganisation) Liaison de plus en plus proche entre logiciels/os/r´eseaux et donc impact tr`es important sur les ´equipes en charge (tendance m´ethodes agiles voir devops) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 32 / 37
Pourquoi maintenant L’automatisation, la seul voie possible Outils de gestion de configuration/orchestration Outils tr`es pr´esents dans le monde du d´eveloppement Orient´es pour l’IT : Puppet, Chef, CfEngine, Saltstack Exemple avec Saltstack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 33 / 37
Pourquoi maintenant SaltStack Un framework d’ex´ecution `a distance (ZMQ/AES256) Un gestionnaire de configuration centralis´e (YAML/jinja2) Un outil de Cloud Provisionning Un gestionnaire de machines virtuelles Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 34 / 37
Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 35 / 37
Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 36 / 37
Pourquoi maintenant La continuit´e d’activit´e, la valeur ajout´ee Les points forts Am´elioration des performances / possibilt´e d’´evoluer Travail en production / flexibilit´e Travail en maquette Les ´evolutions Liaison plus forte avec l’inventaire (glpi/fusioninventory) Liaison plus forte avec la supervision (shinken,snmp) D´eveloppement des parties IDS/SIEM Faire du TDD sur l’infrastructure Les gros changements `a venir (cloud priv´e/hybrid, explosition des mat´eriels et donn´ees, ...) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 37 / 37

Recommandé

Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
Projet IPTable
Projet IPTableProjet IPTable
Projet IPTableOlga Ambani
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows Yaya N'Tyeni Sanogo
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpnImaneF1990
 
Rapport projet
Rapport projetRapport projet
Rapport projetKhadija Dija
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 

Recommandé

Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Yassmina AGHIL
 
Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
Projet IPTable
Projet IPTableProjet IPTable
Projet IPTableOlga Ambani
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueSylvain Maret
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows Yaya N'Tyeni Sanogo
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpnImaneF1990
 
Rapport projet
Rapport projetRapport projet
Rapport projetKhadija Dija
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnYaya N'Tyeni Sanogo
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
vpn
vpnvpn
vpnfayzerish
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)EL AMRI El Hassan
 
Pfsense
PfsensePfsense
PfsenseGlen La Legende Vivante
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéAurore de Cosnac
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Ccna4
Ccna4Ccna4
Ccna4CONNECT Tunisia
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Ccna4
Ccna4Ccna4
Ccna4Farah Zouaki
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final PresentationBedreddine Zarrouk
 
Acl cisco
Acl ciscoAcl cisco
Acl ciscoBou Diop
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsStephen Salama
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSECSylvain Maret
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMPEL AMRI El Hassan
 
Exposéréseau
ExposéréseauExposéréseau
ExposéréseauNoura Mohamed
 
Creating a firewall in UBUNTU
Creating a firewall in UBUNTUCreating a firewall in UBUNTU
Creating a firewall in UBUNTUMumbai University
 
Report Master
Report MasterReport Master
Report MasterBilel Trabelsi
 

Contenu connexe

Tendances

Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnYaya N'Tyeni Sanogo
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)EL AMRI El Hassan
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéAurore de Cosnac
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Stephen Salama
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsStephen Salama
 

Tendances (20)

Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
vpn
vpnvpn
vpn
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Pfsense
PfsensePfsense
Pfsense
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Ccna4
Ccna4Ccna4
Ccna4
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Ccna4
Ccna4Ccna4
Ccna4
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
 
Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 

En vedette

Creating a firewall in UBUNTU
Creating a firewall in UBUNTUCreating a firewall in UBUNTU
Creating a firewall in UBUNTUMumbai University
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft
 
Ubuntu
UbuntuUbuntu
Ubuntuessa
 
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...echangeurba
 
Implementing and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and LessonsImplementing and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and LessonsAnton Chuvakin
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM AlienVault
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 
Le processus de gestion des habilitations
Le processus de gestion des habilitationsLe processus de gestion des habilitations
Le processus de gestion des habilitationsemc 2p
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2PRONETIS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 

En vedette (20)

Creating a firewall in UBUNTU
Creating a firewall in UBUNTUCreating a firewall in UBUNTU
Creating a firewall in UBUNTU
 
Report Master
Report MasterReport Master
Report Master
 
Présentation Master
Présentation Master Présentation Master
Présentation Master
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Splunk
SplunkSplunk
Splunk
 
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
 
Implementing and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and LessonsImplementing and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and Lessons
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Ubuntu OS Presentation
Ubuntu OS PresentationUbuntu OS Presentation
Ubuntu OS Presentation
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
Le processus de gestion des habilitations
Le processus de gestion des habilitationsLe processus de gestion des habilitations
Le processus de gestion des habilitations
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 

Similaire à Firewall opensource et gestion de configuration pour l'infrastructure

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdfAnisSalhi3
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxThierry Gayet
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSMohamet Lamine DIOP
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleOlivier MJ Crépin-Leblond
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)ninanoursan
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014O10ée
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-EstJohan Moreau
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013quack1
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?Pierre-jean Texier
 
Prez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdfPrez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdfLeandre Cof's Yeboue
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapportGilles Samba
 
éTude des techno de stockage
éTude des techno de stockageéTude des techno de stockage
éTude des techno de stockagekhech123
 
Développement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu LinuxDéveloppement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu LinuxThierry Gayet
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfInes Ben Hassine
 

Similaire à Firewall opensource et gestion de configuration pour l'infrastructure (20)

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-Est
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?
 
Prez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdfPrez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdf
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
 
éTude des techno de stockage
éTude des techno de stockageéTude des techno de stockage
éTude des techno de stockage
 
Développement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu LinuxDéveloppement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu Linux
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
 

Plus de Johan Moreau

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueJohan Moreau
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Johan Moreau
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiquesJohan Moreau
 
Intégration continue
Intégration continueIntégration continue
Intégration continueJohan Moreau
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseJohan Moreau
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsJohan Moreau
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la rechercheJohan Moreau
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?Johan Moreau
 
Processus de développement
Processus de développementProcessus de développement
Processus de développementJohan Moreau
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A UnixJohan Moreau
 

Plus de Johan Moreau (11)

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaque
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
Intégration continue
Intégration continueIntégration continue
Intégration continue
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entreprise
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logiciels
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la recherche
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
 
Processus de développement
Processus de développementProcessus de développement
Processus de développement
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix
 

Firewall opensource et gestion de configuration pour l'infrastructure

  • 1. Firewall et NAC OpenSource Pr´esentation Clusir-Est Johan Moreau IRCAD/IHU 3 juin 2014 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 1 / 37
  • 2. Le monde de l’OpenSource `a notre niveau Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 2 / 37
  • 3. Le monde de l’OpenSource `a notre niveau Historique Quelques exemples de soci´et´es ayant choisies des outils UNIX et opensource : Outils BSD IPv4 Microsoft 9* OSX et iOS bas´e sur BSD 4.4 Juniper JunOS bas´e FreeBSD NetApp DataOnTap bas´e FreeBSD Google Android Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 3 / 37
  • 4. Le monde de l’OpenSource `a notre niveau Les fondements Les motivations : Acc`es aux sources : pour v´erifier mais c’est rare pour corriger si le temps ou si pas d’autres solutions pour g´erer la p´erennit´e ou l’interop´erabilit´e avec les jolis contre exemples de Debian, OpenSSL, TrueCrypt( ?) Licences contaminantes ou non Adapat´e aux logiciels mais aussi aux donn´ees Communaut´e d’utilisateurs Coˆut d’exploitation Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 4 / 37
  • 5. Le monde de l’OpenSource `a notre niveau Plus que jamais d’actualit´es Android / Linux OpenStack / docker open/libre office Hadoop Firefox Apache Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 5 / 37
  • 6. Le monde de l’OpenSource `a notre niveau Exemple dans la SSI Architecture robuste : RAID logiciel, LXC, Xen, Keepalived, Heartbeat Firewall : IPTables, PF, IPF, NuFW IDS/HIDS/SIEM : prelude, snort, suricata, bro, ossec, OSSIM, ... Authentification : FreeRadius, OpenLDAP, Shibboleth, ... Antivirus/antispam/proxy : ClamAV, SpamAssassin, ASSP, squid, ... Chiffrement : OpenSSL, GPG, OpenVPN, ... Renforcement OS : SELinux, AppArmor, ... Audit : OpenVAS, Metasploit, Nikto, Kismet, ... Supervision : Nagios/Shinken, Cacti, Munin, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 6 / 37
  • 7. IPTables et PF Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 7 / 37
  • 8. IPTables et PF Architecture r´eseau mini-campus Segmenter en VLAN (mˆeme si attaque possible, mˆeme si l´eg`ere augmentation de la complexit´e du SI, ...) : chez nous 1 VLAN par entit´e juridique disctince ou par service au sein d’une mˆeme entit´e (plus tous ceux n´ecessaires au SI lui-mˆeme) > 60 Redondance r´eseau : maillage tr`es fort : 2 `a 3 attachements par ´equipements (802.1ad, VRRP, STP), stack/chassis, 3 rattachements data, 2 pour la voix Filtrage `a tout va : ACL r´eseaux, filtrage machines, filtrage r´eseaux Particularit´es : Mutliples infog´erences chez nos partenaires Mutliples domaines d’authentification Double-stack IP v4/v6 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 8 / 37
  • 9. IPTables et PF VLAN Je laisse de cˆot´e les probl´ematiques de t´el´ephonies, visioconf´erence, reverse-proxy, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 9 / 37
  • 10. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 10 / 37
  • 11. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 11 / 37
  • 12. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 12 / 37
  • 13. IPTables et PF Le filtrage IP Un pare-feu (ou firewall) est un ´equipement r´eseau de filtrage agissant au niveau 2, 3 et 4 du mod`ele OSI (on parle aussi de firewall de niv7/applicatif avec le DPI). Son objectif est d’inspecter puis d’appliquer des politiques sur le trafic r´eseau en fonction de divers crit`eres : Interface d’entr´eee dans un routeur Appartenance `a un r´eseau IP Utilisation d’un protocole de couche transport sp´ecifique Communication vers des ports / services r´eseaux pr´ecis Il peut choisir de le d´etruire, le laisser passer, r´epondre qu’il n’est pas int´eress´e, etc... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 13 / 37
  • 14. IPTables et PF Le filtrage IP Un filtre `a paquets est un programme qui examine l’en-tˆete des paquets qui passent, et d´ecide du sort du paquet entier. Sous Linux, le filtrage de paquets s’effectue au niveau du noyau. Successeur d’Ipchains (noyau linux 2.2) et Ipfwadm (noyau linux 2.0) Netfilter : architecture de filtrage IP du noyau IPTables : application de contrˆole de cette architecture En cours d’´evolution vers nftable Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 14 / 37
  • 15. IPTables et PF IPtables Code Listing 1– sch´ema iptables A p p l i c a t i o n s . . . . . . . . . . . . . . . ˆ . | | | OUTPUT INPUT | |−−−−+ +−−−>| | . ˆ . | | d e c i s i o n de routage −−−−−−−−>| |FORWARD−−+ . ˆ . | | V PREROUTING | |−+ . ˆ . | |POSTROUTING | | | V I n t e r f a c e d ’ e n t r e e I n t e r f a c e de s o r t i e Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 15 / 37
  • 16. IPTables et PF IPtables La commande iptables sert `a administrer ces fonctionnalit´es de filtrage. Cette commande accepte de nombreuses options. Pour ajouter des r`egles de filtrage qui s’applique aux paquets rout´es, la premi`ere forme de la commande utilis´ee est : Code Listing 2– iptables avec une r`egle simple iptables −A FORWARD rule Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 16 / 37
  • 17. IPTables et PF IPtables La r`egle suivante autorise les paquets en provenance de l’adresse ip IpSrc, port PortSrc et `a destination de l’adresse IP IpDst, port PortDst, de protocole Proto (qui peut ˆetre tcp ou udp). Code Listing 3– iptables avec autorisation iptables −A FORWARD −p Proto −s IpSrc/Nbm −−sport PortSrc −d IpDst/Nbm −− dport PortDst −j ACCEPT Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 17 / 37
  • 18. IPTables et PF IPtables La r`egle suivante bloque les paquets en provenance de IpSrc et `a destination de IpDst, de protocole Proto (qui peut ˆetre tcp, udp ou icmp ; en l’absence de protocole la r`egle bloquera tous les paquets IP correspondants). Code Listing 4– iptables avec refus iptables −A FORWARD −p Proto −s IpSrc/Nbm −d IpDst/Nbm −j DROP Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 18 / 37
  • 19. IPTables et PF IPtables Lorsqu’une r`egle est ajout´ee avec la commande iptables, elle est imm´ediatement active. Les ports et le protocole sont optionnels. Ainsi on peut simplement construire un filtre sur des adresses IP (comme les access-list simples sur cisco). iptables supporte l’inspection de paquet via des modules optionnels (par exemple ip conntrack ftp pour le FTP) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 19 / 37
  • 20. IPTables et PF IPtables Code Listing 5– iptables avec blocage du icmp # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes 64 bytes from 127.0.0.1: icmp seq=0 ttl=64 time=0.2 ms −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 1 packets received , 0% packet loss round−trip min/avg/max = 0.2/0.2/0.2 ms # iptables −A INPUT −s 127.0.0.1 −p icmp −j DROP # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 0 packets received , 100% packet loss Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 20 / 37
  • 21. IPTables et PF nftable Am´elioration des performances Gestion des ensembles Bas´e sur une pseudo-machine `a ´etat Migration progressive possible Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 21 / 37
  • 22. IPTables et PF OpenBSD Bas´e sur 4.4BSD, orient´e s´ecurit´e Seulement 2 vuln´erabilit´es `a distance dans l’installation par d´efaut en quasiment 20 ans Protection de pages m´emoires (WˆX, ProPolice, StackGhost, ...) Protection de certains appels syst`emes (strlcpy, ...) S´eparation/r´evocation de privil`eges, ... R´eimpl´ementation de logiciels (smptd, ntpd, ssh, pf, ...) Utilis´e chez nous depuis la version 3.0, d´ecembre 2001 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 22 / 37
  • 23. IPTables et PF PF sur OpenBSD FreeBSD, NetBSD, DragonFly BSD, Mac OS X, Apple iOS, QNX Gestion de configuration atomique ALTQ, gestion des priorit´es (http>smpt,ipvoice,...) Pas d’inspection de service (`a faire en userland) Syntaxe lisible, souple et claire Redondance (HA) via pfsync/CARP pf + dhcpd pour bloquer les adresses fix´ees a la main Exemple de fichier pf.conf block all pass in on em0 proto tcp from 192.168.0.0/24 to !192. port 80 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 23 / 37
  • 24. IPTables et PF PF sur OpenBSD Ecriture int´eressante : table <my_network> 192.168.160.0/21, 192.168.199.10 set block-policy drop pass in quick on proxy inet proto tcp from <proxy_network> to <fs> port 80 pass in quick on supervision proto udp from <monitor> to <mo- nitoring_network> port 161 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 24 / 37
  • 25. 802.1X et NAC Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 25 / 37
  • 26. 802.1X et NAC Multi-OS et Multi-domaine Nouvelles contraintes : Multi-OS (Windows XP/7/8, Linux Ubuntu 12.04/14.04, OSX 10.6+) T´el´ephonie IP avec cˆablage mutualis´e Multi-domaine d’authentification Zone filaire invit´ee Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 26 / 37
  • 27. 802.1X et NAC FreeRadius pour le 802.1X 802.1X AAA (Authentification : qui me parle ? Authorization : Quelles autorisations je lui accorde ? Accounting : Que fait-il ?) Supplicant : le client Authenticator : le switch dans notre cas Authentication Server : FreeRadius dans notre cas FreeRadius Support EAP (MD5, SIM TLS TTLS, PEAP, MSCHAPv2, ...) 50 dictionnaires vendor-specific Sait fonctionner avec un backend LDAP,mySQL,SAMBA,PAM,... Distribution PacketFence dans les cas simples Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 27 / 37
  • 28. 802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 28 / 37
  • 29. 802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 29 / 37
  • 30. 802.1X et NAC Politique de s´ecurit´e V´erification de l’utilisateur Affectation dynamique du VLAN D´etection de l’OS En fonction de l’OS, mise en conformit´e Mise en conformit´e via l’antivirus Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 30 / 37
  • 31. Pourquoi maintenant Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 31 / 37
  • 32. Pourquoi maintenant Le cloud hybrid et la mobilit´e Nouveaux acteurs/concepts : Arista/Cumulus Networks (commutateurs 10G/bits linux natif), virtualisation du stockage (NetApp, HDS, ...), Scale-Out NAS Densit´e d’´equipements, d’OS, de logiciels, de donn´ees en explosition Performance et qualit´e toujours plus importante Dynamique des entreprises (rachat, fusion, r´eorganisation) Liaison de plus en plus proche entre logiciels/os/r´eseaux et donc impact tr`es important sur les ´equipes en charge (tendance m´ethodes agiles voir devops) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 32 / 37
  • 33. Pourquoi maintenant L’automatisation, la seul voie possible Outils de gestion de configuration/orchestration Outils tr`es pr´esents dans le monde du d´eveloppement Orient´es pour l’IT : Puppet, Chef, CfEngine, Saltstack Exemple avec Saltstack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 33 / 37
  • 34. Pourquoi maintenant SaltStack Un framework d’ex´ecution `a distance (ZMQ/AES256) Un gestionnaire de configuration centralis´e (YAML/jinja2) Un outil de Cloud Provisionning Un gestionnaire de machines virtuelles Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 34 / 37
  • 35. Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 35 / 37
  • 36. Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 36 / 37
  • 37. Pourquoi maintenant La continuit´e d’activit´e, la valeur ajout´ee Les points forts Am´elioration des performances / possibilt´e d’´evoluer Travail en production / flexibilit´e Travail en maquette Les ´evolutions Liaison plus forte avec l’inventaire (glpi/fusioninventory) Liaison plus forte avec la supervision (shinken,snmp) D´eveloppement des parties IDS/SIEM Faire du TDD sur l’infrastructure Les gros changements `a venir (cloud priv´e/hybrid, explosition des mat´eriels et donn´ees, ...) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 37 / 37