Partenaires

CNRS

Rechercher

Sur ce site

Sur le Web du CNRS


Accueil du site > Coordination régionale de sécurité des systèmes d’information en Aquitaine > Cours et TP > Gardes-barrieres > Bering > TP sur Bering

TP sur Bering

par Anne Facq - 21 août 2004

Le but de ces exercices est de vous montrer l'utilisation d'un garde-barrière Bering placé dans le contexte suivant :

Configuration réseau de la machine du réseau interne

  • Assignez l'adresse IP 10.0.0.2 (ifconfig eth0 10.0.0.2)
  • Ajoutez le routage par défaut vers le garde-barrière (route add default gw 10.0.0.1)

Démarrage du garde-barrière

  • Démarrez le garde-barrière sur le cdrom comportant la distribution Bering 1.2
  • Connectez-vous en root (mot de passe : siars), vous obtenez alors le menu principal de configuration de Bering

Configuration des interfaces réseau du garde-barrière

  • Choisissez dans ce menu le sous menu 1) Network configuration puis le sous-sous-menu interfaces file
    Vous obtenez alors le fichier permettant de configurer les parametres reseaux des interfaces ethernet.
    Une aide en ligne accessible avec Alt-h vous guide pour éditer ce fichier

  • Quittez ce fichier en tapant Control-q
  • Les autres sous-menus du menu Network configuration" vous permettent de configurer par exemple les adresses IP et les noms des machines connues.
  • Visualisez le fichier network options file
  • Sortez de l'interface texte en tapant q)
  • Verifiez que l'interface eth0 correspond bien à l'interface connectée au réseau externe en faisant un ping vers la machine située à votre droite.

Configuration du garde-barrière

  • Relancez le menu principal avec lrcfg
  • Choisissez 3) Packages configuration puis 5) shorewall
  • Sélectionnez et regardez le contenu des fichiers de shorewall suivants : interfaces, zones, rules, policy, masq
  • Quittez le menu principal et regardez si des règles de filtrage existent déja en tapant :
    iptables -L
    ou encore
    shorewall show
  • Vérifiez que vous pouvez accéder à internet, expliquez la raison car l'adresse IP de votre machine interne n'est pas routable
  • Relancez le menu principal avec lrcfg
  • A l'aide de shorewall, définissez une politique interdisant les accès vers l'extérieur (fichier policy)

    Corrigé :

    #SOURCE   DEST    POLICY
    loc       net     REJECT
    
  • Autorisez maintenant, depuis l'intérieur vers l'extérieur, les requètes DNS (53 TCP et UDP) et HTTP (80 TCP) en modifiant le fichier rules

    Corrigé :

    #ACTION   SOURCE  DEST      PROTO    DEST PORT
    ACCEPT    loc     net       tcp      53
    ACCEPT    loc     net       udp      53
    ACCEPT    loc     net       tcp      80
    
  • Sauvegardez ce fichier à l'aide de Control-s et sortez de l'interface texte pour relancer Shorewall (shorewall restart)
  • Testez les règles que vous avez positionnées
  • Relancez le menu principal avec lrcfg
  • A l'aide de shorewall, ajoutez des règles (fichier rules) permettant à des machines situées à l'exterieur du garde-barrière d'accéder à un serveur ssh situé à l'interieur

    Corrigé :

    DNAT net loc:10.0.0.2 tcp ssh
    
  • Ajoutez des règles permettant à des machines situées à l'exterieur du garde-barrière d'accéder à un serveur ftp situé à l'interieur

    Corrigé :

    DNAT net loc:10.0.0.2 tcp ftp
    
  • Sauvegardez vos modifications du paquetages shorewall sur une disquette
    • dans le menu principal, choisissez b) Backup a package
    • puis changez la destination de sauvegarde en tapant d 8
    • puis tapez c pour   c) Custom destination
    • puis apres device : tapez fd0u1680
    • puis apres filesystem : tapez msdos
    • sauvegardez en tapant 8
  • Redémarrez le parefeu et verifiez que les règles sont toujours positionnées
  • Tester les fonctionnalités de "blacklisting" de shorewall à la volée :
    shorewall drop 147.210.73.xx (adresse du voisin de droite)

Références

  • Bering: http://leaf.sourceforge.net/
  • Shorewall: http://shorewall.net

Dans la même rubrique :