UPJV - IUT Amiens
DUT Informatique
M4101C

TD - Sécurité

C. Drocourt
cyril.drocourt AT
u-picardie DOT fr

Points de cours abordés :

- Le Firewall,
- Commande iptables,
- Les règles et les chaines,
- Filtrage UDP et TCP,
- ...

Exercice :

1 - Commencez par consulter l'état actuel de votre Firewall par la commande : "iptables -L", vous devriez avoir le résultat suivant, sinon il vous faut désactiver le service associé :
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
2 - Utilisez la commande "nmap" pour scanner les ports TCP et UDP de votre machine, identifiez chacun des services détectés,
3 - Installez le paquet iptables-service,
4 - Démarrez maintenant le service iptables et consultez à nouveau l'état de la table,
5 - Placez vous dans le répertoire "/etc/sysconfig" et consultez le fichier iptables, il devrait être similaire à ceci :
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
4 - Comme vous le constatez, les seules connexions autorisées sont pour le service "ssh" (port 22), cette règle doit donc être dupliquée pour chacun des services (donc ports) qui doivent être accéder depuis l'extérieur. Vous allez donc dupliquer cette ligne et la modifier pour les deux ports associés au service "HTTPD",
ATTENTION : Vous ne devez à aucun moment supprimer une seule ligne de ce fichier !!!! Vous ne faites qu'ajouter des lignes.

5 - Une fois que vous êtes sûr de vous, vous pouvez redémarrer le service "iptables" et consulter les règles,
CONSEIL : Afin de vous protéger de toute mauvaise règle, il peut être intéressant d'utiliser la commande suivante, vous aurez ainsi 5 minutes pour tester que la connexion "ssh" fonctionne encore :
   service iptables restart;sleep 300;service iptables stop

6 - Pour le DNS il va être nécessaire d'ajouter les règles suivantes (avant le REJECT évidemment) :
-A INPUT -m udp -p udp --sport 53 -j ACCEPT
-A INPUT -m udp -p udp --dport 53 -j ACCEPT
7 - Redémarrez le service "iptables" et vérifiez que vous pouvez interroger votre serveur DNS depuis la machine Linux Mint",

8 - Il vous reste à configurer les ports associés aux services de courrier, vous allez donc ajouter 3 règles (pour SMTP, POP et Imap), mais n'autoriser QUE les connexions réalisées depuis le réseau local,

9 - Testez les différentes connexions depuis Linux Mint à l'aide de la commande "nc",