Chapter 1
12 avr. 2002 ... La GED requiert une architecture de type « client-serveur ». .... hub et
concentrateur, TAM (Toile d'araignée mondiale) et Web (World Wide Web), la
causette et le .... Corrigés des activités ..... TD 4 : Rechercher des documents
part of the document
INF1433 Exercices Séance 6 chapitre 6
Exercice 1
a) Que signifie pare-feu de frontière (Border Firewalls) ?
b) Donnez la distinction entre le filtrage entrant (Ingress) et le filtrage sortant (Egress).
c) Nommer certains types de Firewall Inspection.
d) Est-ce que les pare-feu commerciaux se limitent à un seul type dinspection ?
Exercice 2
a) Quel est lobjectif des routeurs filtrants (Screening Router Firewall) ?
b) Pourquoi les routeurs sont attractifs en tant que pare-feu filtrants (Screening Firewalls) ?
c) Citez certains de leurs points faibles.
Exercice 3
a) Pourquoi les pare-feu dédiés (Computer-Based Firewalls) sont-ils attractifs aux consommateurs ?
b) Citez certains de leurs points faibles.
Exercice 4
Pourquoi les Firewall Appliances sont-ils attractifs ?
b) Citez certains de leurs points faibles.
Exercice 5
a) Pourquoi les pare-feu hôte (Host Firewalls) sont-ils attractifs ?
b) Citez certains de leurs points faibles.
Exercice 6
a) Pourquoi la performance du pare-feu est-elle importante ?
b) Quest ce qui détermine les besoins en performance ?
c) Que fait le pare-feu sil est incapable de traiter le flux des paquets à filtrer ?
Exercice 7
a) Quelles sont les deux caractéristiques des pare-feu à filtrage statique de paquets (Static Paquet Filter Firewalls) ?
Exercice 8
a) Quest ce que cest la liste de contrôle daccès (ACL : Access Control List) ?
b) Pourquoi plusieurs erreurs sont-elles commises durant la configuration des ACL ?
Exercice 9
a) Quels types de filtrage entrant est fait sur les adresses IP dans la liste des ACL fournie à la fin de lénoncé (Voir ACL Liste) ?
Exercice 10
a) En revoyant la liste des ACL fournie à la fin de lénoncé (Voir ACL Liste), quel type de filtrage entrant semble-t-il être fait (en se basant sur les Flags de connexion TCP) ?
b) Pourquoi la règle 7 devra-t-elle précéder la règle 8 ?
c) En général, pourquoi les exceptions devront-elle précéder les règles de génériques de rejet ?
Exercice 11
a) Quels ports devront être alloués pour des serveurs Web utilisant SSL/TLS?
b) Quel sera limpact la sécurité SSL/TLS ne serait pas implémentée ?
c) Quels ports devront être alloués pour des serveurs FTP ?
d) Pour un accès Telnet ?
e) Pourquoi FTP et Telnet sont-ils dangereux ?
f) Pourquoi les commandes r sont-elles dangereuses ?
g) Sur quel système dexploitation les commandes r sont-elles utilisées ?
h) Quels ports devraient être bloqués afin dempêcher rlogin ?
i) rsh ?
j) SSH ?
k) Quand SSH devrait-il être autorisé ?
Exercice 12
a) Quel service UDP devriez-vous bloquer ? Pourquoi ?
b) Quel est en général le type de message simple ICMP passé par un filtrage entrant ? Donnez son nom et la valeur du type.
Exercice 13
Pourquoi le fait de bloquer tout ce qui nest pas explicitement autorisé constitue-t-il une bonne politique de filtrage ?
Exercice 14
a) Quest ce que cest létat dune connexion (state) ?
b) Quest ce que cest une connexion (appelée aussi session)?
c) Comment un pare-feu à états (Stateful Firewall) fonctionne-t-il avec TCP ?
d) Les pare-feu à états peuvent-ils maintenir linformation de statut pour des protocoles sans connexion, comme UDP et ICMP ?
e) Si oui, comment le font-ils ?
Exercice 15
a) Expliquez le mode de fonctionnement des pare-feu applicatifs (Application Firewalls).
b) Faites la distinction entre les relais applicatifs (Proxies) et les pare-feu applicatifs.
c) Dans quelles mesures un pare-feu est-il transparent pour le client et le serveur ?
Exercice 16
a) Si vous voulez faire la procuration (proxy) pour 4 applications, combien de programmes relais applicatifs (Proxies) vous en faut-il ?
b) Une Application Firewall pourra-t-elle opérer des relais applicatifs multiples ?
c) Quand ceci constitue-t-il une bonne idée ?
d) Pourquoi ceci nest pas désirable ?
Exercice 17
a) Pourquoi les pare-feu circuit (Circuit Firewalls) sont-ils nécessaires ?
b) Comment fonctionnent-ils ?
c) Quelle protection fournissent-ils ?
d) Quel est le standard le plus connu pour ce type de pare-feu ?
Exercice 18
Quest ce que cest quune architecture de pare-feu ?
Exercice 19
a) En quoi les routeurs de filtrage (Screening Routers) sont-ils intéressants ?
b) La dernière règle des routeurs de filtrage devra-t-elle être Bloquer Tout (Deny All) ou Accepter Tout (Permit Al) ? Expliquez.
c) Pourquoi la performance constitue-elle un critère duquel on doit se soucier ?
Exercice 20
Pourquoi les Computer-Based Main Firewalls sont-ils généralement mieux que les pare-feu à base de routeur (Router-Based Firewalls) ?
Exercice 21
a) Quest ce que cest un Routeur à 3 ports (Tri-Homed Router) ?
b) Quest ce que cest DMZ ?
c) Pourquoi les DMZ sont-ils intéressants ?
Exercice 22
a) Pourquoi les pare-feu internes et les pare-feu hôte (Host Firewalls) sont-ils utiles ?
b) Comment peuvent-ils assurer une défense en profondeur ?
Exercice 23
Comparer les architectures des pare-feu dordinateurs individuels et celles des SOHO Firewalls (Small Office/Home Office Environment).
Exercice 24
a) Pourquoi les architectures distribuées des pare-feu sont-elles intéressantes ?
b) En quoi sont-elles dangereuses ?
Exercice 25
a) Pourquoi la configuration, les tests et la maintenance des pare-feu constituent-ils une importance capitale ?
b) Pourquoi la configuration est-elle difficile ?
c) Pourquoi la mise en place de politiques est-elle cruciale ?
d) Où les tests daudit seraient-ils nécessaires ?
e) Comment les tests daudit seront-ils effectués ?
f) Est-ce que les politiques commandent la configuration, les tests ou les deux à la fois ?
g) Pourquoi est-il important de lire les fichiers de journalisation des pare-feu ?
e) Les paquets dattaques qui doivent être stoppés par les politiques de pare-feu sont envoyés au pare-feu. Si certains peuvent passer, cest quil y a des erreurs de configuration.
f) Les deux à la fois. Ils dictent à ladministrateur comment la configuration devra être faite. Ils spécifient au testeur quels paquets dattaques doit-il utiliser afin de tester le pare-feu.
g) Vous devez consulter la tendance des attaques, qui changent dailleurs constamment.
Vous devez chercher à savoir si le pare-feu fonctionne correctement ou non.
�
�
ACL - Liste
Liste de contrôle daccès pour le filtrage entrant (Ingress) pour un Border Router
1. Si adresse IP source= 10.*.*.*, REJETER [Gamme dadresses IP privées]
2. Si adresse IP source= 172.16.*.* à 172.31.*.*, REJETER [Gamme dadresses IP privées]
3. Si adresse IP source= 192.168.*.*, REJETER [Gamme dadresses IP privées]
4. Si adresse IP source= 60.47.*.*, REJETER [Gamme dadresses IP internes]
5. Si adresse IP source= 1.2.3.4, REJETER [adresse Liste noire (black-Holed) dattaquant]
6. Si TCP SYN=1 AND FIN=1, REJETER [paquet dattaque forgée]
7. Si adresse IP Destination = 60.47.3.9 ET port Destination TCP= 80 OR 443, ACCEPTER � [connexion à un serveur Web public]
8. Si TCP SYN=1 AND ACK=0, REJETER [Tentative douverture de connexion à partir de lextérieur]
9. Si port Destination TCP= 20, REJETER [Connexion de données FTP]
10. Si port Destination TCP= 21, REJETER [Connexion de contrôle FTP]
11. Si port Destination TCP= 23, REJETER [Connexion de données Telnet]
12. Si port Destination TCP= 135 à 139, REJETER [Connexion NetBIOS pour clients]
13. Si port Destination TCP= 513, REJETER [rlogin sans mot de passé en UNIX]
14. Si port Destination TCP= 514, REJETER [rsh : lancer Shell UNIX sans login]
15. Si port Destination TCP= 22, REJETER [SSH pour enregistrement sécurisé (for secure login), mais certaines versions ne sont pas sécuritaires]
16. Si port Destination UDP = 69, REJETER [Trivial File Transfer Protocol : pas de login nécessaire]
17. Si Type ICMP Type = 0, ACCEPTER [Accepter les messages de réponse déchos (echo reply) entrants]
18. BLOQUER TOUT
�
�
�
�
Page � PAGE �5�
