Supports de cours

Projet :

Theme1 :

On vous demande de monter une maquette avec des routeurs-coupe feu statefull supportant la tolérance de panne : si 'lun des routeurs tombe en panne, l'autre prend le relais. Vous êtes libres du choix des systèmes d'exploitation. On vous suggère cependant qu'utiliser le protocole CARP est ce qui découle naturellement du cours. Vous expliquerez et mettrez en évidence :

les protocoles en jeu
l'intérêt et les cénarios d'utilisation des ip/Mac virtuelles
les cas de figure où un dialogue entre coupe-feu est nécessaire et ce qui contient ce dialogue.
vous ferez des tests pour illuster l'impact sur un poste client de la mise hors service d'un coupe feu puis de la remise en service d'un coupe feu.

Vous fournirez les captures de trames wireshark utilisées dans votre rapport. A noter : ces captures doivent être personnelles. Il n'est pas autorisé à un étudiant d'utiliser les captures réalisées sur la maquette d'un autre étudiant.
Un exemple de maquette :
maquette theme1

Date de rendu : 15/12/2010

Thème 2:

Liens et documents

une boîte à outils de liens en vrac, certains utilisés et lus, d'autres mis là au cas où ils puissent me servir. Ce qui suit est plutôt là pour mon usage personnel ce qui explique le côté un peu désordonné de la chose.

traduction d'adresses

2005-11-une page claire en français qui résume les RFC3022 et RFC2663 : http://www.securiteinfo.com/conseils/nat.shtml
"rfc 2663: IP Network Address Translator (NAT) Terminology and Considerations": ce document place tant le vocabulaire et que les concepts. C'est un document à lire
"rfc 3022:Traditional IP Network Address Translator (Traditional NAT)": précise certains points de la rfc 2663 dans le cadre du NAT traditionnel (sortant ou port forwarding)
"rfc 3027: Protocol Complications with the IP Network Address Translator": problèmes et solutions posés par le NAT décrit sur des exemples concrets de protocoles.
"rfc 2993: Architectural Implications of NAT": bilan sur le NAT après quelques années de déploiement
"rfc 3235:Network Address Translator (NAT)-Friendly Application Design Guidelines": ràf
"rfc 1579: Firewall-Friendly FTP"
"rfc 959: FILE TRANSFER PROTOCOL (FTP)"
"rfc 3489: STUN: Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs): comment permettre à des clients et à des serveurs de communiquer s'ils sont tous deux derrières des routeurs NAT. Une variante est utilisée par Skype (cf http://www-sop.inria.fr/semir/personnel/Didier.Benza/skype/skype.pdf)

filtre de paquets, firewall

pktfilter: un outil de configuration du filtre de paquet des windows 2000/Xp/2003: http://www.hsc.fr/ressources/outils/pktfilter/index.html.fr
didacticiel sur IPTABLES: http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/ : une excellente doc claire et précise
"Introduction au firewalling" dans Linux Magazine France Hors serie No 12
"Netfilter/IPTables: le fonctionnement interne du parefeu selon Linux" dans Linux Magazine France Hors serie No 12: un bon article (en français)
netfilter/iptables firewalling internals : http://linux-bangalore.org/2003/schedules/talkdetails.php?talkcode=E702 : présentation du fonctionnement interne de netfilter (noyau 2.4)
subversion repository d'Harald Welte, l'un des auteurs de netfilter: des présentations variées dans des formats variés: pas mal de choses utiles mais à explorer
Wikipedia: PareFeu http://fr.wikipedia.org/wiki/Firewall (définition succincte, liens vers les définitions des parefeu netfilter, packet filter, ipfilter, ...)
présentation du moteur à état de ip filter à usenix 2001 (dans un compte rendu du 10e Usenix security symposium réalisé par HSC) : http://www.hsc.fr/ressources/veille/usenixsec2001.html.fr#6
ipfilter : http://coombs.anu.edu.au/~avalon/ip-filter.html
packet Filter : http://www.benzedrine.cx/pf.html
PAcket Filter: Open BSD FAQ : http://www.openbsd.org/faq/pf/fr/index.html
Netfilter: ftp & Co (article de news): http://groups.google.fr/group/lucky.freebsd.questions/msg/83c4280fa14bdbdd?hl=fr&
une discussion intéressante sur netfilter vs pf : http://groups.google.fr/group/fr.comp.securite/browse_frm/thread/83b4723083100809/027d606a0357a7dd?lnk=st&q=pf+ipv6+stateful+linux&rnum=4&hl=fr#027d606a0357a7dd
interview de certains développeurs de pf sur onlamp.com: http://www.onlamp.com/pub/a/bsd/2004/04/15/pf_developers.html
présentation de Daniel Hartmeier à linuxforum 2003: design et performances de pf

coupes feux et tolérance de panne:

using pix failover: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_62/config/failover.htm
firewall failover with pfsync and carp: http://www.countersiege.com/doc/pfsync-carp/ (copie locale)
vrrp: une description rapiden en français: http://www.cis-consultants.com/blog/archives/2001/09/vrrp.html
vrrp: rfc 2338 : http://www.faqs.org/rfcs/rfc2338.html
CARP: rfc 3040: http://www.ietf.org/rfc/rfc3040.txt
page de manuel de pfsync (4): http://www.openbsd.org/cgi-bin/man.cgi?query=pfsync&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html
page de manuel de carp (4): http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&arch=i386&apropos=0&manpath=OpenBSD+Current

Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics: http://www.icir.org/vern/papers/norm-usenix-sec-01-html/index.html
suivi de connexion dans ipfilter (voir faq ipfilter)