II.3. MISE EN PLACE DE LA POILITIQUE DE SECURITE ET DE
FILTRAGE
Une fois de plus, nous ferons plus appelle a la
configuration en ligne de commande, non seulement par sa rapidite en temps de
reponse, mais aussi parce qu'elle nous offre un champ plus large de
configuration.
11.3.1. Limiter la ba nde passante.
A cette etape, nous allons le faire selon deux criteres,
qui sont le profil des utilisateurs et l'interface locale au quelle les
utilisateurs sont connectes.
a. Limite via le Profile
Nous allons utiliser Win box, dans son onglet PPP
choisir Profile, puis dans l'onglet « limits N, determinez la valeur de la
bande passante allouee au profile correspondant.
Nous obtenons une bande passante de la forme Tx/Rx, ou.
Tx est la transmission et Rx est la Reception.
b. Limite via l'interface de sortie.
Une configuration en ligne de commande ou nous ferons
ceci :
[daudet@TFC-KALENGA] > /queue simple> add
dst-address=192.168.130.0/24 interface=LOCAL2 limit-at=32000
[daudet@TFC-KALENGA] > /queue simple> print
Ceci nous permet de limiter la bande passante sur les
utilisateurs du profile « profile-insp »
|
|
11.3.2. Bloquer certai ns sites co nsidérés
comme dangereux
Une bonne gestion d'un réseau informatique
demande d'être à jour, c'est-àdire une mise à jour
par rapport aux différents logiciels et matériels qui sont
utilisés dans le réseau, ceci pour avoir plus de facilité
à contourner ou bloquer certains dangers qui peuvent mettre le
réseau down, dans cette étape nous allons illustrer comment
bloquer certains sites qui alourdissent ou peuvent mettre le réseau
down.
[daudet@TFC-KALENGA] > /ip firewall nat
add chain=dstnat protocol=tcp dst-port=80
action=redirect to-ports=8080
[daudet@TFC-KALENGA]>/ip firewall filter> add chain=input
ininterface=PUBLIC src-address=0.0.0.0/0 protocol=tcp dst-port=8080
action=drop
[daudet@TFC-KALENGA] > /ip proxy access> add dst-host=
www.exemple.com action=deny
Ceci nous permet d'interdire à tout utilisateur
d'accéder au site «
www.exemple.com
», bien entendu, tout url peut être bloqué de la même
manière. Il suffit juste de répertorier tous les sites
considérés indésirables selon le service
informatique.
[daudet@TFC-KALENGA] >ip proxy access add dst-host=:sexe
action=deny
Ceci nous permet de bloquer tous les sites ayant dans
leurs url le mot sexe
|
|
11.3.3. Mise e n place d'u n système de
sécurisatio n du routeur luimime
Afin de protéger le routeur, il ne suffit pas
seulement de mettre en place un systême de login et mot de passe, il faut
aussi ajouter la politique de filtrage des paquets qui arrivent au
routeur.
[daudet@TFC-KALENGA] > /ip firewall rule input add
connectionstate=invalid action=drop comment="Drop invalid connections"
[daudet@TFC-KALENGA]> /ip firewall rule input add
connectionstate=established action=allowed comment="Allow established
connections" [daudet@TFC-KALENGA] > /ip firewall rule input add
connectionstate=related action =allowed comment="Allow related connections"
[daudet@TFC-KALENGA] >/ip firewall rule input add protocol=udp
action=allowed comment="Allow UDP"
[daudet@TFC-KALENGA] >/ip firewall rule input add
protocol=icmp action=allowed comment="Allow ICMP Ping"
[daudet@TFC-KALENGA] >/ip firewall rule input add
srcaddress=192.168.110.0/27 action=allowed comment="Allow access from our local
network"
[daudet@TFC-KALENGA] >/ip web-proxy access add
src-address=192.168.1.0/24 action=allowed comment="Our customers"
[daudet@TFC-KALENGA] >/ip web-proxy access add dst-port=23-25
action=deny comment="Deny using us as telnet and SMTP relay"
[daudet@TFC-KALENGA] >/ip web-proxy access add action=deny \
comment="Deny everything else"
Ceci est une sécurité pour le routeur
lui-même
|
|
|