RÉPUBLIQUE DU CAMEROUN INSTITUT UNIVERSITAIRE DE TECHNOLOGIE

REPUBLIC OF CAMEROON FOTSO VICTOR DE BANDJOUN

FOTSO VICTOR UNIVERSITY
Peace – Work - Fatherland
INSTITUTE OF TECHNOLOGY
UNIVERSITÉ DE DSCHANG
UNIVERSITY OF DSCHANG Département de Génie Informatique
Scholae Thesaurus Dschangensis Ibi Cordum Département of Computer Engineering
BP 96, Dschang (Cameroun) – Tél. /Fax (237) 233 45 13 81 BP 134, Bandjoun – Tél. /Fax (237) 699 31 61 30 / 670 64 23 92
Website: http://www.univ-dschang.org. Website: http://www.univ-dschang.org/iutfv/
E-mail: udsrectorat@univ-dschang.org
/. E-mail : iutfv-bandjoun@univ-dschang.org

DEPARTEMENT DE GENIE INFORMATIQUE

Rapport de Thème D’Administration Réseaux

THEME :

AIDE, PF: OpenBSD Packet

Filter

Par le Groupe 31 :

 BOYOM FOGUE Celestin

 WAFO KAMGUE BREL Jerry

Mention : Génie Informatique

Parcours : Informatique et Réseaux
Options : Qualité et Sécurité Informatique et Réseaux (QSIR)

Sous la Direction de :
M. Victor KUATE

Année académique 2019-2020

 SOMMAIRE

SOMMAIRE..............................................................................................................................2
PRESENTATION.....................................................................................................................3
INSTALLATION......................................................................................................................4
CONFIGURATION..................................................................................................................8
FORCE.....................................................................................................................................11
FAIBLES.................................................................................................................................12
 PRESENTATION

OpenBSD est un système d’exploitation libre de type Unix, dérivé de 4.4BSD.

Cree en 1994 par Theo de Raadt, il est issu de la séparation avec NetBSD, le
plus ancien des trois autres principaux systèmes d’exploitation de la famille des
BSD aujourd’hui en activité.
Il dispose de son pare-feu logiciel et officiel, Packet Filter (ou PF), ecrit a
l’origine par Daniel Hartmeier. C’est logiciel libre gratuit. il remplace
IPFILTER de Darren Reed depuis la version 3.0 d’OpenBSD. Packet Filter
(appelé désormais PF) est le système utilisé par OpenBSD pour filtrer le trafic
TCP/IP et effectuer des opérations de Traduction d'Adresses IP ("NAT"). PF est
aussi capable de normaliser, de conditionner le trafic TCP/IP, et de fournir des
services de contrôle de bande passante et gestion des priorités des paquets. PF
fait partie du noyau GENERIC d'OpenBSD depuis la version 3.0. Les
précédentes versions d'OpenBSD utilisaient un ensemble logiciel pare- feu/NAT
différent qui n'est plus supporté.
 INSTALLATION

 Procédure d'installation
 Le programme d'installation d'OpenBSD utilise un noyau de disque mémoire spécial
(bsd.rd) qui génère un environnement live fonctionnant entièrement en mémoire. Il
contient le script d'installation et un petit nombre d'utilitaires nécessaires pour
effectuer une installation complète. Ces utilitaires peuvent également être utiles pour
la reprise après sinistre.
 Le noyau ramdisk peut être démarré à partir d'un certain nombre de sources différentes
:
 CD / DVD
 Clé USB
 Une partition existante
 Sur le réseau (PXE ou autres options de démarrage réseau)
 Disquette
 Toutes les plates-formes ne prennent pas en charge toutes ces options.

Pour notre cas nous avons procédé à l’installation sur une machine virtuel a parti
de l’image système, nous avons donc procédé comme suite :
 Creation de la machine virtuelle
 Procédure d’installation
 Redémarrage de la machine virtuelle après installation

 Interface de connexion

 Fenêtre d’accueil d’oPenBSD

 CONFIGURATION

 ACTIVATION
Pour activer PF, ajoutez la ligne suivante :
pf=YES
au fichier /etc/rc.conf.local
Redémarrez votre système pour que les modifications soient prises en compte.
Vous pouvez aussi activer et désactiver PF en utilisant le programme pfctl (8) :
# pfctl -e
# pfctl -d
La première commande active PF (l'option "-e" correspond à "enable"). La
seconde commande désactive
PF (l'option "- d" correspond à "disable"). Ces commandes ne causent pas le
chargement d'une base de règles. Cette dernière doit être chargée séparément
avant ou après l'activation de PF.

 CONFIGURATION
PF (l'option "- d" correspond à "disable"). Ces commandes ne causent pas le chargement d'une
base de règles. Cette dernière doit être chargée séparément avant ou après l'activation de PF.
PF lit les règles de configuration à partir du fichier /etc/pf.conf, au démarrage de la machine.
Ces règles sont chargées au démarrage par les scripts rc. /etc/pf.confest le fichier par défaut
chargé par ces scripts. C'est un fichier au format texte chargé et interprété par pfctl (8) puis
inséré dans pf (4). Pour certaines applications, d'autres bases de règles peuvent être chargées à
partir de fichiers différents durant la phase de démarrage. Comme n'importe quelle application
Unix bien conçue, PF offre une grande flexibilité.
Le fichier pf.confse compose de sept parties :
● Macros : Variables définies par l'utilisateur pouvant contenir des adresses IP, des noms
D’interfaces, etc...
● Tables : Structures conçues pour contenir des listes d'adresses IP.
● Options : Diverses options pour contrôler le fonctionnement de PF.
● Scrub : Retraitement des paquets pour les normaliser et les défragmenter.
● Gestion de La Bande Passante : Gère la bande passante et la priorité des paquets.
● Traduction ("Translation") : Contrôle la Traduction d'Adresses IP et la redirection de
paquets.
● Règles de Filtrage : Permet le filtrage sélectif ou le blocage des paquets lorsqu'ils traversent
n'importe quelle interface.
A l'exception des macros et des tables, chaque section doit apparaître dans l'ordre précité dans
le fichier de configuration. Cependant toutes les sections ne sont pas obligatoires. Les lignes
vides sont ignorées et les lignes commençant par #sont considérées comme des commentaires.

o Contrôle

Après le démarrage, PF peut être contrôlé grâce au programme pfctl(8). Voici

des exemples de
commandes :
# pfctl -f /etc/pf.conf Charge le fichier pf.conf
# pfctl -nf /etc/pf.conf Analyse le fichier mais ne le charge pas
# pfctl -Nf /etc/pf.conf Charge uniquement les règles NAT à Partir du fichier
# pfctl -Rf /etc/pf.conf Charge uniquement les règles de filtrage à partir du
fichier
# pfctl -sn Affiche les règles NAT actuelles
# pfctl -sr Affiche les règles de filtrage

o PF : Principes de Base actuelles

# pfctl -ss Affiche la table d'état actuelle
# pfctl -si Affiche les statistiques et les compteurs de filtrage
# pfctl -sa Affiche TOUT ce qu'on est capable d’afficher
Pour une liste complète de commandes, veuillez lire la page du manuel pfctl(8).
 FORCE

Le système d’exploitation openBSD est orienté sécurité et réseau, avec pour

principaux atouts :

 OpenBSD fonctionne sur de nombreuses plates-formes matérielles.

 OpenBSD est considéré par de nombreux professionnels de la sécurité comme étant le
système de type UNIX le plus sûr qui soit. Ceci est dû au fait que le code source fait
régulièrement l'objet d'un audit exhaustif.
 OpenBSD est un système UNIX complet disponible gratuitement avec les sources
 OpenBSD intègre les derniers outils en matière de sécurité pour construire des pare-
feu et des réseaux privés virtuels dans un environnement distribué.
 OpenBSD bénéficie d'un développement fort et continu dans de nombreux domaines,
donnant la possibilité de travailler sur des technologies émergentes avec une
communauté internationale de programmeurs et d'utilisateurs.
 OpenBSD tente de minimiser le besoin de personnalisation. Pour la majorité des
utilisateurs, OpenBSD "fonctionne tout court" sur leur matériel pour leur application.
Non seulement la personnalisation est rarement nécessaire, mais elle est activement
déconseillée.
 FAIBLESSES

 OpenBSD a corrigé quatre vulnérabilités incluant des failles d'escalade de

privilèges et un contournement d'authentification exploitable à distance.

 OpenBSD est un système d'exploitation Unix open source basé sur

Berkeley Software Distribution (BSD) et particulièrement robuste côté
sécurité. Mercredi, Qualys Research Labs a révélé l'existence de quatre
vulnérabilités dans l'OS qui ont d'abord été signalées de manière privée de
manière à privilégier la sécurité des utilisateurs de l'OS. Les vulnérabilités
ont été nommées CVE-2019-19522, CVE-2019-19521, CVE-2019-19520
et CVE-2019-19519.

 Le premier bug, CVE-2019-19522, est un problème de contournement

d'authentification trouvé dans le protocole d'authentification d'OpenBSD.
Le système d'exploitation repose sur l'authentification BSD et si un
attaquant spécifie un nom d'utilisateur particulier, il est possible de forcer
l'authentification. La vulnérabilité est exploitable à distance via smtpd,
ldapd et radiusd. "Si un attaquant spécifie un nom d'utilisateur de la forme
"-option", il peut influencer le comportement du programme
d'authentification de manière inattendue, indique l'avis de sécurité.
 Mise à jour nécessaire
 La deuxième faille de sécurité, CVE-2019-19520, est un problème
d'escalade des privilèges en local causé par un échec de vérification dans
xlock. Si un attaquant a un accès local à OpenBSD, il peut obtenir les
privilèges de set-group-ID "auth" via xlock, qui est installé par défaut.

 CVE-2019-19522, le troisième bug, est un autre problème d'escalade des

privilèges en local dans les fonctions "S/Key" et "YubiKey". "Si le type
d'authentification S/Key ou YubiKey est activé (ils sont tous deux
installés par défaut mais désactivés), alors un attaquant local peut
exploiter les privilèges du groupe "auth" pour obtenir tous les privilèges
de l'utilisateur "root", dit Qualys. Pour obtenir les privilèges "auth", les
attaquants peuvent d'abord exploiter CVE-2019-19520 dans le cadre d'une
chaîne d'attaque.
 La quatrième et dernière vulnérabilité, CVE-2019-19519, a été trouvée
dans la fonction "su". Les attaquants peuvent exploiter l'option "-L" de su
-- une boucle logicielle qui continue jusqu'à ce qu'une combinaison
correcte de nom d'utilisateur et de mot de passe soit entrée -- pour se
connecter en tant que tels, mais avec une classe de connexion différente.

 Après que Qualys ait signalé les failles de sécurité, les développeurs
OpenBSD ont reconnu les problèmes et ont pu développer et publier les
correctifs en moins de 40 heures. Les correctifs sont maintenant
disponibles. Les utilisateurs d'OpenBSD 6.5 et d'OpenBSD 6.6 devraient
mettre à jour leurs builds pour rester protégés.