pare-feu cisco pix

Upload: yassine-bouayadi

Post on 20-Jul-2015

3.030 views

Category:

Documents


4 download

DESCRIPTION

implementation d'une solution parfeu cisco pix avec vpn site à site

TRANSCRIPT

RapportDe Fin de Formation2008-2010

Pare-feu Cisco PIX2me anne Systmes et Rseaux Informatiques

EITIARalis par :Yassine BOUAYADI Yassine KHADOUCH

Encadr par :Nabil BENYOUSSEF

2008-2010

1

Ddicace

Nous ddions ce travail :

A Mes chers parents que je remercie de tout mon cur pour leurs conseils qui mont guid tout au long de mon chemin dtude ; A mon encadrent qui mas normment aid et soutenu tout au long de la ralisation de travail. Mes formateurs, pour leur formation, leur conseil et leur aide. A mes amis pour leur encouragement et soutien.

2008-2010

2

RemerciementOn tient exprimer notre gratitude envers Monsieur Nabil BENYOUSSEF notre encadreur qui a toujours rpondu prsent nos sollicitudes, nous a enrichi par sa vision critique des choses, son savoir faire et son savoir tre. On ne peut passer cette occasion sans rendre hommage nos enseignants ainsi Mr Taoufik ZNIBER, Mr Hicham MOHMOH, Mr Franoise HEBERT, Mme Fatima-zahra ZNIBER et tous ceux qui contribuent la russite de la formation en sein de notre tablissement. Enfin, on tient saluer tous ceux qui nous ont aid du prs ou de loin dans ce projet et que nous avons oubli de mentionner. A tous un trs grand merci.

2008-2010

3

Avant propos

Lobjectif principal de lEcole nationale des technologies informatiques avances (EITIA), cest doffrir une parfaite adquation entre la formation et la demande des professionnels des secteurs.

A cet effet, EITIA oblige ses stagiaires effectuer un projet de fin de formation, qui a pour but damliorer et denrichir leurs connaissances pratique et thorique.

2008-2010

4

SommaireChapitre 1 : Introduction ......................................................................................... 8 Introduction ................................................................................................................................ 8 Qu'est-ce que la scurit d'un rseau ? .............................................................................. 9 Le pare feu .................................................................................................................................. 9 Chapitre 2 : Cahier des charges ............................................................................ 11 Prsentation gnrale de Electro-House ......................................................................... 11 Organigramme dElectro-House ....................................................................................... 11 Etude de lexistant : ............................................................................................................... 12 Analyse et conception : ........................................................................................................ 13 Les objectifs : .......................................................................................................................... 14 Chapitre 3 : Les outils utiliss ............................................................................... 16 Pare-feu Cisco PIX ................................................................................................................ 16 GNS3 ............................................................................................................................................ 17 Gestion de la politique de scurit Firewall avec le Cisco Adaptive Security Device Manager (ASDM 5.2) : ......................................................................................... 18 Les images IOS : .................................................................................................................... 19 Windows Server 2003 Enterprise Edition : ................................................................... 21 Windows XP Professionnel : .............................................................................................. 21 Cisco VPN Client ................................................................................................................... 22 Kiwi Syslog Daemon ............................................................................................................ 22 SolarWinds TFTP server: .................................................................................................... 23 Chapitre 4: Taches et ralisations techniques .................................................... 25 Installation dActive directory ......................................................................................... 25Sur le site de Rabat ......................................................................................................................... 25 Sur le site de Casablanca .............................................................................................................. 29

Configuration de la zone DMZ ....................................................................................... 30 Configuration des routeurs ................................................................................................ 31 Configuration de Pare-feu Pix ......................................................................................... 31Les Interfaces :......................................................................................................................................... 31 ASDM : .................................................................................................................................................... 32

Les stratgies de scurits (ACL) ................................................................................... 34 Translation d'adresse (NAT) ............................................................................................ 36 VPN site site ........................................................................................................................ 37

2008-2010

5

Accs distant ........................................................................................................................... 38 Les journaux ............................................................................................................................. 39 Chapitre 5: Conclusion ........................................................................................... 41 Conclusion : .............................................................................................................................. 41 Annexe 1 : Webographie : ........................................................................................ 42 Annexe 2 : Configuration du PIX1 (Rabat) : ......................................................... 43 Annexe 3 : Configuration du PIX2 (Casa) : ........................................................... 47 Annexe 4 : Configuration du Routeur1 : ................................................................ 50 Annexe 5 : Configuration du Routeur2 : ................................................................ 52

2008-2010

6

2008-2010

7

Chapitre 1 : IntroductionIntroductionLobjectif du projet est de proposer une solution technologique rpondant au cahier des charges spcifi. La mise en place de la solution permettra de sanctionner par des comptences pratiques l es acquis du cours pare-feu. La socit Electro-House souhaite acqurir une prestation de mise en place dun pare-feu en lieu et place de son routeur existant. Nous allons prsenter une solution de filtrage avec une maquette rpondant aux critres de ce cahier des charges. La socit Electro-House insiste sur le fait quelle souhaite un environnement hautement scuris. Une pondration privilgie du nombre de points sera accorde aux candidats proposant des solutions visant scuris le systme dinformation (liste de contrle d'accs). Nous allons fournir une solution utilisant un systme dexploitation diffrent sur le pare-feu et le serveur, ainsi que de proposer des services diffrents sur les plateformes si possible.

2008-2010

8

Chapitre 1 : IntroductionQu'est-ce que la scurit d'un rseau ?La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs desdites machines possdent uniquement les droits qui le ur ont t octroys. Il peut s'agir : Dempcher des personnes non autorises d'agir sur le systme de faon malveillante. Dempcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme. De scuriser les donnes en prvoyant les pannes. De garantir la non-interruption d'un service.

Le pare feuUn pare feu est un logiciel (software) ou un quipement (hardware) qui permet de bloquer les communications sur les ports TCP et UDP selon les plages d'adresses IP pour les plus performants. C'est un quipement de scurit anti-intrusion. un firewall software s'installe sur les ordinateurs et vrifie les logiciels qui se connectent sur Internet et plus gnralement sur le rseau Ethernet, acceptant la connexion ou non. Ces programmes dtectent et bloquent les trojans, spyware et adware. Par contre, ils ne dtectent pas les manipulations spcifiques comme les attaquent par failles de scurit, les modifications de programmes existants, les modifications de trames TCP/IP. Remarquez que si vous bloquez un spyware avec ce type de parefeu, comme ils se collent littralement sur le navigateur (Internet Explorer, Firefox, ...), la navigation Internet devient gnralement impossible. Un firewall hardware permet de vrifier les portes d'accs en UDP et TCP et de les bloquer ventuellement en fonction de l'adresse de dpart et de l'adresse IP d'arrive. Contrairement au premier type, ces quipements hardware bloquent gnralement une large partie des failles de scurit et des modifications de trames en fermant les portes d'accs. D'autres spcificits comme le Stateful inspection amliorent encore la scurit en analysant les en-ttes des messages (trames). Dans un sens, ces 2 types sont donc complmentaires.

2008-2010

9

2008-2010

10

Chapitre 2 : Cahier des chargesPrsentation gnrale de Electro-House

Cre en dcembre 1997, Electro-House est une entreprise spcialise dans la vente de matriel lectromnager et multimdia neuf dclass (aspirateur, conglateur, Fours micro-ondes, frigo, Tlviseur LCD, Tlviseur Plasma, Vidoprojecteur, Appareil photo numrique).

Elle met la disposition de sa clientle deux points de vente : le sige situ Rabat et lannexe Casablanca. Electro-House vous propose du matriel d'lectromnager prix discount. Livraison et expdition sous 24/48h dans tout le Maroc des appareils lectromnagers en stock. Garantie 2 ans et 5 an s.

Organigramme dElectro-House

2008-2010

11

Chapitre 2 : Cahier des chargesEtude de lexistant :

Rabat

Casablanca

La socit Electro-House est compose de 13 stations de travail et de deux contrleurs de domaine le principale Rabat et le supplmentaire Casablanca. La premire maquette est une maquette trs simple et trs peu scuris pour pouvoir permettre de mettre en vidence les failles dune architecture faible. ELECTRO-HOUSE un site web qui a t hberg dans le serveur du fournisseur d'accs et ils veulent quil soit hberger dans leur serveur local. ELECTRO-HOUSE utilise une ligne spcialis pour le partage des ressources entre les deux sites de Rabat et Casablanca, ce qui coute trs cher (7000 DH pour chaque site, ce qui donne 168000 DH par an pour les deux sites). Le rseau actuel utilise un adressage public non-conforme la RFC 1918. Le prestataire devra fournir une suggestion dun nouveau plan dadressage, La maquette devra tre construite sur ce nouveau rseau. Pour des raisons de compatibilit avec ladressage prcdent et des contraintes oprateurs, le serveur devra tre translat sur Internet avec une adresse diffrente de celle du pare-feu (NAT).

2008-2010

12

Chapitre 2 : Cahier des chargesAnalyse et conception :

Rabat

Casablanca

Nous avons tout dabord effac les prcdentes configurations qui avaient t mises en place sur les diffrents quipements rseau (switchs et routeur) pour avoir une base de configuration seine. Nous avons ensuite implant trois switchs deux Rabat et un Casablanca sans aucune configuration spciale. Sur le premier switch nous avons branch le Pare-feu PIX et cest aussi sur ce switch que vont se brancher les machines des clients. Sur le deuxime switch nous avons branch aussi le Pare-feu PIX et le serveur Web DMZ. Et sur le troisime Qui sera Casablanca nous avons branch le pare-feu Pix et les ordinateurs des clients du rseau interne Ensuite nous avons configur deux Routeurs Cisco 7200 correspondront trs bien notre architecture. Ces routeurs auront pour mission deffectuer le routage entre les deux sites de Rabat et Casablanca. Aura donc comme adresse 80.80.1.0 sur le rseau li au Pix1 de Rabat et 80.80.2.0 sur le rseau li au Pix2 de Casablanca et 80.80.3.0 sur le rseau entre les deux routeurs. Le reste de la configuration ne comporte rien de spcial elle est scuris comme celle de tous les quipements que nous avons mis en place sur la maquette : - Mot de passe de login - Mot de passe telnet - Mot de passe Console - Cryptage des mots de passe Et ce qui concerne le partage des ressource nous avons mise en place une solution dun tunnel VPN bien scuris qui ce base seulement sur linternet.

2008-2010

13

Chapitre 2 : Cahier des chargesLes objectifs :

Fournir un accs Internet sans restriction pour chaque machine du rseau interne. Utiliser un jeu de rgles bloquant tout flux par dfaut. Rediriger les tentatives de connexion sur le port TCP 80 (qui sont des tentatives d'accs un serveur Web/FTP)

La mise en place d'un VPN entre 2 Sites distants Laccs distant au serveur depuis lextrieur du rseau (internet) gnrer un fichier de log pour suivre l'tat du pare-feu

2008-2010

14

2008-2010

15

Chapitre 3 : Les outils utilissPare-feu Cisco PIX

Les Pix (Firewall Cisco) sont des appareils de scurisation hautes performances, simple dinstallation condition de disposer d'un minimum de connaissance Cisco. il vous permet de protger votre rseau interne des attaques extrieurs ainsi que de rduire le trafique du rseau interne en limitant les accs certains ports. Contrairement aux firewalls software, gros consommateurs de ressources systme, qui appliquent des procdures de scurit chaque paquet de donnes au niveau applicatif, les Pix utilisent un systme ddi de scurisation en temps rel. Les Pix sont donc trs performants. Leurs capacits dpassent de loin celles des autres firewalls (pare-feu) ddis ou des pare-feu logiciels. Le pare-feu devra fournir un accs HTTP aux machines du rseau local et protger laccs aux services publis du serveur de la socit Electro-House. Aucune connexion directe entre une machine externe et le serveur publi ne sera possible via le filtre de paquets par la configuration de : ACL bases sur les adresses, l'heure et les protocoles Filtrage de java/activeX Le filtrage d'URL Vrification des restrictions de trafic entrant NAT statique/dynamique

2008-2010

16

Chapitre 3 : Les outils utilissGNS3

GNS3 est un simulateur d'quipements Cisco capable de charger des vraies images de l'IOS de Cisco permettant ainsi d'muler entirement des routeurs ou firewalls Cisco et de les utiliser en simulation com plte sur un simple ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer l'aide d'un compte Cisco CCO par exemple. Ou grce Google. Cet outil est parfait pour se prparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE. Afin de permettre des simulations compltes, GNS3 est fortement li avec: Dynamips : un mulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems. Dynagen : une interface en mode text pour Dynamips. Pemu : mulateur PIX GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.

2008-2010

17

Chapitre 3 : Les outils utilissGestion de la politique de scurit Firewall avec le Cisco Adaptive Security Device Manager (ASDM 5.2) :

Pour plus de facilit, les Cisco Pix Firewall sont livrs avec un logiciel d'administration graphique (ASDM). ASDM permet l'administrateur rseau de configurer et de grer le pare-feu Pix Firewall l'aide d'une interface GUI. Il permet de rcuprer, modifier et administrer les politiques de scurit ainsi que de faire du monitoring Grce lASDM, les administrateurs rseau peuvent effectuer des analyses statistiques sur les tentatives d'accs non autoriss, la densit du trafic et les enregistrements. Les administrateurs du rseau peuvent tre tenu inform des surcharges rseau ou des tentatives dattaques. Ces informations peuvent tre envoyes sur un serveur syslog sans difficult de mise en place. Les logiciels de gestion tel que ASDM permettent aux firewalls Pix dtre grs depuis n'importe quel ordinateur et indpendamment du systme d'exploitation. Ce dernier point est bien souvent une exigence essentielle des applications e-business. De plus, il est possible

2008-2010

18

Chapitre 3 : Les outils utilissd'utiliser la plupart des navigateurs courants, dont Netscape Navigator et Microsoft Internet Explorer, Puisque ASDM est accessible via une interface web. ASDM se caractrise aussi avec : Configuration rapide :

Glisser-dplacer, dition des rgles en ligne, assistants de configuration assistants de mise jour logicielle et puissante aide en ligne permettent une installation initiale et des changements de rgles sans souci, sans commande complexe et sans risque d'erreur. Diagnostics Puissants: Traceur de paquets, corrlation log-policy et aide en ligne sur les logs permettent de rduire considrablement le temps et la complexit d'administration. Monitoring Temps Rel: tableaux de bord pour quipement, politique firewall, scurit du contenu ou IPS. Graphes temps rel et historiques. Souplesse d'Administration : l'architecture scurise et la lgret de l'application autorisent l'administration distance de plusieurs appliances, depuis des environnements comme Windows XP, Vista, 2003 Server ou MacOS X. ASDM est fourni gratuitement avec le pare-feu PIX.

Les images IOS :Pix version 7.22 : le PIX 7.22 offre une protection de pare-feu complte, ainsi que des fonctionnalits VPN avec IPsec. Le PIX 7.22 permet d'assurer des communications prives via Internet ou tout autre rseau IP. il garantit des plates-formes sres, volutives et conomiques pour les connexions distance (extranets, succursales, utilisateurs itinrants) via les infrastructures de communication publiques. Prise en charge : NAT Statique, Dynamique et Conforme des politiques PAT Dbit texte : 330 Mbps Dbit VPN : 145 Mbps Connexions simultanes : 280000 Vitesse du processeur : 600 MHz RAM installe 256 Mo Protocole De Transport : IPSec, TCP/IP Protocoles de routage : OSPF, Routage statique Protocole de gestion distance : SNMP Authentification : RADIUS, TACACS+, RSA SecurID, LDAP, Active Directory

2008-2010

19

Chapitre 3 : Les outils utiliss Cryptage, DES, 3DES, AES, MD5, IKE Tunnels VPN : 2000 Protocole de liaison de donnes: Ethernet, Fast Ethernet Pix ASDM version 5.22 : cest la version de lASDM qui support Pix 7.22. ASDM permet l'administrateur rseau de configurer et de grer le pare feu Pix Firewall l'aide d'une interface GUI(graphique). Routeur Cisco 7200 : Les routeurs Cisco de la srie 7200 sont les routeurs Cisco processeur unique les plus rapides. Ils constituent la solution idale pour les entreprises et les prestataires de s ervices qui dploient MPLS, l'agrgation de bande passante, WAN edge, des rseaux privs virtuels (VPN) scurit IP et l'intgration vido/voix/donnes. La srie 7200 offre une conception modulaire, ainsi que des options de connectivit et des fonctionnalits de gestion. Caractristiques importantes : Jusqu 16 000 sessions PPP par chssis volutif jusqu 5000 tunnels par chssis Point dinterface rseau rseau pour linterfonctionnement de la signalisation (H.323, SIP), linterfonctionnement des m dias, la conversion des adresses et des ports (respect de la vie prive et masquage de la topologie), normalisation de la facturation et de lenregistrement des dtails des appels et gestion de la bande passante (marquage de la qualit de service laide de TOS) Chssis VXR proposant TDM et des adaptateurs de ports vocaux Encombrement 3RU avec une gamme dinterfaces modulaires (de DS0 OC-3) Prise en charge de Fast Ethernet, Gigabit Ethernet, paquet sur SONET et bien dautres encore

2008-2010

20

Chapitre 3 : Les outils utilissWindows Server 2003 Enterprise Edition :Windows Server 2003 est un systme d'exploitation orient serveur dvelopp par Microsoft. Prsent le 24 avril 2003 comme le successeur de Windows Server 2000, il est considr par Microsoft comme tant la pierre angulaire de la ligne de produits serveurs professionnels Windows Server System. Une version volue intitule Windows Server 2003 R2 a t finalise le 6 dcembre 2005. Selon Microsoft, Windows Server 2003 est plus volutif et fournit de meilleures performances que son prdcesseur Windows Server 2000.

Windows XP Professionnel :Windows XP est un systme d'exploitation multitche. Conu et ralis par Microsoft en 2001. Il est destin tout usage aussi bien sur ordinateur (PC ou portable,...) que sur des matriels spcifiques. Son appellation XP vient du mot exprience . Alors que de nouvelles versions du systme d'exploitation Windows ont t ralis depuis Windows XP a t lanc, il reste le plus populaire parmi les individus en raison de sa grande taille dans le march qu'il est captur lors de sa cration. Si un PC avec Windows XP se bloque, il est parfois possible de dmarrer l'ordinateur et de le restaurer en utilisant un CD de restauration pour Windows XP.

2008-2010

21

Chapitre 3 : Les outils utilissCisco VPN ClientCisco VPN Client est un client VPN propritaire permettant de se connecter aux concentrateurs VPN Cisco. Il est utilis dans le cadre d'infrastructures grant des milliers de connexions, on le retrouve donc le plus souvent dans les grandes entreprises et de nombreuses universits. Le client VPN de Cisco permet d'tablir des connexions VPN en IPSec auprs des concentrateurs VPN 3000, des pare-feux PIX/ASA et des routeurs IOS. C'est un logiciel multiplateforme, compatible avec diverses versions de Windows, Mac OS X, Linux et Solaris.

Kiwi Syslog Daemon

Kiwi Syslog Daemon est un Daemon Syslog gratuit pour les plateformes Windows. Il reoit, enregistre, affiche et transfert les messages(jaurnaux) Syslog envoys par des serveurs tels que des routeurs, firewalls, switchs, serveurs Unix et n'importe quel autre dispositif Syslog. Une multitude d'options sont configurables.

2008-2010

22

Chapitre 3 : Les outils utilissSolarWinds TFTP server:

Simultanment et de manire fiable le transfert de plusieurs fichiers la fois avec Solarwinds TFTP Server Solarwinds TFTP Server est un serveur multi-thread serveur TFTP qui peut tre utilis pour tlcharger / uploader des images excutables et les configurations de commutateurs, routeurs, hubs, Pare-feu Pix, etc Solarwinds TFTP Server est un logiciel qui aide les ingnieurs de rseau avec des projets allant de simples transferts de fichiers un grand rseau d'audit des projets.

2008-2010

23

2008-2010

24

Chapitre 4: Taches et ralisations techniquesInstallation dActive directorySur le site de Rabat

Linstallation du serveur dns-active directory a t faite avec le minimum requis par le systme pour une installation de base . Cette installation sest droule dbranch de tout rseau afin dviter toute attaque pouvant venir de lInternet. Nous avons dcid de crer un compte Windows active directory pour chaque utilisateur de la maquette. Nous avons choisi de nommer les comptes de la manire suivante : gesX, markX . Par dfaut, lors de la cration, chaque compte est protg par un mot de passe gnrique; il appartient ensuite lutilisateur de le changer lors de sa premire connexion au systme. Seul le mot de passe administrateur a t cr pour rendre plus difficile les attaques car il tait compos de lettres et de chiffres sur 8 caractres. Celui ci na pas t chang au cours de lexploitation. Cest ce compte qui est aussi utilis pour administrer les machines qui appartiennent au domaine. Cest aussi le seul compte autoris accder directement ce serveur pour ladministrer ou effectuer des modifications. Nous avons aussi configurs le DNS de Rabat comme une zone principale qui va faire le mappage de ladresse de la page web depuis ladresse du serveur DMZ (172.16.1.20) www.electro -house.net, et le

2008-2010

25

Chapitre 4: Taches et ralisations techniquesDNS de Casablanca Comme une zone secondaire qui va faire le mappage de ladresse de la page web depuis linterface externe du Pix1 de Rabat (80.80.1.1) www.electro-house.net. En ce qui concerne les postes client XP, les rgles ont t les mmes que pour les serveurs. Lors dune premire installation, le poste client ntait pas dans le domaine et ne comportait quun seul compte sans mot de passe. Afin dviter tout accs abusif sur ces postes, il a ensuite t intgr au domaine. En ce qui concerne linstallation du firewall, Les rgles de filtrage appliques ont t choisi selon la politique tout ce qui n est pas autoris est interdit . Cette politique a pu tre appliqu car le nombre de services utiliss tait faible (web, ftp, mail). Pour installer Active Directory dans Windows Server 2003 : 1. Cliquez sur Dmarrer, sur Excuter, tapez dcpromo, puis cliquez sur OK.

2. Sur la premire page de l'Assistant Installation d'Active Directory, cliquez sur Suivant. 3. Sur la page suivante de l'Assistant d'Installation d'Active Directory, cliquez sur Suivant. 4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis sur Suivant.

2008-2010

26

Chapitre 4: Taches et ralisations techniques5. Sur la page Crer un nouveau domaine, cliquez sur Domaine dans une nouvelle fort, puis sur Suivant.

6. Sur la page Nom du nouveau domaine, dans la zone Nom DNS complet du nouveau domaine, tapez electro-house.ma, puis cliquez sur Suivant.

7. Sur la page Dossiers de la base de donnes et du journal, acceptez les valeurs par dfaut des zones Dossier de la base de donnes et Dossier du journal, puis cliquez sur Suivant. 8. Sur la page Volume systme partag, acceptez la valeur par dfaut de la zone Emplacement du dossier, puis cliquez sur Suivant.

2008-2010

27

Chapitre 4: Taches et ralisations techniques9. Sur la page Diagnostics d'inscriptions DNS, cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et configurez cet ordinateur pour qu'il utilise ce serveur DNS comme serveur DNS de prdilection, puis cliquez sur Suivant.

10. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systmes d'exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 11. Sur la page Mot de passe administrateur de restauration des services d'annuaire, entrez un mot de passe dans la zone Mot de passe du mode de restauration, confirmez-le en le tapant une seconde fois dans la zone Confirmer le mot de passe, puis cliquez sur Suivant. 12. Sur la page Rsum, vrifiez que vos informations sont correctes et cliquez sur Suivant.

13. Lorsque vous tes invit redmarrer l'ordinateur, cliquez Redmarrer maintenant.

2008-2010

28

Chapitre 4: Taches et ralisations techniquesSur le site de Casablanca Nous avons les mmes tapes de linstallation du contrleur du domaine principale sur le site de Rabat, pour installer le contrleur du domaine secondaire sur le site de Casablanca mais la place de choisir Contrleur de domaine pour un nouveau domaine on choisie Contrleur de domaine supplmentaire pour un domaine existant.

Remarque : avant dinstaller le contrleur de domaine supplmentaire il faut dabord configurer le VPN site site sur le Pix1 et Pix2, pour rpliquer les donnes de l'annuaire entre les contrleurs de domaine.

2008-2010

29

Chapitre 4: Taches et ralisations techniquesConfiguration de la zone DMZ

Pour ce qui est du serveur WebFTP, linstallation a suivi les mmes rgles de base. Afin de garantir le contenu du site web, seul ladministrateur du serveur et celui du domaine ont un accs complet au serveur et sa configuration et sont responsables des pages publies. Le serveur FTP tait configur de base avec un compte anonyme ayant accs en lecture et criture sans limite. Nous avons utilise pour la configuration de la zone DMZ le service IIS (Internet Information Services) qui est un ensemble de services TCP/IP ddis l'Internet, Son rle est de raliser un serveur accessible via le rseau Internet/Intranet ce qui permet d'avoir ses fichiers personnels o que vous soyez et, d'hberger votre site Internet sur votre propre PC.

2008-2010

30

Chapitre 4: Taches et ralisations techniquesConfiguration des routeurs

Pour le routeur1 Nous avons chang son adresse li au Pix1 qui est passe a une Adresse publique sur le rseau 80.80.1.0/24 et sur le rseau li au routeur2 nous avons chang ladresse 80.80.3.0/24 et sur le rseau li au Pix2 nous avons chang ladresse 80.80.2.0/24 aprs Nous avons configur le Routage effectu par du Rip V2 entre le routeur1 et le routeur2 et finalement nous avons configur les mots de passes de mode privilge, Telnet et Console.

Configuration de Pare-feu PixLes Interfaces : Nous avons commenc la configuration du pare-feu par cr trois interface sur le mode console du Pix : Inside : linterface interne du Pix qui prend ladresse IP 192.168.1.1 et niveau de scurit par default 100 et cest le niveau le plus scuris. Outside : linterface externe du Pix qui prend ladresse IP 80.80.1.1 et niveau de scurit 0. DMZ : linterface dmz du Pix qui prend ladresse IP 172.16.1.1 et niveau de scurit 50.

2008-2010

31

Chapitre 4: Taches et ralisations techniquesASDM : Nous avons commenc par dmarrer le serveur TFTP

Puis sur la console de Pix nous avons commenc tlcharger limage ASDM depuis le serveur TFTP.

2008-2010

32

Chapitre 4: Taches et ralisations techniquesPuis sur lordinateur sur lequel on va installer lASDM on tape sur le navigateur web ladresse IP de linterface interne de Pix (https://192.168.1.1) et on entre le login et le mot de passe de scurit quon a dj cre pendant le tlchargement de limage ASDM on puis on click sur install ASDM launcher and run ASDM et on suivie les tapes de linstallation.

Et finalement pour accde ASDM On click sur licone Cisco ASDM Launcher et on entre ladresse de linterface interne du Pix (192.168.1.1) et on entre le login et le mot de passe

2008-2010

33

Chapitre 4: Taches et ralisations techniquesMaintenant, aprs notre succs accder ASDM Pix on peut configurer le Pare-feu Pix graphiquement. Par exemple on peut ajouter ou modifier les interfaces de Pix partir de lASDM.

Les stratgies de scurits (ACL)Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autoriss ou interdits par le dispositif de filtrage. Tout paquet sans connexion justifie est mis la poubelle. Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list limitent ce trafic * Le trafic entrant est interdit par dfaut. * Les flux ICMP sont interdits moins de les permettrent spcifiquement. * Il est ncessaire d'affecter les access-list aux interfaces dsires.

2008-2010

34

Chapitre 4: Taches et ralisations techniques

Dans notre maquette nous avons cre une rgle qui permet le trafic entre le rseau interne et le rseau DMZ. Nous avons aussi cre des rgles gui permet le trafic HTTP, HTTPS, FTP, DNS qui arrive depuis le rseau externe passant par linterface outside de Pix (80.80.1.1) qui vas tre redirig par le NAT vers le rseau DMZ pour que les clients peut accder au serveur Web et FTP.

2008-2010

35

Chapitre 4: Taches et ralisations techniquesTranslation d'adresse (NAT)La translation d'adresse (NAT) permet de garder les adresses du rseau interne celui derrire le PIXinconnues des rseaux externes. Le NAT accomplit ceci en traduisant les adresses IP internes, qui ne sont pas globalement uniques, dans des adresses IP globales avant que les paquets soient expdis au rseau externe. Quand un paquet IP sortant est envoy de n'importe quel poste du rseau interne et atteint un PIX avec le NAT configur, l'adresse de source est extraite et compare une table interne des traductions existantes. Si l'adresse du poste n'est pas dj dans la table de traduction, elle est alors traduite. Il est assign une adresse IP d'un pool d'adresses IP globales. Chaque translation d'adresses sortante est associe une identification un identifiant Nat. Chaque pool d'adresses globales possde un identifiant Nat correspondant. Le PIX utilise l'identifiant Nat des paquets IP sortants pour identifier quel pool d'adresses globales slectionn pour effectuer la translation d'adresse. L'identifiant Nat id des paquets sortants doit concider avec le Nat id du pool d'adresse globale. Le PIX assigne les adresses partir du pool dsign en commenant par le bas jusqu'en haut de l'ensemble spcifi avec la commande global. Dans notre maquette nous avons cre des rgle qui permet de traduire le trafic HTTP, HTTPS, FTP, DNS depuis ladresse publique de linterface externe de Pix (80.80.1.1) vers ladresse prive du zone DMZ (172.16.1.20)

2008-2010

36

Chapitre 4: Taches et ralisations techniquesVPN site siteLa mise en place d'un VPN entre 2 Sites distants. Plus particulirement, il s'agira de crer une liaison VPN entre 2 Cisco Pix, en cumulant la fois le partage d'accs Internet pour chacun des sites, et un routage entre les 2 sites. Le principe du tunnel VPN est simple : un des Pix fera office de serveur tandis que lautre sera le client. Lavantage principal du tunnel VPN est que les postes clients nauront pas besoin de se connecter individuellement en VPN au site distant. Cette configuration donnera limpression aux clients des deux cts dtre sur un seul et mme rseau, ce qui permet de facilement partager des donnes.

Nous allons ici considrer que le site de Rabat est le site principal et quil hbergera la partie serveur du tunnel et que le rseau local est en 192.168.1.0. Le site de Casablanca sera configur en mode client avec un rseau local en 10.10.10.0.

2008-2010

37

Chapitre 4: Taches et ralisations techniquesAccs distantLaccs distant au serveur depuis lextrieur du rseau sera possible via un tunnel VPN depuis le pare-feu. Laccs au service dadministration du serveur devra tre limit exclusivement et scuris depuis le pare-feu par la Configuration de IKE et IPSec. Avant de commence la configuration au Pix nous avons dabord configure un serveur radius qui vas tre le responsable de lauthentification des clients VPN. Et pour cette raison quon a cr un groupe dutilisateurs (clientvpn) dans Active directory qui contiendra les utilisateurs autoriss accder au rseau interne. Aprs la configuration du serveur radius il faut cre une connexion entre le Pare-feu Pix et le serveur radius.

Finalement on va passer lASDM pour commencer la configuration du VPN. Nous avons ici considres le rseau interne de site de Rabat comme le serveur VPN qui recevoir les connexions Accs distant qui arriver de nimport quel rseau dans linternet.

2008-2010

38

Chapitre 4: Taches et ralisations techniquesLes journaux

En utilisant le programme Kiwi Syslog Daemon tous les journaux gnrs par le systme et les services devront tre exports sur le pare-feu (en temps rel ou par lintermdiaire dune tche planifie journalire en fonction du service). Le pare-feu devra gnrer un fichier de log par jour et par service ou groupe de services. Un processus danalyse et de corrlation des journaux devra tre excut sur le pare-feu intervalle rgulier. En cas danomalie (chec dauthentification par exemple), une alerte par email par lintermdiaire du serveur de messagerie devra tre dclenche. On trouve les journaux gnres en bas dans longlet HOME de ASDM.

2008-2010

39

2008-2010

40

Chapitre 5: ConclusionConclusion :La scurit a toujours t un concept important. De nos jours, les donnes sensibles tant toutes informatises, il est ncessaire de bien les protger afin d'en garantir leur confidentialit et leur intgrit. Pour cela, il faut mettre en place des protections plusieurs niveaux, notamment une barrire au niveau du rseau. Diffrentes solutions existent, la plus rpandue est l'utilisation d'un pare-feu, logiciel ou matriel. Un pare-feu protge un ordinateur ou un rseau en filtrant les donnes changes avec d'autres rseaux. C'est un lment essentiel mettre en place ; il n'y a pas, ou peu, de rseaux actuellement qui ne soient ainsi protgs. Nous vous avons donc prsent le pare-feu Cisco PIX qui prsente l'avantage d'tre fourni. Nous avons galement vu comment le configurer avec les outils les plus importantes.

2008-2010

41

Annexe 1 : Webographie :Nous avons utilises pour raliser ce projet les sources web suivant : http://www.google.fr Des Documents PDF, DOC, PPT http://lo.st/ http://www.telecom-reseaux.net Installer ASDM sur un PIX sous GNS3 : http://www.telecom-reseaux.net/reseaux/installer-asdm-sur-un-pix-sous-gns3-151 http://www.cisco.com Most Common L2L and Remote Access IPsec VPN Troubleshooting Solutions: http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a00807e0aca.shtml #solution14 PIX/ASA 7.x and Cisco VPN Client 4.x with Windows 2003 IAS RADIUS (Against Active Directory) Authentication Configuration Example: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example 09186a00806de37e.shtml#configs PIX/ASA: Establish and Troubleshoot Connectivity through the Cisco Security Appliance: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080 09402f.shtml

2008-2010

42

Annexe 2 : Configuration du PIX1 (Rabat) :: Saved : PIX Version 7.2(2) ! hostname PixRabat domain-name default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 80.80.1.1 255.255.255.0 ! interface Ethernet1 nameif INSIDE security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet2 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted banner motd $Bienvenu dans le Pare-feu Pix ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_access_in extended 80.80.1.1 eq www access-list outside_access_in extended 80.80.1.1 eq https access-list outside_access_in extended 80.80.1.1 eq ftp

De Rabat$

permit permit permit

tcp tcp tcp

any any any

host host host

2008-2010

43

access-list outside_access_in extended permit tcp any host 80.80.1.1 eq domain access-list outside_access_in extended permit udp any host 80.80.1.1 eq domain access-list outside_access_in extended permit tcp any eq ftp host 80.80.1.1 eq ftp access-list outside_20_cryptomap extended permit ip 192.168.1.0 255.255.255.0 80.80.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl_1 standard permit 192.168.1.0 255.255.255.0 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.1.32 255.255.255.224 access-list INSIDE_nat0_outbound extended permit ip any 192.168.1.0 255.255.255.128 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list dmz_access_in extended permit ip host 172.16.1.20 192.168.1.0 255.255.255.0 access-list outside_20_cryptomap_1 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 pager lines 24 logging enable logging timestamp logging trap warnings logging asdm informational logging device-id hostname logging host INSIDE 192.168.1.4 logging debug-trace mtu outside 1500 mtu INSIDE 1500 mtu dmz 1500 ip local pool vpn2 192.168.1.40-192.168.1.60 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo-reply dmz icmp permit any unreachable dmz asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (INSIDE) 0 access-list INSIDE_nat0_outbound nat (INSIDE) 1 192.168.1.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.1.20 www netmask 255.255.255.255 static (dmz,outside) tcp interface domain 172.16.1.20 domain netmask 255.255.255.255

2008-2010

44

static (dmz,outside) udp interface domain 172.16.1.20 domain netmask 255.255.255.255 static (dmz,outside) tcp interface ftp 172.16.1.20 ftp netmask 255.255.255.255 static (INSIDE,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 80.80.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 192.168.1.3 key cisco radius-common-pw cisco group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol l2tp-ipsec group-policy vpn2 internal group-policy vpn2 attributes dns-server value 192.168.1.3 vpn-tunnel-protocol IPSec default-domain value electro-house.ma username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter java 80 80.80.1.0 255.255.255.0 172.16.1.0 255.255.255.0 http server enable http 192.168.1.4 255.255.255.255 INSIDE no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DESSHA crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.2.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des 2008-2010

45

hash sha group 2 lifetime 86400 tunnel-group 80.80.2.1 type ipsec-l2l tunnel-group 80.80.2.1 ipsec-attributes pre-shared-key * tunnel-group vpn2 type ipsec-ra tunnel-group vpn2 general-attributes address-pool vpn2 authentication-server-group vpnclient default-group-policy vpn2 tunnel-group vpn2 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect sunrpc inspect rsh inspect rtsp inspect sip inspect skinny inspect esmtp inspect sqlnet inspect tftp inspect xdmcp inspect dns ! service-policy global_policy global prompt hostname context Cryptochecksum:0fc9bb4ff02b1734c39aa2afef184328 : end

2008-2010

46

Annexe 3 : Configuration du PIX2 (Casa) :: Saved : PIX Version 7.2(2) ! hostname PixCasablanca domain-name default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 80.80.2.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted banner motd $Bienvenu dans le Pare-feu Pix De Casablanca$ ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_20_cryptomap extended permit ip 10.10.10.0 255.255.255.0 80. 80.2.0 255.255.255.0

2008-2010

47

access-list 101 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255. 255.0 access-list outside_20_cryptomap_1 extended permit ip 10.10.10.0 255.255.255.0 1 92.168.1.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 10.10.10.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 80.80.2.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 10.10.10.3 key cisco123 radius-common-pw cisco123 username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 http server enable http 10.10.10.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.1.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 2008-2010

48

lifetime 86400 tunnel-group 80.80.1.1 type ipsec-l2l tunnel-group 80.80.1.1 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! ! prompt hostname context Cryptochecksum:bae775f58f0119af4f7cfe6c3715edec : end

2008-2010

49

Annexe 4 : Configuration du Routeur1 :Current configuration : 740 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 80.80.1.2 255.255.255.0 duplex auto speed auto !

2008-2010

50

interface FastEthernet1/1 ip address 80.80.3.1 255.255.255.0 duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end

2008-2010

51

Annexe 5 : Configuration du Routeur2 :Current configuration : 927 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routeur1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 80.80.2.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/1

2008-2010

52

ip address 80.80.3.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/0 ip address 90.90.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 90.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end

2008-2010

53