Vous êtes sur la page 1sur 56

**********************************************

Rapport de stage
4me Annes
Ingnierie des systmes et Rseaux
informatique

Firewalls
Ralis par :
ANEJJAR Hassan

Encadr par :

Suivi par :

M. Mourad
GOUAZIZ

M. Samir
ACHAHOD

Anne Universitaire : 2014/2015

IGA Marrakech

Page 2

2014/2015

REMERCIEMENTS
Avant daccder au vif du sujet, Je tiens
remercier dans un premier temps, mon matre
de stage, Mr Mourad GOUAZIZ, Grant de la
socit PRO-TECHNO.
Cest avec un rel plaisir que jai effectu ce
stage sous votre direction.
Enfin, mes vifs remerciements pour tout le
corps professoral et administratif de linstitut
Suprieur du Gnie Appliqu, IGA, qui ne
cessent pas de nous encourager faire
toujours de notre mieux.

IGA Marrakech

Page 3

2014/2015

DEDICACE

Je ddie ce rapport de
stage: a mes trs chers
parents qui ont toujours
t l pour moi tout au
long de mes tudes et qui
mont donn un
magnifique modle de
labeur et de
persvrance.
Jespre quils trouveront
dans ce travail toute ma
reconnaissance et tout
IGA Marrakech

Page 4

2014/2015

mon amour. a mes chers


frres: pour leurs soutiens
quils nont cesss
dapporter au cours de ma
formation.

IGA Marrakech

Page 5

2014/2015

Rsum
Les systmes dinformation sont aujourdhui de plus en
plus ouverts sur internet. Cette ouverture, a priori
bnfique, pose nanmoins un problme majeur : il en
dcoule un nombre croissant dattaque. La mise en place
dune politique de scurit autour de ces systmes est
donc primordiale.
Outre que la mise en place des stratgies de scurit (GPO,
authentification par login et mot de passe), il est
ncessaire pour complter notre politique de scurit de
mettre en place un pare-feu.
Ce rapport prsente le travail effectu lors du stage, du 3
aout 2015 au 2 octobre 2015 au sein de PRO-TECHNO.
Mon projet consiste mettre en place une tude
comparative sur les diffrents pare-feu exist.
Lobjectif du stage est de mettre en conditions les
tudiants une insertion rapide dans le domaine
professionnel. Ce stage t intressant du point vu
humain car jai loccasion de voir latmosphre du monde
du travail et mettre en pratique tous ce que jai appris
pendant ma formation ainsi que de nouvelles notions.

IGA Marrakech

Page 6

2014/2015

Abstract
Information systems are nowadays more open to internet.
This opening, is priori beneficial, made a major problem, it
follows a growing number of attacks. The implementation
of a security policy around these systems is paramount.
Besides the implementation of security policies (GPO,
authentication by login and password), it is necessary to
complete our security policy by implementing a firewall.
This report presents the work done during the training of 3
August 2015 to 2 October 2015 in PRO-TECHNO.
My project is to develop a comparative study on the
different firewalls exist.
The objective of the training is to guarantee to the students
a rapid insertion in the professional field. This training has
been interesting from a point seen human because I could
see the atmosphere of the workplace and put into practice
everything I learned during my formation as well a learning
new concepts.

IGA Marrakech

Page 7

2014/2015

Liste des figures

Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure

1:
2:
3:
4:
5:
6:
7:
8:
9:
10
11
12
13
14
15
16
17
18
19
20

logo de PRO-TECHNO.........................................................................13
organigramme de l'entreprise PRO-TECHNO.....................................14
Diagramme de GANT.........................................................................17
Diagramme de GANT (Deroulement de stage)..................................18
Cblage..............................................................................................18
Cble droit.........................................................................................19
Cble crois.......................................................................................19
panneau de brassage........................................................................20
Emulation putty.................................................................................20
: Fonctionnement de pare-feu............................................................25
: interface de Comodo Firewall..........................................................31
: interace de Jetico Personal Firewall..................................................32
: interface de Online Armor Free........................................................34
: interface de PC Tools Firewall...........................................................35
: Pare-feu ASA 5505...........................................................................42
: schma de travail............................................................................42
: Configuration de l'adresse IP...........................................................46
: Configuration au niveau de scurit................................................47
: inetrface web de Pare-feu ASA........................................................49
: interface web de Switch..................................................................51

IGA Marrakech

Page 8

2014/2015

Liste des tableaux

Tableau
Tableau
Tableau
Tableau
Tableau

1
2
3
4
5

:
:
:
:
:

Les
Les
Les
Les
Les

rgles de pare-feu.....................................................................26
plus et les moins de Comodo Firewall.......................................32
plus et les moins de Jetico Personal Firewall.............................33
plus et les moins de Online Armor Free....................................34
plus et les moins de PC Tools Firewall.......................................36

IGA Marrakech

Page 9

2014/2015

Table des matires


REMERCIEMENTS.............................................................................................3
DEDICACE.........................................................................................................4
Rsum.............................................................................................................5
Abstract.............................................................................................................6
Liste des figures..............................................................................................7
Liste des tableaux...........................................................................................8
Introduction Gnrale..................................................................................11
PREMIERE PARTIE : Prsentation dtablissement daccueil...............12
1 - Introduction :.............................................................................................13
2 - Fiche identificatrice de PRO TECHNO :......................................................13
3 - Prsentation de la socit :.......................................................................13
4 - Services de la socit...............................................................................13
5 - Organisation de lentreprise :....................................................................14

DEUXIEME PARTIE : Prsentation de cahier de charge et le planning


de stage..........................................................................................................15
1 - Introduction...............................................................................................16
2 - Cahier des charges....................................................................................16
3 - Planification du stage................................................................................16
4 - Droulement du stage..............................................................................17
5 - Les tches ralises :................................................................................18
A - Le cblage.............................................................................................18
B - Panneau de brassage.............................................................................19
C - Interface web dun Switch.....................................................................20
D - Camra de surveillance.........................................................................21

TROISIEME PARTIE : Mise en place du projet..........................................23


1 - Pourquoi un firewall ?................................................................................24
2 - Qu'est-ce qu'un pare-feu?.........................................................................24
3 - Fonctionnement d'un systme pare-feu....................................................25
A - Le filtrage simple de paquets................................................................26
B - Le filtrage dynamique............................................................................27
4 - Les diffrentes catgories de firewall........................................................28
IGA Marrakech

Page 10

2014/2015

A - Pare-feu sans tat..................................................................................28


B - Pare-feu avec tat..................................................................................28
C - Pare-feu applicatif..................................................................................29
5 - Catgories secondaires de pare-feu..........................................................29
A - Pare-feu identifiant................................................................................29
B - Pare-feu personnel.................................................................................29
6 - Les limites des firewalls............................................................................30
7 - Comparatif de 4 firewalls gratuit...............................................................30
A - Comodo Firewall.....................................................................................31
B - Jetico Personal Firewall...........................................................................32
C - Online Armor Free..................................................................................33
D - PC Tools Firewall....................................................................................35
8 - Le Pare-feu ASA.........................................................................................36
A - Principales caractristiques...................................................................36
B - Cinq raisons de choisir la gamme Cisco ASA 5500................................37

Conclusion......................................................................................................39
BIBLIOGRAPHIE ET WEBOGRAPHIE...........................................................40
ANNEXE...........................................................................................................41
1 - Configuration de base d'un firewall ASA 5505..........................................42
2 - Interface Web dun switch.........................................................................49

IGA Marrakech

Page 11

2014/2015

Introduction Gnrale
Dans le cadre de mes tudes linstitut suprieur de Gnie
Appliqu de Marrakech, la quatrime anne se termine par un stage
en entreprise dune dure minimum de 2 mois, afin dtablir un lien
entre les thories apprises sur le banc de lcole et la pratique.
De ce fait, jai loccasion deffectuer un stage au sein dentreprise
PRO-TECHNO.
Ce stage permet dappliquer et dapprofondir les connaissances
acquises au cours de la formation, et den dcouvrir dautre. Il
permet aussi de simpliquer dans la vie dune socit ou tout au
moins dans lun de ses services.
Le projet que jai choisi consiste mettre en place une tude
comparative sur les diffrents pare-feu exist, cest un sujet
pdagogique qui ma donner une ide claire sur le fonctionnement
du pare-feu.
Dans la premire partie de ce rapport je vais prsenter lentreprise
daccueil PRO-TECHNO, ses diffrents services et son
organigramme.
Au niveau de la deuxime partie, je vais prsenter le planning de
mon stage ainsi que les diffrentes tches ralises.
Au niveau de la troisime partie, je vais prsenter mon sujet de
stage et sa mise en place.
Et pour terminer vous prendrez compte des tests accomplis et des
diffrents problme rencontrs lors de la ralisation du projet.

IGA Marrakech

Page 12

2014/2015

PREMIERE PARTIE
Prsentation dtablissement
daccueil

IGA Marrakech

Page 13

2014/2015

1 - Introduction :
Lobjectif de cette partie est de fournir une prsentation gnrale du contexte
du projet savoir, tout dabord lorganisme daccueil PRO TECHNO en dcrivant
ses activits principales et son organisation.

2 - Fiche identificatrice de PRO TECHNO :

Figure 1 : logo de PRO-TECHNO

Adresse d'entreprise : DOUAR LAHBICHATE N407 TASENTANTE MARRAKECH-MDINA (AR)


Rgion : MARRAKECH-MDINA (AR)
Rc : 47615 (TRIBUNAL DE MARRAKECH)
Forme juridique : Socit Responsabilit Limite Associ Unique
Capital : 100 000 DHS
Tlphone : +212664773585
Email : protechnomaroc@gmail.com
Dirigeants : Mourad Gouaziz
Activit : ngoce et installation -vido surveillance, dtection d'incendie
et extinction, dtection de vol et contrle d'accs systme d'alarme
vido phonie la clim industrielle

3 - Prsentation de la socit :
PRO-TECHNO est une rcente socit, cr par Mr. Mourad GOUAZIZ. Elle est
spcialise dans le domaine de linformatique. Cette socit est crative et
indpendante, qui matrise en interne lensemble des mdias et prend en
charge, pour les professionnels :
Installation -vido surveillance, dtection d'incendie et extinction, dtection de
vol et contrle d'accs -systme d'alarme vido phonie

4 - Services de la socit :
PRO TECHNO propose une gamme complte de services et de prestations
visant permettre aux petites structures de communiquer plus efficacement
auprs de leurs clients et prospects. Ces services complmentaires

IGA Marrakech

Page 14

2014/2015

linstallation-vido surveillance avec une supervision complte, dtection


d'incendie et extinction
Ils peuvent galement prendre la forme de la cration et du graphisme avec la
mise en place de logos, cartes de visites, plaquettes de prsentation.
Service dinstallation vido surveillance
Service du systme dalarme vido phonie
Service de conception graphique
Le service de conception graphique offre la possibilit de crer tous types
de supports cratifs, pour laborer une communication graphique performante
et lisible. Le service Graphisme analyse et traduit la stratgie commerciale
et marketing des clients, dans des environnements de communication varis :
Cartes de visite
Invitations, papier lettres, affiches, logo
Plaquette, catalogue, guide

5 - Organisation de lentreprise :
Larchitecture de la socit PRO TECHNO peut tre reprsente par
lorganigramme suivant :

IGA Marrakech

Page 15

2014/2015

Figure 2 : organigramme de l'entreprise PRO-TECHNO

IGA Marrakech

Page 16

2014/2015

DEUXIEME PARTIE
Prsentation de cahier de charge
et le planning de stage

IGA Marrakech

Page 17

2014/2015

1 - Introduction :
Lobjectif de cette partie est de fournir une prsentation gnrale sur le
travail demand, ainsi que le planning du stage (digramme de gant), aussi de
fournir une prsentation sur les diffrents tches que jai pu ralis au sein de
PRO-TECHNO

2 - Cahier des charges :


Titre du projet :
Mettre en place une tude comparative sur les diffrents pare-feu exist.
Travail demand:
Recherche, Implmentation et configuration d'un firewall
Entreprise daccueil :
PRO TECHNO
Plan du travail :
Le but principal du projet est de pouvoir tablir ou choisir et installer un
pare-feu qui remplit les conditions suivantes :

Qui protge le rseau des intrusions provenant d'un rseau tiers


Cots financiers les plus rduits possibles.
Qui respecte la politique de scurit du rseau

3 - Planification du stage :
Voici un diagramme de Gantt permettant de visualiser lenchainement et la
dure des diffrentes tches durant le stage.

IGA Marrakech

Page 18

2014/2015

Figure 3 : Diagramme de GANT

4 - Droulement du stage :
La premire partie du stage o lon voit plusieurs petites tches est la
dcouverte de la socit, ce qui comprend lobservation et la ralisation des
tches, ainsi que documentation et lapprentissage, La deuxime phase
importante a t la spcification et analyse des besoins ce qui comprend la
description du projet et la recherche, ainsi que laboration de cahier de charge.
Aprs avoir avec suce spcifier et analyser les besoins, la 3me partie cest de
conception ce qui comprend dfinition de la plateforme de travail ainsi que la
conception de la maquette, en dernier tape a t pour raliser la simulation
avec le test.

IGA Marrakech

Page 19

2014/2015

Figure 4 : Diagramme de GANT (Deroulement de stage)

5 - Les tches ralises :


A - Le cblage :
Parmi les techniques que jai apprises dans cette priode de stage (le
cblage) les types de cblages, comment sertir un cble que a soit
droit/crois.
Le cble contient 8 conducteurs, rpartis en paires torsades, pour amliorer la
rjection du bruit.
Les couleurs des gaines sont normalises :
orange - orange/blanc
vert - vert/blanc
bleu - bleu/blanc
marron - marron/blanc

IGA Marrakech

Page 20

2014/2015

Figure 5 : Cblage

A-1 Cble droit :


Pour faire un cble droit Il faut
que les embouts soient sertis de la
mme faon chaque extrmit et
en respectant la rpartition des
paires torsades sur le connecteur.
En gnral, le code employ est :
1) orange-blanc
2) orange
3) vert-blanc
4) bleu
5) bleu-blanc

Figure 6 : Cble droit

6) vert
7) marron-blanc
8) marron

A-2 Cble crois :


Pour un cble crois Il faut
intervertir les parties 1/2 et 3/6,
donc on a d'un ct le mme
cblage que ci-dessus, et de l'autre,
le cblage suivant :
1) vert-blanc
2) vert
3) orange-blanc
4) bleu
5) bleu-blanc
6) orange

IGA Marrakech

Page 21

2014/2015

7) marron-blanc
8) marron

B - Panneau de brassage :
Parmi les techniques que jai appris aussi dans cette priode de
stage le brassage, comment monter un cble dans le panneau de
brassage.
Le panneau de brassage est le point ou se concentrent tous les cbles de
chaque prise murale Rj45 dun

Figure 7 : Cble crois

btiment. Il sert relier ces prises un Switch grce un cordon de


brassage.

Figure 8 : panneau de brassage

C - Interface web dun Switch :


Jai aussi configur un Switch (cisco catalyst 2960), avec l mulation
putty :

IGA Marrakech

Page 22

2014/2015

Figure 9 : Emulation putty

Jai travaill sur les configurations de base (hostname, vlan, vtp ), ce


que je trouve nouveau pour moi cest comment crer une interface web
au Switch. (Voire lannexe)

IGA Marrakech

Page 23

2014/2015

D - Camra de surveillance :
Aujourd'hui, la vido surveillance n'est plus un dispositif rserv aux
entreprises de scurit. Chacun peut chez soi, avec quelques comptences
techniques, installer une camra de surveillance. Mais fonctionne comment ce
type de matriel ?
Deux principaux types de camras de surveillance
Camras analogiques : ces camras sont relies par un cble coaxial un

tlviseur/un moniteur, o les images s'affichent. Elles envoient des flux


continus de donnes (balayage) un dispositif de stockage (enregistreur
numrique).
Camras IP : les camras IP permettent une connexion un rseau

informatique (reli internet) soit par cble Ethernet soit par WiFi (sans fil).
Les images filmes peuvent tre enregistres et consultes en temps rel
sur un PC, ou un smartphone via Internet.

D-1 Utiliser une camra IP :


L'installation et l'utilisation de ces camras se droulent en quatre tapes :

Connecter la camra de surveillance au routeur (box internet) : l'utilisation

d'un cble est ncessaire cette tape


Trouver et attribuer l'adresse IP de la camra (cette dmarche ncessite

un mot de passe, disponible sur l'quipement vendu)


Positionner (fixer) la camra
Une fois que la box internet est synchronise avec la camra : Le flux
d'image est accessible en ligne, via une page web (accs protg par mot
de passe).

D-2 Les lments techniques d'une camra de surveillance :

Qualit de l'image : pour les camras IP, la qualit de l'image est


dtermine par la rsolution d'affichage (1600 x 1200 pixels = trs haute

rsolution).
Le capteur : l'lment essentiel, positionn derrire l'objectif, qui permet de

capter la lumire
La luminosit (LUX) : la luminosit est exprime en LUX (comprise entre 0,
l'obscurit totale et 50 000 lux).

L'objectif : il varie selon l'angle de vision souhait.

D-3 Les diffrentes catgories de camra de surveillance :

Camras infrarouges : la nuit, elles utilisent les diodes lectroluminescentes


places autour de leur lentille pour reprer les rayonnements infrarouges

(ondes de chaleur) et retransmettre les images en noir et blanc.


Camras jour/nuit : elles basculent automatiquement en mode jour ou en

mode nuit selon le niveau de luminosit


Mini dme (camra discrte en forme de dme), dmes motoriss (rotations
possibles) , camras espion (qui se fondent dans le dcor).

TROISIEME PARTIE
Mise en place du projet

1 - Pourquoi un firewall ?
De nos jours, la plus part des entreprises possdent de nombreux
postes informatiques qui sont en gnral relis entre eux par un rseau
local. Ce rseau permet d'changer des donnes entre les divers
collaborateurs internes l'entreprise et ainsi de travailler en quipe sur
des projets communs. La possibilit de travail collaboratif apporte par un
rseau local constitue un premier pas. L'tape suivante concerne le besoin
d'ouverture du rseau local vers le monde extrieur, c'est dire internet.
En effet, une entreprise n'est jamais compltement ferme sur elle mme.
Il est par exemple ncessaire de pouvoir partager des informations avec
les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur
signifie aussi laisser une porte ouverte a divers acteurs trangers. Cette
porte peut tre utilise pour des actions qui, si elles ne sont pas
contrles, peuvent nuire l'entreprise (piratage de donnes,
destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et
varis : attaque visant le vol de donnes, passe-temps, ... Pour parer ces
attaques, une architecture de rseau scurise est ncessaire.
L'architecture devant tre mise en place doit comporter un composant
essentiel qui est le firewall. Cette outil a pour but de scuriser au
maximum le rseau local de l'entreprise, de dtecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau
ouvert sur Internet beaucoup plus sr. De plus, il peut galement
permettre de restreindre l'accs interne vers l'extrieur. En effet, des
employs peuvent s'adonner des activits que l'entreprise ne cautionne
pas, comme par exemple le partage de fichiers. En plaant un firewall
limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir
un contrle sur les activits se droulant dans son enceinte. Le firewall
propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il
permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi
d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans
l'encombrer avec des activits inutiles, et d'empcher une personne sans
autorisation d'accder ce rseau de donnes.

2 - Qu'est-ce qu'un pare-feu?


Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en
anglais), est un systme permettant de protger un ordinateur ou un
rseau d'ordinateurs des intrusions provenant d'un rseau tiers
(notamment internet). Le pare-feu est un systme permettant de filtrer les
paquets de donnes changs avec le rseau, il s'agit ainsi
d'une passerelle filtrante comportant au minimum les interfaces rseau
suivante :

Une interface pour le rseau protger (rseau interne)


Une interface pour le rseau externe.

Figure 10 : Fonctionnement de pare-feu

Le systme firewall est un systme logiciel, reposant parfois sur un


matriel rseau ddi, constituant un intermdiaire entre le rseau
local (ou la machine locale) et un ou plusieurs rseaux externes. Il est
possible de mettre un systme pare-feu sur n'importe quelle machine et
avec n'importe quel systme pourvu que :

La machine soit suffisamment puissante pour traiter le traffic ;


Le systme soit scuris ;
Aucun autre service que le service de filtrage de paquets ne fonctionne sur
le serveur.

Dans le cas o le systme pare-feu est fourni dans une bote noire cl en
main , on utilise le terme Appliance .

2 - Fonctionnement d'un systme pare-feu :


Un systme pare-feu contient un ensemble de rgles prdfinies
permettant :

D'autoriser la connexion (allow).


De bloquer la connexion (deny).
De rejeter la demande de connexion sans avertir l'metteur (drop).

L'ensemble de ces rgles permet de mettre en uvre une mthode de


filtrage dpendant de la politique de scurit adopte par l'entit. On
distingue habituellement deux types de politiques de scurit permettant :

soit d'autoriser uniquement les communications ayant t explicitement

autorises :
soit d'empcher les changes qui ont t explicitement interdits.

La premire mthode est sans nul doute la plus sre, mais elle
impose toutefois une dfinition prcise et contraignante des besoins
en communication.

3 - Le filtrage simple de paquets :


Un systme pare-feu fonctionne sur le principe du filtrage simple de
paquets (en anglais stateless packet filtering ). Il analyse les en-ttes
de chaque paquet de donnes (datagramme) chang entre une machine
du rseau interne et une machine extrieure.
Ainsi, les paquets de donnes changes entre une machine du rseau
extrieur et une machine du rseau interne transitent par le pare-feu et
possdent les en-ttes suivants, systmatiquement analyss par le firewall
:

adresse IP de la machine mettrice ;


adresse IP de la machine rceptrice ;
type de paquet (TCP, UDP, etc.) ;
numro de port (rappel: un port est un numro associ un service ou une
application rseau).

Les adresses IP contenues dans les paquets permettent d'identifier la


machine mettrice et la machine cible, tandis que le type de paquet et
le numro de port donnent une indication sur le type de service utilis.
Le tableau ci-dessous donne des exemples des rgles de pare-feu :

Rgl
e

Actio
n

IP source

Accep 192.168.10.20
t

194.154.192.
3

Tcp

any

25

Accep any
t

192.168.10.3

Tcp

any

80

Accep 192.168.10.0/2
t
4

any

Tcp

any

80

Deny

any

Any

any

any

any

IP dest

Protoco
l

Port
source

Port
dest

Tableau 1 : Les rgles de pare-feu

Les ports reconnus (dont le numro est compris entre 0 et 1023)


sont associs des services courants (les ports 25 et 110 sont par
exemple associs au courrier lectronique, et le port 80 au Web). La
plupart des dispositifs pare-feu sont au minimum configurs de manire
filtrer les communications selon le port utilis. Il est gnralement
conseill de bloquer tous les ports qui ne sont pas indispensables (selon la
politique de scurit retenue).
Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs
pare-feu car il correspond au protocole Telnet, permettant d'muler un
accs par terminal une machine distante de manire pouvoir excuter
des commandes distance. Les donnes changes par Telnet ne sont
pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le
rseau et de voler les ventuels mots de passe circulant en clair. Les
administrateurs lui prfrent gnralement le protocole SSH, rput sr et
fournissant les mmes fonctionnalits que Telnet.

4 - Le filtrage dynamique :

Le filtrage simple de paquets ne s'attache qu' examiner les paquets


IP indpendamment les uns des autres, ce qui correspond au niveau 3
du modle OSI. Or, la plupart des connexions reposent sur le protocole
TCP, qui gre la notion de session, afin d'assurer le bon droulement des
changes. D'autre part, de nombreux services (le FTP par exemple) initient
une connexion sur un port statique, mais ouvrent dynamiquement (c'est-dire de manire alatoire) un port afin d'tablir une session entre la
machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les
ports laisser passer ou interdire. Pour y remdier, le systme
de filtrage dynamique de paquets est bas sur l'inspection des
couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des
transactions entre le client et le serveur. Le terme anglo-saxon est
stateful inspection ou stateful packet filtering , traduisez
filtrage de paquets avec tat .
Un dispositif pare-feu de type stateful inspection est ainsi capable
d'assurer un suivi des changes, c'est--dire de tenir compte de l'tat des
anciens paquets pour appliquer les rgles de filtrage. De cette manire,
partir du moment o une machine autorise initie une connexion une
machine situe de l'autre ct du pare-feu; l'ensemble des paquets
transitant dans le cadre de cette connexion seront implicitement accepts
par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets
basique, il ne protge pas pour autant de l'exploitation des failles
applicatives, lies aux vulnrabilits des applications. Or ces vulnrabilits
reprsentent la part la plus importante des risques en termes de scurit.

5 - Les diffrentes catgories de firewall :


Depuis leur cration, les firewalls ont grandement volu. Ils sont
effectivement la premire solution technologique utilise pour la

scurisation des rseaux. De ce fait, il existe maintenant diffrentes


catgories de firewall. Chacune d'entre-elles disposent d'avantages et
d'inconvnients qui lui sont propre. Le choix du type d'un type de firewall
plutt qu'un autre dpendra de l'utilisation que l'on souhaite en faire, mais
aussi des diffrentes contraintes imposes par le rseau devant tre
protg.
A - Pare-feu sans tat :
Cest un filtre statique de paquet (au niveau de la couche 3 du
modle OSI) selon des critres qui se base sur les adresses IP source ou
destination, le protocole encapsul (ICMP, IP, TCP, OSPF ), ou les
numros de ports source ou de destination, ses caractristiques sont les
suivantes :
Sa mise en place est aise laide de rgle simple.

Il
Il
Il
Il

est performant si les rgles sont limites et bien optimiss.


ne prend pas en charge les tats des sessions tablies (statique).
ne prend pas en charge les applications
ne prend pas en charge lauthentification des utilisateurs

B - Pare-feu avec tat :


Cest un filtre dynamique de paquet (au niveau des couches 3 ou 4
du modle OSI) selon des critres qui se base sur les tats des sessions
TCP (NEW, ESTABLISHED, RELATED, INVALID), les ports sources TCP/UDP, le
squenage des paquets, les interfaces associes aux sessions en cours
Ses caractristiques sont les suivantes :

Il
Il
Il
Il

prend en compte les sessions (dynamique).


prsente de bonnes performances.
gre la translation dadresse NAT et PAT.
ne prend pas en compte les protocoles des couches suprieures la

couche transport (Telnet, FTP).

C - Pare-feu applicatif :
Cest un filtre applicatif (couche 7 du modle OSI), chaque connexion
correspond deux connexions : la premire entre lutilisateur et le pare-

feu, et la deuxime entre le pare-feu et le systme vis avec un agent qui


agit comme relais pour chaque application (SMTP, http ).
Ses caractristiques sont :

Il filtre les protocoles applicatifs en profondeur.


Il cache le plan dadresse interne.
Il effectue une journalisation des vnements trs dtaill
Ile prsente une forte puissance de traitement qui nimpacte pas le trafic.
Il ne prend pas en compte ni les trafics UDP ni les protocoles applicatifs
RPC

6 - Catgories secondaires de pare-feu :


A - Pare-feu identifiant :
Il se base sur lidentification des connexions passant travers le
filtre IP. Ladministrateur peut ainsi dfinir des rgles de filtrage par
utilisateurs et non plus par IP, et suivre lactivit rseau par utilisateur.
B - Pare-feu personnel :
Appel aussi pare-feu embarqu, il se base sur la notion de scurit
rduits au systme local et ses applications.
Ses caractristiques sont les suivantes :

Il peut tre un pare-feu sans-tat, avec tat, ou un proxy.


Il contrle le trafic entre deux systmes dun mme rseau local.
Le pare-feu en soit est une application ce qui rend difficile de dsolidariser

la gestion de la scurit de celle de ses applications.


Il rend la gestion fastidieuse mme pour un parc de taille moyenne.

7 - Les limites des firewalls :


Un systme pare-feu n'offre bien videmment pas une scurit
absolue, bien au contraire. Les firewalls n'offrent une protection que dans
la mesure o l'ensemble des communications vers l'extrieur passe
systmatiquement par leur intermdiaire et qu'ils sont correctement
configurs. Ainsi, les accs au rseau extrieur par contournement du
firewall sont autant de failles de scurit. C'est notamment le cas des
connexions effectues partir du rseau interne l'aide d'un modem ou
de tout moyen de connexion chappant au contrle du pare-feu.

De la mme manire, l'introduction de supports de stockage provenant de


l'extrieur sur des machines internes au rseau ou bien d'ordinateurs
portables peut porter fortement prjudice la politique de scurit
globale.
Enfin, afin de garantir un niveau de protection maximal, il est ncessaire
d'administrer le pare-feu et notamment de surveiller son journal d'activit
afin d'tre en mesure de dtecter les tentatives d'intrusion et les
anomalies. Par ailleurs, il est recommand d'effectuer une veille de
scurit (en s'abonnant aux alertes de scurit des CERT par exemple)
afin de modifier le paramtrage de son dispositif en fonction de la
publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une
vritable politique de scurit.

8 - Comparatif de 4 firewalls gratuit :


Les diffrents pare-feu que jai retenus sont totalement gratuits, sans
limite dutilisation, pour 99% dentre eux en franais, et destins un
usage personnel pour les environnements Windows XP, Vista et bien
entendu Seven et tout aussi bien destination du PC de bureau que du
portable. Il sagit pour la plupart de solutions simples demploi pour lequel
lutilisateur nophyte sappuiera sur les rgles automatiques et idalement
laborera une stratgie de dfense au cas par cas en crant des rgles
manuelles fondes et bien rflchies, dans la mesure du possible.
Dans ce comparatif, je vais passer en revue les meilleurs firewalls gratuits,
Les six logiciels retenus sont:

Comodo Firewall
Jetico Personal Firewall
Online Armor Free
PC Tools Firewal
A - Comodo Firewall :

Avec Comodo, l'utilisateur a le choix d'installer le firewall seul ou avec sa


protection supplmentaire contre les logiciels malveillants. Dans la seconde
optique, le module intgr, "Malware Scan" vrifie avant toute installation s'il y a
traces de virus ou de logiciel espion connus sur le systme.

Comodo fonctionne indiffremment sous Windows XP et Vista 32/64 bits et


fait donc office de pare-feu et de protection contre les hackers, spywares,
Trojans et autres usurpations d'identit.
Des rgles gnriques sont prdfinies pour le navigateur Web, le client de
courrier lectronique, le FTP, les applications de confiance et celles
bloquer. Le pare-feu dispose de cinq paliers de comportements (tout
bloquer, personnalis, mode scurit, mode entranement, et dsactiv) et
de cinq autres niveaux d'alertes (de trs basse trs haute). Avec le degr
d'alerte maximal, la lisibilit est parfaite puisque l'on sait le nom de
l'application, les ports rclams, l'adresse IP et les protocoles TCP et UDP
concerns.

Figure 11 : interface de Comodo Firewall

Le pare-feu Comodo Firewall Professional dtecte automatiquement le


rseau local, recense clairement dans "Port Sets" tous les ports ouverts,
affiche les connexions actives, permet de dfinir ses propres rgles de
dfense pour des excutables, des services ou des processus, dtecte les

attaques TCP, UDP et ICMP Flood, et synthtise mme tous les


vnements cls dans son journal.

Les plus
Firewall trs complet
Ports non utiliss masqus et
invisibles Dfense contre les

Les moins
En version anglaise uniquement
Prise en main peu vidente pour un
nophyte

malwares, virus, spywares


Possibilit d'importer et d'exporter
ses rgles Fonctionne sous XP et
Vista 32/64 bits
Tableau 2 : Les plus et les moins de Comodo Firewall

B - Jetico Personal Firewall :


Est un pare-feu trs convivial et peu sophistiqu fonctionnant sous
Windows 98 / Me / NT / 2000 et XP. Le logiciel est en anglais mais des
patchs de traduction sont disponibles. Il existe trois politiques de rglage
au choix, la protection optimale, tout autoriser ou tout bloquer. Dans la
configuration de la protection optimale, des rgles courantes sont dfinies
pour les ports connus tels que la navigation http (80) et https scurise
(443), le FTP (21), les ports emails POP3 (110), SMTP (25) et IMAP (143).

Figure 12 : interace de Jetico Personal Firewall

Le moniteur d'activit (" Traffic monitor ") affiche les histogrammes des
flux entrants et sortants. Le journal (onglet " log ") est en temps rel et ce
sont des pages d'actions qui y sont dtailles (heure, protocole, politique
applique, port de destination, adresse locale, adresse distante,
attaquant) et qui serviront plus l'amateur clair qu'au novice. Il est
possible de crer des rgles personnalises mais cette fonction n'est gure
mise en valeur et trop peu vidente pour un grand dbutant (onglet
configuration, bouton contextuel, new, application rule).

Les plus

Les moins

Un pare-feu gratuit qui fait le

Aide la cration de rgles

minimum

personnalises

Rgles d'ouverture des ports

Pas de jeux de rgles pour la

traditionnelles Moniteur d'activit

messagerie instantane

graphique

Absence du mode apprentissage

Tableau 3 : Les plus et les moins de Jetico Personal Firewall

C - Online Armor Free :


Est un pare-feu gratuit trs " actif " qui scanne tout d'abord toutes
vos applications situes dans le menu Dmarrer, dans le dmarrage
Windows et les fichiers systme et qui cre ensuite les rgles les mieux
adaptes, notamment pour les programmes qu'il reconnat. Pour les
programmes qui ne sont pas d'emble recenss dans sa base, c'est vous
qu'il incombera d'agir en les autorisant ou non. Le rseau local, la box
Internet en mode routeur et le serveur de stockage de fichiers, si vous en
disposez, sont identifis sans aucun problme.
Le firewall ne dispose pas de degrs de paramtrage, autrement dit il est
soit actif soit dsactiv. En revanche, il y prsente un mode entranement
qui analyse et propose des rgles "intelligentes" pour vos programmes.

Figure 13 : interface de Online Armor Free

Seul l'administrateur peut paramtrer le pare-feu via un mot de passe qu'il


aura pris soin de saisir, ce qui constitue une barrire scuritaire de plus.
Grce au "Firewall status", l'utilisateur dispose d'une vue globale sur les
programmes en cours d'utilisation avec des courbes graphiques sur les
flux entrants et sortants (y compris pour les clients P2P), les adresses IP
requrantes.
Dans l'interface du firewall, on peut trs rapidement savoir quels sont les
programmes autoriss, diter et modifier des rgles en cours ou de
nouvelles rgles spcifiques et stopper en un tournemain des applications
menaantes qui se lancent au dmarrage de session. Avec Online Armor
Free vous pouvez tout moment ordonner une analyse des fichiers
systme sensibles, une fonction qui s'avre plutt utile si vous installez
rgulirement beaucoup de nouveaux logiciels et qui se chargera de
radapter de nouvelles rgles pour vos ports ouverts ou inutiliss.

Les plus

Les moins

Scanne et dtecte les programmes

Pas de degrs de rglages du

connus Contrle des fichiers de

firewall (on ou off) En version

dmarrage et fichiers systme,

anglaise uniquement

hosts...

Mise jour manuelle

Spectre graphique des activits

Pour Windows XP uniquement

entrantes et sortantes

Tableau 4 : Les plus et les moins de Online Armor Free

D - PC Tools Firewall :
Malgr une interface plus que sympathique, cette version de PC
Tools Firewall Plus qui a l'avantage d'tre en franais, est moins complte et
moins puissante que Comodo Free Firewall et sa fonction HIPS, par exemple.
Vous n'avez que deux possibilits de rglage, savoir l'activer ou non pour
lutter contre les attaques en temps rel. L'onglet Applications runit les
programmes autoriss et bloqus ainsi que leurs types de permissions
(connectivit complte, accs complet, droits de connexions non
dtermins). Il suffit de double-cliquer sur un programme pour voir en
dtails les rgles en vigueur et le cas chant peaufiner les rgles
avances.

Figure 14 : interface de PC Tools Firewall

En matire de monitoring, il est possible de surveiller les applications


actives, leurs activits (paquets envoys et reus), visualiser les points de
connexion et consulter en dtails l'coute (adresse IP locale, port local). Les
autres fonctions de ce firewall sont le mode furtif, la protection contre

l'injection de code, la journalisation des vnements, l'importation /


exportation des jeux de rgles (*.RLS) et l'exportation de l'historique
(*.CSV).

Les plus

Les moins

Firewall convivial en mode

Peu accessible aux nophytes

automatique

Pas de paliers de rglage du firewall

Mode furtif pour le masquage des

Une rgle manuelle doit tre cre

ports non utiliss

pour le rseau local

Trafic rseau et activit du pare-feu


dtaills Interface russie sous XP
et Vista
Tableau 5 : Les plus et les moins de PC Tools Firewall

9 - Le Pare-feu ASA :
Une entreprise qui dpend de son rseau a besoin d'une scurit
sans faille. Les appareils de scurit adaptative Cisco ASA gamme 5500
garantissent une scurit optimale suffisamment souple pour s'adapter la
croissance et l'volution de votre entreprise.
A - Principales caractristiques :
Les appareils de scurit adaptative Cisco ASA offrent de nombreux
avantages:

Personnalisation : personnalisez votre systme de scurit en fonction de

vos besoins daccs et de la politique de votre entreprise.


Flexibilit : vous pouvez facilement ajouter des fonctionnalits ou mettre
jour un appareil au fur et mesure que votre entreprise se dveloppe et
que vos besoins voluent.

Scurit avance : profitez des dernires technologies en matire de


scurit de contenu, de chiffrement, dauthentification, dautorisation et de

prvention des intrusions.


Simplicit : utilisez un seul priphrique facile installer, grer et

contrler.
Mise en rseau avance : configurez des rseaux privs virtuels (VPN)
offrant aux utilisateurs nomades et distants un accs parfaitement
scuris aux ressources de lentreprise. Vous pouvez galement crer des
rseaux VPN avec dautres bureaux ou entre vos partenaires ou employs
selon leur fonction.

En offrant votre rseau la meilleure scurit, vos employs peuvent


toujours compter sur sa disponibilit. Les appareils de scurit adaptative
Cisco ASA gamme 5500 sont votre premire ligne de dfense et de loin la
meilleure.

La gamme Cisco ASA (Adaptive Security Appliance) assure en profondeur


la protection des rseaux des petites, moyennes et grandes entreprises
tout en rduisant les frais de dploiement et dexploitation. Le Cisco ASA
succde au clbre PIX, le botier firewall et VPN le plus vendu au monde
et runit sur une mme plateforme une combinaison de technologies
prouves. Pour suivre lvolution des menaces, il offre plus de puissance
et des services de scurit de nouvelle gnration comme la Prvention
dIntrusion (IPS), le Filtrage de Contenu (AntiX technologie en
provenance de Trend Micro) ou le VPN SSL.
LASA est administr laide dun puissant logiciel graphique dutilisation
facile et conviviale, ASDM (Adaptive Security Device Manager). ASDM
permet dacclrer la cration de politiques de scurit, de rduire la
charge dadministration et les erreurs de configuration grce des
assistants graphiques dinstallation, des outils de dbogage, et de
surveillance.

B - Cinq raisons de choisir la gamme Cisco ASA :

Technologie de pare-feu scuris et de protection des VPN contre les


menaces Dveloppe autour de la mme technologie prouve qui a
fait le succs du serveur de scurit Cisco PIX et de la gamme des
concentrateurs Cisco VPN, la gamme Cisco ASA est la premire
solution proposer des services VPN SSL et IPSec protgs par la

premire technologie de pare-feu du march.


Services de protection des contenus la pointe de lindustrie Runit la
matrise de Trend Micro en matire de protection contre les menaces et
de contrle des contenus la priphrie Internet et les solutions
prouves de Cisco pour fournir des services anti-X complets
protection contre les virus, les logiciels espions, le courrier indsirable
et le phishing, ainsi que le blocage de fichiers, le blocage et le filtrage

des URL et le filtrage des contenus.


Services volus de prvention des intrusions Les services proactifs de
prvention des intrusions offrent toutes les fonctionnalits qui
permettent de bloquer un large ventail de menaces vers, attaques
sur la couche applicative ou au niveau du systme d'exploitation,
rootkits, logiciels espions, partages de fichiers en peer-to-peer et

messagerie instantane.
Services multifonctions de gestion et de surveillance Sur une mme
plate-forme, la gamme Cisco ASA fournit des services de gestion et de
surveillance utilisables de manire intuitive grce au gestionnaire Cisco
ASDM (Adaptive Security Device Manager) ainsi que des services de

gestion de catgorie entreprise avec Cisco Security Management Suite.


Rduction des frais de dploiement et dexploitation Dveloppe
autour dun concept et dune interface analogues ceux des solutions
de scurit existantes de Cisco, la gamme Cisco ASA permet de rduire
considrablement le cot dacquisition que ce soit dans le cadre dun
premier dploiement dune solution de scurit ou dune gestion au
jour le jour.

Conclusion
Lors de ce stage de deux mois, jai pu mettre en pratique
mes connaissances thoriques acquises durant ma formation,
de plus, jai confront les difficults relles du monde su travail
et du management dquipes.
Aprs lintgration rapide dans lquipe, jai eu loccasion de
raliser plusieurs tches qui ont constitu une mission de stage
globale.
Je pense que cette exprience en entreprise n ma offert une
bonne prparation mon insertion professionnelle car elle fut
pour moi une exprience enrichissante et complte qui conforte
mon dsire dexercer mon futur mtier dingnieur dans le
domaine de systme et scurit informatique.
Durant la ralisation de mon projet, jai confront diffrentes
difficults surtout au niveau du pare-feu ASA
Enfin, il me reste plus qu remercier mon encadrant M.
GOUAZIZ pour sa disponibilit, son soutien et sa mise en
disposition le matriel ncessaire pour la ralisation de mon
projet ainsi que M. ACHAHOD pour sec encouragements et
conseils tout au long de la priode de stage. Je tiens aussi

exprimer mon satisfaction davoir pu travaill dans les bonnes


conditions matrielles et un environnement agrable.

BIBLIOGRAPHIE ET
WEBOGRAPHIE
Bibliographies
Building Internet Firewalls, (2nd Edition)[Paperback] D.
Brent Chapman (author)
Cisco ASA Configuration (Networking Professionals
library) [Paperback] David Hucaby (author)

Webographies

https://fr.wikipedia.org
www.commentcamarche.net
www.generation-nt.com/s/comparatif+firewall/
www.zonealarm.com
www.cisco.com

ANNEXE
Configuration de base dun pare-feu ASA
Interface Web dun Switch

1 - Configuration de base d'un firewall ASA 5505 :

Figure 15 : Pare-feu ASA 5505

A - Schma de travail :

Figure 16 : schma de travail

Je dois rinitialiser le firewall


Je Saisi la commande Config factory-default

Je redmarre le firewall

B - Configuration du firewall aprs le redmarrage :

C - Modification en mode terminale serie :


Je dois dsactiver le DHCP afin d'attribuer une adresse IP au VLAN1:

D - Configuration du VLAN inside (LAN) :


Je saisi les commandes suivantes :

E - Configuration de l'ordinateur (LAN) :


Je dois mettre mon ordinateur dans le mme rseau que l'ASA et je lui
brancher sur le port 1 du firewall

Figure 17 : Configuration de l'adresse IP

Dans le panneau de configuration


Je slectionne Java /onglet scurit, je baisse le niveau de scurit.
Cette partie me permet de connecter mon ordinateur l'interface
graphique du firewall (ASDM) sans avoir d'erreur la connexion.

Figure 18 : Configuration au niveau de scurit

F - Configuration du VLAN outside (WAN)


L'interface outside (VLAN2) est configur par dfaut sur le port eth0/0 ; le
DHCP de l'entreprise Erenet lui attribue une adresse la configuration est :
192.168.2.254 255.255.255.0

J - Configuration du VLAN3 (DMZ) :


Je dois saisir les configurations suivantes :
Jattribue une adresse IP au vlan3

Lorsque je veux donner un nom il y a l'erreur suivante car la licence dont


je dispose ne me permet de configurer que 2 VLAN ; je dois donc saisir la
commande suivante.

Je souhaite assigner le port 6 et 7 au VLAN DMZ

Jai maintenant la configuration suivante :

Jautorise laccs en mode graphique pour les adresses 192.168.2.254


(adresse Inside) et 192.168.3.254 (adresse DMZ) :

JE lance un navigateur : https://192.168.2.254

Figure 19 : interface web de Pare-feu ASA

2 - Interface Web dun Switch :


La fonction Web Server ou HTTP Server sur un router est dsactiver par
dfaut pour des raisons de scurit. Premirement, il faut vrifier si IOS
Web Server n'est pas activer, alors je tape la commande :
Switch# show running-config

Si l'IOS Web server est dsactiv, le command no ip http server doit tre
dans les rsultats de la commande show running-config. Alors pour
l'activer je tape le command suivant :
Switch (config)#ip http server
Pour scuris l'accs par HTTPS:
Switch (config)#ip http secure server
Pour changer le port d'application, le port 80 par dfaut pour le http :
Switch (config)#ip http port 1 65535
Une chose quil ne faut pas oublier. L'accs doit tre protg par un login
et un Mot de Passe alors il faut crer une base de donnes
d'authentification Local.
Pour ce fait:
Switch (config)#username "username" privilege 15 secret
"password"
Japplique cette base de donnes l'accs http par:
switch (config)#ip http authentication local
Cration des ACL Standard cet effet:
Switch (config)#access-list "1 - 99" permit "source ip address"
"source wildcard mask"
Example
switch (config)#access-list 1 permit host 10.10.10.1
Pour appliquer cette ACL l'Access http
Switch (config)# ip http access-class 1

Figure 20 : interface web de Switch