Vous êtes sur la page 1sur 50

Facult des Sciences

Licence Professionnelle:
Administration Rseaux et Scurit des Systmes dInformation

Mmoire du stage professionnel


Etude des rseaux locaux de la circonscription financire de Tanger (Trsorerie gnrale du Royaume) et proposition dune solution pour la scurisation des systmes et du rseau

Prsent par:
EL FOUKI Mohamed

Date de soutenance: 19 juin 2012 JURY :


Prnom et NOM MR. KADIRI MME NOURA AKNIN MR. MAHOUTI Etablissement
Facult des Sciences Ttouan Facult des Sciences Ttouan

Qualit
Prsident Encadrant universitaire

MR.MOUSSA MOHAMED Trsorerie Gnrale du Royaume Encadrant professionnel


Facult des Sciences Ttouan Examinateur

Stage professionnel effectu :


Direction Rgionale de Tanger (Trsorerie Gnrale du Royaume)
Anne Universitaire 2011/2012

AVANT-PROPOS

Auteur : EL FOUKI Mohamed, tudiant de la facult des sciences Ttouan. Thme : Etude des rseaux locaux de la circonscription financire de Tanger (Trsorerie gnrale du Royaume) et proposition dune solution pour la scurisation des systmes et du rseau Etablissement daccueil : Direction Rgionale de Tanger (Trsorerie Gnrale du Royaume) Adresse : Sis Rue Sejelemassa

Ville : Tanger Lieu du stage : Direction rgionale Encadrante du projet la facult : Mme Noura AKNIN Encadrant du projet dans ltablissement daccueil : M MOUSSA Mohamed Dure du stage : Du 15 avril Au 15 Juin 2012

Licence Professionnelle ARSSI

REMERCIEMENTS

Je remercie dabord Professeur Noura AKNIN, notre coordinatrice pour sa disponibilit et ses conseils pertinents, pour la qualit pdagogique des cours. Ainsi que llaboration de ce rapport. Jadresse tout particulirement ma vive gratitude et reconnaissance Monsieur MOUSSA Mohamed, mon superviseur professionnel, chef service des ressource humaines et formation au sein de la direction rgionale du TGR, pour son accueil et la confiance quil ma accord ds mon arrive lentreprise. Je le remercie normment pour le temps quil ma consacr tout au long de la priode du stage, sans oublier son encadrement, ses conseils et ses remarques fines et avises qui mont oriente dans mon stage. Mes vifs remerciements vont galement tout le corps professoral de la facult Des sciences TETOUAN, pour la formation prodigieuse quil nous a assure. Jaimerai aussi manifester ma gratitude tous les membres du jury pour lhonneur quils mont fait, en acceptant la lecture de cette mmoire en vue dapporter leurs jugements les plus prcieux sur ce travail. Enfin, jadresse mes remerciements les plus sincres et profonds toute ma famille et surtout mes parents, pour leur soutien et leurs sacrifices constants tout au long de mes tudes. Ainsi que tous mes amis et les personnes que je nai pas cites et qui ont contribu, de prs ou de loin, la russite de ce travail par leur soutien.

Licence Professionnelle ARSSI

RESUME

Ce rapport prsente le travail de huit semaines effectues au sein des locaux de la TGR dans le cadre stage de fin dtudes dune licence Informatique option : Administration rseaux et scurit des systmes dinformation a la facult des sciences TETOUAN, il sest tenu du 15 Avril au 15 Juin 2012 la Direction Rgionale de la Trsorerie Gnrale du royaume Tanger.

Les entreprises font aujourdhui de plus en plus appel aux systmes dinformation pour optimiser leur fonctionnement et pour amliorer leur rentabilit. La scurit informatique est donc devenue une problmatique incontournable. Un accs non autoris ou malveillant aux systmes informatiques dune entreprise peut induire en quelques minutes des pertes financires trs importantes.

Le prsent rapport est constitu principalement de quatre chapitres, ces chapitres ont pour objectifs dauditer le rseau actuel de circonscription de Tanger pour avoir une tude attentive de larchitecture rseaux dune part, dautre part avoir une tude de lexistant qui nous permet de proposer des solutions appropries, pour lamliorer le niveau de la scurit pour les diffrents sites de circonscription de Tanger . .

Licence Professionnelle ARSSI

SOMMAIRE

GLOSSAIRE.07 LISTE DES FIGURES....08 LISTE DES TABLEAUX09 INTRODUCTION GENERALE........10

Chapitre 1 : Prsentation/ cahier de charge


I. Prsentation de lentit daccueil : 1. Introduction :.11

2. Mission de la TGR : 2.1.Le recouvrement des crances publiques..12 2.2.Le contrle et le paiement des dpenses publiques...12 2.3.La gestion des finances locales 12 2.4.La gestion des dpts au Trsor12 2.5.La production de linformation financire et comptable..12 II. 1. Cahier de charge Prsentation du sujet..13

2. Objectifs13 3. Dmarche Utilise.........13

4. Planification du projet ..........14

Chapitre 2 : Etude de lexistant


I. Linfrastructure gnrale du rseau : 1. Prsentation gographique du rseau16 2. Topologie actuel du rseau...16 3. Liste exhaustive de larchitecture et tude Dbit..17 3.1.Liste exhaustive de Larchitecture17 3.2.Etude Dbit...18 II. Les rseaux locaux de la circonscription de Tanger ; Introduction :.17

1. 2.

MATERIELS MIS EN RESEAU..........18

Licence Professionnelle ARSSI

2.1.

Serveur18

2.2 Les routeurs..19 2.3 Les Switch19 III. Le rseau WAN : 1. Introduction :.20 2. VPN :.20 la scurit au sein du TGR : 1. Introduction 21 2. La scurit de linformation21 3. La politique de scurit au sien de la TGR 22 Critique de lexistant 1. Les imperfections..23 2. Points Positifs :..24

IV.

V.

Chapitre 3 : Solutions proposer


I. II. III. Au niveau de Switch :...25 La mise en place dun par feu :....26 Cisco PIX :.27

Chapitre 4 : Lapplication

I.

Configuration initiale : 1. 2. 3. 4. 5. Introduction :...32 La configuration des interfaces :.....33 La configuration du Nat/pat :..34 Dtection des intrusions..35 Vrification :...35

II.

Configuration du VPN : 1. Introduction :...37 2. La configuration de pix1 (site distance) :....37 3. La configuration du pix2 (sige) :...41 4 Vrification de la configuration : ...48

Licence Professionnelle ARSSI

ACRONYME

SIGLE TGR WAN VPN PSI MAC IP PIX DMZ ASA NAT ACL IPSEC AH ESP IKE CSC-SSM ICMP ASDM HTTPS

DEFINITION
TRESORERIE GENERALE DU ROYAUME WIDE AREA NETWORK VIRTUAL PRIVATE NETWORK POLITIQUE DE SECURIT E DE LINFORMATION MEDIUM ACCESS CONTROL INTERNET PROTOCOL PRIVATE INTERNET EXCHANGE DEMILITARIZED ZONE ET EN FRANCAIS LA ZONE DEMILITARISEE ADAPTIVE SECURITY APPLIANCES NETWORK ADDRESS TRANSLATION ACCESSLIST INTERNET PROTOCOL SECURITY AUTHENTICATION HEADER ENCAPSULATION SECURITY PAYLOAD INTERNET KEY EXCHANGE CONTENT SECURITY AND CONTROL SECURITY SERVICES MODULE INTERNET CONTROL MESSAGE PROTOCOL ADAPTIVE SECURITY DEVICE MANAGER HYPERTEXT TANSFER PROTOCOLE SECURED

Licence Professionnelle ARSSI

LISTE DES FIGURES

Figure 1.1 : les tches effectuer durant le projet.14 Figure 1.2 : Diagramme de Gantt..14 Figure 1.3: Larchitecture Gnrale du rseau..16 Figure 1.4 : La consommation de dbit dans la TGR.17 Figure 1.5 : version du pix...32 Figure 1.6 : schma du nouveau rseau33 Figure 1.7 : interface INSIDE..33 Figure 1.8 : interface DMZ33 Figure 1.9 : interface OUTSIDE.33 Figure 2.0 route par dfaut ................................35 Figure 2.1 Nat statique entre INSIDE et DMZ ..35 Figure 2.2 : cration des Access List ...................36 Figure 2.3 : application des Access List................36 Figure 2.4 : vrification du connexion..................36 Figure 2.5 : prparer limage ASDM....................42 Figure : 2.6 Laccs au routeur via http ...............43 Figure : 2.7 lauthentification 1...........................43 Figure : 2.8 lauthentification 2...........................43 Figure : 2.9 page daccueil du par feu .................44 Figure : 3.0 VPN configuration : tape 1..............44 Figure : 3.1 VPN configuration : tape 2..............45 Figure : 3.2 VPN configuration : tape 3..............45 Figure : 3.3 VPN configuration : tape 4..............46 Figure : 3.4 VPN configuration : tape 5..............46 Figure : 3.5 VPN configuration : tape 5..............47 Figure : 3.6 VPN configuration : tape 6 .............47 Figure 3.7 : vrification de la configuration dans PIX1...47 Figure 3.8 : vrification de la configuration dans PIX2...48 Figure 3.8 : vrification de la connexion entre site distance et sige48

Licence Professionnelle ARSSI

LISTE DES TABLEAUX

Tableau1 : Circonscription de Tanger..16 Tableau 2 : Liste exhaustive des liaisons entre la circonscription de Tanger et sige ..18 Tableau 3 : Les serveurs de la trsorerie 19

Licence Professionnelle ARSSI

INTRODUCTION GENERALE
Ce rapport est le fruit dun stage de fin dtude dans le cadre dune licence Informatique option Administration rseaux et scurit des systmes dinformation la facult des sciences de TETOUAN. Un stage de huit semaines a t effectu du 15 avril au 15 Juin 2012 a la direction rgionale du TGR, afin de parfaire et de valider ma formation. Le sujet du stage qui ma t propos dans le lieu de stage sarticule autour du scurit de linformation au sien de lentreprise. Il sagit dun sujet trs intressant qui rpond parfaitement aux attentes de notre cursus de formation. En effet, le sujet vise Etude des rseaux LOCAUX de la circonscription de Tanger et proposition dune solution pour la scurisation des systmes et du rseau. , Ce qui implique quon doit travailler sur des technologies ainsi que des techniques dont les spcificits sont tudies durant notre formation. Par lintermdiaire de ce stage, nos objectifs consistent principalement proposer une solution pour scuriser le rseau interne et externe de lentit daccueil. Le rapport est constitu principalement de quatre chapitres : Le 1er chapitre se divise en deux parties, la premire a t consacre essentiellement la prsentation de lentit daccueil, quant la deuxime, elle prsente le cahier des charges respecter dont on dfinit le sujet et ses objectifs en mettant laccent sur la dmarche suivie pour la ralisation effective, ainsi que la planification des tches pour assurer le droulement du projet. Le 2me chapitre aborde une tape dlicate du projet permettant une tude bien dtaille de lexistant de linfrastructure rseau de la circonscription de Tanger afin davoir une vision plus prcise sur la topologie rseau, les plans dj raliss, les quipements disponibles et de leurs potentialits, ainsi que des dbits allous. Aprs lanalyse de ces axes, on procde une tude critique de lexistant en mettant laccent sur les points faibles et forts du rseau. Le 3me chapitre est consacr pour la proposition des technologies mettre en uvre, la plate-forme technique, les prs requis et la planification afin de mettre en place les solutions proposes pour amliorer le niveau globale de la scurit et adopter une architecture qui sadaptera plus facilement aux modifications apportes au rseau au fur et mesure de la croissance de lorganisation, et de stabiliser le temps de rponse pour garantir une meilleure qualit de service. Le 4me chapitre est consacr pour lapplication et la mise en place de la technologie propos au sien dun rseau avec le logiciel GNS3.

Licence Professionnelle ARSSI

10

Chapitre

Prsentation / Cahier de charge

I.

Prsentation de lentit daccueil :

1. Introduction :
Le rseau de la circonscription financire de Tanger est constitu dune infrastructure rgionale reliant tous les sites de la trsorerie gnrale situs au Tanger, et leur permettant de communiquer seulement avec le sige Rabat. La Trsorerie Gnrale du Royaume constitue lune des administrations les plus importantes du Ministre des Finances et de la Privatisation et travers laquelle transite lensemble des flux financiers et comptables de lEtat et des collectivits locales.

2. Mission de la TGR :

2.1. Le recouvrement des crances publiques La TGR assure, par le biais de son vaste rseau de comptables publics, la perception des recettes fiscales et non fiscales, travers notamment : la gestion du contentieux administratif et judiciaire relatif au recouvrement et lassistance des percepteurs en la matire; la prise en charge des ordres de recettes au titre du budget gnral de lEtat, des budgets annexes et des comptes spciaux du Trsor; la centralisation des prises en charges et des recouvrements au titre des amendes et condamnations pcuniaires; la gestion des comptes de prts et davances accordes par le trsor et de fonds de roulement consentis par des organismes de financement des projets publics; llaboration des statistiques concernant la situation du recouvrement de crances publiques;

Licence Professionnelle ARSSI

11

2.2.Le contrle et le paiement des dpenses publiques

La TGR assure le contrle et le rglement des dpenses publiques. Ainsi, le rseau de la TGR est charg de contrler la rgularit des engagements de la quasi-totalit des dpenses de lEtat. Elle assure travers son rseau de comptables, le rglement desdites dpenses. En effet, au vu des propositions dengagement et des ordres de paiement transmis par les ordonnateurs accrdits, les services de la TGR procdent au rglement des crances de lEtat moyennant loutil Gestion Intgr de Dpense (GID). La Trsorerie Gnrale assure galement par le biais de la Paierie Principale des Rmunrations (PPR), le contrle et le traitement de la paie de prs 650.000 fonctionnaires. 2.3.La gestion des finances locales A travers son rseau de trsoriers et receveurs communaux, la TGR assure la gestion des budgets de 1659 collectivits locales, de 86 groupements et de 41 arrondissements, En effet, la TGR procde au recouvrement de leurs crances, au rglement des leurs dpenses et la paie de leur personnel. La TGR met contribution galement son expertise en offrant le conseil et lassistance ncessaire aux collectivits locales .Ce conseil qui est de nature juridique et financire, concerne, entre autres, la modernisation des procdures comptables, lanalyse financire et llaboration des tableaux de bord. 2.4. La gestion des dpts au Trsor La TGR assure la mission de gestion des dpts au Trsor. Elle participe travers cette activit au financement de la trsorerie de lEtat. A ce titre, elle gre les comptes des entreprises et tablissements publics qui sont soumis lobligation de dpt de leurs fonds au trsor. Cette activit est tendue galement la gestion des dpts dautres personnes morales ou prives. 2.5.La production de linformation financire et comptable La TGR assure la centralisation des oprations comptables de lEtat et des collectivits locales et de ce fait elle constitue une rfrence en matire de production et de valorisation de linformation comptable de lEtat et des collectivits locales. La production de linformation comptable permet ainsi de : dcrire prcisment les oprations budgtaires et financires. restituer rapidement une information fiable et indispensable la prise de dcision. prparer les documents relatifs la reddition des comptes.

Licence Professionnelle ARSSI

12

II. Cahier de charge


1. Prsentation du sujet
De nos jours, Internet est de plus en plus prsent dans les petites comme dans les grandes entreprises. Son utilisation a amliore les moyens et mthodes de communication avec les clients, les fournisseurs et les partenaires. Internet est devenu un lment indispensable pour les entreprises souhaitant ragir sur un march o la concurrence est de plus en plus importante. Cependant cet essor nest pas sans risque et les attaques entre Internet et les rseaux privs des entreprises se sont multiplies ces dernires annes. De nombreuses mthodes de piratage et dintrusion ont t mises en place, comme les virus et les chevaux de Troie. Toutes ces attaques ont des consquences. Il peut arriver que l'ensemble de l'activit de l'entreprise soit paralyse et des pertes financires sont alors dpourvoir. Pour y remdier, on a vu apparaitre des solutions de protection de plus en plus complexes, comme le Pare-feu. Avec ce type de systme les communications sont filtres et contrles, empchant alors le trafic non dsir de rentrer ou sortir de lentreprise.

2. Objectifs
Les objectifs du projet atteindre sont : Protger l'information circulant sur le rseau. Grer efficacement le rseau dentreprise. Augmenter la scurit du rseau interne et externe. Profiter des lignes internet au maximum. .

3. Dmarche Utilise
Afin de parvenir la ralisation effective de ce projet, nous devons passer par plusieurs tapes: Premirement, nous procderons une tude dexistant de linfrastructure rseau afin de prendre connaissance de la topologie rseau, le plan dadressage, la scurit du domaine, ainsi que des plans dj raliss et des quipements mis en rseau et leurs potentialits. Deuximement, nous effectuerons une tude sur les nouvelles technologies afin de proposer une solution approprie.

Licence Professionnelle ARSSI

13

4. Planification du projet
La planification est parmi les phases davant-projet les plus importantes. Elle consiste dterminer et ordonnancer les tches du projet et estimer leurs charges respectives.

Figure 1.1 : les tches effectuer durant le projet

La figure ci-dessous nous montre le diagramme de Gantt, qui permet de visualiser lenchainement et la dure des diffrentes tches durant le stage :

Figure 1.2 : Diagramme de Gantt

Licence Professionnelle ARSSI

14

Etude de lexistant

Chapitre

I.

Linfrastructure gnrale du rseau :

1. Prsentation gographique du rseau


Le rseau de la circonscription de Tanger est constitu dune infrastructure rgionale reliant tous les sites de la trsorerie gnrale du royaume situs Tanger, et leur permettant de communiquer avec le sige Rabat. Voil les huit sites de la circonscription de Tanger :
DR TANGER TP. Tanger TC. TANGER P. TANGER CENTRE P. HAY EL JADID P. DRADEB P. BENI MAKADA P. ASILAH Tableau1 : Circonscription de Tanger

2. Topologie actuel du rseau


En premier lieu, il a fallu prendre connaissance de la topologie du rseau mis en place dans l'entreprise et savoir la politique de scurit instaure par l'administrateur charg de cette mission. La topologie rseau tudie peut tre prsente sous deux formes distinctes : logique et physique. La topologie physique tant la reprsentation physique du rseau, le rseau actuel sarticule autour d'une topologie physique en toile tendue.

Licence Professionnelle ARSSI

15

La topologie logique tant la reprsentation de la manire dont l'information circule sur le rseau, elle se prsente en utilisant la mthode CSMA/CD (Carrier Sense Multiple Access with Collision Detection) pour la technologie Ethernet du rseau Local.

Alors, on peut sapercevoir de la topologie du rseau actuel dans le schma de larchitecture gnrale du rseau, comme il est illustr par la figure ci-dessous :

Figure 1.3: Larchitecture Gnrale du rseau

Aprs avoir pris connaissance de l'architecture gnrale du rseau, on sest lanc dans sa dcouverte et son analyse pour dcortiquer les mcanismes de fonctionnement et avoir une ide prcise sur sa moulinette de fonctionnement. Linfrastructure gnrale du rseau sarticule autour de deux parties : o Le rseau WAN (cest le rseau qui permet dinterconnecter tous les sites de la circonscription financire de Tanger au sige de rabat). o Le rseau local de chaque site.

3. Liste exhaustive de larchitecture et tude Dbit


3.1. Liste exhaustive de Larchitecture
Suivant le schma de larchitecture gnrale du rseau tous les sites de la circonscription financire de Tanger sont connect au sige grce des connections scuris :

Licence Professionnelle ARSSI

16

Le tableau ci-dessous montre la liste exhaustive du dbit de chaque site connect au sige de rabat

circonscription
TANGER TANGER TANGER TANGER TANGER TANGER TANGER TANGER

Poste
DR TANGER TP. Tanger TC. TANGER P. TANGER CENTRE P. HAY EL JADID P. DRADEB P. BENI MAKADA P. ASILAH

type
vpn ADSL vpn ADSL vpn ADSL vpn ADSL vpn ADSL vpn ADSL vpn ADSL vpn ADSL

Debit
256 k 256 k 128 k 256 k 256 k 256 k 256 k 128 k

Tableau 2 : Liste exhaustive des liaisons entre la circonscription de Tanger et sige

3.2.

Etude Dbit

La consommation de dbit au sein de la TGR se divise en trois trafics principaux : Les applications intranet (gid, gir) Messagerie Internet et tout Applications Web

Figure 1.4 : La consommation de dbit dans la TGR

II.

Les rseaux locaux de la circonscription de Tanger

1. Introduction :
Aprs ltude des rseaux locaux de la circonscription de Tanger jai remarqu que tous les sites sont constitus des mmes quipements, mme schma de cblage, Licence Professionnelle ARSSI
17

donc on va prend comme exemple la Trsoreries Prfectorales pour prsenter les autres sites.

2. MATERIELS MIS EN RESEAU


Un rseau est un ensemble dquipements (des ordinateurs, Serveurs, Routeurs) et de logiciels permettant de relier les quipements informatiques entre eux afin quils puissent communiquer et partager des ressources. Les quipements matriels impliqus dans le rseau de la Trsoreries Prfectorales se composent denviron : 04 Serveurs. 02 Routeurs. 01 Switch 02 hubs Des pc utilisateurs.

2.1.

Serveur

Les serveurs dj prsents dans le rseau de la Trsoreries Prfectorales offrent un ensemble de services applicatifs dont le rle est de rpondre dune manire automatique des demandes envoyes par des clients-Ordinateurs et des logiciels via le rseau, ce dernier comporte les serveurs suivants: Marque IBM HP HP HP Systme dexploitation Unix Unix Unix Windows XP Distribution SCOUNIXWARE RedHat Solaris Sp3

Tableau 3 : Les serveurs de la trsorerie

Serveur SCO UNIXWARE UnixWare est un systme d'exploitation Unix maintenu par lentreprise SCO , il est gnralement dploy en tant que serveur. Actuellement, ses dernires versions sont livres avec de nombreuses autres applications open-source comme Apache, Samba, MySQL PostgreSQL, OpenSSH, et Mozilla.

Serveur RedHat

Licence Professionnelle ARSSI

18

Red Hat est une socit multinationale d'origine amricaine ditant des distributions Linux. Elle est lune des entreprises ddies aux logiciels Open Source les plus importantes et les plus reconnues. Elle constitue galement le premier distributeur du systme dexploitation GNU/Linux. Red Hat a t fonde en 1993 et son sige social se trouve Raleigh en Caroline du Nord. Elle possde en plus de ce dernier un nombre important de bureaux dans le monde entier. Dans la Trsoreries Prfectorales le rle de ce serveur et de fournir des applications qui permettent au client-ordinateur daccder au serveur de base de donne

Serveur Solaris Solaris est un serveur de base de donnes maintenu par oracle, leur rle dans la Trsoreries Prfectorales est de rpandre la requte des client-ordinateur et de sauvegarder les donnes de la TGR.

Serveur Windows XP : Ce serveur contient le logiciel anti-virus Kaspersky Workstation qui permettent de tlcharger les mises jour depuis linternet et de la distribuer aux client-ordinateur de Trsoreries Prfectorales.

2.2.

Les routeurs

Les routeurs permettent laccs au rseau WAN de sige ou la connexion linternet. Ils sont au nombre de deux : o Un routeur qui permet de connecter le rseau local au sige. o Un routeur qui connecte le rseau local au sige par une liaison de backup au cas que la premire liaison tombe en panne

2.3.

Les Switch

Les Switches (Commutateurs en franais), sont des quipements ncessaires dans un rseau local. Du fait de leurs importantes fonctionnalits qui rsident dans la garantie du bon fonctionnement du rseau. On dnombre actuellement au sein de rseau de la T.P un commutateur et deux hubs.

Licence Professionnelle ARSSI

19

III.

Le rseau WAN :

1. Introduction :
Afin de rester en contact avec leurs sites distance la trsorerie gnrale du royaume a mis pour chaque site deux liaisons vpn, une pour transmettre les donnes et lautre cest une liaison de backup au cas que la premire tombe en panne.

2. VPN :
Les rseaux privs virtuels (VPN, Virtual Private Network) permettent de raliser une liaison scurise entre deux rseaux distants travers un rseau public. Ils sont gnralement utiliss pour le tltravail, permettant des employs de se connecter leur entreprise par l'intermdiaire d'internet via un chemin virtuel scuris. Ils peuvent aussi permettre de relier deux sites d'une entreprise sans recourir des lignes spcialises. Il existe donc deux utilisations principales de VPN: - Un rseau priv virtuel client-serveur, o un utilisateur distant se connecte au rseau local de son entreprise. - Un rseau priv virtuel de serveur serveur, lorsque deux rseaux locaux sont connects entre eux. Bien que les VPN ncessitent l'acquisition de produits matriels et logiciels supplmentaires, le cot des communications est moindre, l'entreprise ne s'acquittant que d'un accs internet. Un VPN ncessite: - un serveur VPN pour accepter les connexions des clients VPN - un client VPN - un tunnel par lequel les donnes transitent - une connexion VPN dans laquelle les donnes sont chiffres et encapsules Cette technique fonctionne grce un principe de tunnel dont chaque extrmit est identifie. Ensuite la source chiffre les donnes, les encapsule et les achemine vers la destination. Cette technique met donc en oeuvre le chiffrement et lauthentification des donnes.

Licence Professionnelle ARSSI

20

IV.

la scurit au sein du TGR :

1. Introduction
Oprant dans un environnement de plus en plus ouvert et confronte une prolifration des menaces, la Trsorerie Gnrale du Royaume a entam trs tt la rflexion sur la scurit de son patrimoine informationnel. La scurit nest pas uniquement une prrogative lie aux actions techniques mais la composante humaine joue galement un rle fondamental dans la russite de la mise en place dun dispositif de scurit. Ce but ne peut tre atteint que si les bonnes pratiques en matire de scurit sont ancres dans le quotidien du personnel.

Outil de sensibilisation, ce guide rappelle les rgles de scurit minimales respecter et les bonnes pratiques adopter lors de la manipulation des donnes et lutilisation du systme dinformation de la TGR.

2. QUEST CE QUE LA SECURITE DE LINFORMATION ?


La Scurit de linformation (et du systme dinformation) vise protger linformation contre les diffrentes menaces (humaines, matrielles et naturelles), de manire garantir la continuit des transactions et rduire le plus possible les risques affectant les quatre proprits de linformation qui sont la Disponibilit, lIntgrit, la Confidentialit et la Traabilit (DICT). DISPONIBILITE : Proprit de linformation dtre accessible et utilisable sur demande par une entit autorise, au moment o elle en a besoin. Proprit de linformation dtre exacte, exhaustive et sans altration. CONFIDENTIALITE : Proprit selon laquelle linformation nest rendue accessible ou divulgue quaux personnes, entits ou processus autoriss. TRACABILITE : Proprit de linformation dtre revue et audite. Il est en particulier possible de retracer tous les vnements touchant linformation au cours dune certaine priode.

Licence Professionnelle ARSSI

21

3. LA POLITIQUE DE SECURITE DE LINFORMATION DE LA TGR :


La politique de scurit de linformation (PSI) constitue le cadre de rfrence de la scurit de linformation au sein de la TGR. Elle dfinit : La vision stratgique de la TGR en matire de scurit ; Les diffrentes rgles et bonnes pratiques adopter dans ce domaine. a. Protger mon poste de travail : Mon poste de travail est lune des ressources informatiques auxquelles, jaccde et dont jai la responsabilit dusage. Son utilisation doit tre rationnelle afin de le scuriser ainsi que les informations et les documents qui y sont conservs. En particulier, il est ncessaire de prendre en considration les mesures de scurisation suivantes : Je ne dois pas installer un logiciel sans laccord explicite du responsable informatique concern de la TGR. Je dois mengager ne pas mettre la disposition dutilisateurs non autoriss un accs aux systmes ou aux rseaux, travers mon poste de travail. Je dois faire des sauvegardes rgulires des documents importants. Je dois verrouiller mon poste de travail laide des crans de veille automatique avec un mot de passe afin den prserver laccs.
b. SECURISER MA MESSAGERIE :

La messagerie lectronique est un mode de communication permettant denvoyer et de recevoir des messages par un procd de courrier lectronique, entre des correspondants identifis chacun par une adresse lectronique. Je vrifie la source des e-mails avant de les ouvrir, avant dy rpondre ou de les transmettre ; Jvite de faire circuler des messages e-mails non professionnels (messages comportant des propos provocants ou caractre injurieux, raciste, etc.) ; Je suis responsable de tout ce que jcris dans un e-mail ; Je ne communique mon adresse

c. FIABILISER LUTILISATION DE LINTERNET :

Internet est un outil de communication qui permet aux gens de communiquer et de schanger de linformation en utilisant les technologies de linformation et communication. De plus en plus communicants, ces systmes sont aussi plus vulnrables aux attaques et leur scurisation est un enjeu majeur.

Licence Professionnelle ARSSI

22

La consultation des sites Internet se fait sous le nom de la TGR. Pour prserver son image, il est essentiel que je fasse usage des services Internet dans le cadre exclusif de mes activits professionnelles et dans le respect des principes et des rgles en vigueur la TGR. Je nutilise pas de moyens autres que ceux offerts par la TGR pour me connecter Internet (Modem 3G, Wifi, ) ; Je ne tlcharge jamais des fichiers provenant des sites douteux ; Je nusurpe jamais lidentit dune autre personne pour accder des sites Internet ; Jai le droit dutiliser Internet des fins personnelles, mais cette utilisation doit rester raisonnable, elle ne doit pas nuire lefficacit du travail

V.

Critique de lexistant

Etude de larchitecture rseau de la circonscription de Tanger, nous a permis de relever des points positifs, ainsi que des imperfections.

1. Les imperfections
Le manque de la documentation dtaille A titre dimperfections, nous avons constat un manque de documentation dtaille relative linfrastructure rseau ainsi que ses composantes. Utilisation des hubs : Un hub c'est un concentrateur, une sorte de "multiprise" rseau. Les ordinateurs sont connects entre eux et peuvent communiquer tous ensemble. Le principal inconvnient du hub est qu'il renvoie les donnes vers tous les autres ordinateurs, mme ceux qui ne sont pas destinataires. Les ports de Switch/hub ne sont pas scuriss : Nimporte qui il personne peut connecter leur pc au rseau local dun site, aprs de configurer ladresse et la passerelle il peut faire tous ce que il veut dans le rseau. Les pc et les serveurs sont dans le mme sous-rseau : Il y a pas mal des utilitaires qui permet dcouter les donnes changer dans le rseau

Licence Professionnelle ARSSI

23

2. Points Positifs :
Rseau commut/concentr On observe que dans le rseau local en utilisant des commutateurs avec des commutateurs pour rduire le risque de collision. Les quipements d'interconnexion Les quipements d'interconnexion (Switchs, routeurs ...) sont de bonne qualit et permettent un bon fonctionnement du rseau.

Licence Professionnelle ARSSI

24

Chapitre

Solutions proposer

I.

Au niveau de Switch :

Switch est un Equipment trs important pour crer un rseau, cest lui qui permet dinterconnecter les ordinateurs et de transmit les donnes entre eux, donc si on veut scuriser un rseau il faut scuriser le Switch dabord. Pour la TGR deux menaces sont dtect au niveau de Switch pendent ltude :

La configuration au niveau de Switch pour rsoudre ce problme : 1)Switch (config-if)#shutdown.

2)Switch (config-if)#switchport mode access. Switch (config-if)#switchport port-security. Remarque : La Dfinition des adresses MAC autorises sur un port peut tre soit automatique ou statique.

Licence Professionnelle ARSSI

25

Adresse MAC fixe:

Switch (config-if)# switchport port-security mac-address 0123.4567.1423.7890. Adresse MAC dynamique:

Switch (config-if)#switchport port-security mac-address sticky.

II. La mise en place dun par feu :


Afin dassurer tout scurit dans le rseau local, la TGR doit installer dans chaque site un par feu. Cest un systme permettent de dfinir des rgles d'accs entre les trois rseaux, Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feu permettant d'isoler les diffrents rseaux de ltablissement : on parle ainsi de cloisonnement des rseaux .

Choix dun par feu :

Le site est connect avec le sige par une liaison Vpn.

Les routeurs installs au niveau de sige sont des routeurs Cisco.

La nouvelle politique de la TGR est dinstaller un rseau voix sur IP entre ses sites.

Afin de respecter ces existants jai choisi le par feu Cisco pix pour le install dans le rseau de chaque site de la circonscription du Tanger.

Licence Professionnelle ARSSI

26

III. Cisco PIX :

1. Le principe
Le principe de base du PIX est simple Le PIX est une solution matrielle et logicielle qui permet d'administrer des rseaux ou des segments rseaux. Une manire simple d'imager un PIX est de le considrer comme une porte verrouille. Pour passer au travers de cette porte et accder aux services disponibles sur l'autre segment rseau, il faut possder la clef, permettant de l'ouvrir. C'est le PIX qui va dcider de donner ou non cette clef. Avec le PIX 8,3 il est ainsi possible dadministrer le trafic entrant et sortant sur six interfaces diffrentes: Extrieure: celle o passe le trafic internet Intrieure : correspond gnralement la passerelle par dfaut des utilisateurs de lentreprise Quatre autres interfaces appeles DMZ (Zone dmilitarise) qui contiennent les serveurs.

Chacune de ces interfaces possde un niveau de scurit diffrent permettant dy restreindre les connexions.

2. ASA
ASA est lalgorithme de scurit utilis par les PIX Cisco. Il se base sur un systme de filtrage dit stateful . Cela signifie que le PIX utilise un systme dynamique. Il maintient une table des connexions en cours permettant ainsi dautoriser les paquets appartenant une session cre pralablement. ASA suit les rgles suivantes : Les connexions sortantes correspondent aux connexions tablies sur une interface avec un haut niveau de scurit vers une interface avec un niveau de scurit bas. Par dfaut ces connexions sont autorises moins quelles soient explicitement refuses.

Licence Professionnelle ARSSI

27

Les connexions entrantes correspondent aux connexions tablies sur une interface avec un bas niveau de scurit vers une interface avec un haut niveau de scurit. Par dfaut ces connexions sont refuses moins quelles soient explicitement autorises. Un paquet ne peut pas traverser le PIX sans connexion et tat. Ltat est supprim au bout dun certain temps dinactivit.

Tous les paquets ICMP sont refuss, sauf autorisation explicite avec les ACL (Listes daccs)

3. Passage des donnes dans le PIX

Pour le passage des donnes dans le PIX, deux cas se prsentent nous. Les paquets arrivent sur une interface qui a un niveau de scurit lev. Les paquets arrivent sur une interface avec un niveau de scurit plus petit.

Dans le premier ASA va commencer par vrifier si le paquet respecte les rgles vues cidessus et dans le cas contraire le supprimer. Ensuite ASA regarde si une session na pas dj t tablie. Si ce nest pas le cas, une nouvelle connexion est cre ainsi quun emplacement stock dans la table avec les informations de translation. Une fois lopration effectue, ASA va modifier le champ IP du paquet en y mettant ladresse globale, puis lenvoyer linterface destinatrice. Informations stockes dans lemplacement:

L'adresse IP correspond la source et l'adresse globale l'adresse pour accder l'interface avec le niveau scurit bas. Cette adresse globale est obtenue grce au NAT (Translation d'adresse Rseau) On peut utiliser soit la NAT statique, soit la NAT dynamique. La NAT statique correspond l'association de n adresses avec n adresses, soit une adresse interne pour une adresse externe. C'est utile par exemple pour associer une IP fixe internet l'adresse prive d'un serveur de l'entreprise. La Nat dynamique correspond quant elle l'association d'une adresse choisie dans un pool d'adresses n adresses. La Nat dynamique est aussi connu sous le nom IP Masquering. Dans le deuxime cas lorsqu'un paquet arrive sur une interface avec un niveau de scurit bas pour aller sur une interface avec un niveau de scurit haut, ASA va aussi vrifier

Licence Professionnelle ARSSI

28

si le paquet correspond aux attentes. Si le paquet passe toutes les rgles avec succs, ASA enlve alors l'adresse de destination et insre la place l'adresse interne. Grce ces mthodes les adresses sont masques et on augmente donc le niveau de scurit. Mais cela ne suffit pas. Il faut aussi ajouter des listes de contrle d'accs. En fonction de ces ACL seules les machines autorises pourront accder un service par un port spcifique sur un serveur.

4. Vpn :
Un rseau priv virtuel (RPV ou VPN pour Virtual Private Network) est un service offrant une connexion scurise via un rseau public entre au moins deux systmes informatiques. Un RPV peut tre install entre une machine et un rseau priv (utilisateur distant site) ou entre deux rseaux privs (site site). Les fonctions de scurisation varient dun produit lautre, mais la plupart des spcialistes des RPV conviennent quun RPV doit intgrer dans ses fonctionnalits le chiffrement, une bonne authentification des utilisateurs distants ou htes et des mcanismes permettant de cacher les informations sur la topologie du rseau priv dventuels pirates ou agresseurs prsents sur le rseau public. Le protocole IPSec : IPSec est un protocole offrant une scurit de bout en bout : toutes les fonctionnalits et tous les renseignements concernant la connexion RPV rsident aux extrmits de la liaison, soit au niveau dune passerelle soit celui de lhte. Le rseau IP dun fournisseur daccs nest pas sensible lexistence dun RPV IP, car les techniques de tunnellisation permettent le transport de donnes dapplications par encapsulation. Ladresse source et ladresse destination des paquets sont les adresses IP des extrmits du tunnel ainsi cr. Ces paquets sont donc achemins comme tout autre paquet IP normal sur le rseau IP partag. Plusieurs protocoles de tunnellisation sous IP ont t crs par le pass, mais ces trois dernires annes, IPSec sest impos au premier rang de ces protocoles, si bien quil est la technique la plus employe lorsquil sagit de mettre en oeuvre une liaison site site sur un rseau public. Le protocole IPSec a t mis au point initialement pour scuriser des communications prives sur des rseaux IP publics. Il comporte deux fonctions principales de scurit :

lauthentification
qui garantit lauthentification et lintgrit de la totalit du paquet IP

le chiffrement
qui garantit la confidentialit des donnes utiles ou charge utile

Licence Professionnelle ARSSI

29

Grce au protocole IPSec, il est possible de dfinir un tunnel entre deux passerelles. Le plus souvent, la passerelle IPSec est un routeur daccs distant ou un pare -feu sur lequel est mis en oeuvre le protocole IPSec. Les passerelles IPSec se situent entre le rseau priv de lutilisateur et le rseau partag de lentreprise de tlcommunications. Un tunnel IPSec est cr de faon dynamique ; il disparat sil nest pas utilis. Pour crer un tunnel IPSec, deux passerelles doivent sauthentifier et dfinir les algorithmes et les cls de scurit dont elles vont se servir pour mettre en place le tunnel. La totalit du paquet IP initial est chiffr et envelopp entre des en-ttes dauthentification et de chiffrement IPSec, si bien quil devient la charge utile dun nouveau paquet IP dont les adresses IP de source et de destination sont les adresses IP des passerelles IPSec sur le rseau public. Ce processus permet la sparation logique du trafic du RPV sur un rseau IP partag. Un routage IP normal sopre entre les deux extrmits du tunnel. Les fonctionnalits dIPSec reposent sur les protocoles suivants : deux protocoles assurant la scurit du trafic : o le protocole dauthentification AH (Authentication Header) qui garantit lintgrit des donnes. o le protocole de confidentialit ESP (Encapsulation Security Payload) qui garantit lintgrit et la confidentialit des donnes. le protocole de gestion des cls de chiffrement IKE (Internet Key Exchange), utilis pour ngocier les connexions IPSec.

Chiffrement des donnes : Le protocole IPSec assure la confidentialit des donnes laide dalgorithmes de chiffrement symtrique et de cls de session. Les algorithmes les plus utiliss sont :

ESP-NULL

aucun chiffrement

DES

chiffrement laide dune cl de 56 bits .

3DES

chiffrement laide dune cl de 168 bits .

AES

chiffrement laide dune cl de longueur variable : 128, 192 ou 256 bits.

Licence Professionnelle ARSSI

30

En application de la RFC 2401, tous les matriels compatibles IPSec devraient permettre dutiliser au moins les deux solutions ESP-NULL et DES. On estime cependant que lalgorithme DES noffre quun chiffrement de faible niveau en raison de la faible longueur de la cl utilise. Certains vendeurs dconseillent dutiliser cet algorithme et des fabricants refusent de lintgrer dans leurs produits (FreeS/Wan).

change de cls de session : Lalgorithme de Diffie-Hellman (DH) est un protocole de chiffrement cl publique. Il permet deux parties de possder en commun une cl secrte. Ainsi lalgorithme DH est utilis au sein du protocole IKE pour crer une cl secrte partage utilise comme cl de session. Les groupes DH les plus utiliss sont :

le groupe 1
utilise une cl publique de 768 bits pour crer la cl secrte partage,

le groupe 2
utilise une cl publique de 1 024 bits pour crer la cl secrte partage.

Licence Professionnelle ARSSI

31

Chapitre

Lapplication

I. Configuration initiale :
1. Introduction : Jai choisi GNS3 comme simulateur pour configurer ce par feu, par ce que cest le seul qui peut intgrer le par feu dans un rseau, mais le seul problme que jai t oblig de chercher et tlcharger limage IOS de ce par feu et enfin jai trouv la version 8.

Figure 1.5 : version du pix

Lavantage de cette version cest que on peut ajouter une petite carte d'extension appele Cisco
CSC-SSM (Content Security and Control Security Services Module) et capable de faire du filtrage d'URL, du filtrage de contenu, de l'anti-phishing et de l'anti-spam. Cette carte d'extension qui est un ordinateur complet fait tourner un Systme d'exploitation et un IDS/IPS autonome. Afin de prsenter la configuration et le fonctionnement de ce par feu, je vais le installer dans un rseau comme le montre la figure sous dessous :

Licence Professionnelle ARSSI

32

Figure 1.6 : schma du nouveau rseau

2. La configuration des interfaces :

Interface du rseau local :

Figure 1.7 : interface INSIDE Interface du rseau DMZ :

Figure 1.8 : interface DMZ Interface du rseau Wan :

Figure 1.9 : interface OUTSIDE

Les niveaux de scurit contrlent la manire dont inter-agissent les interfaces entre elles. Une interface d'un haut niveau peut s'adresser une autre d'un niveau moindre. Bien entendu, il faut qu'une translation d'adresse soit configur (commandes Nat et global, ou

Licence Professionnelle ARSSI

33

static). Par contre, pour qu'il puisse y avoir une communication dans le sens contraire (interface de bas niveau vers une interface de haut niveau), il faut recourir l'utilisation d'Access List. Ainsi, le niveau de scurit '0' correspond gnralement l'interface de moindre confiance (WAN) et le niveau '100' correspond donc au LAN. Note : Deux interfaces configures avec le mme niveau de scurit ne pourront pas communiquer.

3. La configuration du Nat/pat :
On va ajouter une instruction de commande Nat pour chaque interface dun niveau de scurit suprieur pour tablir des connexions des interfaces avec des niveaux de scurit infrieurs:

Pour permettre aux utilisateurs de l'intrieur de communiquer sur n'importe quelle interface de scurit plus faible (dmz, outside).

Pour permettre aux utilisateurs de zone dmilitarise de communiquer sur n'importe quelle interface de scurit plus faible (outside).

Ajoutez une instruction de commande Global pour chaque interface de scurit plus faible pour tablir des connexions des interfaces avec des niveaux de scurit suprieure :

Pour permet aux utilisateurs lintrieur du rseau local de communiquer avec les utilisateurs de la DMZ par ladresse 10.0.1.10 : 1)

2)

La deuxime commende signifie que toutes les connexions dmarres partir dune interface avec un niveau de scurit suprieur possdant lid Nat 1 peuvent accder linterface outside et utiliser ladresse de linterface Outside (200.0.0.1).

Il est important de dfinir aussi une route par dfaut. Pour cela on va utiliser la commande route en spcifiant linterface sur laquelle on lapplique et ladresse IP. Un PIX ne peut contenir quune seule route par dfaut. Dans notre cas a sera celle vers le routeur. Licence Professionnelle ARSSI
34

Figure 2.0 route par dfaut

Par dfaut une connexion initie partir dune interface avec un niveau de scurit bas vers une interface avec un niveau de scurit plus lev est refuse. Pour y parvenir Tout en gardant un accs scuris, il faut utiliser les commandes static , access-list et Accessgroup . La commande static permet de fournir lutilisateur qui se trouve sur linterface la moins scurise, une adresse IP pour accder lhte ou serveur de lautre interface plus scurise. La syntaxe de cette commande est la suivante : [no] static (interface scurit leve, interface ip_scurit_haute netmask masque de sous rseau. scurit basse) ip_scurit_basse

Figure 2.1 nat statique entre INSIDE et DMZ

4. Dtection des intrusions


Le PIX possde un systme de dtection dintrusions. Il contient une base avec un ensemble de signatures, bases sur deux types de politique, info et attack . Avec les commandes suivantes on peut le configurer afin quil ralise une action ds quune intrusion est dtecte. ip audit info [action ip audit attack [action [alarm] [drop] [reset]]

[alarm]

[drop]

[reset]]

Alarm permet de remonter une alerte. Drop permet de supprimer les paquets. Reset permet de rinitialiser la connexion TCP.

5. Vrification :
Par dfaut le pix bloque tous les paquets ICMP donc afin de vrifier la connexion entre le rseau local et la DMZ on doit ajouter des Access liste pour autoriser le Ping depuis le rseau local vers le rseau de la DMZ : A) Cration des Access List La commande Access List va permettre dcrire des rgles pour dfinir la manire dont les utilisateurs peuvent accder la machine en utilisant ladresse globale fournie. Cest--dire quelles sont les adresses IP autorises, refuses, par quel port lutilisateur peut-il passer. Elle vous permet de grer les permissions. Tout ce qui nest pas explicitement autoris est refus. Licence Professionnelle ARSSI
35

Figure 2.2 : cration des Access List

La premire commande nous permettons dautoriser les paquets ICMP (Echoc) depuis le rseau local. La deuxime commende permet dautoriser la rponse de Ping depuis le rseau DMZ. La dernire commande permet dautoriser la rponse de Ping depuis le rseau WAN. B) Application des Access List : Une fois que les Access List ou ACL de linterface sont dfinies on utilise la commande Access-group pour appliquer les ACL linterface

Figure 2.3 : application des Access List

C) c) vrification de la connexion : Afin de vrifier la configuration je vais envoyer une Ping depuis la machine de rseau local vers une autre dans le rseau DMZ

Figure 2.4 : vrification du connexion

Licence Professionnelle ARSSI

36

II. Configuration du VPN :

1. Introduction :
Cette configuration permet deux Cisco Secure PIX Firewall de excuter un simple rseau priv virtuel (VPN) tunnel de PIX a PIX sur Internet ou un rseau public qui utilise la scurit IP (IPSec). IPSec est une combinaison de standards ouverts qui assure la confidentialit des donnes, l'intgrit des donnes et l'authentification d'origine des donnes entre pairs IPSec.

2. La configuration de pix1 (site distance) :

IKE et IPSec Configuration

La configuration d'IPSec sur PIX ne varie lorsque vous insrez les informations de l'homologue et la convention de dnomination choisie pour le crypto-cartes et les jeux de transformation. La configuration peut tre vrifie avec l'criture terminal ou commandes show. Les commandes correspondantes sont show isakmp, show politique isakmp, show access-list, show crypto ipsec transformer-set, et show crypto-carte.

La configuration sera ralise en quatre tapes :

Etape 1 : Prparation la VPN Etape 2 : configurer IKE

Etape 3 : Configuration de IPSec

Etape 4 : autoriser le trafic IPSec

Etape 1 :
Avant de commencer les mains de la configuration, vous devez dterminer les options que vous allez utiliser : Licence Professionnelle ARSSI
37

htes qui seront dans le VPN ? La manire dont bon nombre de ses pairs. Quelles stratgies IKE utiliser (comme algorithme de hachage, DH groupe, etc). Dans cet exemple, nous allons l'utiliser: Authentication: pre-shared Encryption: 3des DH group:2 Hash:md5

Etape 2 :
La configuration IKE doit tre trs bien fait. Si on manque une tape ici, le VPN ne fonctionne pas.

2.1 - Dfinition de l'authentification de l'homologue mthode (nous allons utiliser pr-partage, qui ncessite une cl pour tre configures manuellement). 2.2 - Spcification de l'algorithme de cryptage (nous utiliserons 3DES). 2.3 - Dfinition du groupe Diffie-Hellman. 2.4 - Spcification de l'algorithme de hachage. 2.5 - Activer isakmp 2.6 - Slection de la cl pr-partage (tgrtanger).

Les commandes de configuration

(2.1) isakmp policy 10 authentication pre-share (2.2) isakmp policy 10 encryption 3des (2.3) isakmp policy 10 group 2 (DH group) (2.4) isakmp policy 10 hash md5 (2.5) isakmp enable outside (2.6) isakmp identify address (2.6) isakmp key tgrtanger 200.0.0.1 netmask 255.255.255.255

Licence Professionnelle ARSSI

38

Etape 3 :

La configuration d'IPSec sera acheve en six tapes :

3.1 - Cration d'une liste de contrle d'accs (pour dfinir le trafic crypter). 3.2 - Configuration de l'ensemble de transformation (la combinaison d'algorithmes de cryptage). 3.3 - Configuration de IPSec SA VIE. 3.4 - La cration d'une entre de crypto-map. 3.5 - Appliquer l'ensemble de crypto-map une interface. 3.6 - Exclure le trafic VPN de NAT.

Les commandes de configuration

(3.1) access-list Outside_1_cryptomap extended permit ip 10.0.3.0 255.255.255.0 site 255.255.255.255 (3.1) access-list inside_nat0_outbound extended permit ip 10.0.3.0 255.255.255.0 site 255.255.255.0 (3.2) crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac (3.3) crypto ipsec security-association lifetime seconds 86400 (3.4) crypto map Outside_map 1 match address Outside_1_cryptomap (3.4) crypto map Outside_map 1 set transform-set ESP-3DES-MD5 (3.4) crypto map Outside_map 1 set peer 200.0.0.1 (the peer) (3.5) crypto map Outside_map interface Outside (3.6) nat (inside) 0 access-list inside_nat0_outbound

Licence Professionnelle ARSSI

39

Etape 4 :

Par dfaut, la configuration inclut une politique qui correspond toutes les applications par dfaut d'inspection du trafic et s'applique certains contrles de la circulation sur toutes les interfaces (une politique globale). Toutes les inspections ne sont actives par dfaut. Vous ne pouvez appliquer qu'une seule politique globale. Si vous souhaitez modifier la politique globale, vous devez soit modifier la stratgie par dfaut ou dsactivez-le et appliquez-en un nouveau. (Une interface politique remplace la politique globale.)

(4.1) autoriser les protocoles par dfaut de passer par le tunnel (4.2) pour ajouter le protocole ICMP a la liste des protocoles autoriss (4.3) appliquer la politique Global_policy.

Les commandes de configuration

(4.1) class-map inspection_default (4.1) match default-inspection-traffic (4.2) policy-map global_policy (4.2) class inspection_default (4.2) inspect icmp (4.3) service-policy global_policy global

Licence Professionnelle ARSSI

40

3. La configuration du pix2 (sige) : 3.1. Installation des logiciels ncessaire :

La premire tape est dinstaller un server TFTP. Copier limage ASDM dans le dossier racine de ce serveur

Afin de lancer le programme ASDM on doit installer java environnement

3.2.

Prparation du par feu :

Apres linstallation on doit tlcharger limage depuis le serveur TFTP et la dplacer dans la mmoire flash du PIX :

Licence Professionnelle ARSSI

41

Figure 2.5 : prparer limage ASDM Voil maintenant limage est bien dplacer dans la mmoire flash, on va spcifier leur emplacement avec la commande suivante :

Pour activer le mode graphique dans la Pix :

La cration dun utilisateur avec les privilges 15 (administrateur)

3.3.

Configuration

Ouvrez votre navigateur et saisissez https:// <IP_Address> de l'interface de pix qui a t configur pour ASDM Access pour accder la ASDM sur le par feu.

Licence Professionnelle ARSSI

42

Cliquez sur Install ASDM launcher and run ASDM afin de tlcharger l'installateur de l'application ASDM.

Figure : 2.6 Laccs au routeur via http Vous devez authentifier pour tlcharger le setup ASDM depuis le routeur.

Figure : 2.7 lauthentification 1 Une fois le tlchargement terminer, suivez les tapes diriges par les invites pour installer le logiciel et lancez le programme de lancement de Cisco ASDM.

Figure : 2.8 lauthentification 2

Licence Professionnelle ARSSI

43

Entrez l'adresse IP de l'interface que vous avez configur avec le http, et un nom d'utilisateur et mot de passe si vous avez spcifi un.

Figure : 2.9 page daccueil du parfeu Excutez le VPN IPsec Wizard Choisissez le type de site site VPN IPsec tunnel et cliquez sur Suivant, comme indiqu ici.

Figure : 3.0 VPN configuration :tape 1 Indiquez l'adresse IP du routeur a Lautre ct du rseau VPN. Entrez les informations d'authentification utiliser, qui est la cl pr-partage dans cet exemple. La cl pr-partage utilise dans cet exemple est tgrtanger. Le nom du

Licence Professionnelle ARSSI

44

groupe Tunnel sera votre adresse IP externe par dfaut si vous configurez L2L VPN. Cliquez sur Suivant.

Figure : 3.1 VPN configuration :tape 2

Spcifiez les attributs utiliser pour IKE, galement connu sous le nom de "Phase 1 ". Ces attributs doivent tre la mme des deux cts du tunnel. Pour notre exemple je vais choisir 3DES comme algorithme de cryptage, pour lauthentification et le groupe DH 2

Figure : 3.2 VPN configuration :tape 3

Licence Professionnelle ARSSI

45

Spcifiez les attributs utiliser pour IPsec, galement connu sous le nom de "Phase 2 ". Ces attributs doivent tre identique dans les deux cts.

Figure : 3.3 VPN configuration : tape 4

Spcifier les htes dont le trafic devrait tre autoris traverser le tunnel VPN. Dans cette tape, vous devez fournir les rseaux locaux et distants pour le tunnel VPN. Cliquez sur le bouton situ ct des rseaux locaux comme indiqu ici de choisir l'adresse de rseau local partir de la liste droulante.

Figure : 3.4 VPN configuration :tape 5

Licence Professionnelle ARSSI

46

Figure : 3.5 VPN configuration : tape 5

Les attributs dfinis par l'Assistant VPN sont affichs dans le prsent rsum. Vrifiez la configuration et cliquez sur Terminer lorsque vous tes satisfait des paramtres sont corrects.

Figure : 3.6 VPN configuration :tape 6

Licence Professionnelle ARSSI

47

4.

Vrification de la configuration :

A. PIX1 :

Figure 3.7 : vrification de la configuration dans PIX1 B. PIX2 :

Figure 3.8 : vrification de la configuration dans PIX2

Vrification de la connexion entre site distance et sige

Figure 3.8 : vrification de la connexion entre site distance et sige

Licence Professionnelle ARSSI

48

CONCLUSION

Le systme dinformation dune entreprise peut tre vital son fonctionnement. Il est donc ncessaire dassurer sa protection, afin de lutter contre les menaces qui psent sur lintgrit, la confidentialit et la disponibilit des ressources. La malveillance informatique est souvent lorigine de ces menaces, quil sagisse de vol dinformation ou de sabotage, nimporte qui pouvant simproviser pirate informatique avec des outils adapts . Beaucoup de comptences sont ncessaires pour assurer une scurit optimale, mais il est impossible de garantir la scurit de linformation 100%. Malgr tout, il existe des moyens efficaces pour faire face ces agressions. Cest pour cela quil est utile de bien savoir grer les ressources disponibles et comprendre les risques lis la scurit informatique, pour pouvoir construire une politique de scurit adapte aux besoins de la structure protger. La mise en place dun dispositif de scurit efficace ne doit cependant jamais dispenser dune veille rgulire au bon fonctionnement du systme.

Licence Professionnelle ARSSI

49

REFERENCE

Information sur lentreprise Le matriel mise en place configuration configuration Gns3 Les images des equipements

www.tgr.gov.ma
http://www.ldlc.com/informatique/reseau/firewall-hardware/c4308b000032467/ ww.cisco.com http://www.4shared.com/office/3mhkyIeC/CISCO_Pix.html http://commandes.freehostia.com/index.php?option=com_content&view=articl e&id=49:installation-et-configuration-de-gns3&catid=44:outils&Itemid=66 http://www.oneclickdownloaer.com/download/product_download.php

Licence Professionnelle ARSSI

50

Vous aimerez peut-être aussi