Vous êtes sur la page 1sur 24

Module IV: 10 heures de CM, TD et TP

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

192

Notion de DMZ et NAT


Il existe une infinit de faon d'organiser son rseau mais, quand la scurit entre
en jeu, il est conseill d'avoir une architecture rseau bien structure. Dans la
pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des
politiques de scurit diffrentes.

C'est la raison pour laquelle il est ncessaire de mettre en place des architectures
de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise :
on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois
galement utilis).

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

193

Notion de DMZ et NAT


Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de
l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public,
etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau
part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant
risquer de compromettre la scurit de l'entreprise.
On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone)
pour dsigner cette zone isole hbergeant des applications mises disposition
du public.
La DMZ fait ainsi office de zone tampon entre le rseau protger et le
rseau hostile
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

194

Notion
DMZetet
NAT
Notion de
de DMZ
NAT

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

195

Notion de DMZ et NAT


Les serveurs situs dans la DMZ sont appels bastions en raison de leur position
d'avant poste dans le rseau de l'entreprise.
La politique de scurit mise en uvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ;
Traffic du rseau externe vers le rseau interne interdit ;
Traffic du rseau interne vers la DMZ autoris ;
Traffic du rseau interne vers le rseau externe autoris ;
Traffic de la DMZ vers le rseau interne interdit ;
Traffic de la DMZ vers le rseau externe refus.
La DMZ possde donc un niveau de scurit intermdiaire. Ces rgles sont gres par un
Pare-feu (Firewall).
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

196

Notion de DMZ et NAT


Un pare-feu (de l'anglais firewall), est un logiciel et/ou un matriel, permettant de faire
respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de
communications autoriss sur ce rseau informatique. l a pour principale tche de
contrler le trafic entre diffrentes zones de confiance, en filtrant les flux de donnes qui
y transitent.
Suivant la gnration du pare-feu ou son rle prcis, on peut citer:
Pare-feu sans tat (stateless firewall):
C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs.
Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles
prconfigures. Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :
ACL pour Access Control List (certains pare-feux Cisco), politique ou policy (pare-feu
Juniper/Netscreen)
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

197

Notion de DMZ et NAT


Pare-feu tats (stateful firewall):
Certains protocoles dits tats comme TCP introduisent une notion de connexion.
Les pare-feux tats vrifient la conformit des paquets une connexion en cours. Cest-dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du prcdent
paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment
les paquets ICMP qui servent la signalisation des flux IP.
Pare-feu applicatif:
Dernire gnration de pare-feu, ils vrifient la complte conformit du paquet un
protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul le
protocole HTTP passe par le port TCP 80. Ce traitement est trs gourmand en temps de
calcul ds que le dbit devient trs important. Il est justifi par le fait que de plus en plus
de protocoles rseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

198

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

199

Notion de DMZ et NAT


La RFC 1918 a dfini des plages dadresses IP dites prives dans les 3 classes A, B et C.
Voici la listes des adresses IP prives dclasses par lIANA et rserves pour une
utilisation Interne.
Pour la classe A: 10/8 : 10.0.0.0 10.255.255.255
Pour la classe B: 172.16/12 : 172.16.0.0 172.31.255.255
Pour la classe C: 192.168/16 : 192.168.0.0 192.168.255.255
Ces adresses ne sont jamais routes sur INTERNET., et elles sont rserves pour une
usage interne. Quand une machine interne (IP Prive) un rseau veut communiquer
avec une machine sur Internet (IP publique; ex: www.google.com), une translation de
cette adresse IP prive doit tre faite.
Cette technique est appele NAT (Network Address Translation) qui est souvent utilis
pour reprsenter diffrents concepts que nous allons diffrencier, notamment NAT
statique, NAT dynamique, PAT.
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

200

Notion de DMZ et NAT


Quand une machine interne un rseau veux communiquer avec un hte sur
Internet
Transmission du paquet au routeur de sortie;
Translation de l'adresse de rseau priv en adresse publique;
Transmission du paquet modifi au hte de destination.
Cisco dfinit les termes suivants pour la configuration du NAT
Inside Local Address : Adresse IP attribue lhte dans le LAN
Inside Global Address : Adresse(s) IP attribue(s) par FAI reconnue(s) par
linternet dans le LAN
Outside Local Address : Adresse IP publique telle quelle est connue par les
utilisateurs
Outside Global Address : Adresse IP dun utilisateur hors du rseau local
201

Notion de DMZ et NAT

Le NAT de base est statique et attribue de faon automatique une adresse IP une autre.
Il permet de faire correspondre n IP locales du rseau n IP publiques. La correspondance
se fera bien sr dans les deux sens.
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

202

Notion de DMZ et NAT


Le NAT dynamique : A plusieurs adresse IP locales (Prive) correspondent plusieurs
adresses IP globales (Publiques) .
Si une adresse IP Publique est disponible pour plusieures adresses IP locales (prives), on
parle de Network Address Port Translation (NAPT) ou Port Address Translation (PAT).

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

203

MODEM

204

Notion de DMZ et NAT


Configure le NAT statique (Cisco Router IOS)
Sur linterface interne (LAN)
Routeur(config-if)# ip nat inside
Sur linterface externe (WAN)
Routeur(config-if)# ip nat outside
En mode de configuration globale, Activer le NAT Statique.
Routeur(config)# ip nat inside source static local-ip global-ip
Configure le NAT par Port: PAT (Cisco Router IOS)
Pour avoir plusieurs utilisateurs prenant une mme @IP globale (IP Public)
Dfinir une ACL
(config)# access-list numro permit adresse-ip masque-gnrique
Dfinir la translation et activer le PAT
(config)# ip nat inside source numro-acl interface type-interface numro overload
By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

205

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

206

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

207

Administration des rseaux Informatiques


Les rseaux dentreprise ne cessent de croitre. Pour assurer une haute disponibilit de ces
services, il est devenu ncessaire de surveiller le rseau et de ragir trs vite quand une erreur
se produit.
Pour ce faire, diffrents points stratgiques sont observer, comme les routeurs, les Switch,
les liens, les postes de travail, les imprimantes, serveurs, services

Ainsi, en cas de panne ou de mauvais fonctionnement sur le rseau, l'administrateur doit


pouvoir interprter l'information reue pour identifier la source du problme. Cest dans cette
optique que le protocole de gestion SNMP (Simple Network Management Protocol) a t
dvelopp.

SNMP est le protocole de gestion de rseaux propos par l'IETF. Durant les 15 dernires
annes, il le protocole le plus utilis pour la gestion des quipements de rseaux.
208

Administration des rseaux Informatiques


Le protocole SNMP (Simple Network Management Protocol) est un protocole
historiquement ddi la supervision et ladministration des quipements rseau : routeurs,
Switch, etc. Son plbiscite a cependant pouss les diteurs et les constructeurs lutiliser dans
bien dautres domaines : systmes dexploitation, logiciels, matriels, etc.

Il est aujourdhui largement adopt et utilis dans un grand nombre de solutions et souvent
install en standard.

Trois versions majeures du protocole SNMP cohabitent. La version 1 est trs peu utilise
aujourdhui, elle a t remplace par la version 2c qui comporte davantage de types de
donnes et doprations.
Le principal reproche fait ces deux versions est leur faible niveau de scurit qui se base
uniquement sur une chane de caractres appele communaut. La version 3 du protocole
tente de corriger ce point en apportant des mcanismes dauthentification et de chiffrement
209

Architecture du protocole SNMP


La version 2c du protocole est la plus utilise aujourdhui pour la supervision. Il est bien
sr recommand de modifier le nom de communaut par dfaut et de donner des droits en
lecture seule uniquement au niveau des ressources supervises
Une infrastructure SNMP est constitue dagents SNMP installs sur les ressources
supervises et de serveurs de supervision chargs de requter ces agents et de recevoir les
alertes (trappes SNMP).
Chaque agent expose les informations de supervision de la ressource sur laquelle il est install
sous une forme arborescente codifie. Cette structure est dcrite dans des fichiers appels
MIB (Management Information Base).
Les requtes de supervision sont transmises depuis le serveur de supervision sur le port UDP
161 en standard. La ressource rpond immdiatement. Il sagit du mode actif.
Des alertes, appeles trappes SNMP, sont transmises par les ressources vers le serveur de
supervision sur le port UDP 162. Cest un message unidirectionnel. Il sagit du mode
passif.

210

By Trong.O. GAMPOULA;
gampoulatrong@gmail.com

211

Activation des agents SNMP sur quelques ressources


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

212

Centralisation des journaux (logs) des quipements


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

213

Supervision Rseau avec PRTG Network Monitor


Routeur Cisco:

214

Cisco Port Mirroring


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

215

Vous aimerez peut-être aussi