Vous êtes sur la page 1sur 57

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Introduction Gnrale

La scurit rseau repose le plus souvent sur les principes exploits en scurit
informatique. Elle se proccupe de la rsolution des problmes de confidentialit et
dintgrit des donnes qui transitent. Dans ce contexte, le rseau est considr comme
un mdium non sr dans lequel des personnes malveillantes sont susceptibles de lire,
modifier et supprimer les donnes quil achemine.
Les solutions dveloppes et exploites refltent une vision locale de la scurit qui
prdomine aujourdhui. Lutilisateur, le systme et les donnes sont au centre des
moyens de dfense, et au final, seule la priphrie de rseau est concerne par la
scurit. Ainsi le contrle daccs laide dun pare feu ne se proccupe que de protger
un rseau dentreprise son entre. Loutil informatique est devenu un des lments
primordial du systme dinformation dans les entreprises. Toute panne peut avoir des
consquences importantes. Pour palier ses insuffisances de nombreuses solutions open
sources ou commerciales soffrent nous pour mettre en place un systme de scurit
qui rpondra nos exigences.
Ce mmoire sarticulera donc autour de trois parties :
La premire Partie sera consacre aux gnralits sur la scurit des rseaux, la
deuxime partie abordera a ltude et la configuration des routeurs Et enfin nous
passerons La troisime partie qui sera consacre a ltude et limplmentation du
firewall Smoothwall

Maria Del Pilar BAKALE TOICHOA Page 1

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Chapitre I : Gnralits sur la


scurit des rseaux

Maria Del Pilar BAKALE TOICHOA Page 2

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Introduction
Internet existe prsent depuis plus de 30 ans, saccroissant un rythme effrn. Et
semblable une ville qui naurait pas su grer les problmes de scurit lors de sa
croissance, Internet se retrouve confront des problmes de confidentialit et daccs
aux donnes, o les voleurs sappellent hackers et o les dlits se nomment exploits.
Ce besoin de scurit, sapplique dans de nombreux cas; le commerce lectronique,
laccs distant une machine, le transfert de fichier, laccs certaines parties dun site
contenant des donnes confidentielles.
Le mot de passe semble tre la solution la plus vidente et la plus simple implanter
mais ce qui pose problme nest pas tant le fait de devoir insrer un mot de passe, mais
plutt de faire en sorte que lacheminement de ce mot de passe au travers du rseau
Internet se fasse de manire scurise, cest dire que si une personne se trouve ce
mme moment couter (sniffer) le mdia physique que vous utilisez, elle ne doit pas
comprendre (dchiffrer) ce que vous avez transmis. Et donc pouvoir le rutiliser par la
suite vos dpends.
On peut scuriser le transport dinformations de bout en bout (end-to-end). Et cela au
travers de diffrents mcanismes et de variantes qui leurs sont appliques. Notamment
grce lutilisation des VPN (Virtual Private Network) qui ne seront pas tudis dans ce
document), mais aussi des mcanismes comme SSH (SSF en France) et SSL (dont la
dernire version se nomme TLS).
SSH, ou Secure Shell, scurise la connexion depuis lordinateur local jusquau serveur
distant en tablissant une connexion crypte. SSL ou, Secure Socket Layer, permet
laccs scuris un site web ou certaines pages dun site web.

Maria Del Pilar BAKALE TOICHOA Page 3

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

I. Approches du travail
I.1 Etude thorique
Notre travail consistera :
- Etudier les routeurs Cisco, smoothwall et leur configuration,
- Etudier les attaques possibles ciblant les quipements du rseau
- Rechercher les matriels de simulation des routeurs et limplmentation de la solution
smoothwall

II. Etude dingnierie


Cette tude se fera sur :
La rdaction des procdures correspondantes aux choix techniques et fonctionnels,
Lexploitation des bases scientifiques pour comprendre le mcanisme des attaques pour
pouvoir appliquer les procdures de scurit.

II.1 Ralisation
La ralisation consiste la manipulation des configurations sur le firewall, routeur et
application des procdures de scurit afin dtablir les rgles de protection ncessaires.

III. Les exigences de la scurit des rseaux


Larrive dinternet et des nouvelles technologies ont permis de dvelopper et
damliorer de manire considrable la communication. Cependant, ces nouvelles
technologies ne sont pas invulnrables, les failles des scurits sont frquentes, cest
ainsi que la question de la scurit des rseaux a pris une place importante dans la
socit actuelle.
La mthode de scurit et les choix des protocoles de scurit peuvent tre diffrents
selon les utilisateurs des rseaux mais il est ncessaire de tendre en compte les certains
principes :

III.1 Authentification et Identification


Lauthentification des services permet de bien assurer quune communication est
authentique dans les rseaux. On distingue gnralement deux types dauthentification :
- Lauthentification dun tiers consiste prouver son identit
- Et lauthentification de la source des donnes sert prouver que les donnes reues
viennent bien dun tel metteur dclar.
Les signatures numriques peuvent aussi servir lauthentification, la signature
numrique sera aborde dans la section de lintgrit.
Maria Del Pilar BAKALE TOICHOA Page 4

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Lauthentification a une ncessit de fournir une identification et de la prouver, sur la


plupart des rseaux le mcanisme dauthentification utilise une paire code
dindentification/mot de passe .
Avec la vulnrabilit constamment lie lutilisation des mots de passe, il est important
de recourir aux mcanismes trs robustes tels que lauthentification par des certificats
[ISO-9594], des cls publiques [River78] ou travers des centres de distribution des
cls [RFC1510].

III.2 Intgrit
Lintgrit se lie la protection contre les changements et les altrations. Lintgrit est
considre quand les donnes mis sont identiques celles reues. Des diffrences
peuvent apparaitre si quelquun tente de modifier ces donnes ou tout simplement si un
problme de transmission/rception intervient.
Il y a une technique utilise pour faire un contrle sur cela comme, les bits de parit, les
checksums ou encore les fonctions de hachage sens unique [RFC2104]. Cependant ces
mcanismes ne peuvent pas garantir absolument lintgrit. Il est possible en effet, que
les donnes altres aient la mme somme de contrle .Cest possible quune attaque
modifie les donnes et recalcule le rsultat de la fonction de hachage (empreinte). Dans
le cas davoir un seul expditeur qui soit capable de modifier lempreinte, on utilise des
fonctions de hachage cls scrtes ou prives.
Cest une garantie la fois pour lintgrit et lauthentification. Ces deux services de
scurit sont souvent fournis par le mme mcanisme pour une raison de sens
daccompagnement lun de lautre (dans les contextes dun rseau peu sur).

III.3 La Confidentialit
La confidentialit est un service de scurit qui assure lautorisation dune seule
personne prendre la connaissance des donnes. En gnral on utilise un algorithme
cryptographique de chiffrement des donnes concernes pour avoir ce service.
Si seul les donnes sont chiffres, une oreille espionne peut tout de mme couter les
informations de len- tte, elle peut ainsi, partir des adresses source et destination,
identifier les tiers communicants et analyser leur communication : frquence des envois,
quantit de donnes change, etc. Il y a de protection contre lanalyse de trafic quand
en plus de la confidentialit, on garantit limpossibilit de connaitre ces informations.
On utilise lauthentification, lintgrit et la confidentialit souvent ensemble pour offrir
une base des services de scurit.

III.4 La Nom Rpudiation

Maria Del Pilar BAKALE TOICHOA Page 5

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


La non rpudiation fait preuve tant que lexpditeur que le destinateur que le message a
tait bien transmis, les empches de nier de lavoir transmis.
On dmonte deux types des non rpudiation :

1) La non rpudiation de lorigine qui protge un destinateur confront un expditeur


niant avoir envoy le message.
2) La non rpudiation de la rception qui joue le rle inverse du prcdent, savoir
dmontr que le destinataire a bien reu le message que lexpditeur lui a envoy.
Dans le cadre de la cryptographie cl publique, chaque utilisateur est le seul et unique
dtenteur de la cl prive. Ainsi, tout message accompagn par la signature lectronique
dun utilisateur ne pourra pas tre rpudi par celui-ci, moins que tout le systme de
scurit nait t pntr.
A la contre, le non rpudiation nest pas directement acquise dans le systme utilisant
des cls secrtes. Le serveur distribue la cl de chiffrement aux deux parties, un
utilisateur peut nier avoir envoy le message en question en allguant que la cl secrte
partage a t divulgue soit par une compromission du destinataire, soit par une attaque
russie contre le serveur de distribution de cls.
Ce qui revient une non rpudiation obligeant le destinataire envoyer un accus de
rception sign et horodat.

III.5 Protection dIdentit


La vrification efficace des vnements lis la scurit se fonde aussi sur la capacit
didentifier chaque utilisateur.
Il est trs ncessaire que chaque utilisateur de linternet ait une identit distincte, qui est
une combinaison qui donne le nom de lutilisateur et possiblement celui de son Pc, de
son organisation et son pays.
Comme nous lavons dfinit avant au niveau de la premire catgorie active de la
scurit, la connaissance de ces informations par un tiers malveillant peut tre
considre la vie prive des usagers.
Il y a un grand dfi dans le domaine de la scurit, cest la protection de ces
informations prives. Ceci nous permet de protger le trafic rseau contre les
malveillants qui comptent analyser tout type dinformations (algorithme, nom de
lutilisateur, environnement etc.) afin dintercepter les communications.
Dans la plupart des cas, lidentit du rcepteur (gnralement un serveur) est publique.
Pour cela, un protocole de scurit doit surtout protger lidentit de linitiateur
(gnralement les clients).

Maria Del Pilar BAKALE TOICHOA Page 6

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

III.6 Mise en uvre dun VPN


Les VPN nont pas le seul intrt lextension des WAN (Wide Area Network) moindre
cout mais aussi lutilisation de services ou fonctions spcifiques assurant la qualit de
service (QoS) et la scurit des changes. Les fonctionnalits de scurit sont matures
mais la rservation des bandes passantes pour les tunnels est encore un service

en dveloppement limit par le concept mme dinternet, dans le modle OSI la scurit
est des changes est assure plusieurs niveaux et des fonctions comme le cryptage des
donnes, authentification des extrmits communicantes et le contrle daccs des
utilisateurs aux ressources.
Les VPN sont cres des diffrentes formes, pour connecter deux rseaux locaux distants
(connexion network to-network), soit entre deux stations (hop-to-hop) soit entre une
station et un rseau (hop-to-network) .Ce dernier est en gnral utilisable par les
entreprises qui se dcident de crer des accs pour les tltravailleurs via Internet.

III.7 Contrle Daccs


La normativit des utilisateurs et la demande daccs distant scuris vers les rseaux
privs des entreprises ont pouss la majorit des entreprises adapter des solutions de
scurit bases sur des points daccs situs aux frontires des rseaux privs. Ces
points daccs sont aussi trs intressants dans le sens ou ils constituent un point unique
et la scurit peut tre impose. Ils donnent des ressmes de trafic, des statistiques sur
ce trafic, et encore toutes les connexions entre les deux rseaux.

IV. Rappel sur le protocole TCP/IP


IV.1 Dfinition
Le nom TCP/IP se rfre un ensemble de protocoles de communications de donnes.
Cet ensemble tire son nom des deux protocoles les plus importants : Transmission
Control Protocol et lInternet Protocol. Le protocole TCP/IP devient le fondement
dInternet, le langage qui permet aux machines du monde entier de communiquer entre
elles. Internet devient le terme officiel pour dsigner non pas un rseau mais une

IV.2 Prsentation du modle TCP /IP


Mme si le modle de rfrence OSI est universellement reconnu, historiquement et
techniquement, la norme ouverte dInternet est le protocole TCP/IP (pour Transmission
Control Protocol/Internet Protocol). Le modle de rfrence TCP/IP et la pile de
protocoles TCP/IP rendent possible lchange de donnes entre deux ordinateurs,
partout dans le monde, une vitesse quasi quivalente celle de la lumire.

Maria Del Pilar BAKALE TOICHOA Page 7

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Le modle TCP/IP peut en effet tre dcrit comme une architecture rseau 4 couches

Figure 1 : Architecture rseau 4 couches

Figure 2 : Les 4 couches du protocole TCP/IP

IV.3 Couche application


Contrairement au modle OSI, cest la couche immdiatement suprieure la couche
transport, tout simplement parce que les couches prsentation et session sont apparues
inutiles. On sest en effet aperu avec lusage que les logiciels rseau nutilisent que trs
rarement ces 2 couches, et finalement, le modle OSI dpouill de ces 2 couches
ressemble fortement au modle TCP/IP. Cette couche contient tous les protocoles de
haut niveau, comme par exemple :
30 Telnet, TFTP (Trivial File Transfer Protocol), SMTP (Simple Mail Transfer
Maria Del Pilar BAKALE TOICHOA Page 8

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Protocol), HTTP (HyperText Transfer Protocol). Le point important pour cette couche
est le choix du protocole de transport utiliser. Par exemple, TFTP (Surtout utilis sur
rseaux locaux) utilisera UDP, car on part du principe que les liaisons physiques sont
suffisamment fiables et les temps de transmission suffisamment courts pour quil ny ait
pas dinversion de paquets larrive.
Ce choix rend TFTP plus rapide que le protocole FTP qui utilise TCP.

IV.4 Couche transport


Son rle est le mme que celui de la couche transport du modle OSI : permettre des
entits paires de soutenir une conversation. Officiellement, cette couche na que deux
implmentations : le protocole TCP (Transmission Control Protocol) et le protocole
UDP (User Datagramme Protocol). TCP est un protocole fiable, orient connexion, qui
permet lacheminement sans erreur de paquets issus dune machine dun internet une
autre machine du mme internet. Son rle est de fragmenter le message transmettre de
manire pouvoir le faire passer sur la couche internet. A linverse, sur la machine
destination, TCP remplace dans lordre les fragments transmis sur la couche internet
pour reconstruire le message initial. TCP soccupe galement du contrle de flux de la
connexion.
UDP est en revanche un protocole plus simple que TCP : il est non fiable et sans
connexion. Son utilisation prsuppose que lon na pas besoin ni du contrle de flux, ni
de la conservation de lordre de remise des paquets. Par exemple, on lutilise lorsque la
couche application se charge de la remise en ordre des messages. On se souvient que
dans le modle OSI, plusieurs couches ont charge la vrification de lordre de remise
des messages. Cest l un avantage du modle TCP/IP sur le modle OSI. Une autre
utilisation dUDP : la transmission de la voix. En effet, linversion de 2 phnomes ne
gne en rien la comprhension du message final. De manire plus gnrale, UDP
intervient lorsque le temps de remise des paquets est prdominant.

IV.5 Couche internet


Cette couche est la cl de vote de larchitecture. Cette couche ralise linterconnexion
des rseaux (Htrognes) distants sans connexion. Son rle est de permettre linjection
de paquets dans nimporte quel rseau et lacheminement des ces paquets
indpendamment les uns des autres jusqu destination. Comme aucune connexion nest
tablie au pralable, les paquets peuvent arriver dans le dsordre ; le contrle de lordre
de remise est ventuellement la tche des couches suprieures.
Du fait du rle imminent de cette couche dans lacheminement des paquets, le point
critique de cette couche est le routage. Cest en ce sens que lon peut se permettre de
comparer cette couche avec la couche rseau du modle OSI. La couche internet
possde une implmentation officielle : le protocole IP.

IV.6 Couche accs rseau


Maria Del Pilar BAKALE TOICHOA Page 9

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Cette couche est assez trange . En effet, elle semble Regrouper les couches
physiques et liaison de donnes du modle OSI. En fait, cette couche na pas vraiment
t spcifie ; la seule contrainte de cette couche, cest de permettre un hte denvoyer
des paquets IP sur le rseau. Limplmentation de cette couche est laisse libre. De
manire plus concrte, cette implmentation est typique de la technologie utilise sur le
rseau local. Par exemple, beaucoup de rseaux locaux utilisent Ethernet ; Ethernet est
une implmentation de la couche hte-rseau.

IV.7 Menaces de scurit courantes


Un systme de dtection dintrusions (IDS, de langlais Intrusion Detection System) est
un priphrique ou processus actif qui analyse lactivit du systme et du rseau pour
dtecter toute entre non autorise et / ou toute activit malveillante. La manire dont un
IDS dtecte des anomalies peut beaucoup varier ; cependant, lobjectif principal de tout
IDS est de prendre sur le fait les auteurs avant quils ne puissent vraiment endommager
vos ressources. Les IDS protgent un systme contre les attaques, les mauvaises
utilisations et les compromis. Ils peuvent galement surveiller lactivit du rseau,
analyser les configurations du systme et du rseau contre toute vulnrabilit, analyser
lintgrit de donnes et bien plus. Selon les mthodes de dtection que vous choisissez
de dployer, il existe plusieurs avantages directs et secondaires au fait dutiliser un IDS.

IV.8 Quelques logiciels de dtection dintrusions


- Iptraf
IPtraf est un outil de monitoring rseau qui fonctionne sous linux. Nous lavons utilis
pour mesurer lactivit des interfaces rseau. Voici une liste non-exhaustive de ces
capacits:
Total, IP, TCP, UDP, ICMP, and non-IP byte counts
TCP source and destination addresses and ports
TCP packet and byte counts
TCP flag statuses
UDP source and destination information
ICMP type information
OSPF source and destination information
TCP and UDP service statistics
Interface packet counts
Interface IP checksum error counts
Interface activity indicators
LAN station statistics

Maria Del Pilar BAKALE TOICHOA Page 10

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Figure 3 : Dtection dintrusion avec iptraf


- EtherApe
EtherApe est un logiciel libre qui permet de surveiller un rseau informatique, il est
muni dune interface graphique qui permet de visualiser ce qui se passe sur un rseau
(local et/ou reli internet). Chaque transfert de donnes est reprsent par un trait ainsi
quun disque de couleur au point dorigine. Les protocoles sont reprsents par des
couleurs diffrentes et plus le transfert nest important plus le disque et le trait sont
grands. EtherApe fait visualiser les transferts par IP de destination ou bien par ports
TCP. Il est possible denregistrer les activits du rseau afin de les tudier.
La destination des transferts dinformations sont affiches soit par son adresse IP soit
par lappellation courante (utilisation dun serveur DNS).
Lutilisateur peut obtenir des informations supplmentaires sur le transfert (port, origine
et destination, taille, date) sil clique sur le trait marquant. On peut configurer
EtherApe afin de ne visualiser quune partie du trafic (par exemple le trafic vers internet
seul).

Maria Del Pilar BAKALE TOICHOA Page 11

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Figure 4 : Dtection dintrusion avec EtherApe

Maria Del Pilar BAKALE TOICHOA Page 12

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Chapitre II : Etude et
configuration des routeurs
Cisco

Maria Del Pilar BAKALE TOICHOA Page 13

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Introduction
Dans ce chapitre, nous allons dcrire les procdures suivre pour connecter et
configurer les ordinateurs, les routeurs formant un rseau local Ethernet. Nous allons
prsenter les procdures de configuration de base des priphriques rseau Cisco. Ces
procdures requirent lutilisation du systme dexploitation Cisco Inter network
Operating System (IOS) et des fichiers de configuration connexes pour les
priphriques intermdiaires. Il est essentiel que les administrateurs et les techniciens
rseau comprennent le processus de configuration avec IOS. Lorganisation de ce
chapitre est la suivante : dans la premire partie la dfinition le rle du systme
dexploitation Inter network Operating System (IOS), la deuxime partie prsente les
Vulnrabilits de routeur Cisco, enfin tudier le techniques dattaques rseaux.

Maria Del Pilar BAKALE TOICHOA Page 14

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

I. Rappel sur un routeur


Un routeur est un lment intermdiaire dans un rseau informatique assurant le routage
des paquets. Un routeur est charg de recevoir sur une interface des donnes sous forme
de paquets et de les renvoyer sur une autre en utilisant le meilleur chemin possible.
Selon ladresse destination et linformation contenue dans sa table de routage.

I.1 Architecture des routeurs Cisco


Tous Les routeurs Cisco ont une architecture interne qui peut tre reprsent par :

Figure 5 : Architecture interne dun routeur Cisco


Ils contiennent tous :
- Une mmoire NVRam pour Ram non Volatile et sur laquelle ladministrateur va
stocker la configuration quil aura mise dans le routeur. Elle contient galement la
configuration de lIOS,
- Une carte mre qui est en gnral intgre au chssis,
- Une CPU qui est un microprocesseur Motorola avec un BIOS spcial nomm I.O.S.
pours Internetwork Operating System,
- Une mmoire RAM principale contenant le logiciel IOS, cest dans laquelle tout sera
excut un peu la manire dun simple ordinateur,
- Une mmoire FLASH, galement une mmoire non volatile sur laquelle on stocke la
version courante de lIOS du routeur,
- Une mmoire ROM non volatile et qui, quant elle, contient les instructions de
dmarrage (bootstrap) et est utilise pour des oprations de maintenance difficiles de
routages, ARP, etc.), mais aussi tous les buffers utiliss par les cartes dentre.

I.2 Vulnrabilit des routeurs


Maria Del Pilar BAKALE TOICHOA Page 15

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Vu le rle important quassure le routeur pour garantir les rseaux, il est ncessaire
dexaminer de proche cet quipement pour dcouvrir ses vulnrabilits dans le but de
limiter les menaces qui peuvent se prsenter.
Les vulnrabilits dun routeur peuvent se prsenter dans :
- La configuration
Un routeur est semblable beaucoup dordinateurs dans lesquels il y a beaucoup de
services permis par dfaut. Beaucoup de ces services sont inutiles et peuvent tre
utiliss par un attaquant pour la collecte dinformations ou pour lexploitation. Comme
les services SNMP. Parfois aussi les noms des utilisateurs et les mots de passe sont
laisss par dfaut.

I.3 Le rle du systme dexploitation Inter network Operating System


(IOS)
linstar dun ordinateur personnel, un routeur ou un commutateur ne peut pas
fonctionner sans systme dexploitation. Sans systme dexploitation, le matriel est
inoprant. Cisco IOS est le logiciel systme des priphriques Cisco. Il sagit dune
technologie centrale qui stend pratiquement tous les produits Cisco. Cisco IOS est
excut par la plupart des priphriques Cisco, quels que soient leur taille et leur type.
Ce logiciel est par exemple utilis pour des routeurs, des commutateurs de rseau local,
des petits points daccs sans fil, des grands routeurs dots de douzaines dinterfaces et
bien dautres priphriques.

Figure 6 : Cisco IOS (Inter network Operating System)

I.4 Mthodes daccs Cisco IOS :


Il y a plusieurs moyens daccder lenvironnement ILC. Les mthodes les plus
rpandues utilisent :

Maria Del Pilar BAKALE TOICHOA Page 16

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


- le port de console,
- le protocole Telnet ou SSH,
- le port AUX.

Figure 7 : Vue arrire du routeur Cisco : Les ports daccs


- Port de console
Il est possible daccder lenvironnement ILC par une session console, galement
appele ligne CTY. La console connecte directement un ordinateur ou un terminal au
port de console du routeur ou du commutateur via une liaison srie lente. Le port de
console est un port de gestion permettant un accs hors rseau un routeur. Le port de
console est accessible mme si aucun service rseau na t configur sur le
priphrique. Le port de console est souvent utilis pour accder un priphrique avant
que les services rseau ne soient lancs ou lorsquils sont dfaillants.
La console sutilise en particulier dans les circonstances suivantes :
- configuration initiale du priphrique rseau,
- procdures de reprise aprs sinistre et dpannage lorsque laccs distant est
impossible,
- procdures de rcupration des mots de passe.
Lorsquun routeur est mis en service pour la premire fois, ses paramtres rseau nont
pas t configurs. Le routeur ne peut donc pas communiquer via un rseau. Pour
prparer le dmarrage initial et la configuration du routeur, un ordinateur excutant un
logiciel dmulation de terminal est connect au port de console du priphrique. Ainsi,
il est possible dentrer au clavier de lordinateur connect les commandes de
configuration du routeur. Sil est impossible daccder distance un routeur pendant
quil fonctionne, une connexion son port de console peut permettre un ordinateur de
dterminer ltat du priphrique. Par dfaut, la console transmet les messages de
dmarrage, de dbogage et derreur du priphrique.

Maria Del Pilar BAKALE TOICHOA Page 17

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Pour de nombreux priphriques IOS, laccs console ne requiert par dfaut aucune
forme de scurit. Il convient toutefois de configurer un mot de passe pour la console
afin dempcher laccs non autoris au priphrique. En cas de perte du mot de passe,
un jeu de procdures spciales permet daccder aux priphriques sans mot de passe. Il
est recommand de placer le priphrique dans une pice ou une armoire ferme cl
pour interdire laccs physique.
- Telnet et SSH
Une autre mthode daccs distant une session ILC consiste tablir une connexion
Telnet avec le routeur. la diffrence des connexions console, les sessions Telnet
requirent des services rseau actifs sur le priphrique. Le priphrique rseau doit
avoir au moins une interface active configure avec une adresse de couche 3, par
exemple une adresse IPv4. Les priphriques Cisco IOS disposent dun processus
serveur Telnet qui est lanc ds le dmarrage du priphrique. IOS contient galement
un client Telnet. Un hte dot dun client Telnet peut accder aux sessions vty en cours
dexcution sur le priphrique Cisco. Pour des raisons de scurit, IOS exige lemploi
dun mot de passe dans la session Telnet en guise de mthode dauthentification
minimale.
Le protocole Secure Shell (SSH) permet un accs distant plus scuris aux
priphriques. linstar de Telnet, ce protocole fournit la structure dune ouverture de
session distance, mais il utilise des services rseau plus scuriss.
SSH fournit une authentification par mot de passe plus rsistante que celle de Telnet et
emploie un chiffrement lors du transport des donnes de la session. La session SSH
chiffre toutes les communications entre le client et le priphrique IOS. Ceci prserve la
confidentialit de lID dutilisateur, du mot de passe et des dtails de la session de
gestion. Il est conseill de toujours utiliser SSH la place de Telnet dans la mesure du
possible. La plupart des versions rcentes de Cisco IOS contiennent un serveur SSH.
Dans certains priphriques, ce service est activ par dfaut. Dautres priphriques
requirent une activation du serveur SSH.
Les priphriques IOS incluent galement un client SSH permettant dtablir des
sessions SSH avec dautres priphriques. De mme, vous pouvez utiliser un ordinateur
distant dot dun client SSH pour dmarrer une session ILC scurise. Le logiciel de
client SSH nest pas fourni par dfaut sur tous les systmes dexploitation. Il peut donc
savrer ncessaire dacqurir, dinstaller et de configurer un logiciel de client SSH pour
votre ordinateur.
- Port AUX
Une autre faon douvrir une session ILC distance consiste tablir une connexion
tlphonique commute travers un modem connect au port AUX du routeur.
linstar de la connexion console, cette mthode ne requiert ni la configuration, ni la
disponibilit de services rseau sur le priphrique.
Maria Del Pilar BAKALE TOICHOA Page 18

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Le port AUX peut galement sutiliser localement, comme le port de console, avec une
connexion directe un ordinateur excutant un programme dmulation de terminal. Le
port de console est requis pour la configuration du routeur, mais les routeurs ne
possdent pas tous un port AUX. En outre, il est prfrable dutiliser le port de console
plutt que le port AUX pour le dpannage, car il affiche par dfaut les messages de
dmarrage, de dbogage et derreur du routeur.
En gnral, le port AUX ne sutilise localement la place du port de console quen cas
de problmes lis au port de console, par exemple lorsque vous ignorez certains
paramtres de la console.

I.5 Configuration de base dun routeur Cisco :


La configuration de base dun routeur Cisco (et des autres aussi) se fait en gnral via la
porte console. La porte console, sur un routeur, est configure comme une interface
DTE (Data Terminal Equipment). Les lignes de configuration dun routeur sont les
suivantes.

Figure 8 : lignes configuration routeur

I.6 commande de Bases


Pour la configuration dun router Cisco on parvient suivre les tapes suivantes :
Etape1 : Mise en place du matriel ncessaire
- Un routeur Cisco
- Deux ordinateurs (symbolisant les rseaux)
- Le cble Console fourni avec le routeur
Schma de base du montage

Maria Del Pilar BAKALE TOICHOA Page 19

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Figure 9: Schma de base du montage

I.7 Les diffrents modes dutilisateur


. Mode Utilisateur: Permet de consulter toutes les informations lies au routeur sans
pouvoir les modifier. Le Shell est le suivant:
- Router >
. Utilisateur privilgi: Permet de visualiser ltat du routeur et dimporter/exporter des
images dIOS. Le Shell est le suivant:
Router #
. Mode de configuration globale: Permet dutiliser les commandes de configuration
gnrale du routeur. Le Shell est le suivant:
Router (config) #
. Mode de configuration dinterfaces: Permet dutiliser des commandes de configuration
des interfaces (Adresses IP, masque, etc.). Le Shell est le suivant:
Router (config-if) #
. Mode de configuration de ligne: Permet de configurer une ligne (exemple: accs au
routeur par Telnet). Le Shell est le suivant:
Router (config-line) #

II. Cas Pratique


II.1 Cas Pratique : Configuration de larchitecture de notre systme
Rseau

Maria Del Pilar BAKALE TOICHOA Page 20

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Figure 10 : Architecture de notre systme

II.2 Configuration statique de router Cisco avec le packet tracer


Dans cette premire architecture le plan dadressage statique est comme suit :
Adresse rseau : 192 .168 .1.0/24
1. Router Maria :
Int Fa0/0
IP address : 191.168.1.1
Mask : 255.255.255.0
Int Fa0/1
IP addess : 172.123.1.1/16
Les hotes:
PC1 test: 192.168.1.5/24
PC2 test: 192.168.1.6/24
PC2 test: 192.168.1.7/24
2. Router Burgo :
Int Fa0/0
IP address : 192.168.1.1/24
Mask : 255.255.255.0
Int Fa0/1
IP address : 172.123.1.1/16
PC2 test: 192.168.1.2/24

Maria Del Pilar BAKALE TOICHOA Page 21

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


PC2 test: 192.168.1.3/24
PC2 test: 192.168.1.4/2
Figure 11. Configuration de Notre architecture:

II.3 Figure 12 : La commande pour prendre un router distance Telnet

Maria Del Pilar BAKALE TOICHOA Page 22

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

II.3 Configuration du Serveur DHCP Domain host control Protocol


Apres la configuration du DHCP dans les deux router les htes reoit des nouvelles
adresses attribues par le serveur DHCP
1. Le Router Maria :
Pool: LAN Pool ULD
Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.2
Mask: 255.255.255.0
Le PC2: 192.168.1.3
Mask: 255.255.255.0
Le PC3: 192.168.1.6
Mask: 255.255.255.0
2. Router Burgo :
Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.4
Mask: 255.255.255.0
Le PC2:192.168.1.5
Mask : 255.255.255.0
Le PC3: 192.168.1.4
Mask: 255.255.255.0
NB : le default Gateway pour le pc devient ladresse attribu au Default-router
Maria Del Pilar BAKALE TOICHOA Page 23

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

II.4 Configuration du DHCP avec lexclusion dadresse


Lexclusion des adresses est faite comme suite :
- Le Router Maria
Exclusion de 192.168.1.1 192.168.1.11 do les htes seront attribuent par des adresse
partir de 192.168.1.12 ..254
- Le Router Burgo
Exclusion de 192.168.1.1 192.168.1.12 do les htes seront attribuent par des adresse
partir de 192.168.1.13. 254

Maria Del Pilar BAKALE TOICHOA Page 24

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Chapitre III : Etude et


Implmentation de
Smoothwall

Maria Del Pilar BAKALE TOICHOA Page 25

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Introduction
Smoothwall est le nom de la communaut qui utilise le pare-feu Smoothwall Express.
Smoothwall Express est en fait une distribution Linux, Open Source et distribue sous
licence GPL. Smoothwall Express est ddie tre utilise comme pare-feu dans un
rseau dentreprise. Cette distribution a t dveloppe partir de RedHat linux (devenu
plus tard Fedora Project) en vue dun usage facile qui ne ncessite aucune connaissance
en Linux. En effet, Smoothwall Express est totalement administrable via une interface
WEB. Smoothwall Express permet de scuriser les changes entre Internet et le rseau
interne de lentreprise quel que soit son architecture (nous verrons plus loin dans ce
document les architectures possibles configurer via Smoothwall Express).
La dernire version de Smoothwall est Smoothwall Express 3.0 SP1, sortie le 8 Janvier
2009. Cette version est tlchargeable depuis le site officiel de Smoothwall
(http://www.smoothwall.org/). La version antrieure Smoothwall Express 3.0 a t
lance le 22 Aout 2007.

Maria Del Pilar BAKALE TOICHOA Page 26

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

I. Les Architectures possibles avec Smoothwall Express


Avant daller plus loin, il est ncessaire de dfinir les termes interface Green, interface
Red, interface Purple et interface Orange :
- Interface Green : Dsigne linterface rseau (carte rseau) de Smoothwall Express qui
sera directement relie au rseau interne cbl de lentreprise.
- Interface Red : Dsigne linterface de Smoothwall Express qui sera relie Internet.
- Interface Purple : Dsigne linterface rseau sans fil de Smoothwall Express.
- Interface Orange : Dsigne linterface de Smoothwall Express qui sera relie la zone
dmilitarise (partie du rseau de lentreprise o lon isole les serveurs). Cette zone est
sauf exception cble
La figure suivante pourrait claircir encore plus sur la signification de ces diffrents
termes :

Figure13 : Dfinition des interfaces Green, Red, Orange et purple


Il faut noter aussi que ces appellations ne sont pas propres la communaut
Smoothwall. On utilise gnralement ces mmes termes quelque soit le pare-feu.
Voyons maintenant les architectures rseau quoffre Smoothwall Express :
- Architecture Green : Cette architecture est utilise si Smoothwall Express devait
utiliser une seule carte rseau qui sera relie au rseau interne de lentreprise.
Linterface rouge est dans cette configuration relie directement un modem (ou RNIS).

Maria Del Pilar BAKALE TOICHOA Page 27

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


- Architecture Green + Orange : Architecture base sur deux cartes rseaux. La premire
est utilise pour relier le rseau interne de lentreprise. La deuxime relie la zone
dmilitarise. Linterface rouge est dans cette configuration aussi relie directement un
modem/RNIS.
- Architecture Green +Red : Smoothwall Express utilisera dans ce cas de figure une
carte rseau pour se connecter au rseau interne et une autre pour relier Internet.
- Architecture Green + Orange + Red : Larchitecture Green + Orange + Red est choisie
dans le cas o lon utilise trois cartes rseaux pour relier Smoothwall Expres la zone
dmilitarise, le rseau interne et Internet.
- Architecture Green + Purple (Red is modem/ISDN): Ici linterface rouge est
directement relie un modem/RNIS. Smoothwall Express sera en outre reli au rseau
interne de lentreprise via une carte rseau (gnralement une carte Ethernet) et au
rseau sans fil de lentreprise via une carte rseau sans fil
- Architecture Green + Purple + Orange : Smoothwall Express propose cette
architecture afin de se connecter via trois cartes rseaux spares aux : zones
dmilitarise, rseau sans fil et rseau interne de lentreprise. Linterface rouge est
directement relie un modem/RNIS.
- Architecture Green + Purple + Red : Ici on utilise deux cartes rseaux pour cbles (afin
de relier le rseau interne de lentreprise et Internet Smoothwall Express) et une carte
rseau sans fil pour connecter le rseau sans fil de lentreprise au pare-feu.
Architecture Green + Purple + Orange + Red : Cette configuration rseau utilise trois
cartes rseaux pour cbles (afin de relier le rseau interne de lentreprise, la zone
dmilitarise et Internet Smoothwall Express) et une carte rseau sans fil pour
connecter le rseau sans fil de lentreprise au pare-feu.
Smoothwall Express offre donc 8 configurations rseau possibles. Lune de ces
configurations devra tre choisie et traite lors de linstallation.
Remarque
Linstallation de Smoothwall Express sur un disque dur provoquera la perte totale des
donnes quil contient. Smoothwall Express nest en outre pas dvelopper pour
fonctionner avec un autre systme dexploitation. Un double boot nest pas possible sur
une machine o est installe Smoothwall Express.

II. Installation de Smoothwall Express


Un guide dtaill de linstallation de Smoothwall Express est disponible en
tlchargement ladresse suivante :
http://garr.dl.sourceforge.net/sourceforge/smoothwall/smoothwall-express-3.0installguide.pdf
Si vous voulez installer Smoothwall Express sur un environnement virtuel, VMware
Server par exemple, vous pourrez rencontrer des problmes si vous essayer dinstaller

Maria Del Pilar BAKALE TOICHOA Page 28

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


partir dune image iso. VMware Server affiche par exemple lerreur no harddisk
found lors de linstallation sur un ordinateur portable muni dun disque dur SATA
Nous vous conseillons donc dinstaller Smoothwall Express sur une machine physique
ou le cas chant, installer directement limage VMware disponible sur :
http://sourceforge.net/project/downloading.php?
groupname=smoothwall&filename=smoothwall3-polarvmimage.tar.bz2&use_mirror=garr.
Remarques :
La configuration rseau retenue sur limage VMware de Smoothwall Express est
larchitecture Green +Red (voir plus haut)
- Les logins et mot de passe sont normalement configurs lors de linstallation de
Smoothwall Express. Les login et mots de passe pour limage VMware sont :
- Login : root et mot de passe happydays pour lauthentification en mode
console
- Login : admin et mot de passe happydays pour lauthentification en mode
graphique (page web)
- La connexion Smoothwall Express via un navigateur web se fait sur le port 81 (si on
accde via le protocole http) ou bien via le port 441 (si on accde via le protocole https).

III. Exigences matrielles pour installer Smoothwall Express


Smoothwall Express 3.0 ncessite un environnement comportant les caractristiques
minimales suivantes pour tre dploy:

Maria Del Pilar BAKALE TOICHOA Page 29

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Figure 14 : Tableau1 Tableau des matriels requis pour Smoothwall

IV. Services par dfaut offerts par Smoothwall Express


Un simple scan sur la machine Smoothwall Express va nous informer sur les services
offerts par dfaut sur cette machine. Auparavant, il faudra veiller enlever les
Maria Del Pilar BAKALE TOICHOA Page 30

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


restrictions de pare-feux que Smoothwall Express offre pour avoir un rsultat de scan
juste. Nous reviendrons plus tard sur la procdure suivre afin denlever ces
restrictions.
Le scan de la machine Smoothwall Express via nmap a donn le rsultat suivant :
PORT STATE SERVICE
- 53/tcp open domain
- 81/tcp open hosts2-ns
- 222/tcp open rsh-spx
- 441/tcp open decvms-sysmgt
Donc les services offerts par Smoothwall Express par dfaut sont :
DNS : service de conversion dURLs en noms alphabtiques et vise versa
(correspondance)
host2-ns ou encore HOSTS2 Name Server: service dinformations et davertissements
(TCP port 441 protocol information and warnings). On peut consulter ce port pour avoir
des informations sur le systme Ce service est utilis pour un accs web
Smoothwall Express.
- Service SSH (Secure SHell): On peut se connecter distance, en mode console et en
mode scuris smoothwall via ce service.
- Service decvms-sysmgt: service dinformations et davertissement (TCP port 441
protocol information and warnings). Ce service est utilis pour un accs web scuris
Smoothwall Express.
Observations :
Smoothwall Express protge la machine qui lhberge et les rseaux auxquels elle est
relie.
En effet, les ports ouverts ne prsentent pas de failles majeures. Le service secure shell
ainsi que les deux services de connexions web ncessitent une authentification. Le
service DNS ne prsente quant lui pas de risques pour la machine ou les rseaux
auxquels elle est relie. Si on ajoute cela les rgles par dfaut de pare-feu (voir plus
loin), on verra bien que cest une solution de scurit complte
Politique de pare-feu par defaut pour Smoothwall Express
Quand on dmarre la machine Smoothwall Express pour la premire fois (mode
console) et quon tape la commande shell : iptables L, nous aurons la liste des rgles
par dfaut du pare-feu. La politique par dfaut est la suivante :

Maria Del Pilar BAKALE TOICHOA Page 31

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


- Chain INPUT (policy DROP) : tout le trafic entrant vers la machine Smoothwall
Express est rejet.
- Chain OUTPUT (policy ACCEPT): le trafic sortant de la machine Smoothwall
Express est autoris.
- Chain FORWARD (policy DROP): le trafic transitant par la machine Smoothwall
Express est rejet.
Afin de changer les rgles de pare-feu, il faut utiliser la commande iptables avec les
options adquates. Une aide sur iptables est disponible sur linux en tapant directement
man iptables. Une documentation en ligne est aussi disponible sur :
http://www.delafond.org/traducmanfr/man/man8/iptables.8.html
Systme de fichier de Smoothwall Express

Afin de comprendre le fonctionnement de ce systme de fichiers, nous avons parcouru


les dossiers et nous avons pu relever les remarques suivantes :
- Sous /etc/rc.d on trouve les scripts excuts au dmarrage. Ainsi, par exemple, les
rgles initiales du pare-feu sont charges depuis le fichier /etc/rc.d/rc.firewall.up.
- Les scripts en questions contiennent des variables (comme par exemple
$GREEN_DEV dans le script /etc/rc.d/rc.firewall.up). Ces variables sont dfinies dans
le systme de fichiers sous /var/smoothwall/dossier_specifique/settings. Par exemple,
Maria Del Pilar BAKALE TOICHOA Page 32

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


les variables relatives aux interfaces ethernet de smoothwall sont dfinies dans le fichier
/var/smoothwall/ethernet/settings dont nous prsentons le contenu ci-dessous :

En fait, les fichiers settings quon trouve sous /var/smoothwall/dossier/ contiennent les
dfinitions des diffrentes variables
Les dossiers contenus sous /var/smoothwall sont:

Figure 15 : Tableau 2 Les rpertoires des fichiers de smoothwall

Maria Del Pilar BAKALE TOICHOA Page 33

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Maria Del Pilar BAKALE TOICHOA Page 34

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Chapitre IV Installation Et
Configuration De
Smoothwall Espress

Maria Del Pilar BAKALE TOICHOA Page 35

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Installation Et Configuration De Smoothwall Espress


16 Affichage de linterface du programme dinstallation, puis click sur OK

Insertion du CD de lapplication de Smoothwall Express dans le lecteur et click sur OK

A ce stade le systme nous prvient quil sapprte installer smoothwall sur notre
disque dur. On clique sur ok

Cliquons sur OK pour dmarrer linstallation


Maria Del Pilar BAKALE TOICHOA Page 36

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

IV. Installation
Dmarrage de linstallation

Choix de la langue de notre clavier dans notre cas on choisit le fr (azerty )

Choisissons le nom de notre machine

Maria Del Pilar BAKALE TOICHOA Page 37

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Open : Autorise toutes les requtes


half-open: certaines requtes sont autorises dautres non
closed: bloque toutes les requtes.
Dans notre cas de figure nous allons choisir half-open

Notre travail va se baser sur le Green+ Red

Maria Del Pilar BAKALE TOICHOA Page 38

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

A ce stade nos interfaces ont t slectionnes il reste plus qu les attribuer des cartes.
Cliquons sur ok

On clique sur probe qui va rechercher pour nous des cartes adquates pour le bon
fonctionnement de notre firewall

Maria Del Pilar BAKALE TOICHOA Page 39

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

On clique premirement sur linterface Green aprs sur linterface Red

Aprs cela, nous devons remarquer comme sur cette imagine que toutes nos interfaces
ont reu des cartes.
NB: le Green doit tre sur le eth0 et le Red sur le eth1.

IV. Configuration
Maria Del Pilar BAKALE TOICHOA Page 40

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Voila comment sont configurer nos Rseaux
- Rseau 1
- Interface Green : 192.168.1.254/24
- Adresse serveur eth0: 192.168.1.254/24
- Interface Red : 192.168.1.254/24
- Adresse serveur eth1: 192.168.1.254/24
- Rseau 2
- Interface Green : 192.168.1.254/24
- Adresse serveur eth0: 192.168.1.254/24
- Interface Red : 192.168.1.254/24
. Adresse serveur eth1: 192.168.1.254/24
NB: ladresse de linterface Red dpend de celui qui vous a t fourni par votre
Fournisseur dAccs Internet ( FAI )
Dans Adresse setting on clique sur Green tout en lui affectant une adresse de notre
rseau LAN

En fait la mme chose pour linterface red. On peut bien cocher sur DHCP afin de
recevoir de manire dynamique une adresse mais dans notre cas, on cochera sur static.

Maria Del Pilar BAKALE TOICHOA Page 41

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

On fait un ok sur DNS and Gateway settings.


Primary DNS: adresse DNS votre LiveBox
Secondary DNS: adresse DNS votre fournisseur FAI
Default Gateway: adresse de votre LiveBox aprs on clique sur done !

Sur DHCP server on coche sur enabled et on configure notre serveur DHCP de notre
interface GREEN.

Maria Del Pilar BAKALE TOICHOA Page 42

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

On saisit le mot de passe du compte admin

On saisit le mot de passe du compte root

Maria Del Pilar BAKALE TOICHOA Page 43

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

A ce stade notre firewall smoothwall est fonctionnel reste plus qu le redmarrer en


cliquant sur ok !

Aprs redmarrage on saisit le compte de root ainsi que son mot de passe !!!

Voici comment doivent tre dispos nos interfaces !!!

Maria Del Pilar BAKALE TOICHOA Page 44

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


Smoothwall se configure laide dune interface graphique. Ce qui veut dire que la
machine qui doit permettre cette administration doit tre dans le mme rseau que le
firewall (serveur).

On fait un ping afin de voir si la connexion est tablie.

Dans le navigateur on saisit https://192.168.1.254:441

Maria Del Pilar BAKALE TOICHOA Page 45

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

On saisit le nom de lutilisateur ( admin ) et le mot de passe du compte ( admin).

Aprs cela on arrive sur la page daccueil.

Maria Del Pilar BAKALE TOICHOA Page 46

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Service>remote access> on coche ssh afin de permettre laccs notre firewall puis on
clique sur save.

On clique sur notre WinSCP et on renseigne les paramtres suivants:


Nom dhte : @ firewall (serveur)
Numro de port : 222
Nom dutilisateur : root
Mot de passe : mdp du compte root

Maria Del Pilar BAKALE TOICHOA Page 47

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Transfrons le fichier swe3. Vers le serveur. Il nous permettra de filtrer nos requtes
sur le net

On donne les droits sur le fichier que nous avons copi.

Maria Del Pilar BAKALE TOICHOA Page 48

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Avec Putty nous allons installer le fichier transfr.

Maria Del Pilar BAKALE TOICHOA Page 49

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

On saisit le compte root ainsi que son mot de passe

Nouveau dossier est un dossier que nous avons cr dans le rpertoire /root .
Aprs on se positionne dans le rpertoire dcompress et on fin.

./install

Maria Del Pilar BAKALE TOICHOA Page 50

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Conclusion gnrale

Comme toute innovation technologique qui se respecte, la supervision du trafic en


temps rel est un plus non ngligeable par rapport dautres pare-feu existants (graphes
et barres de bande passante). Smoothwall Express intgre les diverses fonctionnalits
ncessaires pour un pare-feu (filtrage web, connexion un ids, logs de pare-feu). Il
offre une interface graphique conviviale et lgre (lutilisation de javascript y est pour
quelque chose).Elle est sans nulle doute lune des technologies les plus en expansion
de nos jours grce ses diffrents outils et protocoles qui reprsentent une rfrence
incontournable dans le monde des tlcommunications.
Ce mmoire de fin dtude nous a permis une mise en pratique des outils et
fonctionnalits de Smoothwall Express, des routeurs CISCO et concrtement de pouvoir
lappliquer un rseau local dun tablissement donn, dune entreprise et autres.
Il a t enrichissant, aussi bien au niveau recherche que professionnel et sera un atout
pour mon entre dans la vie active. Il ma apport de nouvelles connaissances tant
mthodiques, organisationnelles que techniques et ma permis dapprofondir les
comptences que jai acquises tout au long de ma scolarit.

Maria Del Pilar BAKALE TOICHOA Page 51

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

BIBLIOGRAPHIE
Mourad BELKHODJA : Description Datasheet de Smoothwall Express 3.0, Version1.0
anne 2009.
Chaker ZAAFOURY Expert SSIR: Rvision et amlioration de Smoothwall publi le
01/07/2009.
WHITEBOOK SMOOTHWALL EXPRESS 3.0 Version 1.2 AOUT 09
Ubuntu linux 12.0
Google
Wikipedia
Bibliothque Anta Diop

Maria Del Pilar BAKALE TOICHOA Page 52

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

WEBOGRAPHIE
http://www.sourceforge.net/project/downloading.php?
groupname=smoothwall&filename=smoothwall3-polarvmimage.tar.bz2&use_mirror=garr
http://garr.dl.sourceforge.net/sourceforge/smoothwall/smoothwall-express-3.0installguide.pdf
http://fr.wikipedia.org/wiki/SmoothWall

Maria Del Pilar BAKALE TOICHOA Page 53

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Liste des Tableaux


Tableau 1. Tableau des matriels requis pour Smoothwall
Tableau 2. Les rpertoires des fichiers de smoothwall

Maria Del Pilar BAKALE TOICHOA Page 54

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Liste des Figures


Figure 1 : Architecture rseau 4 couches
Figure 2 : Les 4 couches du protocole TCP/IP
Figure 3 : Dtection dintrusion avec iptraf
Figure 4 : Dtection dintrusion avec EtherApe
Figure 5 : Architecture interne dun routeur Cisco
Figure 6 : Cisco IOS (Inter network Operating System)
Figure 7 : Vue arrire du routeur Cisco : Les ports daccs
Figure 8 : Lignes configuration routeur
Figure 9 : Schma de base du montage
Figure 10 : Architecture de notre systme
Figure 11 : configuration de notre Architecture
Figure 12 : commande Telnet
Figure 13 : Dfinition des interfaces Green, Reed, Orange et Peuple
Figure 14 : Tableau des matriels requis pour Smoothwall
Figure 15 : Les rpertoires des fichiers de Smoothwall
Figure 16 : Affichage dinterface au dmarrage du programme de linstallation

Maria Del Pilar BAKALE TOICHOA Page 55

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall

Table des matires


Introduction Gnrale.................................................................................................................
Chapitre I : Gnralits sur la scurit des rseaux....................................................................
Introduction................................................................................................. 3
I. Approches du travail................................................................................ 4
I.1 Etude thorique.................................................................................. 4
II. Etude dingnierie................................................................................... 4
II.1 Ralisation......................................................................................... 4
III. Les exigences de la scurit des rseaux..............................................4
III.1 Authentification et Identification.......................................................4
III.2 Intgrit............................................................................................ 5
III.3 La Confidentialit.............................................................................. 5
III.4 La Nom Rpudiation..........................................................................5
III.5 Protection dIdentit..........................................................................6
III.6 Mise en uvre dun VPN...................................................................6
III.7 Contrle Daccs............................................................................... 7
IV. Rappel sur le protocole TCP/IP................................................................7
IV.1 Dfinition........................................................................................... 7
IV.2 Prsentation du modle TCP /IP.........................................................7
IV.3 Couche application............................................................................8
IV.4 Couche transport............................................................................... 9
IV.5 Couche internet................................................................................. 9
IV.6 Couche accs rseau.........................................................................9
IV.7 Menaces de scurit courantes.......................................................10
IV.8 Quelques logiciels de dtection dintrusions...................................10

Chapitre II : Etude et configuration des routeurs Cisco............................................................


Introduction............................................................................................... 14
I. Rappel sur un routeur............................................................................ 15
I.1 Architecture des routeurs Cisco........................................................15
I.2 Vulnrabilit des routeurs.................................................................15
I.3 Le rle du systme dexploitation Inter network Operating System
(IOS)....................................................................................................... 16
I.4 Mthodes daccs Cisco IOS :.........................................................16

Maria Del Pilar BAKALE TOICHOA Page 56

Etude Et Mise En Place Dune Solution De Firewall Avec Smoothwall


I.5 Configuration de base dun routeur Cisco :.......................................19
I.6 commande de Bases.........................................................................19
I.7 Les diffrents modes dutilisateur.....................................................20
II. Cas Pratique.......................................................................................... 20
II.1 Cas Pratique : Configuration de larchitecture de notre systme
Rseau................................................................................................... 20
II.2 Configuration statique de router Cisco avec le packet tracer..........21
II.3 Configuration du Serveur DHCP Domain host control Protocol ...23

Chapitre III : Etude et Implmentation de Smoothwall............................................................


Introduction............................................................................................... 26
I. Les Architectures possibles avec Smoothwall Express...........................27
II. Installation de Smoothwall Express.......................................................28
III. Exigences matrielles pour installer Smoothwall Express....................29
IV. Services par dfaut offerts par Smoothwall Express............................30

Chapitre IV Installation Et Configuration De Smoothwall Espress.........................................


Installation Et Configuration De Smoothwall Espress................................35
IV. Installation............................................................................................ 36
IV. Configuration........................................................................................ 39
Conclusion gnrale.................................................................................. 51

BIBLIOGRAPHIE....................................................................................................................
WEBOGRAPHIE.....................................................................................................................
Liste des Tableaux.....................................................................................................................
Liste des Figures.......................................................................................................................
Table des matires.....................................................................................................................

Maria Del Pilar BAKALE TOICHOA Page 57