Je ddie ce travail :

Mes parents
Aucune expression ne saurait exprimer laffection, lestime et l'amour que
je vous porte.
Et en remerciant de tout que vous faites pour moi afin de pouvoir russir
dans les buts que je me propose dans la vie (spcialement ma cher
mre)
Toute Ma famille
Particulirement ma tante Hilaria Carlota MANGUE OANA AKELE,
mes oncles Gaudencio BEE OANA et Santiago OANA AKELE, ma
tante Mariana MOKOKO MIBUY pour tous les efforts collaboration et
amour que vous mavais apport durant tout ce priodes de ma vie. Et
tous mes autres oncles/tantes, frres/surs, cousin/cousines, sans
oublier mes grand pres/mres.
Et finalement tous mes amis et camarades de classe spcialement
*Hanane EL BOUZIADI* et Ndey BAH.

Je remercie tout particulirement, Lcole Groupe IISGA qui a

consacr une partie de son temps mencadrer durant lavancement
de ma licence professionnel.
Sa disponibilit, son envie de me faire progresser dans le domaine
du Rseaux et scurit Informatiques, ma permis de raliser mon projet
dans de trs bonnes conditions afin que lapprentissage et
lavancement du projet soient le plus efficace possible. Je le
remercie galement pour son implication avant ce projet, durant la
ralisation des modalits administratives.
Je souhaite aussi remercier lensemble de lquipe des professeures
du Rseaux et Scurit Informatique, savoir Faysal BENSALAH et
Hind FEHMI, pour leur disponibilit et le temps quils ont pu me
consacrer durant lavancement de mon PFE. En effet, jai
ressenti une envie de leur part de mexpliquer lensemble
des techniques, les astuces , les rgles respecter, tout cela
dans une ambiance agrable.
Je remercie galement Mme Samira et Mr Badih, les Directeurs de lcole
Groupe IISGA. Lopportunit quils mont donn au moment quils mont
ouvrit les porte de lcole ma permis de dcouvrir un monde cach sur le
domaine de linformatique. Ce travail, sur mon PFE, a t possible grce
la confiance quils mont pu me consacrer.
Enfin, je souhaite remercie toute lquipe pdagogique de lcole
Groupe IISGA, pour leur encadrement et conseils durant la ralisation de
mes tudes et du projet.

Mon projet de fin dtudes consiste crer deux sites, et dans

chaque site installer et raliser une configuration du pare-feu pour
tablir une connectivit entre les diffrentes zones de confiance(zone
LAN , zone WAN et la zone DMZ) en respectant les rgles de filtrage
tabli, aussi une configuration VPN Site to Site est ncessaire pour lies
les deux sites via un tunnel. Jai pour cela dcompos mon travail en
3 parties.
Les deux premires parties comprennent une description thorique,
expliquant les concepts et les fonctionnements des pare-feu en gnral
et une brve tude sur le march des pare-feu.
La dernire partie traite de la pratique, les diffrentes configurations
donner au pare-feu pour attendre lobjectif propos.

Pare-feu, rgle, filtre, configuration, interfaces, routeur, zone de

confiance, tunnel, commandes.

Figure 1: image sur le firewall ........................................................................... 6

Figure 2: Architecture d'un firewall ................................................................... 8
Figure 3: Dcision de filtrage ........................................................................... 10
Figure 4: Firewall Entreprise ............................................................................ 15
Figure 5: Unified Threat Management ............................................................ 16
Figure 6: Web Gateway Filtering ..................................................................... 17
Figure 7:Topologie GNS3 ................................................................................. 19
Figure 8: Topologie du travail .......................................................................... 20
Figure 9: Configuration graphique du router .................................................. 21
Figure 10: Routers Cisco .................................................................................. 31

Tableau 1: rgles de filtrage ............................................................. 11

Tableau 2: Configuration des interfaces FA ..................................... 20
Tableau 3: Configuration des interfaces FB...................................... 21
Tableau 4: Afichage des adress DHCP .............................................. 26

Cisco Commercial & Industrial

Security Corporation
BSD : Berkeley Software Distribution
HTTP : HyperText Transfert Protocol
SSL : Secure Sockets Layers
TCP : Transmission Control Protocol
IP : Internet Protocol
SSH : Secure Shell
NTP : Network Time Protocol
SNMP : Simple Network Management
Protocol
DNS : Domain Name System
ICMP : Internet Control Message
Protocol
OSPF : Open Shortest Path First
ACLs : Access Control List
DDOS : Distributed Denial of Service

BGP : Border Gateway Protocol

MITM : Man In The Middle
IOS : Internetwork Operating System
ARP : Address resolution protocol
UDP : User Datagram Protocol
LAN : Local Area Network
WAN : Wide Area Network
DMZ : Demilitarized Zone
FTP : File Transfer Protocol
NAT : Network Address Translation
URLs : Uniform Resource Locator
CSR : Cloud Services Router
DHCP : Dynamic Host Configuration
Protocol
VTY : virtual terminal
CBAC : Context-based access control

................................................................................................3

Le contexte gnral................................................................................................................3
Origine du terme ........................................................................................................................3
Terminologie ..............................................................................................................................3

La problmatique ...................................................................................................................3
Acquis/pr-requis .......................................................................................................................4
Attaques TCP/IP .........................................................................................................................4

Les objectifs ..............................................................................................................................4

...................................................................................................................................6

Pare-feu / Firewall ..................................................................................................................6

Objectifs dun pare-feu .........................................................................................................7
Ce que le pare-feu ne fait pas ............................................................................................7
..............................................................................................................7

Zone de confiance sur un pare-feu ..................................................................................8

Niveau de confiance ..............................................................................................................8
Attaques sur le LAN ...............................................................................................................9
Politiques de filtrage .............................................................................................................9
Filtrage ........................................................................................................................................9
Dcision de filtrage ..............................................................................................................10
Rgles ........................................................................................................................................ 10
.................................................................................................................... 11

Pare-feu sans tat .................................................................................................................11

Pare-feu tat ....................................................................................................................... 12
Pare-feu applicatif ................................................................................................................12
.................................................................................................................................... 14

Format.......................................................................................................................................14

Offre et cibles .........................................................................................................................14

Appliance .................................................................................................................................14
Virtualisation ..........................................................................................................................15
Firewall Entreprise ...............................................................................................................15
Unified Threat Management (UTM) ..............................................................................16
Web Gateway Filtering .......................................................................................................17
...................................................................................................... 19

Fonctionnalits de la topologie .......................................................................................19

Configuration de la topologie ..........................................................................................19
Composants personnels .....................................................................................................20
Paramtres rseau ...............................................................................................................20
Accs la console .................................................................................................................21
Configuration de dpart ........................................................................................................... 22
Service DHCP ............................................................................................................................ 22
NAT Overload ........................................................................................................................... 23
Diagnostic................................................................................................................................. 24
....................................................................................................................... 24

ACL dfinition et utilit ......................................................................................................24

Deux types dACLs IPv4 .............................................................................................................25
ACLs numrotes ...................................................................................................................... 25
ACL nommes ........................................................................................................................... 25

Applications ............................................................................................................................25
Direction des ACLs .................................................................................................................... 26

Mise en oeuvre ......................................................................................................................26

Refuser laccs du DMZ au rseau LAN .................................................................................... 26
Autoriser une plage contigus dadresses IP............................................................................. 27
Refuser laccs dun hte une interface ................................................................................. 27
Autoriser du trafic TCP 80 .........................................................................................................27
Autoriser des Pings (ICMP) ....................................................................................................... 28
Autoriser le Web, le Mail, FTP etc. ............................................................................................ 28
Autoriser le trafic DNS .............................................................................................................. 28
Autoriser des mises--jour de routage ...................................................................................... 29

Dbogage du traffic .................................................................................................................. 29

Filtrage VTY .............................................................................................................................. 29
.......................................................................................................................... 30
............................................................................................................................ 31

Le contexte gnral
Origine du terme
Selon le contexte, le terme peut revtir diffrentes significations :
Dans le domaine de la lutte contre les incendies de fort, il se rfre
aux alles pare-feu destines contenir l'extension des feux de forts ;
Au thtre, le dclenchement d'un mcanisme pare-feu (ou coupe-feu )
permet d'viter la propagation du feu de la salle vers la scne ;
Dans le domaine de l'architecture, il fait rfrence aux portes coupe-feu ou
tout autre dispositif constructif destin contenir l'extension d'un incendie.
En informatique l'usage du terme pare-feu est donc mtaphorique : il
voque une porte empchant les flammes de l'Internet d'entrer chez soi
et/ou de contaminer un rseau informatique.

Terminologie
Un pare-feu est parfois appel coupe-feu, garde-barrire, barrire de scurit,
ou encore firewall.
Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu
est aussi appel packet filter.

La problmatique
Le pare-feu tait jusqu' ces dernires annes considr comme une des pierres
angulaires de la scurit d'un rseau informatique (il perd en importance au fur et
mesure que les communications basculent vers le HTTP sur SSL, court-circuitant tout

filtrage). Il permet d'appliquer une politique d'accs aux ressources rseau ( serveurs).
Dans les objectifs principaux sont :
Assurer une bonne connexion entre les diffrentes zones de confiances.
Assurer la bonne transmission des informations partir de linternet.
Protger les ordinateurs comme les rseaux des entreprisse contre les attaques
venant de lextrieur.
Mais on doit savoir lutiliser dune manier adquate.

Acquis/pr-requis
Rappels TCP/IP
Concepts de scurit, attaques, menaces, contre-mesures
La matrise de la configuration des ACLS
Une topologie route fonctionnelle en TCP/IP GNS3/VirtualBox/VMWare.
Des services dploys : Telnet, SSH, DHCP, SNMP, DNS, Syslog, ICMP,
OSPF.
Tunnel traversant les pare-feu

Attaques TCP/IP
IP Spoofing, TCP/IP scanning, Flooding, DoS, DDoS, variante TCP/UDP,
variantes IPv6.
Attaques sur les protocoles de routage intrieurs et BGP
Attaques dhomme du milieu (MitM), de reconnaissance, dvasion, attaque en
force-brute, trafic
malicieux, phishing, dnis de service (DoS, DDoS), par rflexion, backdoor,
injections Web, via malware ou worms

Les objectifs
Ce document est un support de formation thorique et pratique dinitiation aux parefeu TCP/IP. Il est destin un public ayant dj une connaissance de TCP/IP.
Le propos prend pour illustration la topologie Cisco IOS.
Le lab. proposs peut tre ralis individuellement pour tout le monde dans son
propre PC.
Ce document vise pdagogique nest en rien un rapporte du projet livre de recette
ou un guide. Une prsence et une participation active la lecture est ncessaire pour
bien suivre la prsentation

Dans ce chapitre on va dcrire brivement quest que cest un pare-feu

et ces objectifs, ainsi que ces diffrents fonctionnements, les
diffrents attaques quil peut subir sur le LAN, politiques de filtrage et
la topologie dtude. Et pour finaliser le chapitre on va parler des
diffrent types de pare-feu quon peut connaitre, c'est--dire la
classification ou les catgories.

Pare-feu / Firewall
Dans un systme d'information, les politiques de filtrage et de contrle du trafic
sont places sur un matriel ou un logiciel intermdiaire communment appel
pare-feu (firewall).
Il permet de protger un ordinateur ou un rseau des ordinateurs des intrusions
provenant dun rseau tiers (internet).
Cet lment du rseau a pour fonction dexaminer et filtrer le trafic qui le
traverse
On peut le considrer comme une fonctionnalit dun rseau scuris : la
fonctionnalit pare-feu
Lide qui prvaut ce type de fonctionnalit est le contrle des flux du rseau
TCP/IP.
Le pare-feu limite le taux de paquets et de connexions actives. Il reconnat les
flux applicatifs.

Figure 1: image sur le firewall

Objectifs dun pare-feu

Il a pour objectifs de rpondre aux menaces et attaques suivantes, de manire nonexhaustive :
Usurpation didentit.
La manipulation dinformations.
Les attaques de dni de service (DoS/DDoS).
Les attaques par code malicieux.
La fuite dinformation.
Les accs non-autoris (en vue dlvation de privilge).
Les attaques de reconnaissance, dhomme du milieu, lexploitation de TCP/IP

Ce que le pare-feu ne fait pas

Le pare-feu est central dans une architecture scurise mais :
Il ne protge pas des menaces internes.
Il napplique pas tout seul les politiques de scurit et leur surveillance.
Il ntablit pas la connectivit par dfaut.
Le filtrage peut intervenir tous les niveaux TCP/IP de manire trs fine.
Il ne contrle pas le mal usages des outils informatique.

Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en

filtrant les flux de donnes qui y transitent.
Gnralement, les zones de confiance incluent lInternet (une zone dont la confiance
est nulle) et au moins un rseau interne (une zone dont la confiance est plus
importante).
Le but est de fournir une connectivit contrle et matrise entre des zones de
diffrents niveaux de confiance, grce l'application de la politique de scurit et d'un
modle de connexion bas sur le principe du moindre privilge.
Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le rseau en plusieurs
zones de scurit appeles zones dmilitarises ou DMZ. Ces zones sont spares
suivant le niveau de confiance qu'on leur porte.

Zone de confiance sur un pare-feu

Figure 2: Architecture d'un firewall

Niveau de confiance
Le niveau de confiance est la certitude que les utilisateurs vont respecter les
politiques de scurit de lorganisation.
Ces politiques de scurit sont dictes dans un document crit de manire
gnrale. Ces recommandations touchent tous les lments de scurit de
lorganisation et sont traduites particulirement sur les pare-feu en diffrentes
rgles de filtrage.
On notera que le pare-feu nexamine que le trafic qui le traverse et ne protge en
rien des attaques internes, notamment sur le LAN.

Attaques sur le LAN

On doit considrer le LAN comme ntant pas exempt de menaces (dites internes).
Il englobe aussi bien les rseaux filaires (IEEE 802.3) que sans-fil (IEEE
802.11) dans des architectures traditionnelles ou ouvertes (BYOD).
Le pare-feu nintervient que partiellement dans la mise en uvre de politiques de
scurit au niveau de la couche 2 : Cisco appelle cet aspect First Hop Security.

Politiques de filtrage
Selon les besoins, on placera les politiques de filtrage diffrents endroits du
rseau, au minimum sur chaque hte contrl (pare-feu local) et en bordure du
rseau administr sur le pare-feu. Ces emplacements peuvent tre distribus dans la
topologie selon sa complexit.
Pour viter qu'il ne devienne un point unique de rupture, on s'efforcera d'assurer la
redondance des pare-feu. On placera plusieurs pare-feu dans larchitecture du
rseau des fins de contrle au plus proche dune zone ou pour rpartir la charge.

Filtrage
La configuration d'un pare-feu consiste la plupart du temps en un ensemble
de rgles qui dterminent une action de rejet ou d'autorisation du trafic qui passe
les interfaces du pare-feu en fonction de certains critres tels que :
L'origine et la destination du trafic,
Des informations d'un protocole de couche 3 (IPv4, IPv6, ARP, etc.),
Des informations d'un protocole de couche 4 (ICMP, TCP, UDP, etc.)
Et/ou des informations d'un protocole applicatif (HTTP, SMTP, DNS, etc.

Dcision de filtrage
Les rgles sont appliques en fonction de la direction du trafic entrant ou sortant sur
une interface, avant ou aprs le processus de routage des paquets. Cette dernire
ralit diffre selon le logiciel ou le matriel choisi pour remplir ces tches.

Figure 3: Dcision de filtrage

Rgles
Chaque rgle est examine selon son ordonnancement.
Si le trafic ne correspond pas la premire rgle, la seconde rgle est
value et ainsi de suite.
Lorsqu'il y a correspondance entre les critres de la rgle et le trafic, l'action
dfinie est excute et les rgles suivantes ne sont pas examines.
La terminologie des actions usuelles peuvent tre accept, permit, deny, block,
reject, drop, ou similaires.
En gnral, un ensemble de rgles se termine par le refus de tout trafic, soit
en dernier recours le refus du trafic qui traverse le pare-feu. Ce comportement
habituellement dfini par dfaut ou de manire implicite refuse tout trafic pour
lequel il n'y avait pas de correspondance dans les rgles prcdentes.

Tableau 1: rgles de filtrage

Rgle

Action

Protocol

IP source

IP destination

N de
port

deny

TCP

192.168.10.20

192.168.60.30

80

Permit

IP

any

any

any

cach

deny

IP

any

any

any

On distinguera les fonctionnalits gnrationnelles :

Pare-feu sans tat,
Pare-feu avec tat, filtrant les sessions TCP entrantes et sortantes.
Et pare-feu applicatif.
Dans une autre typologie fonde sur l'emplacement des fonctionnalits, on
distinguera les
Pare-feu locaux
Des pare-feu ddis, logiciels ou matriels.
On remarquera utilement que Windows dispose d'un pare-feu local intgr

Pare-feu sans tat

Le filtrage sans tat correspond lusage des ACLs Cisco.
C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs. Il regarde
chaque paquet indpendamment des autres et le compare une liste de rgles
prconfigures.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en

compte des machines tats des protocoles rseaux ne permet pas d'obtenir une
finesse du filtrage trs volue. Ces pare-feu ont donc tendance tomber en
dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.

Pare-feu tat
En informatique, un pare-feu tats (stateful firewall, stateful inspection firewall
ou stateful packet inspection firewall en anglais) est un pare-feu qui garde en
mmoire l'tat de connexions rseau (comme les flux TCP, les communications
UDP) qui le traversent.
Le fait de garder en souvenir les tats de connexions prcdents permet de
mieux dtecter et carter les intrusions et assurer une meilleure scurit. Le parefeu est programm pour distinguerles paquets lgitimes pour diffrents types de
connexions. Seuls les paquets qui correspondent une connexion active connue
seront autoriss par le pare-feu, d'autres seront rejets.
Linspection dtat (stateful inspection), appele aussi le filtrage dynamique
(Dynamic Packet Filtering) est une fonctionnalit de scurit qui est souvent
implmente dans des rseaux d'entreprises. Cette fonctionnalit a t invente
par Check Point Software, qui la lance avec leur logiciel FireWall-1 en 1994.

Pare-feu applicatif
Un pare-feu applicatif vrifie la conformit du paquet par rapport un protocole
applicatif attendu.
Par exemple, ce type de pare-feu permet de vrifier que seul du trafic HTTP passe
par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le
dbit devient trs important. Il est justifi par le fait que de plus en plus de protocoles
rseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture dynamique de ports.
Certains protocoles comme le fameux FTP en mode passif change entre le client et
le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits
contenu sale ou passant difficilement les pare-feu car ils changent au niveau
applicatif (FTP) des informations du niveau IP (change d'adresses) ou du niveau
TCP (change de ports). Ce qui transgresse le principe de la sparation des couches
rseaux. Pour cette raison, les protocoles contenu sale passent
difficilement voire pas du tout les rgles de NAT ...dynamiques, moins
qu'une inspection applicative ne soit faite sur ce protocole.

Dans ce chapitre on va voir ltude du

march sur les pare-feu ainsi que le diffrent
format, les offres, les cibles et les Appliance.

Format
On trouvera des pare-feu en format :
1. Appliance hardware, ddi (commercial en gnral).
2. En Software, commercial ou Open-Source installer sur son propre
Hardware, en virtualisation (DC ou lab.)
3. En produits spcialiss ou fonctionnels.

Offre et cibles
Logiciels Open source.
Offres commerciales Segments/cibles.
CPE/Soho Firewalls.
UTM : SMB Firewalls.
Enterprise Firewalls.
Offres spcialises.

Appliance
Matriel physique dinterconnexion.
Minimum des interfaces Gigabit Ethernet Cuivre et +
Filtrage de Haut niveau et services intgrs.
Architectures Intel : puissance, portabilit.
Architectures ARM : faible consommation, portabilit.

Virtualisation
Solutions pare-feu pour Data Center (DC) :
Cisco CSR1000V.
Cisco Adaptive Security Virtual Appliance (ASAv).
Vyatta.org et Vyatta.com (Brocade).
pfSense.
...

Firewall Entreprise
"Le march de pare-feu de rseau entreprise reprsent par ce Magic Quadrant est
compos principalement d'appareils construite cet effet et virtualise modles de
scurisation des rseaux d'entreprise. Les produits doivent tre en mesure de
soutenir le single-dploiements de pare-feu d'entreprise et les dploiements
grandes chelle mondiales, y compris les succursales. Ces produits sont
accompagns d'une vente, produits, gestion hautement volutive et consoles
considres et cosystme de soutien axs sur l'entreprise.
"Bien que le pare-feu/VPN et IPS sont convergentes, autres produits de scurit ne
sont pas. All-in-one ou unifi menace management (UTM) produits conviennent pour

Figure 4: Firewall Entreprise

des petites ou moyennes entreprises (PME), mais pas pour l'entreprise : Gartner
prvoit que cette sparation se poursuivra jusqu'au moins 2016. Pare-feu succursale
deviennent des produits spcialiss, divergeant de produits SMB

Unified Threat Management (UTM)

Gartner dfinit le march de (UTM) de gestion unifie des menaces comme les
produits de scurit multifonctions rseau utiliss par les petites et moyennes
entreprises (PME). En gnral, entreprises de taille moyenne ont 100 1 000
employs, avec des revenus allant de $ 50 millions $ 1 milliard. Produits UTM pour
le march des PME-PMI doivent remplir les fonctions suivantes au moins :
Le Fonctions de pare-feu dynamique pour le
Remote accs et rseau priv virtuel (VPN) de site site de soutien
Secure Web gateway (SWG) fonctionnalit (contrle anti-malware, URL et
application)
Network intrusion prvention axe sur la protection du poste de travail".
"PME/PMI doit valuer les dispositifs UTM bass sur les contrles, qu'ils seront en
fait utilisation, les performances qu'ils obtiendront pour ces fonctionnalits et la prise
en charge de qualit de vendeur et canal (et services manags) disponible. Compte
tenu de l'incertitude conomique, la plupart des PME ont fort il les contraintes
budgtaires et de personnel. Cela provoque leur hautement valeur facilit de
dploiement et utilisation, prise en charge des voies locales fortes et tarification
souple.

Figure 5: Unified Threat Management

Web Gateway Filtering

Figure 6: Web Gateway Filtering

Ce chapitre se base sur tout dans la partie pratique, ou on va voir les

diffrentes configurations dun router Cisco entant que pare-feu, en
utilisant le logiciel GNS3. Les diffrentes configurations vont se baser
en tablir des rgles dans le pare-feu pour bloquer ou autoriser des
trafics.
Premirement il faut commencer par la configuration de dparte,
car les routeurs Cisco viennent avec une configuration vierge, en
suite, la configuration des interfaces, puis le DHCP et le NAT,
finalement on configure
les Access control List (ACLS) en respectant la mise en uvre pour
attendre lobjectif propos

Fonctionnalits de la topologie
En bordure du rseau, le pare-feu tablit connectivit IPv4 avec des fonctions de
routage et de
NAT. Packet Tracer (PT) ne supporte pas cette topologie.
On peut par contre utiliser ;
du vrai matriel
GNS3/Virtualbox
CSR1000v/VMWare

Figure 7:Topologie GNS3

Configuration de la topologie
Le pare-feu est virtualis(GNS3)
Le LAN est aussi virtualis de la mme faon par exemple. On y trouve une
station avec un OS graphique : 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine physique et obtient ses
paramtres IP
dynamique (configuration GNS3 Bridging)
Les DMZ est virtualise sur VMWare.

Composants personnels
Stations agnostiques
Console directe sur lIOS.
Routeur Cisco IOS : C7200 ADVENTERPRISEK9-MVersion 12.4(15) T14.
Des attaquants potentiels, les stations hardware du rseau physique

Figure 8: Topologie du travail

Paramtres rseau
Lordre de cration des interfaces est :
Firewall-SiteA
Tableau 2: Configuration des interfaces FA

Zone
LAN
WAN
DMZ

Description
important

IOS int

DHCP
Bridged, NAT Sortant
STATIC, Server

f0/0
f2/0
f1/0

Address IP
192.168.1XY .1/24

192.168.115.1/24
192.168.137.254/24
192.168.XY.1/24

Firewall-SiteB
Tableau 3: Configuration des interfaces FB

Zone
LAN
WAN
DMZ

Description
important

IOS int

STATIC
Bridged, NAT Sortant
STATIC, Server

f0/0
f2/0
f1/0

Address IP
192.168.1XY .1/24

192.168.11.1/24
192.168.137.253/24
192.168.XY.1/24

Accs la console
Les routeurs/pare-feu Cisco sont fourni avec une configuration vierge

Figure 9: Configuration graphique du router

Configuration de dpart
# Service password-encryptation
# Enable secret santy
!
# Hostname firewall
# Ip domain name igiam.lan
# ip name-server 8.8.8.8
# ip domain-lookup
!
# ip dns server
!
# username root secret santy
!
# line vty 0 4
# password cisco
# login local
!
#crypto key generate rsa
Service DHCP
#ip dhcp excluded-address 192.168.115.1 192.168.115.99
#ip dhcp excluded-address 192.168.120.1 192.168.120.99

!
#ip dhcp pool LAN
#network 192.168.115.0 255.255.255.0
#default-router 192.168.115.1
#dns-server 212.217.0.1
#domain-name igiam.lan
!
#ip dhcp pool DMZ
#network 192.168.120.0 255.255.255.0
#default-router 192.168.120.10
#dns-server 212.217.0.1
#domain-name iisga.local

NAT Overload
#ip nat inside source list NAT_source interface FastEthernet2/0 overload
!
#ip access-list standard NAT_source
#permit 192.168.115.0 0.0.0.255
#permit 192.168.120.0 0.0.0.255
!
#interface FastEthernet0/0
#description interface zone LAN
#ip nat inside
!
#interface FastEthernet2/0
#description interface zone WAN

#ip nat outside

!
#interface FastEthernet1/0
#description interface zone DMZ
#ip nat inside
Diagnostic
#show ip interface brief
#show ip route
#ping cisco.goffinet.org
#ping 8.8.8.8
#show ip route
#ping (tendu sur linterface f0/0 LAN)
#traceroute (tendu sur linterface f0/0 LAN)
#show ip nat translations
#show ip dhcp binding
#debug ip nat ...
#debug ip dhcp ...

ACL dfinition et utilit

ACL = ensemble de rgles de filtrage du t Utiles pour :
les fonctions de pare-feu
marquage du trafic
NAT
Contrler les logs, les accs consoles virtuelles (VTY), ...

Vision Cisco IOS mais bon point de dpart scurit.

Deux types dACLs IPv4

Les deux types dACLs se distinguent en fonction de critres utiliss. Une liste simple
(standard) et lautre plus complexe (tendue).
Standard : uniquement adresse IPv4 source
Etendue :
protocole IPv4, ICMPv4, TCP, UDP, ESP, AH, ...
origine et destination
port et types de messages

ACLs numrotes
Les ACLs numrotes sont constitues dun ensemble de rgles :
ordonnes selon la frappe
ayant un mme numro

ACL nommes
Les ACLs nommes prennent un Nom.
Il faut spcifier le type standard ou extended en IPv4. Les ACLs IPv6 sont
doffice
o extended .
les rgles sincrmentent dun numro dordre (tous les
10). Cet ID permet dinsrer des rgles dans une liste.
(config)#ip access-list standard
ACL_IPv4_STD (config-stdnacl)#permit | deny ?
(config)#exit
(config)#ip access-list extended ACL_IPv4_EXT
(config-ext-nacl)#permit | deny ?
(config)#exit
(config)#ipv6 access-list ACL_IPv6
(config-ipv6-acl)#permit | deny ?

Applications
En soi, une ACL na pas de porte si elle nest pas applique.
Filtrage sans tat de trafic de donnes sur des interfaces
Firewall (filtrage tat) sur des interfaces : ACL Bloquant
Filtrage de trafic de gestion (sur une ligne VTY)
Trafic source dans une rgle NAT (inside source list) dsign de nombreuse
adresses IP prives traduire.

Transfert de port.
Dbogage pour filtrer les sorties.
et bien dautres en ingnierie du trafic (VPN, QoS, filtrage du routage, routage la
demande,
).

Direction des ACLs

Les listes daccs sappliquent sur les interfaces :
pour le trafic entrant sur linterface, in
pour le trafic sortant de linterface, out

Mise en oeuvre
Refuser laccs du DMZ au rseau LAN
Refuser une plage contigu dadresses IP
Autoriser laccs dun hte une interface
Autoriser du trafic TCP 80
Pare-feu simple CBAC
Autoriser des Ping (ICMP)
Autoriser le Web, le mail, FTP et SSH
Autoriser le trafic DNS
Autoriser le trafic de routage
Dbogage du trafic
Filtrage VTY

Refuser laccs du DMZ au rseau LAN

Refuser le Server daccder au LAN:

#sh ip dhcp binding
Tableau 4: Afichage des adress DHCP
Bindings from all pools not associated with VRF:
IP address

Client-ID/

Lease expiration

Type

Hardware address/
User name
192.168.120.100

0800.2790.cf87

Mar 02

2002 12:00 AM

Automatic

192.168.115.10

0800.2742.56ff

Mar 02

2002 12:00 AM

Automatic

192.168.115.20

0800.27bf.000a

Mar 02

2002 12:00 AM

Automatic

#conf t

(config)#ip access-list standard DENY_SERVER_LAN

(config-std-nacl)#deny host 192.168.120.10
(config-std-nacl)#exit
(config)#int f0/0
(config-if)#ip access-group DENY_SERVER_LAN out

Autoriser une plage contigus dadresses IP

Imaginons que lon ait toute une srie de adresss en 192.168.X.X/24 derrire le
pare-feu.
(config)#ip access-list standard PERMIT_LANS
(config-std-nacl)#permit 192.168.0.0 0.0.255.255

Refuser laccs dun hte une interface

(config)#ip access-list standard DENY_PC1
(config-std-nacl)#deny host 192.168.115.20
(config-std-nacl)#exit
(config)#int f0/1
(config-if)#ip access-group DENY_PC1 out

Test partir de PC1 et de PC2 avant et aprs lapplication de lACL

Autoriser du trafic TCP 80

(config)#ip access-list extended PERMIT_TCP
(config-ext-nacl)#10 permit udp any eq domain any
(config-ext-nacl)#20 permit tcp any eq www 192.168.115.0 0.0.0.255
established
(config-ext-nacl)#exit
(config)#int f2/0
(config-if)#ip access-group PERMIT_TCP in

Pare-feu simple CBAC

(config)#ip access-list extended CBAC
(config-ext-nacl)#permit udp any eq 53 any
(config-ext-nacl)#exit

(config)#exit
(config)#int f2/0
(config-if)#ip access-group CBAC in
#show access-list CBAC
Extended IP access list CBAC
permit ip any any (39 match(es))
(config)#ip inspect name FW udp
(config)#ip inspect name FW tcp
(config)#int f0/0
(config-subif)#ip inspect FW in

Autoriser des Pings (ICMP)

Le plus simplement du monde avec CBAC :
R1(config)#ip inspect name FW icmp

Autrement par ACL :

R1(config)#ip access-list extended PERMIT_ICMP
R1(config-ext-nacl)#permit icmp any any echo
R1(config-ext-nacl)#permit icmp any any echo-reply

Autoriser le Web, le Mail, FTP etc.

Vers le serveur en DMZ 192.168.10.100 venant de toutes les autres zones :
(config)#ip access-list extended DMZ_SERVICES
(config-ext-nacl)#permit tcp any any eq www
(config-ext-nacl)#permit tcp any any eq 22
(config-ext-nacl)#permit tcp any any eq smtp
(config-ext-nacl)#permit tcp any any eq pop3
(config-ext-nacl)#permit tcp any any eq 21

Autoriser le trafic DNS

Dur sur lInternet sans DNS
R1(config)#ip access-list extended DNS

R1(config-ext-nacl)#permit udp any any eq domain

Autoriser des mises--jour de routage

R1(config)#ip access-list extended MISES_A_JOUR
permit udp any any eq rip
permit eigrp any any
permit ospf any any
permit tcp any any eq 179

Dbogage du traffic
Vers le serveur en DMZ 192.168.120.100 venant de toutes les autres zones :
Par exemple :

(config)#access-list 199 permit tcp host 192.168.115.100 host

192.168.115.160
(config)#access-list 199 permit tcp host 192.168.10.100 any
(config)#end
#debug ip packet 199 detail
IP packet debugging is on (detailed) for access list 199

Filtrage VTY
(config)#ip access-list extended VTY
(config-ext-nacl)#permit ip host 172.16.0.1 any
(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)#exit
(config)#line vty 0 4
(config-line)#ip access-class VTY in

Les technologies de pare-feu visent filtrer le trafic de faon plus ou

moins approfondie suivant la capacit des pare-feu et leurs rles. Les
quipements de filtrage sont de plus en plus nombreux. Ils
comprennent les routeurs filtrants qui ralisent un filtrage assez
basique sur les en-ttes des paquets IP et les en-ttes TCP/UDP. Ils
incluent aussi des proxys spcialiss dans le filtrage de protocoles
applicatifs, ainsi que des botiers combinant les fonctions de filtrage
des routeurs filtrants et du proxy. Au fil des ans, dans le souci
damliorer les performances en dbit du filtrage, les mcanismes de
stateful inspection sont apparues, permettant de filtrer trs finement
les protocoles applicatifs avec des performances meilleures que le
proxy. Pour amliorer la qualit du filtrage et bloquer en temps rel le
trafic suspect, des systmes de dtection dintrusion et de prvention
dintrusion ont galement vu le jour.
Les travaux de recherche dans le domaine des pare-feu vont
principalement dans deux directions : accrotre la rapidit du filtrage et
amliorer la qualit du filtrage avec la dtection du plus grand nombre
dattaques possible. Enfin, des travaux portent sur la gestion des
politiques...

http://www.cisco.com/c/en/us/support/docs
/ip/access lists/26448-ACLsamples.html
http://www.cisco.com/c/en/us/td/docs/iosxml/ios/ipv6/configuration/15- 2s/ipv6-15-2s-book sec-trfltrfw.html#GUID-F9C70A05-6CC1-48F8-8DCA-A40291E343ED
http://www.bortzmeyer.org/ipv6-securite.html
http://www.cisco.
com/en/US/prod/collateral/iosswrel/ps6537/ps6553
e_paper_c11-678658.html
RFC 6092 et RFC 6204 : recommandations de filtrage sur les CPE enduser.

Figure 10: Routers Cisco