Académique Documents
Professionnel Documents
Culture Documents
Le pare-feu Cisco PIX 515E offre des services trs perfectionns de pare-feu inspection dtat et de rseaux privs
virtuels (VPN) IPsec. Conu pour les petites et moyennes entreprises, ainsi que pour les agences de socits, le Cisco
PIX 515E est dot d'une puissance de traitement renforce et d'une acclration matrielle intgre IPsec (pour
certains modles) ce qui procure des performances encore plus leves pour rpondre aux exigences de scurit des
accs haut dbit
0
1
I. Politique de scurit _________________________________________________________________ 4
1. La politique de scurit rseau ______________________________________________________________ 4
2. Terminologie ____________________________________________________________________________ 5
3. Cycle de la politique de scurit _____________________________________________________________ 6
3.1 La planification (Plan...) __________________________________________________________________________ 6
3.2 La mise en uvre (Do...) _________________________________________________________________________ 7
3.3 Le suivi (Check...) _______________________________________________________________________________ 7
3.4 Agir (Act...) ____________________________________________________________________________________ 7
4. Conclusion ______________________________________________________________________________ 8
5. Conclusion _____________________________________________________________________________ 21
2
3. Configuration de base du Cisco PIX 515E _____________________________________________________ 30
3.1 Configuration par dfaut du PIX __________________________________________________________________ 30
3.2 Configuration du Cisco PIX en mode CLI ____________________________________________________________ 30
3
I. Politique de scurit
Cest une expression, un concept parfois un peu flou dont on entend parler lorsquil devient ncessaire de
sorganiser.
Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les
rponses aux questions quun ingnieur en charge dune tude se pose lorsquil aborde le volet scurit
dun projet informatique dont la russite dpend entre autres de la prise en compte ds le dbut des contraintes de
scurit. (Nous parlons aussi dexigences). Une politique de scurit est donc un document confidentiel
(largement diffus toutefois) qui en faisant abstraction des contingences matrielles et techniques fournit une
collection de directives de scurit classes par thmes. La mise en pratique de la politique de scurit est
lapplication des directives aux thmes couverts par le projet.
La thmatique rseau dans la politique de scurit englobe les recommandations pour lexploitation des liens
rseaux et des quipements. Les domaines abords voluent avec les intrts conomiques de lentreprise et
concernent entre autres :
La gestion des accs au rseau et aux ressources (en relation avec la gestion des identits et des droits)
la cryptographie
la scurit des quipements et des configurations
la scurit des systmes terminaux.
Cependant, il serait illusoire et coteux de vouloir tout prix protger lentiret dune infrastructure informatique
la manire dun Fort Knox. Cest pourquoi, la politique de scurit sapplique des degrs divers aux
rseaux et aux quipements en fonction du niveau de confidentialit entre les populations et les ressources.
La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit
des ressources et dhabilitation des populations. En fonction de cette classification, des rgles sont mises et crites
dans le document. Ce travail est fastidieux mais ne revt pas un caractre obligatoire. Il est envisageable de tout
classifier un niveau unique et ainsi de simplifier la politique de scurit.
4
Considrons un exemple simple :
Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement
class confidentiel.
Laccs des documents classs confidentiel nest autoris quaux personnels disposant dune habilitation
ce niveau ou un niveau suprieur
La dure dutilisation des documents classs de type confidentiel est enregistre
Les documents classs confidentiel sont uniquement accessibles en lecture seule
Les documents classs confidentiel sont consultables distance uniquement au travers dun canal chiffr sur
les rseaux de type LAN ou WAN.
Cet exemple illustre la relation entre une population, une ressource, un niveau de confidentialit et la
politique de scurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont
plus limits leurs frontires traditionnelles mais stendent vers les rseaux de leurs partenaires tout en
recevant les connexions des employs en dplacement, couramment dsigns comme "nomades".
Ces rgles sont au-dessus de toute contingence technique. Une obligation de chiffrer les communications sur
une liaison nindique pas obligatoirement quel type de chiffrement sera utilis dans la mesure o les techniques
voluent en permanence. Malgr tout, il est envisageable de le prciser condition de veiller la mise
jour priodique du document.
... au travers dun canal chiffr sur les rseaux de type LAN ou WAN. Chiffrement en AES 256 sur les quipements du
rseau avec authentification par certificats. Il est galement possible, en complment de cette prcision, que la
mises-en uvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour
le dploiement. Enfin, la documentation technique prcise la manire dont le protocole est configur sur les
quipements du rseau.
La rdaction dune politique de scurit est un travail sur mesure dont le document final est applicable
toutes les ressources et toutes les populations de lentreprise. Ce document est obligatoirement valid au plus
haut niveau de la hirarchie. Il est important de faire voluer la politique de scurit en fonction des liens qui ne
manqueront pas de se tisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son
sens et devient peu peu inapplicable. La littrature anglo-saxonne reprend linfini le concept du docteur
DEMING Plan, Do, Check, Act ce qui dans notre langue se traduit par planifier, faire, vrifier, corriger. Ceci
sapplique tout fait la politique de scurit et constitue un vritable cycle dvolution permanente.
La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Dans
lentreprise, il est recommand de crer un groupe de travail autour de la rdaction de ce document.
2. Terminologie
Nous allons brivement voquer les quelques mots-cls qui sont largement repris dans la littrature
informatique lorsque la scurit est aborde.
Une vulnrabilit est une faiblesse le plus souvent cache, touchant une infrastructure informatique. Ce
terme est frquemment associ aux logiciels mais il regroupe plus gnralement toute faiblesse quelle quen soit la
nature. Une erreur de configuration dun quipement rseau constitue une vulnrabilit tout comme un mot de
5
passe vide ou trivial. Lexpression faille de scurit est galement employe. Les moyens et les mthodes visant
liminer les vulnrabilits sont faciles mettre en pratique et requirent :
Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une population
malveillante qui tenterait de lexploiter. Il existe dautres dfinitions selon la norme laquelle on se rfre. Lobjectif
de la scurit informatique est de diminuer le plus possible le risque par tous les moyens disponibles.
Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque.
Concrtement, un exploit est un petit programme qui est lanc en direction de ladresse rseau du systme vis. Les
quipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont
jamais rvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont
dcouvertes les exploitent leur guise pour leur propre compte.
Mettre jour un systme ou un quipement rseau consiste appliquer les correctifs publis par le
constructeur et faisant suite la rvlation dune vulnrabilit. En la matire, la prudence simpose et avec elle
toutes les sries de tests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois
que les correctifs ont t appliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et
des retours dexprience sont fortement recommands.
La politique de scurit est labore en fonction dune variable connue sous le nom denvironnement.
Lenvironnement dans le domaine de la scurit informatique est la dfinition de lunivers dans lequel volue un
systme dinformation. Lenvironnement, dans le domaine de la scurit tablit une carte des menaces potentielles
qui planent sur un systme dinformation. Il sagit au final de dterminer la porte de la politique de scurit
en fonction des menaces dont lentreprise souhaite se prmunir. Par exemple, une entreprise dcide dinstaurer
des mesures de protection contre les menaces les plus courantes (et dy consacrer un certain budget) mais dcide de
ne pas traiter les menaces manant dagences gouvernementales. La variable denvironnement est donc utilise
pour rgler le degr de protection de la politique de scurit face une catgorie de menaces.
Comme nous lavons voqu, la politique de scurit suit un cycle connu le nom de cycle de DEMING. Parcourons en
les phases.
6
facilement accessible. Sa publication va de pair avec une large diffusion auprs des quipes en charge des
projets et de lexploitation de linfrastructure informatique. Ds les premires phases, Il est primordial
dinclure les contraintes de scurit qui jalonnent le droulement dun projet afin de ne pas risquer de
linterrompre sil venait prendre une voie contraire la politique de scurit en vigueur.
La politique de scurit est dcline en domaines fonctionnels qui reprsentent le modle du systme dinformation
de lentreprise. Son organisation prend la forme de chapitres au sein desquels figurent les points respecter. Citons
par exemple, le chapitre sur la scurit des systmes dexploitation, la scurit des bases de donnes et la scurit
des communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de
planification devront toujours avoir lesprit que leur texte servira de base aux travaux de scurisation qui ne
manqueront pas de se succder. Ainsi la clart et la prcision des propos sont de mise lors de llaboration de la
politique de scurit.
La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrire
prcdemment. Ladhsion de tous au respect des rgles dcrites est le fondement dune bonne prise en compte de
la scurit.
La politique de scurit est principalement mise en uvre lors des premires phases de progression dun projet quel
quil soit. Ce livre se cantonne la scurit des rseaux, mais le champ dapplication de la politique de scurit est
vaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation
avec le systme dinformation. titre dexemple, un projet partant dune feuille blanche ou visant modifier
une partie de larchitecture doit imprativement se rfrer la politique de scurit. Ainsi, les spcifications
techniques reprennent toutes les rfrences utiles de la politique de scurit afin de les intgrer naturellement.
Lexprience montre que la scurit si elle nest pas prise en compte ds les prmices dun projet peine par la suite
sy intgrer. Cest la raison pour laquelle la diffusion de la politique de scurit doit viser un large public et il est bon
que chaque responsable de secteur (base de donnes, dveloppement, rseaux) matrise la partie qui le concerne.
Le suivi de la politique de scurit consiste sassurer que les contraintes, imposes par le texte, sont
prises en compte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique
une prsence systmatique dun reprsentant ou responsable de la scurit aux runions de suivi et un
contrle des processus dexploitation en vigueur. Les menaces et les techniques voluent perptuellement et
une politique de scurit ne saurait, en aucun cas, rester fige. Le risque tant quelle ne soit tout
simplement plus applique. Cette approche concerne donc le suivi de lapplication de la politique de scurit.
Lvolution de la politique est donc prise en compte ds sa dfinition par llaboration dune mthode de
rvision accompagne dun facteur temps. Si lentreprise surveille lvolution des matriels et des technologies
quelle met en uvre, le suivi du processus de mise jour de la politique de scurit en sera grandement
facilit. Toutefois, les menaces et les techniques de protection en perptuelle volution commandent de temps
autre une volution de la politique de scurit avant la date de rvision planifie. Ceci doit malgr tout rester
exceptionnel car la politique de scurit de par son mode dlaboration balaye un large panel de mesures.
Lorsque le besoin sen fait sentir ou lorsque la date planifie de rvision approche, il sagit aprs analyse et rflexion
de modifier la politique de scurit dans le but de ladapter aux menaces qui psent sur les services quelle couvre
7
ou sur de nouveaux services.
Prenons par exemple le cas des VPN SSL que nous aborderons lors du chapitre consacr aux pare-feu. Cette
technique part entire mrite de se voir consacrer un chapitre de la politique de scurit car elle met en uvre des
fonctionnalits rparties sur de trop nombreux chapitres pour tre exploitable en ltat. Sur ce point, il
semble raisonnable danticiper lvolution de la politique de scurit pour ne pas avoir grer en mme temps les
questions inhrentes un projet en cours avec celles qui ne manquent pas de se poser lors dune refonte dun tel
document. Lquipe en charge du suivi de la politique de scurit passe donc la main celle en charge de son
volution et de sa rvision. Une fois ce processus termin, la politique de scurit rvise est remise en service puis
diffuse.
4. Conclusion
La politique de scurit est un lment indispensable et pralable toute entreprise (dans le sens du mot projet).
Elle slabore partir dune rflexion portant sur la protection des ressources et le niveau daccs des utilisateurs qui
est lui-mme fonction dun niveau de confiance et de responsabilit. Ce document est le fruit dun travail
itratif et doit suivre, voire tre en avance, sur lvolution de larchitecture.
La politique de scurit est mise disposition des entits qui travaillent notamment la planification ainsi
qu la ralisation de projets. Ces dernires doivent imprativement saisir la ncessit de lintgrer ds les
premires phases en drivant ses prconisations sous la forme dexigences destines faciliter la rdaction
dappels doffre ou llaboration de larchitecture choisie.
8
II. Cahiers des charges
1. Tches raliser
Configuration dun serveur avec win2008 avec un service DNS, Active Directory et DHCP.
Configuration dun serveur win2008 avec les services WEB, FTP et Mail
Configuration dun serveur 2003 avec les services CSACS et autorit de certification
Configuration de trois routeurs, deux simulant entre eux un rseau Frame Relay (Internet) et un troisime
pour laccs au site distant
Configuration dun PIX pour un accs scuris internet (firewall, ACL, NAT/PAT)
mise en place dune DMZ avec serveur WEB, FTP et Mail.
Accessibilit la DMZ pour les clients extrieurs.
Configuration dun tunnel IPsec VPN de site site.
Configuration dun tunnel reliant un client VPN au PIX
2. Contraintes
Le projet doit tre ralis et fonctionnelle dans un dlai de 3 semaines. Comprenant la mise en place de la topologie,
les tests, la capture de traces, et la rdaction dun rapport. Lensemble de la topologie doit tourner autour dun PIX
CISCO 515E.
3. Matriels utiliss
9
4. Topologie de lentreprise SOLO
10
III. Notions darchitecture rseau scurise
Un rseau est soumis rgulirement de nombreuses volutions et modifications qui sont le fruit dune
rflexion impliquant le travail du service darchitecture. Les entreprises les plus modestes ne sont pas dotes dun tel
service qui reste en rgle gnrale lapanage des groupes plus grands. Toutefois, la rflexion sur les tenants et les
aboutissants dune volution relve de la mme logique. Ce travail soulve principalement des questions
concernant limpact des modifications sur lexistant et la manire de procder lintgration. Les tches du service
darchitecture sil existe sont rparties autour de ples lis aux spcialits qui composent le systme
dinformation et nous y trouvons tout naturellement des spcialistes de la scurit et des rseaux. Pour ces
personnes, une connaissance approfondie de lexistant est imprative pralablement toute tude dvolution du
rseau. Pour les entreprises de taille modeste, le responsable informatique fait office darchitecte et prend
conseil auprs de ressources extrieures tout en restant matre de ses choix.
Les rseaux ont bnfici ces dernires annes davances technologiques dans le domaine de la scurit. Citons au
passage les protections diverses et varies face lInternet, lavnement de la tlphonie sur IP et des rseaux sans
fil. De nos jours, de nombreuses socits ouvrent leur rseau leurs partenaires dans le but de leur
permettre daccder des applications ou des documents. Tout ceci soulve de multiples questions auxquelles les
architectes du domaine rseau et scurit sont somms de rpondre pour ne pas compromettre la bonne marche de
lentreprise.
Une approche mthodique consiste scinder larchitecture globale en zones fonctionnelles recevant chacune un
niveau de scurit en fonction de sa position et de son rle.
Les techniques que nous avons abordes lors des chapitres prcdents vont ici tre mise contribution.
chaque zone de scurit nous ferons correspondre un jeu de mesures techniques et organisationnelles.
Il est important de comprendre quau-del de la protection du seul rseau, larchitecture de scurit a pour
objectif ultime la disponibilit des applications et des donnes. Le schma montre en entre (bulles
suprieures) les composantes de larchitecture scurise et en sortie de celle-ci, les services fournis aux divers
processus dploys par lentreprise.
11
Nous allons prsenter dans ce chapitre les zones de scurit qui connectes les unes aux autres constituent le rseau
scuris dans son entiret. Nous allons mettre en correspondance pour chacune des zones les fonctions de scurit
abordes au cours des chapitres prcdents.
2. La vision de Cisco
Cisco prsente un concept nomm "the self-defending Network", le rseau qui se dfend seul, le rseau auto
dfense. Cette approche de la scurit des rseaux stend toutes les couches du modle OSI et offre des
services scuritaires aux quipements, aux utilisateurs et aux applications. Cette offre est troitement
connecte des systmes de contrle et de surveillance. Ce concept se dcline en solutions cestdire en produits
qui sont intgrs larchitecture rseau. Il en rsulte une architecture rseau scurise.
le contrle des menaces pour les infrastructures, les quipements dextrmit et la messagerie dont
les produits entre autres englobent : les pare-feu, les systmes de prvention et de dtection
dintrusion, les contrleurs daccs au rseau, les agents de scurit, les passerelles de messagerie
la scurit des communications dont les produits fournissent des services IP Sec ou VPN SSL : ce
sont les routeurs et les pare-feu
le contrle daccs au rseau avec lquipement NAC (Network Access Control) qui contrle la
scurit des quipements voulant se connecter au rseau.
Ces trois grandes familles de produits sont rparties sur des zones de scurit qui correspondent aux zones
de sgrgation habituelles. Pour mmoire, une zone de sgrgation correspond un dcoupage fonctionnel du
rseau de lentreprise en rgions. Ces rgions sont connectes les unes aux autres avec un certain niveau de
scurit. Ce principe est diamtralement oppos celui de rseau " plat" ou schmatiquement tous les
quipements partagent le mme rseau physique voire logique.
Linfrastructure qui reprsente le rseau interne. Ce dernier tant son tour divis en trois zones.
Les filiales
Les rseaux longue distance (WAN). Il sagit des zones dinterconnexions entre lentreprise et ses
filiales via des rseaux de donnes fournis par des prestataires de tlcommunications (fournisseur de
service Internet, oprateur Tlcom)
La zone DMZ
les zones applicatives ou (Datacenter) qui comprennent les aires de stockage, les centres applicatifs
et les services de tlphonie sur IP.
Nous allons donner un aperu du dcoupage qui permet daffecter chaque zone des fonctions de scurit bases
sur son rle. Ce dcoupage fonctionnel facilite considrablement les tches de surveillance et dadministration en
ciblant les mesures de scurit en fonction de la zone concerne. De plus, chaque zone obtient une certaine
indpendance dans sa gestion ce qui ne remet pas en cause la gestion de la scurit des autres zones qui
lentourent. Toutefois, il faut garder en mmoire que la scurit dune zone est troitement dpendante de celle des
zones qui lentourent.
Quelques rgles sont observer en ce qui concerne la cration et lexploitation des zones de scurit :
12
Un quipement ou un hte qui viendrait changer de zone doit se conformer aux rgles de
scurit de la nouvelle zone. Ceci est du ressort de la scurit systme et vise tout particulirement
les processus de renforcement (OS Hardening).
Le trafic ne doit pas transiter entre deux zones dans le sens de la zone la moins scurise vers la zone la plus
scurise.
La zone infrastructure est la premire des zones de scurit considrer car elle est au centre du systme
dinformation. Ltendue de cette zone comprend, dans le cadre de ce livre, le cur du rseau et la zone daccs. Les
documents publis par Cisco ont introduit trois zones de base :
Les zones daccs sont lextrmit du rseau et comprennent les commutateurs sur lesquels sont
connects les postes de travail. Les zones daccs sont drives en deux familles :
Les zones dans lesquelles sont fournis des accs filaires.
Les zones dans lesquelles sont fournis des accs sans fil.
Les zones dagrgation (aussi appel distribution) sont constitues par le regroupement des zones daccs
et sont relies au cur du rseau avec un niveau de redondance.
Le cur de rseau est compos idalement dquipements rapides qui relaient le trafic dune zone lautre.
Sur le schma reprsentant la zone dinfrastructure, les zones daccs et dagrgation sont confondues. Cette
architecture est conseille pour les structures de taille moyenne.
Nous avons dcompos la zone infrastructure en trois sous zones en regard desquelles nous allons faire figurer un
groupe dquipement de scurit ou de techniques voques dans les chapitres prcdents.
La zone daccs est essentiellement scurise autour du niveau 2. Cest ici quintervient lauthentification
obligatoire avant toute possibilit de communiquer. Limplmentation du protocole 802.1X est recommande. Cette
fonction est combinable avec les techniques qui limitent les communications une fois la connexion tablie. Citons
entre autres les VACL et les private ACL. Nous avons galement notre disposition toutes les mesures de
protection contre les attaques par dni de service ou par usurpation de session que sont Dynamic ARP inspection et
DHCP snooping.
13
La zone dagrgation est situe immdiatement la suite de la zone daccs laquelle elle peut tre combine des
fins de simplification. Ici, larchitecture fait intervenir le routage entre les zones daccs et le reste du rseau avec les
limitations imposes par la politique de scurit. Ce sont donc les techniques de scurit au niveau 3 qui
prvalent comme le filtrage inter VLAN, les ACL de tous types et bien sr la protection des protocoles de routage.
Il va sans dire que la zone dinfrastructure bnfice dune scurit physique renforce eut gard son rle
minemment stratgique. Ici, la moindre interruption de service dun lien, mme prise en charge par la
redondance, doit tre remise en tat le plus rapidement possible. En effet, la dfaillance dun lien bien que prise en
compte par un dispositif de secours prsente une prise de risque notable en cas de rupture du lien de secours. Ici, il
est important de disposer dun systme dalerte efficace en mesure de dtecter tout dfaut.
3.2 Filiales
Une filiale est une zone part entire de lentreprise et dispose en rgle gnrale de moyens limits pour assurer sa
propre scurit. Ici, lefficacit maximale est recherche avec un nombre rduit dquipements. La filiale est
gnralement traite comme une extension du rseau local et ce titre bnficie de tous les services
applicatifs. Toutefois, une filiale dispose rarement dun cur de rseau part entire et sappuie
frquemment sur un unique quipement multifonction qui a pour mission de grer la scurit et les
connexions vers le site central. La scurit dune filiale (considre comme une extension du rseau local) est
sensiblement identique celle des zones daccs et dagrgation. Ici, le protocole 802.1X est charg dassurer
une stricte authentification des utilisateurs ainsi que la distribution de droits daccs rseau sous la forme dACL
reues aprs le processus de connexion. Tout comme sur le rseau du site central, le panel des protections de la
couche 2 est entirement disponible pour oprer des sparations entre des zones aux degrs de confidentialit
divers.
Les communications de la filiale vers le site central sont habituellement chiffres. Cette mesure se justifie
pleinement si le rseau Internet est vou cette tche dinterconnexion. Le protocole IPsec est tout
naturellement indique pour accomplir cette tche entre un quipement de la filiale (mutualis) et un
quipement ddi sur le site central. Bien entendu, des ACL oprent une sgrgation entre le trafic chiffrer et
celui autoris transiter en clair. Ceci justifie amplement une tude pralable afin de dterminer les types de trafic
protger.
Cette notion est importante car les ressources consommes par les processus de chiffrement peuvent se
rvler importantes. La zone filiale dploie sur lquipement de connexion toutes les protections ncessaires
vis--vis des rseaux extrieurs. Ceci sapplique tout particulirement si lInternet est utilis pour la connexion vers
le site central. Nous trouvons ici, les ACL dont le but est de filtrer les bogon networks et des mesures visant limiter
les tentatives de connexion frauduleuses utilises des fins de saturation.
La figure montre une zone filiale relativement simple pour laquelle deux quipements sont en service. Le
commutateur Ethernet ainsi que le routeur sont parfois intgrs dans un quipement unique comme le pare-feu PIX.
14
3.3 WAN
La zone WAN est raccorde aux diverses interfaces qui la relient au monde extrieur.
Ainsi, un sous-rseau est attribu au recueil des collaborateurs nomades, un autre correspond aux arrives Internet
et un dernier est ddi aux filiales. La scurit sur cette zone comprend les ACL qui cartent du rseau tous les trafics
indsirables en provenance dInternet et la protection logique des quipements. Ces ACL reprennent les
bogon networks. Il est primordial de prendre les mesures de protection visant limiter certains types de trafic en
fonction de leur dbit afin de se prmunir contre les attaques par saturation.
Les arrives des personnels nomades seffectuent sur les quipements ddis que sont les concentrateurs VPN ou
les pare-feu. Ces derniers embarquent des fonctions de chiffrement de type IPSEC ou SSL. Nous aborderons
cette spcificit dans le chapitre consacr aux pare-feu. Chaque arrive WAN est lie une politique de scurit
relative aux technologies dployes qui portent par exemple sur la force du chiffrement, lauthentification des
utilisateurs et les ACL spcifiques dont hritent les utilisateurs une fois quils sont authentifis.
La zone WAN assure galement le recueil des connexions en provenance des filiales. Les liaisons sont tablies sur des
lignes loues ou sur Internet. En fonction du type de liaison, les mesures de protection diffrent. Si la liaison utilise
une voie loue, il est important de sassurer auprs de loprateur de tlcommunications de la bonne isolation
entre le rseau dinterconnexion et les rseaux de loprateur voire ceux dautres clients.
Lentre de la zone WAN mrite une troite surveillance des interfaces afin de visualiser toute irrgularit
dans le trafic. Un pic ou un creux de trafic indiquent souvent limminence dun problme plus grave.
Les pare-feu et les routeurs sont les principaux intervenants dans la zone WAN. Il est noter que les deux fonctions
peuvent figurer sur le mme quipement.
Les DMZ (Demilitarized Zones) sont apparues avec la ncessit de mettre disposition sur Internet des
services applicatifs et de donner accs vers lextrieur aux personnels de lentreprise. Si lon considre la fourniture
de service, il est tout fait inconcevable en termes de scurit dautoriser un accs interne des clients chappant
tout contrle. Ainsi naquit lide de positionner ces services sur une zone dporte formant cran entre le
domaine public et le rseau interne de lentreprise.
15
Une DMZ est donc une zone tampon situe entre ce qui est considr extrieur et ce qui est considr
intrieur linfrastructure centrale. Une DMZ dispose de divers dispositifs de filtrage rseau, mais aussi de relais
applicatifs dans le but de ne rien laisser entrer directement au sein de linfrastructure.
Les DMZ sont connectes par le haut la zone WAN sur laquelle entrent les connexions en provenance de lextrieur
du rseau et par le bas la zone dinfrastructure. Le schma montre trois DMZ organises comme suit :
une DMZ externe, une DMZ de transit et une DMZ interne. Les deux zones dextrmit hbergent des relais
applicatifs (internes ou externes) qui sont habituellement des serveurs de messagerie, des relais HTTP (web
proxies) et des relais de rsolution de nom (DNS). Ces relais possdent leur propre systme de dfense. La
DMZ de transit quant elle hberge opportunment des dispositifs de dtection dintrusion et de
vrification de code comme par exemple les firewall XML de Cisco car le trafic nest analysable quune fois
quil est dchiffr. Les zones DMZ peuvent galement hberger des applications autonomes dont les donnes
proviennent de lintrieur du rseau. Ici sapplique la rgle du moindre privilge qui indique que le trafic ne saurait
tre initialis dune zone faible niveau de scurit vers une zone dont le niveau de scurit est plus lev. Cest
pour cette raison que trois flches sont dessines sur le schma, cela indique entre autres que les donnes prsentes
dans les DMZ proviennent de lintrieur du rseau et quen aucun cas une entit de la DMZ (un serveur par exemple)
ne va de son propre chef rechercher des donnes lintrieur de la zone infrastructure. Des exceptions existent
toutefois afin de rendre visible de lextrieur le rseau dune entreprise. Il sagit alors de laisser pntrer dans les
DMZ publiques le trafic en provenance de lextrieur. Ces drogations font lobjet de rgles de scurit dans les
configurations des quipements et dune troite surveillance, elles sont de plus limites aux premires zones, voire
une seule zone dite publique.
La zone Datacenter hberge les serveurs centraux et des baies de stockage de grande capacit. La notion
de Datacenter implique une concentration des moyens en un lieu unique dont la scurit logique est lune
des composantes fortes. Un Datacenter combine en effet toutes les composantes de la scurit et requiert un niveau
de disponibilit la hauteur de la confidentialit des informations quil hberge. Les mesures de protections
associes au Datacenter vont de la protection physique des accs, la redondance lectrique en passant par la
protection contre les incendies et la surveillance de la qualit de lair ambiant pour nen citer que quelques-
unes. Lobjectif du Datacenter est avant toute chose, la disponibilit de linformation.
16
Le Datacenter dispose de sa propre scurit au niveau des systmes dopration et se repose sur la scurit
du rseau pour ne recevoir que des demandes sur les services quil offre. titre dexemple, une fraction du
Datacenter fournissant des services de type http (WEB) attend uniquement des connexions sur le port 80.
Celui-ci sera le seul autoris en entre sur ladite zone.
La scurit au niveau rseau du Datacenter repose principalement sur le dploiement dACL qui vise garantir que le
trafic entrant autoris correspond aux services fournis par le Datacenter. Il en va de mme en sens inverse
en sassurant de la correspondance du trafic sortant avec les requtes mises de lextrieur.
Cest ici aussi la politique de scurit qui dicte les choix en matire de sens dinitialisation du trafic. Le
Datacenter tant une zone interne, le trafic qui y transite nest habituellement pas chiffr. Cette disposition
favorise le dploiement de dispositif danalyse et de surveillance comme les sondes de dtections dintrusions
finement ajustes sur les trafics caractristiques de la zone. Sil est dcid de chiffrer le trafic, il conviendra
de disposer de relais si la surveillance est souhaite.
Une zone au sein du Datacenter se dmarque, il sagit de celle qui reoit les services de tlphonie sur IP. Cette zone
est idalement isole car la tlphonie est un service hautement stratgique tant par sa confidentialit que
par la haute disponibilit quil ncessite.
Le ciment entre les diverses zones que nous venons dexaminer est le pare-feu ou firewall en anglais. Les pare-feu
ont pour rle de filtrer le trafic en fonction des informations contenues dans les couches 3 et 4 du modle OSI.
Lvolution des pare-feu vers les modles conservant ltat des sessions (modles stateful) autorise un suivi du sens
dinitialisation des connexions ce qui est trs utile entre autres sur le modle de chanage des DMZ o chacune
possde un niveau de scurit qui lui est propre. Comme expliqu dans le chapitre sur la scurit au niveau 3, la
politique de scurit impose que les flux soient toujours initialiss dune zone dont le niveau de scurit est lev
17
vers une zone dont le niveau de scurit est infrieur. Les contrles dtat des connexions se charge de laisser
entrer les paquets retours venant en rponse aux trafics initiaux.
Ce schma montre un pare-feu laissant passer les trafics faisant partie dune session autorise et bloquant
un trafic provenant dune zone dun faible niveau de scurit et tentant de trouver un passage vers lintrieur du
rseau.
Les routeurs Cisco et les commutateurs de niveau 3 sont aptes remplir le rle de pare-feu entre les zones conues
par larchitecte de scurit. Cependant, la limite des pare-feu est flagrante si lon se place au niveau des couches
dites hautes du modle OSI. En effet un filtrage mme avec mmorisation de ltat ne protge aucunement un
service contre une attaque purement applicative cestdire exploitant une faille dans un programme donn.
Nous entrons ici dans lunivers des attaques entre autres par injection de code malicieux dun client vers une
application.
Il est devenu indispensable de protger les applications contre ce type de malveillance qui ne sont pas prise en
compte par les firewalls classiques. Le dploiement (pour le protocole http) de relais (proxies) et de relais
inverss (reverse-proxies) dots de fonctions de scurit rpond parfaitement cette exigence de filtrage entre les
clients et les serveurs. Ces quipements embarquent de nombreux contrles comme le filtrage dURL et les scanners
anti-virus.
Linscurit crot aussi avec lutilisation intensive de la messagerie et des services Web dont les flux
transitent entre applications grce la souplesse du langage XML embarqu lintrieur des protocoles
HTTP ou HTTPS. Comme le montre le schma ci-dessus, les flux 1 et 2 sont grs par le contrle dtat et
sont autoriss transiter dans des directions en fonction des rgles de scurit (ACL CBAC). Le flux 3, inconnu est
arrt. Le trafic, bien qutant conforme aux rgles de scurit, vhicule potentiellement du code malveillant et
lquipement de filtrage si perfectionn soit-il ny verra que du feu.
C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et transport du modle OSI. La
plupart des routeurs d'aujourd'hui permettent d'effectuer du filtrage simple de paquet. Cela consiste accorder ou
refuser le passage de paquet d'un rseau un autre en se basant sur :
L'adresse IP Source/Destination.
Le numro de port Source/Destination.
Et bien sur le protocole de niveau 3 ou 4.
Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appeles des Access
Control List (pour Cisco) ou Policy (pour Juniper).
Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser un trop grand
nombre d'accs, pour que le Firewall offre une relle protection. Par exemple, pour autoriser les connexions
Internet partir du rseau priv, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet
avec un port suprieur 1024. Ce qui laisse beaucoup de choix un ventuel pirate.
Il est noter que de dfinir des ACL sur des routeurs haut de gamme - c'est dire, supportant un dbit important -
n'est pas sans rpercussion sur le dbit lui-mme. Enfin, ce type de filtrage ne rsiste pas certaines attaques de
type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS. Ceci est vrai sauf
dans le cadre des routeurs fonctionnant en mode distribu. Ceci permettant de grer les ACL directement sur les
18
interfaces sans remonter la carte de traitement central. Les performances impactes par les ACL sont alors quasi
nulles.
Dans l'exemple prcdent sur les connexions Internet, on va autoriser l'tablissement des connexions la demande,
ce qui signifie que l'on aura plus besoin de garder tous les ports suprieurs 1024 ouverts. Pour les protocoles UDP
et ICMP, il n'y a pas de mode connect. La solution consiste autoriser pendant un certain dlai les rponses
lgitimes aux paquets envoys. Les paquets ICMP sont normalement bloqus par le Firewall, qui doit en garder les
traces. Cependant, il n'est pas ncessaire de bloquer les paquets ICMP de type 3 (destination inaccessible) et 4
(ralentissement de la source) qui ne sont pas utilisables par un attaquant. On peut donc choisir de les laisser passer,
suite l'chec d'une connexion TCP ou aprs l'envoi d'un paquet UDP.
Du point de vue des limites, il convient de s'assurer que les deux techniques sont bien implmentes par les
Firewalls, car certains constructeurs ne l'implmentent pas toujours correctement. Ensuite une fois que l'accs un
service a t autoris, il n'y a aucun contrle effectu sur les requtes et rponses des clients et serveurs. Un serveur
HTTP pourra donc tre attaqu impunment (Comme quoi il leur en arrive des choses aux serveurs WEB !). Enfin les
protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique
n'aura pas connaissance du protocole.
Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche Application. Pour cela, il faut bien
sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes sont traites par des
processus ddis, par exemple une requte de type HTTP sera filtre par un processus proxy HTTP. Le pare-feu
rejettera toutes les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le pare-
feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.
Au niveau des limites, le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est
extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau
19
7. En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes
d'adaptabilit de nouveaux protocoles ou des protocoles maisons.
Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat, mais cela
se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les rseaux gros trafic au
jour d'aujourd'hui. Nanmoins d'ici quelques annes, le problme technologique sera sans doute rsolu.
Un pare-feu identifiant ralise lidentification des connexions passant travers le filtre IP. L'administrateur peut ainsi
dfinir les rgles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et suivre l'activit rseau par
utilisateur. Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs ralises
par des moyens varis. On peut par exemple citer authpf (sous OpenBSD) qui utilise SSH pour faire l'association. Une
autre mthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans
compromis sur la scurit), ralise par exemple par la suite NuFW, qui permet d'identifier galement sur des
machines multi-utilisateurs.
On pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en ralit en ralisant
des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui permet de crer des rgles
dynamiques base sur l'authentification Kerberos d'un utilisateur, l'identit de son poste ainsi que son niveau de
scurit (prsence d'antivirus, de patchs particuliers).
Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un pare-feu tats.
Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le but est de lutter contre les virus
informatiques et les logiciels espions.
Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par rapport la technologie Stateful. En effet les
proxys doivent tre paramtrs suffisamment finement pour limiter le champ d'action des attaquants, ce qui
ncessite une trs bonne connaissance des protocoles autoriss traverser le firewall. Ensuite un proxy est plus
susceptible de prsenter une faille de scurit permettant un pirate d'en prendre le contrle, et de lui donner un
accs sans restriction tout le systme d'information.
Idalement, il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut mieux viter d'installer les
deux types de filtrage sur le mme Firewall, car la compromission de l'un entrane la compromission de l'autre. Enfin
cette technique permet galement de se protger contre l'ARP spoofing.
20
5. Conclusion
Larchitecture de scurit du rseau est troitement lie larchitecture du rseau. Cette imbrication nest pas
sans soulever quelques problmes lors des volutions qui ne manquent pas de se produire dans les deux
domaines. Les volutions dans lun ou lautre domaine ncessitent une parfaite synchronisation ainsi quune
parfaite documentation.
Les zones darchitecture que nous venons dvoquer impliquent une division logique du rseau et le passage
dun rseau dit " plat" un rseau hirarchis. Ce remaniement saccompagne opportunment dune
refonte du plan dadressage IP et dun renforcement du filtrage entre les zones.
Tout comme la politique de scurit, larchitecture est en perptuelle volution car de nouvelles fonctionnalits et
de nouveaux processus viennent enrichir les services dont lentreprise bnficie ou quelle offre ses partenaires.
Toutes ces ouvertures exposent le systme dinformation de nouveaux risques et de nouvelles menaces lesquelles
seront traites pour un renforcement de la scurit architecturale.
21
IV. Configuration du pare-feu Cisco PIX
1. Gnralits et historique
Les pare-feu ou firewalls sont apparus et ont connu leur heure de gloire lorsque les rseaux dentreprise se sont
progressivement vus connects internet, ce rseau qui a toujours t peru comme une menace. Dune manire
gnrale, les firewalls protgent les rseaux internes des rseaux extrieurs et cet tat de fait est toujours de mise
aujourdhui. Les architectures voluant, les firewalls tout en restant leur place originelle investissent lintrieur du
rseau. Les modes de travail tendent vers une troite imbrication des acteurs qui gravitent autour du systme
dinformation et il est devenu courant de fournir des partenaires laccs des ressources internes. Cette situation
entrane un tel bouleversement dans les architecture de scurit (et rseau) quune rflexion simpose afin de
redfinir les nouvelles limites et les nouvelles rgles de scurit encadrant un trafic toujours plus dense et plus
complexe au profit des applications quil vhicule.
Les firewalls trouvent toujours leur place dans cette redistribution des cartes et leurs capacits se sont au fil des
annes toffes avec lapparition des fonctionnalits devenues indispensables parmi lesquelles figurent
lauthentification des utilisateurs, la surveillance des protocoles applicatifs et les VPN SSL (nouvelle fonctionnalit de
lASA, dernier n des appliances Cisco, dont nous exposerons les volutions par rapport la technologie pare-feu
prouve du PIX dans un prochain chapitre). Toutefois, les firewalls accomplissent toujours le filtrage des protocoles
rseau qui est lorigine de leur cration.
Nous allons dans ce chapitre brosser un portrait des fonctionnalits proposes par les firewalls en dbutant par leurs
missions premires (le filtrage IP) jusquaux fonctionnalits plus avances. Pour illustrer nos propos, nous avons
construit une architecture dentreprise autour du pare-feu PIX modle 515E.
La gamme PIX a t originellement conue par Brantley Coile et John Mayes de la socit Network Translation Inc.
Cette socit a t achete en 1995 par Cisco Systems qui a amen la gamme Cisco Secure PIX Firewall la
premire place sur le march des pare-feu autonomes, grce ses performances de pointe (ainsi que lont dmontr
les tests Firebench effectus par Key Labs, Inc.) et sa position unique en tant qulment prpondrant dans les
services scuriss de bout en bout de Cisco.
La gamme Cisco Secure PIX, qui intgre des composants matriels et logiciels, assure un haut niveau de scurit sans
nuire aux performances des rseaux, et reste volutive afin de pouvoir rpondre tous les besoins des clients.
Le march des pare-feu a commenc se dvelopper avec lapparition de rseaux privs virtuels et de petites et
moyennes entreprises de plus en plus en nombreuses sur le march Internet. Un nombre croissant de socits
ncessitent aujourdhui de puissantes fonctions de pare-feu un prix abordable, pour mettre en uvre des rseaux
privs virtuels lchelle internationale et pour oprer une rpartition au niveau des succursales rgionales ou pour
les PME qui recherchent la scurit sans pour autant grever leur budget.
Le PIX 515 a t conu pour rpondre ce besoin. Avec le PIX version 5.0 et toutes les versions ultrieures la
version 5.x, tous les quipements, y compris le PIX 515-R et le PIX 515-UR, prennent totalement en charge
limplmentation dIPsec. Cette version permet au PIX de crer et/ou de suspendre des tunnels de rseaux privs
virtuels entre deux PIX, entre un PIX et un routeur de rseau priv virtuel Cisco, et entre un PIX et un Cisco Secure
VPN Client.
La gamme PIX sest teinte en 2008. Elle est remplac par la gamme ASA (Adaptive Security Appliances) qui perptue
la tradition des quipements ddis et autonomes. Cette nouvelle technologie fait la part belle aux techniques
mergentes comme les VPN SSL qui ont pour vocation de remplacer les tunnels IPsec ddis aux utilisateurs distants.
Le but avou de cette technologie est de facilit laccs (scuris) aux applications publies au format WEB tous les
employs et partenaires de lentreprise en fonction de rles pralablement dfinis et finement attribus. Le firewall
22
est devenu ainsi au-del de sa fonction de filtrage rseau une vritable passerelle multi niveau assurant des services
daccs et de scurit sur toute ltendue du modle OSI.
Modle PIX 501 501-50 506E 515E-R 515E-UR 525-R 525-UR 535-R 535-UR
Petit Petit
Succursale Petite et Petite et Entreprise et Entreprise et
bureau et bureau et
March Bureau moyenne moyenne Entreprise Entreprise prestataire prestataire
bureau bureau
distant entreprise entreprise de service de service
domicile domicile
Nb
utilisateurs 10 50 Illimit Illimit Illimit Illimit Illimit Illimit Illimit
Par licence
Nb max de
5 5 25 2000* 2000* 2000* 2000* 2000* 2000*
tunnel VPN
Connexions
3500 7.500 25.000 130.000 130.000 280.000 280.000 500.000 500.000
simultanes
Processeur
133 133 300 433 433 600 600 1000 1000
(MHz)
RAM (MB) 16 16 32 64 128 128 256 512 1024
Flash (MB) 8 8 8 16 16 16 16 16 16
2 10BaseT
Ports 10/100 1 10BaseT 1 10BaseT
Full 2 2 2 2 0 0
intgr +Switch 4 +Switch 4
Duplex
Slot PCI 0 0 0 2 2 3 3 9 9
1+ 4 1+ 4
Port Eth Max 2 3 6 6 8 6 8
Switch Switch
Redondance Non Non Non Non Oui Non Oui Non Oui
Dbit en clair
10 10 100 188 188 320 320 1700 1700
(Mbps)
Context Non Non Non 5 5 50 50 50 50
Dbit 3DES 3 3 30 10 63 30 70 45 95
Version max
6.3 6.3 6.3 8.x 8.x 7.x 7.x 7.x 7.x
IOS
Nb VLAN 0 0 2 10 25 25 100 50 150
*Utilisant une carte acclratrice VPN
Le logo du constructeur
La gamme du produit sur lequel on travaille.
Trois diodes
Ces diodes servent dfinir diffrents statuts
23
Face arrire du PIX
Version Unrestricted
Sur la face arrire du PIX, nous pouvons voir les diffrentes connectiques et les diodes qui reprsentent le statut des
interfaces.
Le chssis du Cisco PIX 515E peut intgrer jusqu' six interfaces, ce qui
en fait un choix excellent pour les socits qui requirent une solution
de scurit rentable accompagne d'un appui DMZ. Appartenant la
gamme PIX de Cisco, ce pare-feu apporte aux utilisateurs rseau des
niveaux de scurit, de fiabilit et de performance ingals
Au cur de ce systme se trouve un dispositif de protection bas sur lalgorithme ASA (Adaptive Security Algorithm),
qui offre un serveur de filtrage adaptatif orient connexion avec blocage simultan contre les tentatives de piratage
ou d'agression (DoS - Denial of Service).
Le PIX 515E est galement une passerelle VPN complte capable de transporter en toute scurit des donnes sur
les rseaux publics. Qu'elles soient site site ou accs distant, les applications VPN sont protges grce un
cryptage des donnes (Data Encryption Standard) 56 bits (DES) ou 168 bits (3DES). Selon le modle PIX 515E
choisi, la fonctionnalit VPN est assure par le systme d'exploitation PIX OS de Cisco ou par une carte d'acclration
VPN matrielle (VAC pour VPN Accelerator Card) intgre qui procure des dbits allant jusqu' 63 Mbps pour 2 000
liaisons simultanes (tunnels) IPsec.
Le dploiement dun second PIX en redondance pour le secours automatique garantit la disponibilit constante de
votre systme. Cette option de rcupration (reprise sur incident) prserve en effet toutes les connexions
simultanes grce une synchronisation automatique. Ce dispositif garantit, mme dans le cas d'une dfaillance du
systme, la poursuite des sessions en cours tandis que la commutation transitoire s'opre de manire totalement
transparente pour l'utilisateur.
24
Ce pare-feu est disponible en trois modles proposant diffrents niveaux de densit d'interface, de capacit de
rcupration et de dbit VPN.
De sortie
Rsum des performances
Rgime permanent 50 W
188 Mbps de dbit en texte clair Crte maximale 65 W
63 Mbps de dbit VPN 3DES 168 bits (IPsec) Dissipation thermique maximale 410 BTU/h pleine puissance (65W)
2000 tunnels VPN simultans
Caractristiques techniques Dimensions et poids
Processeur 433-MHz Intel Celeron Hauteur 4,37 cm, 1 RU
Mmoire RAM 32 MB ou 64 MB de SDRAM Largeur 42,72 cm Standard montable en armoire
Mmoire Flash 16 MB Profondeur 29,97 cm
Mmoire cache 128 KB niveau 2 433 MHz Poids (une alimentation) ~ 4,11 kg
BUS systme Monobus 32 bits, PCI 33 MHz
Conditions ambiantes Extension
En marche Bus PCI Deux PCI 32 bits/33 MHz
Temprature -5 55C Mmoire RAM Deux fentes DIMM 168 pin (64 MB : maximum
Humidit relative 5 % 95 % hors condensation support par le systme d'exploitation PIX OS de
Altitude 0 3 000 m Cisco)
Choc 1,14 m/s sinus 1/2
Vibration 0,41 Grms2 (3-500 Hz) alatoire
Interfaces
Bruit acoustique 45 dBa max. Ports rseau intgrs Deux Fast Ethernet 10/100 (RJ-45)
Port console RS-232 (RJ-45) 9600 bauds
A l'arrt
Port rcupration RS-232 (DB-15) 115 Kbps
Temprature -5 55C
(Cble Cisco spcial ncessaire)
Humidit relative 5% 95% hors condensation
Altitude 0 3000 m Certifications
Choc 30 G Scurit UL 1950, CSA C22.2 N 950, EN 60950, IEC 60950, AS/NZS3260,
Vibration 0,41 Grms2 (3-500 Hz) alatoire TS001, IEC60825, EN 60825, 21CFR1040
EMI CFR 47 Part 15 Classe A (FCC), ICES 003 Classe A avec UTP,
Alimentation EN55022 Classe A avec UTP, CISPR 22 Classe A avec UTP,
D'entre (par source d'alimentation lectrique) AS/NZ3548 Classe A avec UTP, VCCI Classe A avec UTP,
Plage de tension 100 V 240 V CA ou 48 V CC EN55024, EN50082-1 (1997), marquage CE, EN55022 Classe B
Tension nominale 100 V 240 V CA ou 48 V CC avec FTP, Cispr 22 Classe B avec FTP, AS/NZ 3548 Classe B avec
Intensit ~ 1,5 A FTP, VCCI Classe B avec FTP
Frquence 50 60 Hz, monophas
Restricted (R)
Le PIX 515-R avec licence logicielle limite est une solution dentre de gamme propose par Cisco et destine aux
socits cherchant dployer un dispositif scuris hautes performances avec des fonctionnalits de pare-feu de
base. Il est suffisamment puissant pour supporter plus de 50 000 connexions simultanes avec un dbit pouvant
atteindre 170 Mbits/s. Prenant en charge jusqu trois interfaces Ethernet, le PIX 515-R-BUN reprsente une solution
particulirement conomique pour les nombreuses petites entreprises qui ont choisi dhberger leur site Web
lextrieur de leur pare-feu ou chez un fournisseur de services Internet. Il convient galement parfaitement aux sites
distants ne ncessitant quune communication bidirectionnelle avec leur rseau dentreprise et aux rseaux
dentreprise qui proposent tous leurs services Web sur leur pare-feu dentreprise.
Unrestricted (UR)
Le PIX 515-UR avec licence logicielle illimite comporte toutes les fonctionnalits du PIX 515-R-BUN, auxquelles
viennent sajouter une fonction de correction automatique en cas de panne et jusqu six ports 10/100 Ethernet. Ces
six ports supplmentaires sont destins des configurations de trafic plus puissantes, ainsi qu la prise en charge
dun DMZ protg pour lhbergement dun site Web ou le filtrage des URL et la dtection de virus. Conu pour les
moyennes entreprises, le PIX 515 UR supporte un dbit denviron 170 Mbits/s et plus de 100 000 connexions
simultanes pour une protection rapide, fiable et moindre cot.
25
Failover (FO) Fonction de correction automatique en cas de panne
La redondance du pare-feu est indispensable aux socits dont les connexions Internet, un intranet ou un
extranet constituent leur moyen unique et stratgique de communication en entreprise. Chaque panne de pare-feu
entrane une perte dargent, dopportunits ou de donnes critiques. Cisco a cr un nouveau logiciel de correction
automatique en cas de panne pour le PIX 515 UR, permettant ainsi de rsoudre ce problme en toute simplicit et
moindre cot. Ce logiciel fournit aux socits un deuxime pare-feu, spcialement conu pour fonctionner
exclusivement en mode de correction automatique en cas de panne, pour une modique somme
Les licences sont activs au moyen dune cl dactivation dune taille de 20 octets pour un PIX 7.x ou 16 octets pour
une PIX 6.x et prcdents.
Il se base sur un systme de filtrage dit stateful . Cela signifie que le PIX utilise un systme dynamique. Il
maintient une table des connexions en cours permettant ainsi dautoriser les paquets appartenant une session
cre pralablement.
Sans configuration explicite, ASA nautorise que les liaisons intrieures vers extrieur. ASA est toujours en
fonctionnement, surveillant le retour des paquets afin de s'assurer qu'ils sont valides. Il slectionne de manire
alatoire des numros de squence TCP de manire minimiser le risque d'attaque de numro de squence TCP.
ASA s'applique aux emplacements de traduction dynamique et de traduction statique. Vous crez des slots de
traduction statique avec la commande static et des slots de traduction dynamique avec la commande global .
Collectivement, les deux types de slots de traduction sont dnomms "xlates."
Les connexions sortantes correspondent aux connexions tablies sur une interface avec un haut niveau de
scurit vers une interface avec un niveau de scurit bas. Par dfaut ces connexions sont autorises
moins quelles soient explicitement refuses.
Les connexions entrantes correspondent aux connexions tablies sur une interface avec un bas niveau de
scurit vers une interface avec un haut niveau de scurit. Par dfaut ces connexions sont refuses moins
quelles soient explicitement autorises.
Un paquet ne peut pas traverser le PIX sans connexion et tat. Ltat est supprim au bout dun certain
temps dinactivit.
Tous les paquets ICMP sont refuss, sauf autorisation explicite avec les ACL (Listes daccs)
Le pare-feu PIX gre les transferts de donnes UDP d'une manire similaire TCP. Un traitement spcial permet
DNS, et certains protocoles de voix de travailler en toute scurit. Le pare-feu PIX cre une information d'tat de
"connexion" UDP quand un paquet UDP est envoy partir du rseau Inside. Les paquets rponse rsultant de ce
trafic sont accepts si elles correspondent aux informations d'tat de connexion. Les informations d'tat de
connexion sont supprimes aprs une courte priode d'inactivit.
Pour le passage des donnes dans le PIX, deux cas se prsentent nous.
1. Les paquets arrivent sur une interface qui a un niveau de scurit lev.
2. Les paquets arrivent sur une interface avec un niveau de scurit plus petit.
26
1. Dans le premier, ASA va commencer par vrifier si le paquet respecte les rgles vues ci-dessus et dans le cas
contraire le supprimer. Ensuite ASA regarde si une session na pas dj t tablie. Si ce nest pas le cas, une
nouvelle connexion est cre ainsi quun emplacement stock dans la table avec les informations de translation. Une
fois lopration effectue, ASA va modifier le champ IP du paquet en y mettant ladresse globale, puis lenvoyer
linterface destinatrice.
L'adresse IP 192.168.2.2 correspond la source et l'adresse globale 172.20.1.4 l'adresse pour accder
l'interface avec le niveau scurit bas. Cette adresse globale est obtenue grce au NAT (Translation d'adresse
Rseau)
La NAT statique correspond l'association de n adresses avec n adresses, soit une adresse interne pour une adresse
externe. C'est utile par exemple pour associer une IP fixe internet l'adresse prive d'un serveur de l'entreprise.
La Nat dynamique correspond quant elle l'association d'une adresse choisie dans un pool d'adresses n adresses.
La Nat dynamique est aussi connu sous le nom IP Masquering.
2. Dans le deuxime cas lorsqu'un paquet arrive sur une interface avec un niveau de scurit bas pour aller sur une
interface avec un niveau de scurit haut, ASA va aussi vrifier si le paquet correspond aux attentes. Si le paquet
passe toutes les rgles avec succs, ASA enlve alors l'adresse de destination et insre la place l'adresse interne.
Grce ces mthodes les adresses sont masques et on augmente donc le niveau de scurit.
L'Adaptive Security Algorithm (ASA), utilis par le pare-feu PIX pour l'inspection des applications stateful, assure la
scurit d'utilisation des applications et des services. Certaines applications ncessitent un traitement spcial par la
fonction dinspection des applications du pare-feu PIX. Les applications qui ncessitent la fonction dinspections des
applications sont celles qui intgrent des informations d'adressage IP dans le paquet de donnes utilisateur ou des
canaux secondaires ouvert sur des ports attribus de faon dynamique.
La fonction d'inspection des applications fonctionne avec NAT pour laider identifier l'emplacement des
informations d'adressage intgre. Cela permet NAT de traduire ces adresses et de mettre jour le checksum ou
autre champs touchs par la traduction.
27
La fonction d'inspection des applications surveille galement les sessions pour dterminer les numros de port pour
les canaux secondaires. De nombreux protocoles ouvrent des ports secondaire TCP ou UDP pour amliorer les
performances. La premire session sur un port bien connu est utilise pour ngocier les numros de port attribu
dynamiquement. La fonction d'inspection des applications surveille ces sessions, identifie les affectations de port
dynamique, et permet l'change de donnes sur ces ports pour la dure de la session spcifique.
Listes de contrle d'accs (ACL) - Utilis pour l'authentification et l'autorisation des connexions bases sur
des rseaux, htes et services spcifiques (numros de port TCP / UDP).
Inspections - Contient un ensemble des fonctions d'inspection, statique et prdfini, au niveau applicatif.
Connexions (XLATE et tables CONN)- maintient ltat et tout autre informations sur chaque connexion
tablie. Cette information est utilise par l'ASA et le proxy cut-through pour transfrer le trafic de manire
efficace dans les sessions tablies.
1. un paquet TCP SYN arrive au PIX Firewall pour tablir une nouvelle connexion.
2. Le pare-feu PIX vrifie la base de donnes des listes de contrle d'accs (ACL) afin de dterminer si la
connexion est autorise.
3. Le pare-feu PIX cre une nouvelle entre dans la base de donnes de connexion (tables XLATE et CONN).
4. Le pare-feu PIX vrifie la base de donnes des inspections pour dterminer si la connexion ncessite une
inspection au niveau applicatif.
5. une fois que la fonction d'inspection des applications ait achev toutes les oprations ncessaires pour le
paquet, le pare-feu PIX transfre le paquet sa destination.
6. lhte destinataire rpond la demande initiale.
7. Le PIX Firewall reoit le paquet de rponse, cherche la connexion dans la base de donnes de connexion, et
transmet le paquet, car il appartient une session tablie.
28
La configuration par dfaut du pare-feu PIX comprend un ensemble dentre d'inspection des applications qui
associent les protocoles pris en charge avec les numros de ports spcifique TCP ou UDP et qui permettent
d'identifier toute manipulation ncessaire. La fonction d'inspection ne prend pas en charge NAT ou PAT pour
certaines applications en raison des contraintes imposes par les applications. Vous pouvez modifier les affectations
de port pour certaines applications, tandis que d'autres applications ont des affectations de ports fixes que vous ne
pouvez pas changer.
29
3. Configuration de base du Cisco PIX 515E
3.1 Configuration par dfaut du PIX
Les appliances de scurit Cisco sont livrs par dfaut avec une configuration dusine qui leur permet un dmarrage
rapide. Cette configuration rpond aux besoins de la plupart des environnements rseaux des petites et moyennes
entreprises. Par dfaut, lappareil de scurit est configur comme suit :
Linterface interne est configur avec un pool dadresse DHCP par dfaut
Configurez votre PC pour utiliser DHCP (pour recevoir automatiquement une adresse IP de l'appareil de scurit), ou
attribuer une adresse IP statique votre PC en slectionnant une adresse sur le rseau 192.168.1.0 (les adresses
valides sont 192.168.1.2 192.168.1.254 avec un masque de 255.255.255.0 et la route par dfaut 192.168.1.1.).
Cette configuration permet un client du rseau interne dobtenir une adresse DHCP de lappareil de scurit afin
de sy connecter. Les administrateurs peuvent alors configurer et grer le dispositif de scurit en utilisant ASDM
Linterface de sortie est configure pour refuser tout trafic entrant par le biais de cette interface
Cette configuration protge votre rseau interne de tout trafic non sollicit
L'Adaptive Security Device Manager (ASDM) est une interface graphique riche en fonctionnalits qui vous permet de
grer et de surveiller l'appareil de scurit. De conception base sur le web, il offre un accs scuris pour vous
permettre de vous y connecter en toute scurit de n'importe quel endroit en utilisant un navigateur web.
En complment des capacits de configuration et de gestion, ASDM simplifie et acclre le dploiement du dispositif
de scurit. Pour excuter ASDM, vous devrez avoir une licence DES ou 3DES-AES. En outre Java et JavaScript doivent
tre activs dans votre navigateur web.
Nous avons dcid de ne pas trop sattard sur les configurations via ASDM, et avons prfr nous attaquer la
configuration du Cisco PIX 515E via linterface de ligne de commande.
Comme pour la plupart de ses produits, Cisco a muni le PIX dinterfaces physiques et logiques afin quun
administrateur puisse se connecter et accder la ligne de commande. Aprs vous tre connecter au PIX laide
dun cordon console, un prompt devrait apparaitre. Essayez dentrer en mode privilgi en entrant enable , il ne
devrait pas y avoir de mot de passe.
Password: <Enter>
[OK]
Il est prfrable quand on rcupre un PIX deffacer sa mmoire pour dmarrer proprement avec une configuration
vide. Nous avons eu plusieurs bugs concernant le mode interactif donc refusez linvitation en tapant <Ctrl +Z>
Aprs tre repass en mode configuration terminal, la premire chose que nous allons faire, cest de lui donner un
nom.
Pixfirewall> enable
Password: <Enter>
Coruscant (config) #
Pour configurer les interfaces du PIX nous devons leur assigner un nom et un niveau de scurit :
La commande nameif assigne un nom chaque interface sur le PIX et indique son niveau de scurit (except les
interfaces intrieures et extrieures de PIX Firewall, qui sont dj nommes par dfaut). Les deux premires
interfaces ont les noms par dfaut inside et outside. L'interface inside a un niveau de scurit par dfaut de 100 ;
l'interface outside a un niveau de scurit par dfaut de 0. Pour linterface Ethernet 2 nous avons assigne un nom
de DMZ avec un niveau de scurit de 50.
L'option shutdown neutralise une interface. Toutes les interfaces sont shutdown par dfaut. Vous devez
explicitement les activer en tapant la commande interface no shutdown.
coruscant(config-if)# no shutdown
coruscant(config-if)# exit
31
coruscant(config-if)# nameif inside
coruscant(config-if)# no shutdown
coruscant(config-if)# exit
coruscant(config-if)# security-level 50
coruscant(config-if)# no shutdown
A tout moment, vous pouvez vrifier votre configuration laide des commandes show
Comme dis prcdemment le pare-feu ne laissera passer les donnes que si elles sont translates. Pour cela, nous
allons utiliser la commande nat
Network Address Translation (NAT) remplace l'adresse locale d'un paquet avec une adresse globale qui est routable
sur le rseau de destination.
Lorsque les htes reli sur une interface qui a un niveau de scurit lev (ex : inside) dsirent accder des htes
reli un niveau de scurit plus faible (ex : outside), vous devez configurer NAT sur les htes inside ou configurer
spcifiquement l'interface interne afin de contourner la translation.
La commande nat identifie les adresses locales pour la traduction en utilisant le NAT dynamique ou la traduction
d'adresses de port (PAT). La commande global identifie les adresses globales utilises pour la traduction sur une
interface destination donne. Each nat statement matches a global statement by comparing the NAT ID on each
statement. Chaque dclaration nat correspond une dclaration global en comparant les ID NAT sur chaque relev.
If you bypass NAT using identity NAT or NAT exemption, then no global command is required. Si vous ignorez
32
l'utilisation de NAT, en utilisant lID NAT (nat 0) ou la drogation NAT (nat 0 access-list), aucune commande globale
est ncessaire.
Nous avons dcid de ne pas translat les adresses des rseaux internes et DMZ quand ils communiquent ensemble,
pour cela nous avons utilis la commande static
Aprs avoir ajout une route par dfaut, vrifions maintenant ltat de notre table de routage.
33
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
S* 0.0.0.0 0.0.0.0 [1/0] via 172.20.1.1, outside
Pour clore notre configuration de base, activons de serveur http du PIX et prcisons quelles sont les htes qui sont
autoriss y accder. Nous avons galement renseign les champs domain et dns du PIX. Pour sauvegarder votre
configuration aidez-vous de la commande write memory
Building configuration...
[OK]
34
coruscant(config)# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/14/30 ms
Comme expliqu plus haut (2.4) tous les paquets ICMP sont refuss
par le PIX sauf autorisation explicite avec les ACL.
Toujours dans ce mme paragraphe, nous avons vu que lASA suit des
rgles qui sont acquises par dfaut par le PIX. Ces rgles sont en fait
des access-list implicites configurs sur le PIX sur chacune de ses
interfaces.
Interface Inside
Interface DMZ
Interface Outside
Revenons nos problmes de Ping. Pour autoriser les paquets traverser le PIX, il va falloir crire des access-list.
Nous allons autoriser non pas tous les paquets ICMP mais seulement ceux qui rsultent dune rponse faite par un
hte reli une interface de niveau de scurit lev. Pour les access-list qui seront positionns sur linterface
outside, il ny aura aucun danger. Par contre pour celles qui seront positionns sur linterface DMZ, pensez recrer
les access-list implicites (il ne peut y avoir quune seule access-list par interface, par direction t par protocole, rgle
des 3 P).
35
coruscant(config)# access-list dmz_access_in extended permit icmp any any echo-reply
36
3.2.3 Accs au serveur de la dmz pour les htes extrieurs
Nous allons commencer par donner un nom notre serveur en utilisant la commande name
Ensuite nous allons configurer une translation static pour que le trafic provenant du serveur web ait toujours la
mme adresse dorigine sur linterface extrieure du PIX, et nous configurerons une ACL pour permettre aux htes
extrieurs de pouvoir accder au serveur.
coruscant(config)# access-list outside_access_in extended permit tcp any host 172.20.1.4 eq www
coruscant(config)# access-list outside_access_in extended permit tcp any host 172.20.1.4 eq ftp
37
4. Configuration et installation AAA sur le PIX
4.1 Tour dhorizon dAAA
Lauthentification : fournir dune mthode pour valider lidentit les utilisateurs, comme par exemple le
couple login/mot de passe, le chalenge rponse (comme CHAP) ou encore les mots de passe usage unique
(One Time Password)
Lautorisation : contrler quel quipement ou service lutilisateur accrdit a accs, quelle zone du
rseau il peut se connecter, etc
Le comptage (accounting) : pouvoir quantifier et qualifier les actions des utilisateurs authentifis, des fins
de facturation ou daudit par exemple.
Les deux protocoles plbiscits pour la communication entre un client et un serveur AAA sont RADIUS et TACACS+.
Radius
Le protocole RADIUS a t mis au point par Livingston Enterprises Inc (Lucent) et il est implment par de nombreux
constructeurs de serveur daccs. Il est utilis par de nombreuses entreprises, notamment des fournisseurs daccs
et il est aujourdhui considr comme le standard pour supporter AAA.
Ce protocole sappuie sur UDP (protocole de transmission de donnes sans connexion et sans mcanismes de
fiabilit de transmission) pour transmettre les donnes sur le rseau.
Il souffre de quelques problmes, telle quune limitation de lencryption des mots de passe 16 bits ou encore des
problmes de disponibilit ou de timeout sur les priphriques, lorsquils tentent de contacter le serveur.
Il est gnralement utilis pour laccs aux rseaux, par PPP ou VPN notamment.
Tacacs+
Le protocole TACACS+ a t mis au point par CISCO et cest une amlioration des protocoles TACACS et Enhanced
TACACS.
Il sappuie sur TCP (protocole de transmission de donnes fiable, bas sur une connexion) pour vhiculer les donnes
et crypte lintgralit des informations avant leur transmission sur le rseau.
Le serveur de contrle d'accs scuris est une solution centralise d'identification sur le rseau qui simplifie la
gestion des utilisateurs sur toutes les units et les applications de gestion de scurit Cisco. Souvent dsign sous le
nom de services AAA (prononc triple A ). Composante essentielle de l'architecture Cisco IBNS (Identity Based
Networking Services), elle largit la protection des accs en associant l'authentification, l'accs utilisateur et
administrateur, et le contrle des politiques partir d'un cadre centralis d'identification de rseau. Elle offre ainsi
une meilleure souplesse et une plus grande mobilit, amliore la scurit et permet l'utilisateur de raliser des
gains de productivit. Il y a deux composantes de base qui font ce travail : le serveur AAA (CSACS) et le client AAA
(PIX). Le client AAA nest pas un utilisateur ; cest le dispositif qui permet lutilisateur de se connecter par son biais.
38
Installation de CSACS
La prochaine chose que je dois faire est de configurer mon serveur AAA pour travailler avec mon client AAA (PIX).
Dabord je dois lancer la console (double-cliquez sur le raccourci ACS Admin ). Les boutons sur la gauche vous
permettent de configurer CSACS. Pour ajouter notre PIX, cliquez sur le bouton Network Configuration . une
fenetre souvre qui a une zone o je peux entrer mes informations et une autre plus grande avec une aide sensible
au contexte. Cliquez sur Add Entry et renseignez le nom dhte, son adresse IP ainsi quune clef didentification.
Cliquez sur Submit +Restart . Maintenant je dois ajouter les utilisateurs (bouton User Setup sur la gauche).
Aprs ouverture de la fenetre, entrez le pseudo dsirez et cliquez sur Add/Edit . Puisque je nai pas besoin de mot
de passe diffrent pour PAP et CHAP, je ne cocherais pas la case Separate . Cest tout ce que nous devons faire
pour permettre lauthentification de base sur le CSACS pour chaque utilisateur. La dernire tape est de configurer le
PIX pour employer CSACS pour lauthentification.
39
Modifier la configuration du PIX pour utiliser CSACS
Dabord je vais configurer le PIX pour utiliser le serveur AAA. Le PIX peut avoir jusqu 16 groupes indpendant de
serveurs AAA lui permettant dexcuter des fonctions AAA diffrentes bases sur le type de trafic (Telnet, VPN, http,
etc.) ou la direction (inside, outside).
Chaque groupe peut avoir jusqu 16 serveurs AAA diffrents configurer comme membres pour tenir compte de la
redondance et du Failover. Ce qui nous donne jusqu 256 serveurs TACACS+ ou RADIUS, au total, entre les deux
protocoles.
Maintenant je veux crer un group AAA appel mytacacs et le faire utiliser le serveur AAA 192.168.1.3 connect
derrire mon interface inside. @zerty1234 est la cl secrte renseign dans ma configuration AAA (voir ci-dessus)
coruscant(config-aaa-server-group)# max-failed-attempts 4
coruscant(config-aaa-server-group)# exit
coruscant(config-aaa-server-host)# timeout 5
coruscant(config-aaa-server-host)# exit
40
Changement des Timeouts de lauthentification
Poser lintervalle de temps avant que les utilisateurs seront obligs de sauthentifier nouveau.
Absolu: Temps de lintervalle commence au login de lutilisateur
L'inactivit : Temps de lintervalle pour les sessions inactives sessions (pas de trafic)
coruscant(config)# timeout uauth 3:00:00 absolute
Activation de lautorisation
coruscant(config)# aaa accounting exclude any outbound 192.168.1.10 255.255.255.255 0.0.0.0 0.0.0.0
mytacacs
Vous pouvez voir les informations de comptabilit sur le serveur CSACS en cliquant sur le bouton Reports and
Activity
41
Les commandes show
Telnet est un protocole client-serveur qui nous semble provenir du fond des ges tant il est intgr dans les
ordinateurs au point que son nom est entr dans le langage commun. Bas sur TCP/IP, Telnet rend dinnombrables
services de par le monde et son ct pratique a largement contribu sa distribution et sa popularit. Toutefois,
Telnet prsente en termes de scurit de trs nombreux dsavantages comme celui de ne pas chiffrer les
communications. Ainsi, la squence dauthentification entre le client et le serveur passant en clair sur le rseau
rvle directement le mot de passe de lutilisateur qui tente de se connecter.
Comme pour la plupart des appareils Cisco, le PIX implmente par dfaut un service Telnet qui est disponible sur les
interfaces virtuelles VTY (Virtual terminal). Il est malgr tout indispensable davoir entr un mot de passe dans la
configuration ou de faire appel au service dauthentification. Tout ceci reste cependant insuffisant au regard des
menaces actuelles qui planent sur les rseaux.
La protection des accs (via le rseau) la ligne de commande est une ncessit et ce fait est universellement
reconnu. Cest la raison pour laquelle le protocole SSH connat depuis quelques annes un franc succs.
Limplmentation du protocole SSH (Secure Shell) sur les produits Cisco offre la possibilit de se connecter en toute
scurit un hte distant en chiffrant toute la communication y compris la squence dauthentification.
On pourrait croire quil suffise juste de rajouter une access-list, mais ce serait trop simple. Nous savons quil va falloir
en rajouter une sur linterface DMZ. Mais si on le faisait, elle viendrait se rajouter la fin de la liste dj prsente et
donc naurait aucun impact (voir explication des rgles implicites ASA).
Nous pouvons avoir un tat des lieux en tapant : show access-list <le nom de la liste plac sur linterface DMZ>
coruscant(config)# access-list dmz_access_in line 4 permit udp host webserver host domainserver eq 53
Pour ne pas avoir ouvrir trop de portes, nous avons dcid dinstaller le serveur de messagerie MDaemon dans la
dmz.
MDaemon est une solution complte de messagerie et travail collaboratif fournissant des outils scuriss et
conformes aux standards actuels. Il inclut des listes de diffusion, supporte plusieurs domaines et peut s'administrer
distance par le web.
Il supporte les protocoles IMAP, SMTP et POP3 et garantit une scurit optimale grce de nombreux outils : filtre
anti-spam, filtre de contenu, listes blanches et listes noires, vrifications DNS inverses... Associ au module
SecurityPlus for MDaemon, il garantit une protection proactive contre les virus et phishings.
Les clients internes pourront communiquer avec le serveur via leur client de messagerie sans aucun problme et les
clients extrieurs pourront sy connecter via web mail
43
5.3 Installation dun serveur SYSLOG
Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente (notre PIX) met les informations sur
le rseau, via le port UDP 514. Le serveur collecte l'information et se charge de crer les journaux.
Indiquez un serveur pour recevoir les messages avec la commande logging host :
Indiquez les niveaux de log qui seront expdis au serveur syslog avec la commande logging trap level :
Le Logiciel utilis dans notre cas est le Serveur SYSLOG (Kiwi Syslog Daemon) de Kiwi Enterprises.
Le PIX envoie des messages Syslog pour documenter les vnements suivants :
On demande ce que les messages prcdemment dfinie dans la liste soit envoy au serveur Syslog
Un systme de dtection d'intrusion (ou IDS : Intrusion Detection System) est un mcanisme destin reprer des
activits anormales ou suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi d'avoir une
connaissance sur les tentatives d'intrusion d'une entreprise. LIDS na que le rle dalerter quune intrusion a lieu, il
faut donc que ladministrateur rseau de lentreprise intervienne afin de rgler les problmes. Un systme de
prvention d'intrusion (ou IPS, Intrusion Prevention System) a le mme rle de dtection quun IDS, sauf que ce
systme peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il dtecte
un balayage automatis, l'IPS peut bloquer les ports automatiquement.
44
Le PIX possde un systme de prvention dintrusions. Il contient une base avec un ensemble de signatures, bases
sur deux types de politique, info et attack . Comme tout bon IDS, il inspecte chaque paquet ou sessions
traversant le routeur, la recherche d'analogies avec l'une de ses 52 signatures.
Avec les commandes suivantes on peut le configurer afin quil ralise une action ds quune intrusion est dtecte.
Pour notre configuration, nous avons dfini laction par dfaut pour les paquets qui correspondent une signature
dattaque : alerte et rinitialisation de la connexion
La stratgie pour linterface interne se substitute la stratgie prcdente pour alerter seulement, alors que la
stratgie pour linterface externe utilisera les paramtres par dfaut dfini dans la commande ip audit attack
Le serveur KIWI tant dj dfini, dans la configuration prcdente, comme serveur Syslog. Cest lui qui recevra les
alertes mises par lIPS.
Commande SHOW :
45
6. Virtual Private Network
Un rseau VPN repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les
informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de
se connecter directement sur le rseau de leur entreprise.
Pour raliser une connexion VPN, nous pouvons utiliser plusieurs de niveau 2 (comme Pptp et L2tp) ou de niveau 3
(comme Mpls ou IPsec). Nous avons choisi dutiliser IPsec, qui est un protocole qui vise scuriser lchange des
donnes au niveau de la couche rseau.
Lauthentification peut se faire de plusieurs faon : par ladresse source, une signature numrique, une cl pr-
partage, ou des certificats.
46
Lintgrit des donnes est assure grce la fonction de hachage, qui consiste vrifier dune manire rapide si le
paquet na pas t modifi, il est calcul de tel sorte que la probabilit dobtenir un rsultat identique si un bit est
modifi soit presque nul. Le rsultat (appel empreinte digital) du calcule de hachage est adjoint au datagramme IP
dans un champ supplmentaire appel valeur de vrification dintgrit (Integrity Check Value, ICV), il est donc
calcul par la source aprs cryptage des donnes, il sera de nouveau calcul destination avant dcryptage de sorte
que si le rsultat calcul et la valeur dans le champ ICV ne soit pas identique le processus de dcryptage, plus long,
ne soit pas mis en uvre. Les principaux protocoles de hachage utiliss sont MD5 et SHA-1.
Lencryption est faite par des algorithmes de cryptage. Les plus utilis tant DES, 3DES, AES. AES tant aujourdhui le
standard. Pour crypter lalgorithme utilise une cl, il en existe deux types :
Les cls symtriques, commune aux deux priphriques, servant chiffr et dchiffr le message. La fiabilit
de lalgorithme tient au secret de cette cl (ex DES, AES).
Les cls asymtriques, un priphrique gnre une paire de cl (une cl priv et une cl publique), il envoie
la cl publique au priphrique distant. Cette cl ne sert quau cryptage, et le dcryptage ne peut se faire
quavec la cl priv (ex RSA, Deffie-Hellman). Le cryptage est une formule informatique qui permet de
modifier le message initial en message cod laide de la cl, et seul la cl permet de retrouver le message
initial (cl identique avec un algorithme symtrique et la cl prive avec un algorithme asymtrique).
Dans un premier temps il faut crer la police de scurit qui dterminera les rgles dtablissement du tunnel
ISAKMP (voit thorie VPN). Nous donnerons un numro cette police et dans cette police il y aura la mthode
dauthentification, lalgorithme de cryptage et de hachage, le groupe Deffie-Hellman.
47
Pour connatre les diffrentes options accepter par le matriel faire un ? aprs la commande
coruscant(config-isakmp-policy)#encryption 3des
coruscant(config-isakmp-policy)#hash sha
coruscant(config-isakmp-policy)#group 2
Dans le cas dune authentification en pre-share key il faut la dfinir avec la commande suivant
(config)#crypto isakmp key <mot ou phrase cl choisi sans espace> address <adresse de la cible>
Ensuite il nous faut crer les paramtres pour la ngociation du 2me tunnel. Pour cela nous allons dfinir des
transform-set , des ACL et une crypto map. Petite note sur les transform-set , un transform-set est cr
pour dfinir quels algorithmes de cryptage et de hachage seront utilis, chaque transform-set sera nomm afin
de les reconnaitre on peut en assign autant que lon veut une crypto map, un transform-set comprend soit un
algorithme de cryptage, soit un algorithme de hachage soit un de chaque. Une access-list dfinira les adresses
autorises entrer dans le tunnel. La crypto map comprendra donc les transform-set , ladresse de la cible (bout
du tunnel), et les adresses autoris dans ce VPN (ACL). Il faudra enfin affecter cette crypto map une interface (celle
dentre du tunnel), elle sera nomm et aura un numro de squence qui dfinira lordre dans lequel elle sera
applique si il y en plusieurs.
(config)#crypto map <nom de la crypto map> <num de squence> match address <nom de lACL>
(config)#crypto map <nom de la crypto map> <num de squence> set transform-set <nom du transform-set>
(config)#crypto map <nom de la crypto map> <num de squence>set peer <adresse de la cible>
48
Nous avons dcid de ne pas translat les adresses qui rentrent dans le tunnel
Identique
Configuration IPsec
Identique
Comme pour le PIX, ne pas oublier dappliquer la crypto map sur lentre du tunnel (ou linterface de sortie du
routeur, tout dpend de quel point de vue on se place)
interface FastEthernet0/0
ip address 172.20.3.1 255.255.255.0
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
crypto map outside_map
5.3 Configuration d'un VPN scuris l'aide dIPsec entre un PIX et un client VPN
50
Pour permettre nos clients de pouvoir communiquer avec le rseau interne, il va falloir nater la liaison interne vers
le rseau 192.168.10.0
Note : nous avons utilis ici une access-list dj crer prcdemment pour le VPN site site. Pour mmoire elle est
lie un natage 0, ce qui nous intresse pour notre configuration.
coruscant(config-group-policy)# vpn-idle-timeout 20
Set reverse-route met en place le RRI (Reverse Route Information), ce qui permet au PIX dapprendre des
informations de routage des clients connects. Pour faire simple, il rajoute le rseau 192.168.10.0 dans sa table
de routage.
51
coruscant(config-tunnel-general)# address-pool remote_vpn_pool
52
7. Procdure de restauration de mot de passe sur Cisco PIX 515E
Problmatique :
Vous voulez configurer un quipement Cisco dont vous avez perdu le mot de passe
Sur les commutateurs et routeurs, la mthodologie pour bypasser la phase dauthentification via les login et
mots de passe prsent dans le fichier de configuration est dinterrompre la squence de boot au dmarrage
(appuyez sur les touches CTRL + Pause au dmarrage).
Vous rentrerez alors dans un mode appel ROMMON (Rom monitor). A partir de ce menu, il faudra modifier le
config-register. Cette valeur indique au Switch/routeur dutiliser ou non le fichier de configuration. Par dfaut le
conf-register a pour valeur 02102. En modifiant cette valeur 02142, on indique que lon veut booter sans
utiliser la start-up config, puis on laisse lquipement booter normalement, ce qui nous permet de travailler
sur un fichier de configuration vide. Il suffira alors de passer en mode privilgi et de copier la start-up config
dans la running-config, ainsi vous aurez accs la configuration et vous pourrez effectuer vos modification : par
exemple pour redfinir le mot de passe dun compte local ou alors pour modifier le mot de passe ENABLE. Une
fois vos modifications faite, veuillez remettre la valeur du config-register la valeur 2102 et de sauvegarder les
changements que vous avez effectuez !
Sur un quipement de type PIX, la procdure de restauration de mot de passe est diffrente.
En effet, Dans le mode Rommon du PIX, on ne peut modifier la valeur de la cl du conf-reg rendant ainsi la
prcdente manipulation obsolte.
Afin de restaurer le mot de passe, Cisco fournit des fichiers de restauration avec lextension .BIN, il suffit
dindiquer au firewall, ladresse dun serveur TFTP joignable qui contient le fichier de restauration
(correspondant la version du micro code de notre quipement).
Fichiers de restauration :
Typiquement, la marche suivre est dinterrompre la squence de boot (CTRL + Pause au dmarrage), vous
devriez tomber sur un prompt : monitor >
La commande interface vous permet didentifier vos interfaces rseaux : monitor > interface 1
Spcifiez alors linterface rseau qui communiquera avec le serveur TFTP ainsi que son adresse , le nom du
fichier rcupr , la gateway ( si le serveur est distant ) , ladresse IP du serveur TFTP , et enfin tap TFTP pour
procd au transfert :
53
monitor >address 192.168.1.1
address 192.168.1.1
monitor > server 192.168.1.10
server 192.168.1.10
monitor >ping 192.168.1.10
Sending 5, 100-byte 0x2c9b ICMP
Echoes to 192.168.1.10, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5
Si le Ping nest pas concluant cest peut-tre parce que vous ntes pas connect en rseau directement de
votre PC votre routeur et que donc vous passez par le rseau de votre entreprise. Dans ce cas indiquez une
passerelle avec la commande :
Il faut ensuite indiquez quel fichier nous allons rcuprer par TFTP, pour notre cas il sagit du fichier np70.bin :
Il ne nous reste plus qu se connecter en TFTP, rpondez oui aux questions demand
Vous pouvez maintenant passez en mode privilgi et en mode de configuration sans entrer de mot de passe. En
effet, aprs avoir tap la commande enable , pour passer au mode privilgi, le prompt password vous sera
demand et il vous suffira de valider pour entrer dans ce mode. Le mot de passe par dfaut pour Telnet aprs ce
processus est cisco
Conclusion
Vos mots de passes sont prsent rinitialiser blancs. Vous pouvez maintenant reconfigurer le pare-feu comme
vous le souhaitez. Cependant, noubliez pas de reconfigurer le mot de passe du mode enable avant de remettre
votre routeur en activit :
La premire commande correspond votre mot de passe, ici toto , puis on inscrit la nouvelle configuration dans
la flash.
54
V. La virtualisation et les mulateurs
Ce dossier a grandement bnfici de lessor des technologies de virtualisation et dmulation. Nous allons
dans ce chapitre dcrire les mthodes qui nous ont permis de raliser les maquettes destines concevoir
et valider les configurations prsentes dans ce dossier. Deux logiciels particulirement performants ont t
mis contribution. Nous citerons en premier lincontournable VMware puis le couple Dynamips, GNS3.
La virtualisation consiste utiliser un systme dexploitation afin de faire fonctionner en son sein dautres
systmes dexploitation. La virtualisation est apparue pour le grand public la fin des annes 90 avec
lavnement du logiciel VMware. Elle possde son actif de nombreux avantages parmi lesquels nous pouvons citer
une rduction du nombre de machines prsentes dans les salles informatiques grce aux regroupements
effectus sur des machines htes. Outre le gain de place vident, la virtualisation simplifie la cration et le
dplacement de systmes dexploitation virtuels entre les machines htes diminuant ainsi les cots associs
lexploitation.
La virtualisation prsente dindniables avantages en ce qui concerne la cration de rseaux des fins dessais lors
de phases dintgration et de validation dun projet informatique. Il est en effet facile de crer, de modifier, de
dplacer et de supprimer un systme dexploitation virtuel. Un autre avantage est de pouvoir aisment
dplacer un groupe de machines virtuelles dans le cadre de dmonstrations car elles prennent la forme dun
ensemble de quelques fichiers. La capture dcran montre six machines htes dont des serveurs Windows 2008 et
2003 et des Windows XP. Une septime machine tait install sur un autre bureau et virtualisait la machine
management (192.168.1.10) avec ASDM. Lhte fournissant le service dhbergement est galement dsign par
lappellation dhyperviseur. Les machines virtuelles avec certaines versions de VMware (ACE) peuvent tre
chiffres et recevoir des politiques de scurit. VMware est aussi prsent sous une forme qui constitue
elle-mme un systme dexploitation. Il sagit de la version ESX qui sinstalle directement sur le matriel. Il
nest plus indispensable dinstaller un systme dexploitation hte comme Microsoft Windows (ce qui est le cas
sur la capture dcran).
55
Lautre avantage que prsente VMware est quil offre une prise en charge avance du rseau. Un serveur DHCP et
jusqu 10 commutateurs virtuels permettent la connexion de machines virtuelles entre elles, la machine hte et
aux rseaux publics.
Toutes les machines virtuelles fonctionnait en mode host only et tait reli via des Cloud GNS3.
2. Emulation
Nous avons galement fait usage de la technique dmulation pour simuler un rseau de routeurs Cisco et surtout le
PIX. La frontire est mince entre lmulation et ce que nous venons de dcrire avec la virtualisation. Ici,
lordinateur va simuler llectronique du routeur afin de faire fonctionner le logiciel IOS.
GNS3 est un simulateur graphique de rseaux qui vous permet de crer des topologies de rseaux complexes et d'en
tablir des simulations. Ce logiciel, en lien avec Dynamips (simulateur IOS), Dynagen (interface textuelle pour
Dynamips) et Pemu (mulateur PIX), est un excellent outil pour l'administration des rseaux CISCO, les laboratoires
rseaux ou les personnes dsireuses de s'entraner avant de passer les certifications CCNA, CCNP, CCIP ou CCIE. De
plus, il est possible de s'en servir pour tester les fonctionnalits des IOS Cisco ou de tester les configurations devant
tre dployes dans le futur sur des routeurs rels. Ce projet est videmment OpenSource et multi-plates-formes.
Remarque importante : l'utilisateur doit fournir ses propres images IOS pour utiliser GNS3.
Il est important de prciser que le systme dexploitation IOS est sous licence. Pour utiliser Dynamips, il est
donc indispensable de possder lgalement une image systme.
On peut voir sur la capture dcran la topologie utilise pour faire les tests. Chaque ordinateur est en ralit un
nuage. Chaque nuage est reli une carte rseau VMnet, elle-mme reli une machine virtuelle.
Pour dbuter avec le PIX sous gns3, nous vous conseillons un tutoriel la page :
http://www.brainbump.net/tutorials/voice/asdm-gns3.htm
56
3. Conclusion
Les avantages des produits comme VMware ou Dynamips, GNS3 sont multiples, mais le revers de la mdaille est une
augmentation considrable des ressources (mmoire et processeur) qui sont consommes par ces programmes sur
le systme hte (a not que lmulation dun PIX occupe la totalit des ressources dun processeur). Il devient
possible dans un environnement rduit une seule machine de mettre en uvre une maquette rseau et
systme trs complte et relativement complexe. Ces techniques permettent aisment de sauvegarder les
diverses configurations et de les installer loisir. Les techniques de virtualisation et dmulation sont en quelque
sorte respectueuse de lenvironnement en permettant de raliser des conomies dlectricit et despace, cest pour
ces raisons quelles connaissent depuis quelques annes dj un franc succs.
57
VI. Conclusion
Nous avons expos dans ce dossier quelques-unes des multiples fonctionnalits offertes par le pare-feu PIX qui vont
bien au-del de la simple confrontation du trafic des rgles de filtrage. Sans cette volution, ce type de matriel
serait sans doute tomb en dsutude. Le pare-feu PIX de Cisco est un quipement multifonction aux possibilits
remarquables qui reprend les fonctions de base comme le filtrage et y ajoute celles issues des boitiers VPN. Toutes
les couches du modle OSI sont couvertes et les protocoles applicatifs bnficient dun puissant service danalyse
permettant de parer aux problmes dirrgularits et dattaques embarqus.
Dans larchitecture de scurit, le pare-feu de Cisco occupe, de par ses capacits danalyses multicouches, des
positions qui ne se limitent pas aux frontires avec le monde extrieur car ses spcificits font de lui un appareil
capable de protger galement l'intrieur du rseau.
Grace sa configuration par dfaut, Le PIX peut se configurer aisment laide dune interface graphique (ASDM), et
ne ncessite pas de configuration pralable en mode CLI. Ce priphrique permet donc de scuriser son rseau
interne tout en laissant un accs par le web une partie de ses donnes moins scuriss grce lutilisation dune
DMZ. Par dfaut le PIX ne permet pas la communication entre les zones (interfaces) ce qui permet une fois branch
davoir un rseau scuris. Mais si les malware ne peuvent pas rentrer, laccs lextrieur nest pas non plus
possible. Pour le rendre possible, il faut donc dans un premier temps configurer les interfaces, et le NAT. A partir de
ce moment-l, la communication sera possible des interfaces avec un security-level plus lev vers des interfaces
security-level plus faible ; ce qui a t notre premier dfi : comprendre ce fonctionnement et lobligation
dinstruction de natage pour pouvoir tablir la connexion entre zones et pouvoir a laide de requtes ICMP tester cet
connectivit. Pour un retour des donnes de lextrieur, le pare-feu est dit stateful, c'est--dire quil garde
connaissance de la communication sortante pour permettre le retour des donnes demand uniquement. Le PIX
permet galement de monter des connexions VPN et easy-VPN afin dtablir des connexions scuris via le rseau
publique. Notre deuxime dfi, monter une topologie raliste quant la simulation du rseau tendu et configurer
un VPN sur le PIX mais galement sur un routeur. Nous avons enfin test les diffrentes autres fonctionnalits du
PIX comme le proxy lauthentification AAA via un serveur CSACS, la remonter dinformation sur un serveur Syslog.
Le Cisco PIX nous a permis une approche de la scurit rseau laide dun priphrique ddi trs complet et
offrant de grande possibilit, que nous navons eu le temps dexplorer dans la dure du projet mais quau fil de la
recherche documentaire nous avons pu observer. Une riche documentation et des tutoriaux abondant sur le Cisco
PIX nous ont aid tester diverses configurations spcifiques. A mesure de notre progression dans le mini-projet , il
nous est apparu que malgr son anciennet le PIX 515E est trs bon matriel rseau, et que son volution le Cisco
ASA doit tre en pratique trs performant. Nous avons galement constat quil y a de plus en plus de concurrence
dans ce domaine et quau niveau spcification constructeur les priphriques de scurit proposent globalement les
mmes fonctionnalits et que le choix doit se faire dans la facilit de configuration. Malgr que le PIX nous ai paru
compliqu dun premier abord par ses restriction implicite, une fois son principe de base assimil, il sest rvl plus
simple aborder.
58
VII. Annexes techniques
Runissant sur une mme plate- Runissant sur une mme plate-forme une combinaison puissante de nombreuses
technologies prouves, la gamme Cisco ASA 5500 (Adaptive Security Appliance) donne lentreprise les moyens
oprationnels et conomiques de dployer des services de scurit complets vers un grand nombre de sites
Plus de scurit, avec le support de nouveaux services de scurit, tels lIPS et lAnti-X avec acclration
matrielle (modules optionnels).
Plus de performances et dvolutivit.
Une solution VPN-SSL avec ou sans client, dote de fonctionnalits de haut niveau.
Une migration douce, prservant les comptences acquises autour du PIX.
Les services proactifs de prvention des intrusions offrent toutes les fonctionnalits qui
permettent de bloquer un large ventail de menaces vers, attaques sur la couche
applicative ou au niveau du systme dexploitation, rootkits, logiciels espions, messagerie
instantane, P2P, et bien plus encore. En combinant plusieurs mthodes danalyse
dtaille du trafic, lIPS de lASA 5500 protge le rseau des violations de politique de
scurit, de lexploitation des vulnrabilits des systmes et du trafic anormal. LIPS
collabore avec dautres systmes Cisco de gestion de la scurit pour assurer une mise jour constante de la posture
de scurit du rseau et une ractivit totale aux nouvelles attaques ou vulnrabilits.
La gamme Cisco ASA 5500 offre des services complets Anti-X la pointe de la technologie
protection contre les virus, les logiciels espions, le courrier indsirable et le phishing ainsi
que le blocage de fichiers, le blocage et le filtrage des URL et le filtrage de contenu en
associant le savoir-faire de Trend Micro en matire de protection informatique une
solution Cisco de scurit rseau prouve. Ces services Anti-X embarqus dans le module
dextension hardware CSC SSM et le renouvellement des abonnements Trend Micro pour
la gamme ASA sont commercialiss par Cisco au travers de ses partenaires agrs.
59
1.4 Migration transparente pour lutilisateur
Les utilisateurs actuels des serveurs de scurit PIX nauront aucune difficult
sadapter aux solutions Cisco ASA 5500. Les fichiers de configuration des
Cisco PIX sont transposables sur les serveurs ASA 5500. Le logiciel
dadministration graphique Cisco Adaptive Security Device Manager (ASDM)
livr avec la gamme ASA est un logiciel puissant et facile utiliser. Il acclre
la cration de politique de scurit, et rduit la charge de travail et les erreurs
humaines, grce des assistants graphiques, des outils de dbogage et de
surveillance. ASDM permet de grer aussi bien des serveurs Cisco PIX que des
serveurs ASA 5500, facilitant la migration vers la dernire gnration de
matriel et ses nouvelles fonctions.
Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550
Utilisateurs et 10, 50 ou illimit Illimit Illimit Illimit Illimit
nuds
Dbit du firewall Jusqu 150 Jusqu 300 Mbits/s Jusqu 450 Jusqu 650 Jusqu 1,2 Gbits/s
Mbits/s Mbits/s Mbits/s
dbit des services Non disponible Jusqu 150 Mbits/s Jusqu 225 Jusqu 450 Non disponible
simultans de Jusqu 100 avec le module AIP SSM Mbits/s avec le Mbits/s, avec le Jusqu 360
limitation des Mbits/s (Advanced Inspection module AIP SSM 10 module AIP-SSM20 Mbits/s
risques (firewall et and Prvention Security Jusqu Jusqu 325
services IPS) Dbit Services Module) 10 375 225 Mbits/s Mbits/s
des VPN 3DES ou (rfrence AIP SSM 10) avec le
AES pour la gamme Cisco module AIP SSM 20
ASA 5500 Jusqu 300 Jusqu 225
Mbits/s avec le module Mbits/s
AIP SSM 20 (rfrence
AIP SSM 20) pour la
gamme Cisco ASA 5500
Jusqu 170 Mbits/s
Homologues VPN 10 ; 25* 250 750 5000 5000
IPsec
Homologues VPN 2/25 2/250 2/750 2/2500 2/5000
SSL *
(inclus/maximum)
Sessions 10 000 ; 25 000* 50 000 ; 130 000* 280 000 400 000 650 000
simultanes
Nouvelles sessions 3 000 6 000 9 000 20 000 28 000
par seconde
Ports rseaux Commutateur 5 ports Fast Ethernet 4 ports Ethernet 4 ports Ethernet 8 ports Ethernet
intgrs Fast Ethernet 8 Gigabit + 1 Gigabit + 1 Gigabit, fibre
ports (dont 2 port Fast Ethernet port Fast Ethernet SFP et 1 port Fast
ports PoE) Ethernet
Interfaces virtuelles 3 (ligne rseau 50/100 * 150 200 250
(VLAN) dsactive) / 20*
(ligne rseau
active)
Contextes de 0/0 0/0 (Base) ; 2/5 2/20 2/50 2/50
scurit (Security
(intgrs / Plus)
maximum)
Haute disponibilit Non supporte / Non supporte / Actif/Actif et Actif/Actif et Actif/Actif et
Actif/Veille* Actif/Actif et Actif/Veille Actif/Veille Actif/Veille
inspection Actif/Veille*
dtat
Emplacement 1, SSC 1, SSM 1, SSM 1, SSM 0
d'extension
60
1.6 Chemin de migration pour le serveur de scurit Cisco PIX 515E
Cisco PIX 515E ASA5510-K8 Cisco ASA 5510 Firewall Edition, 3 ports Fast Ethernet, 250 homologues VPN IPsec et 2 SSL,
R/DMZ DES
ASA5510-BUN-K9 Cisco ASA 5510 Firewall Edition, 3 ports Fast Ethernet, 250 homologues VPN IPsec et 2 SSL,
3DES/AES
ASA5510-SEC-BUN-K9 Cisco ASA 5510 Firewall Edition Security Plus, 5 ports Fast Ethernet, 250 homologues VPN
IPsec et 2 SSL, haute disponibilit Actif / Veille, 3DES/AES
ASA5510-AIP10-K9 Cisco ASA 5510 IPS Edition, module AIP SSM 10, services de firewall, 250 homologues VPN
IPsec et 2 SSL, 3 ports Fast Ethernet
ASA5510-CSC10-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 10, 50 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-CSC20-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 20, 500 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-SSL50-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 50 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL100-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 100 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL250-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 250 SSL, services de
firewall, 3 ports Fast Ethernet
Cisco PIX 515E ASA5510-SEC-BUN-K9 Cisco ASA 5510 Firewall Edition Security Plus, 5 ports Fast Ethernet, 250 homologues VPN
UR/FO/FO AA IPsec et 2 SSL, haute disponibilit Actif / Veille, 3DES/AES
ASA5510-AIP10-K9 Cisco ASA 5510 IPS Edition, module AIP SSM 10, services de firewall, 250 homologues VPN
IPsec et 2 SSL, 3 ports Fast Ethernet
ASA5510-CSC10-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 10, 50 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-CSC20-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 20, 500 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-SSL50-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 50 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL100-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 100 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL250-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 250 SSL, services de
firewall, 3 ports Fast Ethernet
61
2. Comparatifs des principaux Firewall matriels du march
nb de VPN
1000 500 750
simultan
connexion VPN
512 350
simultane
protocole de static, RIP, OSPF, static, RIP, static, RIP, static, RIP,
static, RIP, OSPF, BGP
routage BGP OSPF, BGP OSPF, BGP OSPF, BGP
DES, 3DES,
algorithme de DES, 3DES, AES, DES, 3DES, AES, DES, 3DES, DES, 3DES, AES,
AES, blowfish,
chiffrement blowfish, SSL blowfish, SSL AES SSL
SSL ,CAST
SSH, radius
radius LDAP, SSH, radius
mthode SSH, radius LDAP, SSH, radius LDAP, LDAP,
certificats LDAP, certificats
d'authentification certificats X.509 certificats X.509 certificats
X.509 X.509
X.509
HDD 40Go 70Go 40Go
firewall, VPN, IPS, firewall, VPN, IPS, firewall, VPN, firewall, VPN,
PAT/NAT, filtrage de PAT/NAT, IPS, PAT/NAT, IPS, PAT/NAT,
principal firewall, VPN,
MAC, IDS, filtrage antispam, mode 802.1q, mode
caractristique IPS
mail/antispam, transparent, filtrage transparent,
802.1q, 802.1q d'URL, 802.1q
62
3. Capture dcran de nos tests
63
3.2 VPN site site et VPN client
Construction du tunnel entre le rseau interne et le site distant. Nous pouvons voir sur cette capture wireshark les
ngociations de la phase 1 Isakmp. Sur limage de droite un monitoring ASDM nous montre ltat des deux tunnels
IKE et IPsec
Ngociations entre le PIX (172.20.1.2) et un remote (192.168.4.2) pour ltablissement dune liaison VPN. Le
monitoring ASDM nous montre lactivit des deux tunnels.
64
Nous sommes sur le bureau du Client VPN. Nous pouvons linterface de connexion Cisco VPN Client en haut
gauche. Aprs connexion, une carte rseau virtuelle est cre et une adresse IP appartenant au pool configur sur le
PIX est attribue notre remote. En bas droite, un petit icne informe lutilisateur quil est connect via VPN au
site.
A gauche, nous pouvons voir un extrieur qui accdent au serveur web de la DMZ (ce serveur est accessible via
ladresse IP 172.20.1.4). Sur la droite, un utilisateur interne tente daccder internet et se voit demander une
authentification proxy.
65
4. Planning prvisionnel
TACHES A REALISER
Semaine du 21 mars Semaine du 28 mars Semaine du 04 avril Semaine du 11 avril
Nelson Vincent Binme
Recherche documentaires
branchement de la topologie
CONFIGURATION
configuration de base des routeurs et Switch
configuration de base du PIX
configuration serveur (AD, DNS, DHCP)
Configuration avance du PIX
configuration serveur (WEB, FTP)
SECURITE
configuration firewall
configuration NAT/PAT
ACL
configuration VPN sur PIX
configuration VPN sur routeur 2800
TEST
test de connectivit aux passerelles
test de connectivit entre serveur
test de connectivit des htes
test du firewall et ACL
test d'accs au site internet
test de connexion via VPN
REDACTION
gnralit scurit
fonctionnement du PIX
cahier des charges
technique et thorie de fonctionnement
Mise en page et finition
VIII. Synthse documentaire
A
AAA (Authentication, authorization, and accounting):
Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources :
Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un systme (hte, serveur,
commutateur ou routeur).
Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un utilisateur, un groupe
d'utilisateurs, un systme ou un programme.
Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une action spcifique, tel que le
pistage des connexions d'un utilisateur et la journalisation des utilisateurs du systme.
Analyse de risque :
Processus comprenant l'identification des risques en matire de scurit, leur impact et l'identification des zones
ncessitant une protection.
C
CBAC (Context-Based Access Control):
Fonction intgre au logiciel IOS de Cisco offrant le filtrage avanc de session de paquets pour tout le trafic routable.
En configurant des ACL, il est possible d'autoriser ou de refuser le traitement ou le transfert du trafic.
Certificat :
Message sign numriquement au moyen d'une cl prive d'une tierce partie de confiance (voir autorit de
certification) et indiquant qu'une cl publique spcifique appartient une personne ou un systme possdant un
nom et un ensemble d'attributs prcis.
Cl cryptographique :
Code numrique servant au cryptage, au dcryptage et la signature d'informations.
Cl prive :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl doit demeurer
secrte et ne doit tre connue que de son propritaire.
68
Cl publique :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl peut tre diffuse
librement.
Compromission :
Dans le domaine de la scurit informatique, ce terme signifie l'attaque d'un rseau par la violation de la politique
de scurit.
Contrle d'accs :
Limitation du flux de donnes des ressources d'un systme uniquement vers les personnes, programmes, processus
autoriss ou vers d'autres systmes du rseau. Les ensembles de rgles de contrle d'accs des routeurs Cisco sont
appeles listes de contrle d'accs ou ACL.
Contrle de la scurit :
Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security Posture Assessments).
Cryptage :
Codage des donnes empchant leur lecture par une autre personne que le destinataire prvu. De plus, les donnes
sont uniquement lisibles aprs avoir t correctement dcryptes.
Cryptographie :
Science de l'criture et de la lecture de messages cods.
D-F
DES (Data Encryption Standard):
Systme de cryptage cl secrte normalis par le National Institute of Standards and Technology (voir NIST et triple
DES).
Diffie Hellman :
Systme cl publique permettant deux utilisateurs ou quipements rseau d'changer des cls publiques via un
support non scuris.
Extranet :
Un extranet est une extension du systme d'information de l'entreprise des partenaires situs au-del du rseau.
Laccs lextranet se fait via Internet, par une connexion scurise avec mot de passe dans la mesure o cela offre
un accs au systme d'information des personnes situes en dehors de l'entreprise
En-tte d'authentification :
69
En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi pendant le transport.
Filtrage :
Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source, l'adresse de destination ou
le protocole, afin de dterminer, selon les critres dfinis, si le trafic de donnes concern est accept ou bloqu.
Filtrage de paquets :
Mcanisme de contrle paquet par paquet du trafic routable.
G-I
GRE (Generic Routing Encapsulation):
Protocole de tunnellisation dvelopp par Cisco permettant d'encapsuler des paquets utilisant de nombreux
protocoles diffrents dans des tunnels IP, afin de crer un lien point point virtuel entre des points distants et des
routeurs Cisco via un rseau IP.
Hyperviseur :
Plate-forme de virtualisation qui permet plusieurs systmes d'exploitation de travailler sur une machine physique
en mme temps.
Identit :
Identification prcise des utilisateurs, htes, applications, services et ressources du rseau. Les nouvelles
technologies, telles que les certificats numriques, les cartes puces, les services rpertoire jouent un rle de plus
en plus important dans les solutions d'identification.
Intgrit :
Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par les personnes explicitement
autorises le faire. Le terme "intgrit du rseau" signifie qu'aucun service ou aucune activit contraire la
politique de scurit n'est permise.
Intranet :
Rseau informatique utilis l'intrieur d'une entreprise ou de toute autre entit organisationnelle utilisant les
techniques de communication d'Internet (IP, serveurs HTTP). Dans les grandes entreprises, l'intranet fait l'objet
d'une gouvernance particulire en raison de sa pntration dans l'ensemble des rouages des organisations.
IP (Internet Protocol):
Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des rseaux informatiques.
IPsec :
Ensemble de normes de scurit offrant des services de confidentialit et de d'authentification au niveau de la
70
couche IP (Internet Protocol).
ISAKMP (Internet Security Association and Key Management Protocol):
Protocole de gestion de cls pour IPsec. Ce protocole, ncessaire la mise en uvre complte dIPsec, est
galement appel IKE (Internet Key Management).
K-N
Kerberos :
Protocole d'authentification rseau cl secrte dvelopp par le MIT (Massachusetts Institute of Technology), bas
sur l'utilisation de l'algorithme de cryptage DES pour le cryptage et une base de donnes de cls centralise pour
l'authentification.
Non-rpudiation :
Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur puisse nier ultrieurement
avoir envoy un message ou effectu une action spcifique.
P
PAP (Password Authentication Protocol):
Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs des autres. Le routeur
distant qui effectue une tentative de connexion sur le routeur local doit envoyer une requte d'authentification.
Contrairement CHAP, PAP ne crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot
de passe est valide ou non.
Pare-feu :
Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux rseaux.
Primtre de scurit :
Primtre dans lequel des contrles de scurit sont effectus afin de protger les quipements rseau.
Ping :
Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre systme.
71
PKI (Public Key Infrastructure):
Infrastructure de gestion de cls offrant un environnement sr et fiable.
Politique de scurit :
Ensemble de directives de haut niveau permettant de contrler le dploiement des services rseau. La maintenance
et l'audit du rseau font galement partie de la politique de scurit.
Proxy :
Equipement (mandataire) effectuant une tche la place d'un autre quipement. Dans le domaine des firewalls, le
proxy est un processus effectuant un certain nombre de contrles sur le trafic entrant. Ce mcanisme peut nuire aux
performances du firewall.
R
RADIUS (Remote Access Dial-In User Service):
Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole d'authentification et de gestion de
serveur d'accs.
Rinitialisation TCP :
Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur Cisco IOS Firewall. Une
commande est mise par ces quipements afin d'arrter la connexion par laquelle l'attaque est effectue, obligeant
ainsi l'attaquant tablir une nouvelle connexion.
S
SHA (Secure Hash Algorithm):
Algorithme de hachage utilis pour l'authentification et la vrification de l'intgrit des communications.
Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en
dtail la recherche de modles logarithmiques identiques.
Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en
dtail la recherche de modles logarithmiques identiques.
Signature numrique :
Chane de bits ajoute un message lectronique (hachage crypt) permettant l'authentification et l'intgrit des
donnes.
72
Spoofing (usurpation):
Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou programme autoriss).
Syslog :
Protocole dfinissant un service de journaux d'vnements d'un systme informatique. C'est aussi le nom du format
qui permet ces changes.
T
TACACS+ (Terminal Access Controller Access Control System Plus):
Protocole AAA principalement utilis pour la gestion des connexions commutes.
Triple DES :
Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de paquets de donnes.
Tunnel :
Connexion scurise et crypte entre deux points passant par un rseau public ou tiers.
V
VPN (Rseau priv virtuel):
Rseau garantissant un trafic IP scuris via un rseau TCP/IP public grce au cryptage des donnes entre les deux
rseaux concerns. Le VPN utilise la tunnellisation pour crypter les informations au niveau IP.
Vulnrabilit :
Faille au niveau des procdures de scurit, de la conception ou la mise en uvre du rseau, pouvant tre exploite
pour contourner la politique de scurit d'une entreprise.
73