Vous êtes sur la page 1sur 74

Cisco PIX 515E Security Appliance

LE GUENNO Vincent & FRANCISCO Nelson

Le pare-feu Cisco PIX 515E offre des services trs perfectionns de pare-feu inspection dtat et de rseaux privs
virtuels (VPN) IPsec. Conu pour les petites et moyennes entreprises, ainsi que pour les agences de socits, le Cisco
PIX 515E est dot d'une puissance de traitement renforce et d'une acclration matrielle intgre IPsec (pour
certains modles) ce qui procure des performances encore plus leves pour rpondre aux exigences de scurit des
accs haut dbit

0
1
I. Politique de scurit _________________________________________________________________ 4
1. La politique de scurit rseau ______________________________________________________________ 4
2. Terminologie ____________________________________________________________________________ 5
3. Cycle de la politique de scurit _____________________________________________________________ 6
3.1 La planification (Plan...) __________________________________________________________________________ 6
3.2 La mise en uvre (Do...) _________________________________________________________________________ 7
3.3 Le suivi (Check...) _______________________________________________________________________________ 7
3.4 Agir (Act...) ____________________________________________________________________________________ 7

4. Conclusion ______________________________________________________________________________ 8

II. Cahiers des charges__________________________________________________________________ 9


1. Tches raliser _________________________________________________________________________ 9
2. Contraintes _____________________________________________________________________________ 9
3. Matriels utiliss _________________________________________________________________________ 9
4. Topologie de lentreprise SOLO ____________________________________________________________ 10

III. Notions darchitecture rseau scurise ________________________________________________ 11


1. Larchitecture rseau et scurit ___________________________________________________________ 11
2. La vision de Cisco ________________________________________________________________________ 12
3. Dcoupage en zones de scurit ___________________________________________________________ 12
3.1 La zone infrastructure __________________________________________________________________________ 13
3.2 Filiales ______________________________________________________________________________________ 14
3.3 WAN ________________________________________________________________________________________ 15
3.4 La zone DMZ _________________________________________________________________________________ 15
3.5 La zone Datacenter ____________________________________________________________________________ 16

4. Les pare-feu (Firewalls) ___________________________________________________________________ 17


4.1 Les diffrents types de filtrages __________________________________________________________________ 18

5. Conclusion _____________________________________________________________________________ 21

IV. Configuration du pare-feu Cisco PIX ___________________________________________________ 22


1. Gnralits et historique _________________________________________________________________ 22
1.1 Produit de la gamme Cisco Pix Firewall ____________________________________________________________ 23

2. Prsentation du PIX 515E _________________________________________________________________ 23


2.1 Aspect du pare-feu PIX _________________________________________________________________________ 23
2.2 Comment fonctionne le PIX _____________________________________________________________________ 24
2.3 Les diffrentes licences du PIX ___________________________________________________________________ 25
2.4 Adaptive Security Appliance _____________________________________________________________________ 26
2.5 Passage des donnes travers le PIX ______________________________________________________________ 26
2.6 Inspections des applications _____________________________________________________________________ 27

2
3. Configuration de base du Cisco PIX 515E _____________________________________________________ 30
3.1 Configuration par dfaut du PIX __________________________________________________________________ 30
3.2 Configuration du Cisco PIX en mode CLI ____________________________________________________________ 30

4. Configuration et installation AAA sur le PIX ___________________________________________________ 38


4.1 Tour dhorizon dAAA __________________________________________________________________________ 38
4.2 Cisco Secure Access Control Server _______________________________________________________________ 38
4.3 Telnet et SSH _________________________________________________________________________________ 42

5. Configuration avanc du Cisco PIX __________________________________________________________ 42


5.1 Enregistrement du serveur web sur le DNS _________________________________________________________ 42
5.2 Installation dun serveur de messagerie ____________________________________________________________ 43
5.3 Installation dun serveur SYSLOG _________________________________________________________________ 44
5.4 Cisco intrusion prevention system ________________________________________________________________ 44

6. Virtual Private Network __________________________________________________________________ 46


5.1 Principe gnrale ______________________________________________________________________________ 46
5.2 Configuration dun tunnel VPN Site Site __________________________________________________________ 47
5.3 Configuration d'un VPN scuris l'aide dIPsec entre un PIX et un client VPN _____________________________ 50

7. Procdure de restauration de mot de passe sur Cisco PIX 515E ___________________________________ 53

V. La virtualisation et les mulateurs _____________________________________________________ 55


1. Virtualisation (VMware et Virtual Box) ______________________________________________________ 55
2. Emulation______________________________________________________________________________ 56
3. Conclusion _____________________________________________________________________________ 57

VI. Conclusion ________________________________________________________________________ 58


1. Conclusion dordre technique ______________________________________________________________ 58
2. Conclusion dordre personnel ______________________________________________________________ 58

VII. Annexes techniques ________________________________________________________________ 59


1. Le PIX devient lASA _____________________________________________________________________ 59
1.1 Technologie reconnue de firewall et VPN protg contre les menaces ___________________________________ 59
1.2 Service volu de prvention des intrusions ________________________________________________________ 59
1.3 Systmes ANTI-X la pointe de lindustrie __________________________________________________________ 59
1.4 Migration transparente pour lutilisateur __________________________________________________________ 60
1.5 Caractristiques techniques _____________________________________________________________________ 60
1.6 Chemin de migration pour le serveur de scurit Cisco PIX 515E ________________________________________ 61

2. Comparatifs des principaux Firewall matriels du march _______________________________________ 62


3. Capture dcran de nos tests ______________________________________________________________ 63
3.1 Nos diffrents serveurs _________________________________________________________________________ 63
3.2 VPN site site et VPN client _____________________________________________________________________ 64
3.3 Captures diverses _____________________________________________________________________________ 65

4. Planning prvisionnel ____________________________________________________________________ 66

VIII. Synthse documentaire _____________________________________________________________ 67


IX. Glossaire _________________________________________________________________________ 68

3
I. Politique de scurit

1. La politique de scurit rseau

Cest une expression, un concept parfois un peu flou dont on entend parler lorsquil devient ncessaire de
sorganiser.

Quest-ce quune politique de scurit ? En avons-nous besoin ? La rponse est oui.

Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les
rponses aux questions quun ingnieur en charge dune tude se pose lorsquil aborde le volet scurit
dun projet informatique dont la russite dpend entre autres de la prise en compte ds le dbut des contraintes de
scurit. (Nous parlons aussi dexigences). Une politique de scurit est donc un document confidentiel
(largement diffus toutefois) qui en faisant abstraction des contingences matrielles et techniques fournit une
collection de directives de scurit classes par thmes. La mise en pratique de la politique de scurit est
lapplication des directives aux thmes couverts par le projet.

La thmatique rseau dans la politique de scurit englobe les recommandations pour lexploitation des liens
rseaux et des quipements. Les domaines abords voluent avec les intrts conomiques de lentreprise et
concernent entre autres :

La gestion des accs au rseau et aux ressources (en relation avec la gestion des identits et des droits)
la cryptographie
la scurit des quipements et des configurations
la scurit des systmes terminaux.

Cependant, il serait illusoire et coteux de vouloir tout prix protger lentiret dune infrastructure informatique
la manire dun Fort Knox. Cest pourquoi, la politique de scurit sapplique des degrs divers aux
rseaux et aux quipements en fonction du niveau de confidentialit entre les populations et les ressources.

La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit
des ressources et dhabilitation des populations. En fonction de cette classification, des rgles sont mises et crites
dans le document. Ce travail est fastidieux mais ne revt pas un caractre obligatoire. Il est envisageable de tout
classifier un niveau unique et ainsi de simplifier la politique de scurit.

Le schma suivant illustre cette notion.

4
Considrons un exemple simple :

Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement
class confidentiel.

La politique de scurit indique :

Laccs des documents classs confidentiel nest autoris quaux personnels disposant dune habilitation
ce niveau ou un niveau suprieur
La dure dutilisation des documents classs de type confidentiel est enregistre
Les documents classs confidentiel sont uniquement accessibles en lecture seule
Les documents classs confidentiel sont consultables distance uniquement au travers dun canal chiffr sur
les rseaux de type LAN ou WAN.

Cet exemple illustre la relation entre une population, une ressource, un niveau de confidentialit et la
politique de scurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont
plus limits leurs frontires traditionnelles mais stendent vers les rseaux de leurs partenaires tout en
recevant les connexions des employs en dplacement, couramment dsigns comme "nomades".

Ces rgles sont au-dessus de toute contingence technique. Une obligation de chiffrer les communications sur
une liaison nindique pas obligatoirement quel type de chiffrement sera utilis dans la mesure o les techniques
voluent en permanence. Malgr tout, il est envisageable de le prciser condition de veiller la mise
jour priodique du document.

Compltons lexemple prcdent :

... au travers dun canal chiffr sur les rseaux de type LAN ou WAN. Chiffrement en AES 256 sur les quipements du
rseau avec authentification par certificats. Il est galement possible, en complment de cette prcision, que la
mises-en uvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour
le dploiement. Enfin, la documentation technique prcise la manire dont le protocole est configur sur les
quipements du rseau.

La rdaction dune politique de scurit est un travail sur mesure dont le document final est applicable
toutes les ressources et toutes les populations de lentreprise. Ce document est obligatoirement valid au plus
haut niveau de la hirarchie. Il est important de faire voluer la politique de scurit en fonction des liens qui ne
manqueront pas de se tisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son
sens et devient peu peu inapplicable. La littrature anglo-saxonne reprend linfini le concept du docteur
DEMING Plan, Do, Check, Act ce qui dans notre langue se traduit par planifier, faire, vrifier, corriger. Ceci
sapplique tout fait la politique de scurit et constitue un vritable cycle dvolution permanente.

La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Dans
lentreprise, il est recommand de crer un groupe de travail autour de la rdaction de ce document.

2. Terminologie

Nous allons brivement voquer les quelques mots-cls qui sont largement repris dans la littrature
informatique lorsque la scurit est aborde.

Une vulnrabilit est une faiblesse le plus souvent cache, touchant une infrastructure informatique. Ce
terme est frquemment associ aux logiciels mais il regroupe plus gnralement toute faiblesse quelle quen soit la
nature. Une erreur de configuration dun quipement rseau constitue une vulnrabilit tout comme un mot de
5
passe vide ou trivial. Lexpression faille de scurit est galement employe. Les moyens et les mthodes visant
liminer les vulnrabilits sont faciles mettre en pratique et requirent :

De se tenir au courant des vulnrabilits auprs du constructeur


Doprer une veille technologique partir de sites Internet ddis la scurit informatique
De tester sur un environnement de validation les correctifs publis
De tester une procdure de retour en arrire
Dinstaller le correctif
Dobserver le comportement de linfrastructure de production.

Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une population
malveillante qui tenterait de lexploiter. Il existe dautres dfinitions selon la norme laquelle on se rfre. Lobjectif
de la scurit informatique est de diminuer le plus possible le risque par tous les moyens disponibles.

Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque.
Concrtement, un exploit est un petit programme qui est lanc en direction de ladresse rseau du systme vis. Les
quipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont
jamais rvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont
dcouvertes les exploitent leur guise pour leur propre compte.

Mettre jour un systme ou un quipement rseau consiste appliquer les correctifs publis par le
constructeur et faisant suite la rvlation dune vulnrabilit. En la matire, la prudence simpose et avec elle
toutes les sries de tests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois
que les correctifs ont t appliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et
des retours dexprience sont fortement recommands.

La politique de scurit est labore en fonction dune variable connue sous le nom denvironnement.
Lenvironnement dans le domaine de la scurit informatique est la dfinition de lunivers dans lequel volue un
systme dinformation. Lenvironnement, dans le domaine de la scurit tablit une carte des menaces potentielles
qui planent sur un systme dinformation. Il sagit au final de dterminer la porte de la politique de scurit
en fonction des menaces dont lentreprise souhaite se prmunir. Par exemple, une entreprise dcide dinstaurer
des mesures de protection contre les menaces les plus courantes (et dy consacrer un certain budget) mais dcide de
ne pas traiter les menaces manant dagences gouvernementales. La variable denvironnement est donc utilise
pour rgler le degr de protection de la politique de scurit face une catgorie de menaces.

3. Cycle de la politique de scurit

Comme nous lavons voqu, la politique de scurit suit un cycle connu le nom de cycle de DEMING. Parcourons en
les phases.

3.1 La planification (Plan...)

La planification commence avec la dcision dorganiser formellement la scurit. Elle consiste en un


inventaire exhaustif des ressources protger et la rdaction de directives pour chaque domaine concern. la fin
de cette phase de planification, la politique de scurit sera rdige par le groupe de travail avec lassistance
ventuelle dun consultant ayant une vue extrieure sur lentreprise et son projet. Une fois crite et relue, elle doit
absolument tre valide par la plus haute autorit afin quaucune contestation ne soit possible quant son
cadre dapplication. Ltape suivante est sa publication sous la forme dun document confidentiel mais

6
facilement accessible. Sa publication va de pair avec une large diffusion auprs des quipes en charge des
projets et de lexploitation de linfrastructure informatique. Ds les premires phases, Il est primordial
dinclure les contraintes de scurit qui jalonnent le droulement dun projet afin de ne pas risquer de
linterrompre sil venait prendre une voie contraire la politique de scurit en vigueur.

La politique de scurit est dcline en domaines fonctionnels qui reprsentent le modle du systme dinformation
de lentreprise. Son organisation prend la forme de chapitres au sein desquels figurent les points respecter. Citons
par exemple, le chapitre sur la scurit des systmes dexploitation, la scurit des bases de donnes et la scurit
des communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de
planification devront toujours avoir lesprit que leur texte servira de base aux travaux de scurisation qui ne
manqueront pas de se succder. Ainsi la clart et la prcision des propos sont de mise lors de llaboration de la
politique de scurit.

3.2 La mise en uvre (Do...)

La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrire
prcdemment. Ladhsion de tous au respect des rgles dcrites est le fondement dune bonne prise en compte de
la scurit.

La politique de scurit est principalement mise en uvre lors des premires phases de progression dun projet quel
quil soit. Ce livre se cantonne la scurit des rseaux, mais le champ dapplication de la politique de scurit est
vaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation
avec le systme dinformation. titre dexemple, un projet partant dune feuille blanche ou visant modifier
une partie de larchitecture doit imprativement se rfrer la politique de scurit. Ainsi, les spcifications
techniques reprennent toutes les rfrences utiles de la politique de scurit afin de les intgrer naturellement.
Lexprience montre que la scurit si elle nest pas prise en compte ds les prmices dun projet peine par la suite
sy intgrer. Cest la raison pour laquelle la diffusion de la politique de scurit doit viser un large public et il est bon
que chaque responsable de secteur (base de donnes, dveloppement, rseaux) matrise la partie qui le concerne.

3.3 Le suivi (Check...)

Le suivi de la politique de scurit consiste sassurer que les contraintes, imposes par le texte, sont
prises en compte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique
une prsence systmatique dun reprsentant ou responsable de la scurit aux runions de suivi et un
contrle des processus dexploitation en vigueur. Les menaces et les techniques voluent perptuellement et
une politique de scurit ne saurait, en aucun cas, rester fige. Le risque tant quelle ne soit tout
simplement plus applique. Cette approche concerne donc le suivi de lapplication de la politique de scurit.

Lvolution de la politique est donc prise en compte ds sa dfinition par llaboration dune mthode de
rvision accompagne dun facteur temps. Si lentreprise surveille lvolution des matriels et des technologies
quelle met en uvre, le suivi du processus de mise jour de la politique de scurit en sera grandement
facilit. Toutefois, les menaces et les techniques de protection en perptuelle volution commandent de temps
autre une volution de la politique de scurit avant la date de rvision planifie. Ceci doit malgr tout rester
exceptionnel car la politique de scurit de par son mode dlaboration balaye un large panel de mesures.

3.4 Agir (Act...)

Lorsque le besoin sen fait sentir ou lorsque la date planifie de rvision approche, il sagit aprs analyse et rflexion
de modifier la politique de scurit dans le but de ladapter aux menaces qui psent sur les services quelle couvre

7
ou sur de nouveaux services.
Prenons par exemple le cas des VPN SSL que nous aborderons lors du chapitre consacr aux pare-feu. Cette
technique part entire mrite de se voir consacrer un chapitre de la politique de scurit car elle met en uvre des
fonctionnalits rparties sur de trop nombreux chapitres pour tre exploitable en ltat. Sur ce point, il
semble raisonnable danticiper lvolution de la politique de scurit pour ne pas avoir grer en mme temps les
questions inhrentes un projet en cours avec celles qui ne manquent pas de se poser lors dune refonte dun tel
document. Lquipe en charge du suivi de la politique de scurit passe donc la main celle en charge de son
volution et de sa rvision. Une fois ce processus termin, la politique de scurit rvise est remise en service puis
diffuse.

4. Conclusion

La politique de scurit est un lment indispensable et pralable toute entreprise (dans le sens du mot projet).
Elle slabore partir dune rflexion portant sur la protection des ressources et le niveau daccs des utilisateurs qui
est lui-mme fonction dun niveau de confiance et de responsabilit. Ce document est le fruit dun travail
itratif et doit suivre, voire tre en avance, sur lvolution de larchitecture.

La politique de scurit est mise disposition des entits qui travaillent notamment la planification ainsi
qu la ralisation de projets. Ces dernires doivent imprativement saisir la ncessit de lintgrer ds les
premires phases en drivant ses prconisations sous la forme dexigences destines faciliter la rdaction
dappels doffre ou llaboration de larchitecture choisie.

8
II. Cahiers des charges

1. Tches raliser

Configuration dun serveur avec win2008 avec un service DNS, Active Directory et DHCP.
Configuration dun serveur win2008 avec les services WEB, FTP et Mail
Configuration dun serveur 2003 avec les services CSACS et autorit de certification
Configuration de trois routeurs, deux simulant entre eux un rseau Frame Relay (Internet) et un troisime
pour laccs au site distant
Configuration dun PIX pour un accs scuris internet (firewall, ACL, NAT/PAT)
mise en place dune DMZ avec serveur WEB, FTP et Mail.
Accessibilit la DMZ pour les clients extrieurs.
Configuration dun tunnel IPsec VPN de site site.
Configuration dun tunnel reliant un client VPN au PIX

2. Contraintes

Le projet doit tre ralis et fonctionnelle dans un dlai de 3 semaines. Comprenant la mise en place de la topologie,
les tests, la capture de traces, et la rdaction dun rapport. Lensemble de la topologie doit tourner autour dun PIX
CISCO 515E.

3. Matriels utiliss

Nous utilisons pour mettre en place cette topologie :

Deux postes fixes de la plateforme 4 avec win2008 en OS utilis comme serveur.


Deux ordinateur portable personnel recherche internet et virtualisation logiciel utilis GNS3 et VMware,
Windows Seven en OS, serviront de machine cliente.
Un CISCO PIX 515E licence R, PIXOS 8.02
Deux routeurs CISCO C2600 (2fast Ethernet un port srie) Ios advsecurityK9-mz 12.3-7.T12
Un routeur CISCO C2800 (2fast Ethernet, 4ports srie) Ios adventreprisek9-mz.124-25b

9
4. Topologie de lentreprise SOLO

10
III. Notions darchitecture rseau scurise

1. Larchitecture rseau et scurit

Un rseau est soumis rgulirement de nombreuses volutions et modifications qui sont le fruit dune
rflexion impliquant le travail du service darchitecture. Les entreprises les plus modestes ne sont pas dotes dun tel
service qui reste en rgle gnrale lapanage des groupes plus grands. Toutefois, la rflexion sur les tenants et les
aboutissants dune volution relve de la mme logique. Ce travail soulve principalement des questions
concernant limpact des modifications sur lexistant et la manire de procder lintgration. Les tches du service
darchitecture sil existe sont rparties autour de ples lis aux spcialits qui composent le systme
dinformation et nous y trouvons tout naturellement des spcialistes de la scurit et des rseaux. Pour ces
personnes, une connaissance approfondie de lexistant est imprative pralablement toute tude dvolution du
rseau. Pour les entreprises de taille modeste, le responsable informatique fait office darchitecte et prend
conseil auprs de ressources extrieures tout en restant matre de ses choix.

Les rseaux ont bnfici ces dernires annes davances technologiques dans le domaine de la scurit. Citons au
passage les protections diverses et varies face lInternet, lavnement de la tlphonie sur IP et des rseaux sans
fil. De nos jours, de nombreuses socits ouvrent leur rseau leurs partenaires dans le but de leur
permettre daccder des applications ou des documents. Tout ceci soulve de multiples questions auxquelles les
architectes du domaine rseau et scurit sont somms de rpondre pour ne pas compromettre la bonne marche de
lentreprise.

Une approche mthodique consiste scinder larchitecture globale en zones fonctionnelles recevant chacune un
niveau de scurit en fonction de sa position et de son rle.

Les techniques que nous avons abordes lors des chapitres prcdents vont ici tre mise contribution.
chaque zone de scurit nous ferons correspondre un jeu de mesures techniques et organisationnelles.

Il est important de comprendre quau-del de la protection du seul rseau, larchitecture de scurit a pour
objectif ultime la disponibilit des applications et des donnes. Le schma montre en entre (bulles
suprieures) les composantes de larchitecture scurise et en sortie de celle-ci, les services fournis aux divers
processus dploys par lentreprise.

11
Nous allons prsenter dans ce chapitre les zones de scurit qui connectes les unes aux autres constituent le rseau
scuris dans son entiret. Nous allons mettre en correspondance pour chacune des zones les fonctions de scurit
abordes au cours des chapitres prcdents.

2. La vision de Cisco

Cisco prsente un concept nomm "the self-defending Network", le rseau qui se dfend seul, le rseau auto
dfense. Cette approche de la scurit des rseaux stend toutes les couches du modle OSI et offre des
services scuritaires aux quipements, aux utilisateurs et aux applications. Cette offre est troitement
connecte des systmes de contrle et de surveillance. Ce concept se dcline en solutions cestdire en produits
qui sont intgrs larchitecture rseau. Il en rsulte une architecture rseau scurise.

Les trois grandes familles de solutions introduites par Cisco sont :

le contrle des menaces pour les infrastructures, les quipements dextrmit et la messagerie dont
les produits entre autres englobent : les pare-feu, les systmes de prvention et de dtection
dintrusion, les contrleurs daccs au rseau, les agents de scurit, les passerelles de messagerie
la scurit des communications dont les produits fournissent des services IP Sec ou VPN SSL : ce
sont les routeurs et les pare-feu
le contrle daccs au rseau avec lquipement NAC (Network Access Control) qui contrle la
scurit des quipements voulant se connecter au rseau.

Ces trois grandes familles de produits sont rparties sur des zones de scurit qui correspondent aux zones
de sgrgation habituelles. Pour mmoire, une zone de sgrgation correspond un dcoupage fonctionnel du
rseau de lentreprise en rgions. Ces rgions sont connectes les unes aux autres avec un certain niveau de
scurit. Ce principe est diamtralement oppos celui de rseau " plat" ou schmatiquement tous les
quipements partagent le mme rseau physique voire logique.

Cisco recommande donc de scinder le rseau en zones qui sont :

Linfrastructure qui reprsente le rseau interne. Ce dernier tant son tour divis en trois zones.
Les filiales
Les rseaux longue distance (WAN). Il sagit des zones dinterconnexions entre lentreprise et ses
filiales via des rseaux de donnes fournis par des prestataires de tlcommunications (fournisseur de
service Internet, oprateur Tlcom)
La zone DMZ
les zones applicatives ou (Datacenter) qui comprennent les aires de stockage, les centres applicatifs
et les services de tlphonie sur IP.

3. Dcoupage en zones de scurit

Nous allons donner un aperu du dcoupage qui permet daffecter chaque zone des fonctions de scurit bases
sur son rle. Ce dcoupage fonctionnel facilite considrablement les tches de surveillance et dadministration en
ciblant les mesures de scurit en fonction de la zone concerne. De plus, chaque zone obtient une certaine
indpendance dans sa gestion ce qui ne remet pas en cause la gestion de la scurit des autres zones qui
lentourent. Toutefois, il faut garder en mmoire que la scurit dune zone est troitement dpendante de celle des
zones qui lentourent.

Quelques rgles sont observer en ce qui concerne la cration et lexploitation des zones de scurit :

12
Un quipement ou un hte qui viendrait changer de zone doit se conformer aux rgles de
scurit de la nouvelle zone. Ceci est du ressort de la scurit systme et vise tout particulirement
les processus de renforcement (OS Hardening).
Le trafic ne doit pas transiter entre deux zones dans le sens de la zone la moins scurise vers la zone la plus
scurise.

3.1 La zone infrastructure

La zone infrastructure est la premire des zones de scurit considrer car elle est au centre du systme
dinformation. Ltendue de cette zone comprend, dans le cadre de ce livre, le cur du rseau et la zone daccs. Les
documents publis par Cisco ont introduit trois zones de base :

Les zones daccs sont lextrmit du rseau et comprennent les commutateurs sur lesquels sont
connects les postes de travail. Les zones daccs sont drives en deux familles :
Les zones dans lesquelles sont fournis des accs filaires.
Les zones dans lesquelles sont fournis des accs sans fil.
Les zones dagrgation (aussi appel distribution) sont constitues par le regroupement des zones daccs
et sont relies au cur du rseau avec un niveau de redondance.
Le cur de rseau est compos idalement dquipements rapides qui relaient le trafic dune zone lautre.

Sur le schma reprsentant la zone dinfrastructure, les zones daccs et dagrgation sont confondues. Cette
architecture est conseille pour les structures de taille moyenne.

Nous avons dcompos la zone infrastructure en trois sous zones en regard desquelles nous allons faire figurer un
groupe dquipement de scurit ou de techniques voques dans les chapitres prcdents.

La zone daccs est essentiellement scurise autour du niveau 2. Cest ici quintervient lauthentification
obligatoire avant toute possibilit de communiquer. Limplmentation du protocole 802.1X est recommande. Cette
fonction est combinable avec les techniques qui limitent les communications une fois la connexion tablie. Citons
entre autres les VACL et les private ACL. Nous avons galement notre disposition toutes les mesures de
protection contre les attaques par dni de service ou par usurpation de session que sont Dynamic ARP inspection et
DHCP snooping.
13
La zone dagrgation est situe immdiatement la suite de la zone daccs laquelle elle peut tre combine des
fins de simplification. Ici, larchitecture fait intervenir le routage entre les zones daccs et le reste du rseau avec les
limitations imposes par la politique de scurit. Ce sont donc les techniques de scurit au niveau 3 qui
prvalent comme le filtrage inter VLAN, les ACL de tous types et bien sr la protection des protocoles de routage.

Il va sans dire que la zone dinfrastructure bnfice dune scurit physique renforce eut gard son rle
minemment stratgique. Ici, la moindre interruption de service dun lien, mme prise en charge par la
redondance, doit tre remise en tat le plus rapidement possible. En effet, la dfaillance dun lien bien que prise en
compte par un dispositif de secours prsente une prise de risque notable en cas de rupture du lien de secours. Ici, il
est important de disposer dun systme dalerte efficace en mesure de dtecter tout dfaut.

3.2 Filiales

Une filiale est une zone part entire de lentreprise et dispose en rgle gnrale de moyens limits pour assurer sa
propre scurit. Ici, lefficacit maximale est recherche avec un nombre rduit dquipements. La filiale est
gnralement traite comme une extension du rseau local et ce titre bnficie de tous les services
applicatifs. Toutefois, une filiale dispose rarement dun cur de rseau part entire et sappuie
frquemment sur un unique quipement multifonction qui a pour mission de grer la scurit et les
connexions vers le site central. La scurit dune filiale (considre comme une extension du rseau local) est
sensiblement identique celle des zones daccs et dagrgation. Ici, le protocole 802.1X est charg dassurer
une stricte authentification des utilisateurs ainsi que la distribution de droits daccs rseau sous la forme dACL
reues aprs le processus de connexion. Tout comme sur le rseau du site central, le panel des protections de la
couche 2 est entirement disponible pour oprer des sparations entre des zones aux degrs de confidentialit
divers.

Les communications de la filiale vers le site central sont habituellement chiffres. Cette mesure se justifie
pleinement si le rseau Internet est vou cette tche dinterconnexion. Le protocole IPsec est tout
naturellement indique pour accomplir cette tche entre un quipement de la filiale (mutualis) et un
quipement ddi sur le site central. Bien entendu, des ACL oprent une sgrgation entre le trafic chiffrer et
celui autoris transiter en clair. Ceci justifie amplement une tude pralable afin de dterminer les types de trafic
protger.

Cette notion est importante car les ressources consommes par les processus de chiffrement peuvent se
rvler importantes. La zone filiale dploie sur lquipement de connexion toutes les protections ncessaires
vis--vis des rseaux extrieurs. Ceci sapplique tout particulirement si lInternet est utilis pour la connexion vers
le site central. Nous trouvons ici, les ACL dont le but est de filtrer les bogon networks et des mesures visant limiter
les tentatives de connexion frauduleuses utilises des fins de saturation.

La figure montre une zone filiale relativement simple pour laquelle deux quipements sont en service. Le
commutateur Ethernet ainsi que le routeur sont parfois intgrs dans un quipement unique comme le pare-feu PIX.

14
3.3 WAN

La zone WAN est raccorde aux diverses interfaces qui la relient au monde extrieur.

Ainsi, un sous-rseau est attribu au recueil des collaborateurs nomades, un autre correspond aux arrives Internet
et un dernier est ddi aux filiales. La scurit sur cette zone comprend les ACL qui cartent du rseau tous les trafics
indsirables en provenance dInternet et la protection logique des quipements. Ces ACL reprennent les
bogon networks. Il est primordial de prendre les mesures de protection visant limiter certains types de trafic en
fonction de leur dbit afin de se prmunir contre les attaques par saturation.

Les arrives des personnels nomades seffectuent sur les quipements ddis que sont les concentrateurs VPN ou
les pare-feu. Ces derniers embarquent des fonctions de chiffrement de type IPSEC ou SSL. Nous aborderons
cette spcificit dans le chapitre consacr aux pare-feu. Chaque arrive WAN est lie une politique de scurit
relative aux technologies dployes qui portent par exemple sur la force du chiffrement, lauthentification des
utilisateurs et les ACL spcifiques dont hritent les utilisateurs une fois quils sont authentifis.

La zone WAN assure galement le recueil des connexions en provenance des filiales. Les liaisons sont tablies sur des
lignes loues ou sur Internet. En fonction du type de liaison, les mesures de protection diffrent. Si la liaison utilise
une voie loue, il est important de sassurer auprs de loprateur de tlcommunications de la bonne isolation
entre le rseau dinterconnexion et les rseaux de loprateur voire ceux dautres clients.

Lentre de la zone WAN mrite une troite surveillance des interfaces afin de visualiser toute irrgularit
dans le trafic. Un pic ou un creux de trafic indiquent souvent limminence dun problme plus grave.

Les pare-feu et les routeurs sont les principaux intervenants dans la zone WAN. Il est noter que les deux fonctions
peuvent figurer sur le mme quipement.

3.4 La zone DMZ

Les DMZ (Demilitarized Zones) sont apparues avec la ncessit de mettre disposition sur Internet des
services applicatifs et de donner accs vers lextrieur aux personnels de lentreprise. Si lon considre la fourniture
de service, il est tout fait inconcevable en termes de scurit dautoriser un accs interne des clients chappant
tout contrle. Ainsi naquit lide de positionner ces services sur une zone dporte formant cran entre le
domaine public et le rseau interne de lentreprise.
15
Une DMZ est donc une zone tampon situe entre ce qui est considr extrieur et ce qui est considr
intrieur linfrastructure centrale. Une DMZ dispose de divers dispositifs de filtrage rseau, mais aussi de relais
applicatifs dans le but de ne rien laisser entrer directement au sein de linfrastructure.

Les DMZ sont connectes par le haut la zone WAN sur laquelle entrent les connexions en provenance de lextrieur
du rseau et par le bas la zone dinfrastructure. Le schma montre trois DMZ organises comme suit :
une DMZ externe, une DMZ de transit et une DMZ interne. Les deux zones dextrmit hbergent des relais
applicatifs (internes ou externes) qui sont habituellement des serveurs de messagerie, des relais HTTP (web
proxies) et des relais de rsolution de nom (DNS). Ces relais possdent leur propre systme de dfense. La
DMZ de transit quant elle hberge opportunment des dispositifs de dtection dintrusion et de
vrification de code comme par exemple les firewall XML de Cisco car le trafic nest analysable quune fois
quil est dchiffr. Les zones DMZ peuvent galement hberger des applications autonomes dont les donnes
proviennent de lintrieur du rseau. Ici sapplique la rgle du moindre privilge qui indique que le trafic ne saurait
tre initialis dune zone faible niveau de scurit vers une zone dont le niveau de scurit est plus lev. Cest
pour cette raison que trois flches sont dessines sur le schma, cela indique entre autres que les donnes prsentes
dans les DMZ proviennent de lintrieur du rseau et quen aucun cas une entit de la DMZ (un serveur par exemple)
ne va de son propre chef rechercher des donnes lintrieur de la zone infrastructure. Des exceptions existent
toutefois afin de rendre visible de lextrieur le rseau dune entreprise. Il sagit alors de laisser pntrer dans les
DMZ publiques le trafic en provenance de lextrieur. Ces drogations font lobjet de rgles de scurit dans les
configurations des quipements et dune troite surveillance, elles sont de plus limites aux premires zones, voire
une seule zone dite publique.

3.5 La zone Datacenter

La zone Datacenter hberge les serveurs centraux et des baies de stockage de grande capacit. La notion
de Datacenter implique une concentration des moyens en un lieu unique dont la scurit logique est lune
des composantes fortes. Un Datacenter combine en effet toutes les composantes de la scurit et requiert un niveau
de disponibilit la hauteur de la confidentialit des informations quil hberge. Les mesures de protections
associes au Datacenter vont de la protection physique des accs, la redondance lectrique en passant par la
protection contre les incendies et la surveillance de la qualit de lair ambiant pour nen citer que quelques-
unes. Lobjectif du Datacenter est avant toute chose, la disponibilit de linformation.
16
Le Datacenter dispose de sa propre scurit au niveau des systmes dopration et se repose sur la scurit
du rseau pour ne recevoir que des demandes sur les services quil offre. titre dexemple, une fraction du
Datacenter fournissant des services de type http (WEB) attend uniquement des connexions sur le port 80.
Celui-ci sera le seul autoris en entre sur ladite zone.

La scurit au niveau rseau du Datacenter repose principalement sur le dploiement dACL qui vise garantir que le
trafic entrant autoris correspond aux services fournis par le Datacenter. Il en va de mme en sens inverse
en sassurant de la correspondance du trafic sortant avec les requtes mises de lextrieur.

Cest ici aussi la politique de scurit qui dicte les choix en matire de sens dinitialisation du trafic. Le
Datacenter tant une zone interne, le trafic qui y transite nest habituellement pas chiffr. Cette disposition
favorise le dploiement de dispositif danalyse et de surveillance comme les sondes de dtections dintrusions
finement ajustes sur les trafics caractristiques de la zone. Sil est dcid de chiffrer le trafic, il conviendra
de disposer de relais si la surveillance est souhaite.

Une zone au sein du Datacenter se dmarque, il sagit de celle qui reoit les services de tlphonie sur IP. Cette zone
est idalement isole car la tlphonie est un service hautement stratgique tant par sa confidentialit que
par la haute disponibilit quil ncessite.

4. Les pare-feu (Firewalls)

Le ciment entre les diverses zones que nous venons dexaminer est le pare-feu ou firewall en anglais. Les pare-feu
ont pour rle de filtrer le trafic en fonction des informations contenues dans les couches 3 et 4 du modle OSI.
Lvolution des pare-feu vers les modles conservant ltat des sessions (modles stateful) autorise un suivi du sens
dinitialisation des connexions ce qui est trs utile entre autres sur le modle de chanage des DMZ o chacune
possde un niveau de scurit qui lui est propre. Comme expliqu dans le chapitre sur la scurit au niveau 3, la
politique de scurit impose que les flux soient toujours initialiss dune zone dont le niveau de scurit est lev

17
vers une zone dont le niveau de scurit est infrieur. Les contrles dtat des connexions se charge de laisser
entrer les paquets retours venant en rponse aux trafics initiaux.

Ce schma montre un pare-feu laissant passer les trafics faisant partie dune session autorise et bloquant
un trafic provenant dune zone dun faible niveau de scurit et tentant de trouver un passage vers lintrieur du
rseau.

Les routeurs Cisco et les commutateurs de niveau 3 sont aptes remplir le rle de pare-feu entre les zones conues
par larchitecte de scurit. Cependant, la limite des pare-feu est flagrante si lon se place au niveau des couches
dites hautes du modle OSI. En effet un filtrage mme avec mmorisation de ltat ne protge aucunement un
service contre une attaque purement applicative cestdire exploitant une faille dans un programme donn.
Nous entrons ici dans lunivers des attaques entre autres par injection de code malicieux dun client vers une
application.

Il est devenu indispensable de protger les applications contre ce type de malveillance qui ne sont pas prise en
compte par les firewalls classiques. Le dploiement (pour le protocole http) de relais (proxies) et de relais
inverss (reverse-proxies) dots de fonctions de scurit rpond parfaitement cette exigence de filtrage entre les
clients et les serveurs. Ces quipements embarquent de nombreux contrles comme le filtrage dURL et les scanners
anti-virus.

Linscurit crot aussi avec lutilisation intensive de la messagerie et des services Web dont les flux
transitent entre applications grce la souplesse du langage XML embarqu lintrieur des protocoles
HTTP ou HTTPS. Comme le montre le schma ci-dessus, les flux 1 et 2 sont grs par le contrle dtat et
sont autoriss transiter dans des directions en fonction des rgles de scurit (ACL CBAC). Le flux 3, inconnu est
arrt. Le trafic, bien qutant conforme aux rgles de scurit, vhicule potentiellement du code malveillant et
lquipement de filtrage si perfectionn soit-il ny verra que du feu.

4.1 Les diffrents types de filtrages

4.1.1 Le filtrage simple de paquets (Stateless)

C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et transport du modle OSI. La
plupart des routeurs d'aujourd'hui permettent d'effectuer du filtrage simple de paquet. Cela consiste accorder ou
refuser le passage de paquet d'un rseau un autre en se basant sur :

L'adresse IP Source/Destination.
Le numro de port Source/Destination.
Et bien sur le protocole de niveau 3 ou 4.

Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appeles des Access
Control List (pour Cisco) ou Policy (pour Juniper).

Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser un trop grand
nombre d'accs, pour que le Firewall offre une relle protection. Par exemple, pour autoriser les connexions
Internet partir du rseau priv, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet
avec un port suprieur 1024. Ce qui laisse beaucoup de choix un ventuel pirate.

Il est noter que de dfinir des ACL sur des routeurs haut de gamme - c'est dire, supportant un dbit important -
n'est pas sans rpercussion sur le dbit lui-mme. Enfin, ce type de filtrage ne rsiste pas certaines attaques de
type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS. Ceci est vrai sauf
dans le cadre des routeurs fonctionnant en mode distribu. Ceci permettant de grer les ACL directement sur les

18
interfaces sans remonter la carte de traitement central. Les performances impactes par les ACL sont alors quasi
nulles.

4.1.2 Le filtrage de paquet avec tat (Stateful)

L'amlioration par rapport au filtrage simple,


est la conservation de la trace des sessions et
des connexions dans des tables d'tats
internes au Firewall. Le Firewall prend alors
ses dcisions en fonction des tats de
connexions, et peut ragir dans le cas de
situations protocolaires anormales. Ce filtrage
permet aussi de se protger face certains types d'attaques DoS.

Dans l'exemple prcdent sur les connexions Internet, on va autoriser l'tablissement des connexions la demande,
ce qui signifie que l'on aura plus besoin de garder tous les ports suprieurs 1024 ouverts. Pour les protocoles UDP
et ICMP, il n'y a pas de mode connect. La solution consiste autoriser pendant un certain dlai les rponses
lgitimes aux paquets envoys. Les paquets ICMP sont normalement bloqus par le Firewall, qui doit en garder les
traces. Cependant, il n'est pas ncessaire de bloquer les paquets ICMP de type 3 (destination inaccessible) et 4
(ralentissement de la source) qui ne sont pas utilisables par un attaquant. On peut donc choisir de les laisser passer,
suite l'chec d'une connexion TCP ou aprs l'envoi d'un paquet UDP.

Pour le protocole FTP (et les protocoles


fonctionnant de la mme faon), c'est plus
dlicat puisqu'il va falloir grer l'tat de deux
connexions. En effet, le protocole FTP, gre un
canal de contrle tabli par le client, et un canal
de donnes tabli par le serveur. Le Firewall
devra donc laisser passer le flux de donnes tabli par le serveur. Ce qui implique que le Firewall connaisse le
protocole FTP, et tous les protocoles fonctionnant sur le mme principe. Cette technique est connue sous le nom de
filtrage dynamique (Stateful Inspection) et a t invente par Checkpoint. Mais cette technique est maintenant
gre par d'autres fabricants.

Du point de vue des limites, il convient de s'assurer que les deux techniques sont bien implmentes par les
Firewalls, car certains constructeurs ne l'implmentent pas toujours correctement. Ensuite une fois que l'accs un
service a t autoris, il n'y a aucun contrle effectu sur les requtes et rponses des clients et serveurs. Un serveur
HTTP pourra donc tre attaqu impunment (Comme quoi il leur en arrive des choses aux serveurs WEB !). Enfin les
protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique
n'aura pas connaissance du protocole.

4.1.3 Le filtrage applicatif (ou pare-feu de type proxy ou proxying applicatif)

Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche Application. Pour cela, il faut bien
sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes sont traites par des
processus ddis, par exemple une requte de type HTTP sera filtre par un processus proxy HTTP. Le pare-feu
rejettera toutes les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le pare-
feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.

Au niveau des limites, le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est
extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau

19
7. En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes
d'adaptabilit de nouveaux protocoles ou des protocoles maisons.

Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat, mais cela
se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les rseaux gros trafic au
jour d'aujourd'hui. Nanmoins d'ici quelques annes, le problme technologique sera sans doute rsolu.

4.1.4 Le pare-feu identifiant

Un pare-feu identifiant ralise lidentification des connexions passant travers le filtre IP. L'administrateur peut ainsi
dfinir les rgles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et suivre l'activit rseau par
utilisateur. Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs ralises
par des moyens varis. On peut par exemple citer authpf (sous OpenBSD) qui utilise SSH pour faire l'association. Une
autre mthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans
compromis sur la scurit), ralise par exemple par la suite NuFW, qui permet d'identifier galement sur des
machines multi-utilisateurs.

On pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en ralit en ralisant
des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui permet de crer des rgles
dynamiques base sur l'authentification Kerberos d'un utilisateur, l'identit de son poste ainsi que son niveau de
scurit (prsence d'antivirus, de patchs particuliers).

4.1.5 Le pare-feu personnel

Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un pare-feu tats.
Bien souvent, ils vrifient aussi quel programme est l'origine des donnes. Le but est de lutter contre les virus
informatiques et les logiciels espions.

4.1.6 Que choisir

Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par rapport la technologie Stateful. En effet les
proxys doivent tre paramtrs suffisamment finement pour limiter le champ d'action des attaquants, ce qui
ncessite une trs bonne connaissance des protocoles autoriss traverser le firewall. Ensuite un proxy est plus
susceptible de prsenter une faille de scurit permettant un pirate d'en prendre le contrle, et de lui donner un
accs sans restriction tout le systme d'information.

Idalement, il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut mieux viter d'installer les
deux types de filtrage sur le mme Firewall, car la compromission de l'un entrane la compromission de l'autre. Enfin
cette technique permet galement de se protger contre l'ARP spoofing.

20
5. Conclusion

Larchitecture de scurit du rseau est troitement lie larchitecture du rseau. Cette imbrication nest pas
sans soulever quelques problmes lors des volutions qui ne manquent pas de se produire dans les deux
domaines. Les volutions dans lun ou lautre domaine ncessitent une parfaite synchronisation ainsi quune
parfaite documentation.

Les zones darchitecture que nous venons dvoquer impliquent une division logique du rseau et le passage
dun rseau dit " plat" un rseau hirarchis. Ce remaniement saccompagne opportunment dune
refonte du plan dadressage IP et dun renforcement du filtrage entre les zones.

Tout comme la politique de scurit, larchitecture est en perptuelle volution car de nouvelles fonctionnalits et
de nouveaux processus viennent enrichir les services dont lentreprise bnficie ou quelle offre ses partenaires.
Toutes ces ouvertures exposent le systme dinformation de nouveaux risques et de nouvelles menaces lesquelles
seront traites pour un renforcement de la scurit architecturale.

21
IV. Configuration du pare-feu Cisco PIX

1. Gnralits et historique

Les pare-feu ou firewalls sont apparus et ont connu leur heure de gloire lorsque les rseaux dentreprise se sont
progressivement vus connects internet, ce rseau qui a toujours t peru comme une menace. Dune manire
gnrale, les firewalls protgent les rseaux internes des rseaux extrieurs et cet tat de fait est toujours de mise
aujourdhui. Les architectures voluant, les firewalls tout en restant leur place originelle investissent lintrieur du
rseau. Les modes de travail tendent vers une troite imbrication des acteurs qui gravitent autour du systme
dinformation et il est devenu courant de fournir des partenaires laccs des ressources internes. Cette situation
entrane un tel bouleversement dans les architecture de scurit (et rseau) quune rflexion simpose afin de
redfinir les nouvelles limites et les nouvelles rgles de scurit encadrant un trafic toujours plus dense et plus
complexe au profit des applications quil vhicule.

Les firewalls trouvent toujours leur place dans cette redistribution des cartes et leurs capacits se sont au fil des
annes toffes avec lapparition des fonctionnalits devenues indispensables parmi lesquelles figurent
lauthentification des utilisateurs, la surveillance des protocoles applicatifs et les VPN SSL (nouvelle fonctionnalit de
lASA, dernier n des appliances Cisco, dont nous exposerons les volutions par rapport la technologie pare-feu
prouve du PIX dans un prochain chapitre). Toutefois, les firewalls accomplissent toujours le filtrage des protocoles
rseau qui est lorigine de leur cration.

Nous allons dans ce chapitre brosser un portrait des fonctionnalits proposes par les firewalls en dbutant par leurs
missions premires (le filtrage IP) jusquaux fonctionnalits plus avances. Pour illustrer nos propos, nous avons
construit une architecture dentreprise autour du pare-feu PIX modle 515E.

La gamme PIX a t originellement conue par Brantley Coile et John Mayes de la socit Network Translation Inc.
Cette socit a t achete en 1995 par Cisco Systems qui a amen la gamme Cisco Secure PIX Firewall la
premire place sur le march des pare-feu autonomes, grce ses performances de pointe (ainsi que lont dmontr
les tests Firebench effectus par Key Labs, Inc.) et sa position unique en tant qulment prpondrant dans les
services scuriss de bout en bout de Cisco.

La gamme Cisco Secure PIX, qui intgre des composants matriels et logiciels, assure un haut niveau de scurit sans
nuire aux performances des rseaux, et reste volutive afin de pouvoir rpondre tous les besoins des clients.

Le march des pare-feu a commenc se dvelopper avec lapparition de rseaux privs virtuels et de petites et
moyennes entreprises de plus en plus en nombreuses sur le march Internet. Un nombre croissant de socits
ncessitent aujourdhui de puissantes fonctions de pare-feu un prix abordable, pour mettre en uvre des rseaux
privs virtuels lchelle internationale et pour oprer une rpartition au niveau des succursales rgionales ou pour
les PME qui recherchent la scurit sans pour autant grever leur budget.

Le PIX 515 a t conu pour rpondre ce besoin. Avec le PIX version 5.0 et toutes les versions ultrieures la
version 5.x, tous les quipements, y compris le PIX 515-R et le PIX 515-UR, prennent totalement en charge
limplmentation dIPsec. Cette version permet au PIX de crer et/ou de suspendre des tunnels de rseaux privs
virtuels entre deux PIX, entre un PIX et un routeur de rseau priv virtuel Cisco, et entre un PIX et un Cisco Secure
VPN Client.

La gamme PIX sest teinte en 2008. Elle est remplac par la gamme ASA (Adaptive Security Appliances) qui perptue
la tradition des quipements ddis et autonomes. Cette nouvelle technologie fait la part belle aux techniques
mergentes comme les VPN SSL qui ont pour vocation de remplacer les tunnels IPsec ddis aux utilisateurs distants.
Le but avou de cette technologie est de facilit laccs (scuris) aux applications publies au format WEB tous les
employs et partenaires de lentreprise en fonction de rles pralablement dfinis et finement attribus. Le firewall

22
est devenu ainsi au-del de sa fonction de filtrage rseau une vritable passerelle multi niveau assurant des services
daccs et de scurit sur toute ltendue du modle OSI.

1.1 Produit de la gamme Cisco Pix Firewall

Modle PIX 501 501-50 506E 515E-R 515E-UR 525-R 525-UR 535-R 535-UR
Petit Petit
Succursale Petite et Petite et Entreprise et Entreprise et
bureau et bureau et
March Bureau moyenne moyenne Entreprise Entreprise prestataire prestataire
bureau bureau
distant entreprise entreprise de service de service
domicile domicile
Nb
utilisateurs 10 50 Illimit Illimit Illimit Illimit Illimit Illimit Illimit
Par licence
Nb max de
5 5 25 2000* 2000* 2000* 2000* 2000* 2000*
tunnel VPN
Connexions
3500 7.500 25.000 130.000 130.000 280.000 280.000 500.000 500.000
simultanes
Processeur
133 133 300 433 433 600 600 1000 1000
(MHz)
RAM (MB) 16 16 32 64 128 128 256 512 1024
Flash (MB) 8 8 8 16 16 16 16 16 16
2 10BaseT
Ports 10/100 1 10BaseT 1 10BaseT
Full 2 2 2 2 0 0
intgr +Switch 4 +Switch 4
Duplex
Slot PCI 0 0 0 2 2 3 3 9 9
1+ 4 1+ 4
Port Eth Max 2 3 6 6 8 6 8
Switch Switch
Redondance Non Non Non Non Oui Non Oui Non Oui
Dbit en clair
10 10 100 188 188 320 320 1700 1700
(Mbps)
Context Non Non Non 5 5 50 50 50 50
Dbit 3DES 3 3 30 10 63 30 70 45 95
Version max
6.3 6.3 6.3 8.x 8.x 7.x 7.x 7.x 7.x
IOS
Nb VLAN 0 0 2 10 25 25 100 50 150
*Utilisant une carte acclratrice VPN

2. Prsentation du PIX 515E


2.1 Aspect du pare-feu PIX

Face avant du PIX

Le logo du constructeur
La gamme du produit sur lequel on travaille.
Trois diodes
Ces diodes servent dfinir diffrents statuts

POWER - Elle permet de savoir si l'appareil est en marche


ou bien arrt.
ACT - Cette diode est utile si on utilise une architecture de
redondance, c'est--dire plus d'un PIX. Si elle est allume
cela veut dire que le PIX est actif. Sinon le PIX est en veille
ou la redondance n'est pas active.
NETWORK - Elle est active lorsqu'au moins une interface
rseau du PIX laisse passer le trafic.

23
Face arrire du PIX

Version Unrestricted

Sur la face arrire du PIX, nous pouvons voir les diffrentes connectiques et les diodes qui reprsentent le statut des
interfaces.

2.2 Comment fonctionne le PIX

Conu pour les petites et moyennes entreprises, le pare-feu Private


Internet Exchange (PIX) lavantage dtre modulaire, performant,
conomique et facile installer et utiliser.

Le chssis du Cisco PIX 515E peut intgrer jusqu' six interfaces, ce qui
en fait un choix excellent pour les socits qui requirent une solution
de scurit rentable accompagne d'un appui DMZ. Appartenant la
gamme PIX de Cisco, ce pare-feu apporte aux utilisateurs rseau des
niveaux de scurit, de fiabilit et de performance ingals

Le pare-feu Cisco PIX 515E est conu pour assurer un niveau de


protection sans prcdent. Il intgre le systme d'exploitation PIX OS de
Cisco. PIX OS est un systme propritaire renforc capable d'liminer les
points de vulnrabilit et de faiblesse habituellement rencontrs dans les environnements d'exploitation
gnralistes.

Au cur de ce systme se trouve un dispositif de protection bas sur lalgorithme ASA (Adaptive Security Algorithm),
qui offre un serveur de filtrage adaptatif orient connexion avec blocage simultan contre les tentatives de piratage
ou d'agression (DoS - Denial of Service).

Le PIX 515E est galement une passerelle VPN complte capable de transporter en toute scurit des donnes sur
les rseaux publics. Qu'elles soient site site ou accs distant, les applications VPN sont protges grce un
cryptage des donnes (Data Encryption Standard) 56 bits (DES) ou 168 bits (3DES). Selon le modle PIX 515E
choisi, la fonctionnalit VPN est assure par le systme d'exploitation PIX OS de Cisco ou par une carte d'acclration
VPN matrielle (VAC pour VPN Accelerator Card) intgre qui procure des dbits allant jusqu' 63 Mbps pour 2 000
liaisons simultanes (tunnels) IPsec.

Le dploiement dun second PIX en redondance pour le secours automatique garantit la disponibilit constante de
votre systme. Cette option de rcupration (reprise sur incident) prserve en effet toutes les connexions
simultanes grce une synchronisation automatique. Ce dispositif garantit, mme dans le cas d'une dfaillance du
systme, la poursuite des sessions en cours tandis que la commutation transitoire s'opre de manire totalement
transparente pour l'utilisateur.

24
Ce pare-feu est disponible en trois modles proposant diffrents niveaux de densit d'interface, de capacit de
rcupration et de dbit VPN.

De sortie
Rsum des performances
Rgime permanent 50 W
188 Mbps de dbit en texte clair Crte maximale 65 W
63 Mbps de dbit VPN 3DES 168 bits (IPsec) Dissipation thermique maximale 410 BTU/h pleine puissance (65W)
2000 tunnels VPN simultans
Caractristiques techniques Dimensions et poids
Processeur 433-MHz Intel Celeron Hauteur 4,37 cm, 1 RU
Mmoire RAM 32 MB ou 64 MB de SDRAM Largeur 42,72 cm Standard montable en armoire
Mmoire Flash 16 MB Profondeur 29,97 cm
Mmoire cache 128 KB niveau 2 433 MHz Poids (une alimentation) ~ 4,11 kg
BUS systme Monobus 32 bits, PCI 33 MHz
Conditions ambiantes Extension
En marche Bus PCI Deux PCI 32 bits/33 MHz
Temprature -5 55C Mmoire RAM Deux fentes DIMM 168 pin (64 MB : maximum
Humidit relative 5 % 95 % hors condensation support par le systme d'exploitation PIX OS de
Altitude 0 3 000 m Cisco)
Choc 1,14 m/s sinus 1/2
Vibration 0,41 Grms2 (3-500 Hz) alatoire
Interfaces
Bruit acoustique 45 dBa max. Ports rseau intgrs Deux Fast Ethernet 10/100 (RJ-45)
Port console RS-232 (RJ-45) 9600 bauds
A l'arrt
Port rcupration RS-232 (DB-15) 115 Kbps
Temprature -5 55C
(Cble Cisco spcial ncessaire)
Humidit relative 5% 95% hors condensation
Altitude 0 3000 m Certifications
Choc 30 G Scurit UL 1950, CSA C22.2 N 950, EN 60950, IEC 60950, AS/NZS3260,
Vibration 0,41 Grms2 (3-500 Hz) alatoire TS001, IEC60825, EN 60825, 21CFR1040
EMI CFR 47 Part 15 Classe A (FCC), ICES 003 Classe A avec UTP,
Alimentation EN55022 Classe A avec UTP, CISPR 22 Classe A avec UTP,
D'entre (par source d'alimentation lectrique) AS/NZ3548 Classe A avec UTP, VCCI Classe A avec UTP,
Plage de tension 100 V 240 V CA ou 48 V CC EN55024, EN50082-1 (1997), marquage CE, EN55022 Classe B
Tension nominale 100 V 240 V CA ou 48 V CC avec FTP, Cispr 22 Classe B avec FTP, AS/NZ 3548 Classe B avec
Intensit ~ 1,5 A FTP, VCCI Classe B avec FTP
Frquence 50 60 Hz, monophas

2.3 Les diffrentes licences du PIX

Restricted (R)
Le PIX 515-R avec licence logicielle limite est une solution dentre de gamme propose par Cisco et destine aux
socits cherchant dployer un dispositif scuris hautes performances avec des fonctionnalits de pare-feu de
base. Il est suffisamment puissant pour supporter plus de 50 000 connexions simultanes avec un dbit pouvant
atteindre 170 Mbits/s. Prenant en charge jusqu trois interfaces Ethernet, le PIX 515-R-BUN reprsente une solution
particulirement conomique pour les nombreuses petites entreprises qui ont choisi dhberger leur site Web
lextrieur de leur pare-feu ou chez un fournisseur de services Internet. Il convient galement parfaitement aux sites
distants ne ncessitant quune communication bidirectionnelle avec leur rseau dentreprise et aux rseaux
dentreprise qui proposent tous leurs services Web sur leur pare-feu dentreprise.

Unrestricted (UR)
Le PIX 515-UR avec licence logicielle illimite comporte toutes les fonctionnalits du PIX 515-R-BUN, auxquelles
viennent sajouter une fonction de correction automatique en cas de panne et jusqu six ports 10/100 Ethernet. Ces
six ports supplmentaires sont destins des configurations de trafic plus puissantes, ainsi qu la prise en charge
dun DMZ protg pour lhbergement dun site Web ou le filtrage des URL et la dtection de virus. Conu pour les
moyennes entreprises, le PIX 515 UR supporte un dbit denviron 170 Mbits/s et plus de 100 000 connexions
simultanes pour une protection rapide, fiable et moindre cot.

25
Failover (FO) Fonction de correction automatique en cas de panne

La redondance du pare-feu est indispensable aux socits dont les connexions Internet, un intranet ou un
extranet constituent leur moyen unique et stratgique de communication en entreprise. Chaque panne de pare-feu
entrane une perte dargent, dopportunits ou de donnes critiques. Cisco a cr un nouveau logiciel de correction
automatique en cas de panne pour le PIX 515 UR, permettant ainsi de rsoudre ce problme en toute simplicit et
moindre cot. Ce logiciel fournit aux socits un deuxime pare-feu, spcialement conu pour fonctionner
exclusivement en mode de correction automatique en cas de panne, pour une modique somme

Les licences sont activs au moyen dune cl dactivation dune taille de 20 octets pour un PIX 7.x ou 16 octets pour
une PIX 6.x et prcdents.

2.4 Adaptive Security Appliance

ASA est lalgorithme de scurit utilis par les PIX Cisco.

Il se base sur un systme de filtrage dit stateful . Cela signifie que le PIX utilise un systme dynamique. Il
maintient une table des connexions en cours permettant ainsi dautoriser les paquets appartenant une session
cre pralablement.

Sans configuration explicite, ASA nautorise que les liaisons intrieures vers extrieur. ASA est toujours en
fonctionnement, surveillant le retour des paquets afin de s'assurer qu'ils sont valides. Il slectionne de manire
alatoire des numros de squence TCP de manire minimiser le risque d'attaque de numro de squence TCP.

ASA s'applique aux emplacements de traduction dynamique et de traduction statique. Vous crez des slots de
traduction statique avec la commande static et des slots de traduction dynamique avec la commande global .
Collectivement, les deux types de slots de traduction sont dnomms "xlates."

ASA suit les rgles suivantes :

Les connexions sortantes correspondent aux connexions tablies sur une interface avec un haut niveau de
scurit vers une interface avec un niveau de scurit bas. Par dfaut ces connexions sont autorises
moins quelles soient explicitement refuses.
Les connexions entrantes correspondent aux connexions tablies sur une interface avec un bas niveau de
scurit vers une interface avec un haut niveau de scurit. Par dfaut ces connexions sont refuses moins
quelles soient explicitement autorises.
Un paquet ne peut pas traverser le PIX sans connexion et tat. Ltat est supprim au bout dun certain
temps dinactivit.
Tous les paquets ICMP sont refuss, sauf autorisation explicite avec les ACL (Listes daccs)
Le pare-feu PIX gre les transferts de donnes UDP d'une manire similaire TCP. Un traitement spcial permet
DNS, et certains protocoles de voix de travailler en toute scurit. Le pare-feu PIX cre une information d'tat de
"connexion" UDP quand un paquet UDP est envoy partir du rseau Inside. Les paquets rponse rsultant de ce
trafic sont accepts si elles correspondent aux informations d'tat de connexion. Les informations d'tat de
connexion sont supprimes aprs une courte priode d'inactivit.

2.5 Passage des donnes travers le PIX

Pour le passage des donnes dans le PIX, deux cas se prsentent nous.

1. Les paquets arrivent sur une interface qui a un niveau de scurit lev.
2. Les paquets arrivent sur une interface avec un niveau de scurit plus petit.

26
1. Dans le premier, ASA va commencer par vrifier si le paquet respecte les rgles vues ci-dessus et dans le cas
contraire le supprimer. Ensuite ASA regarde si une session na pas dj t tablie. Si ce nest pas le cas, une
nouvelle connexion est cre ainsi quun emplacement stock dans la table avec les informations de translation. Une
fois lopration effectue, ASA va modifier le champ IP du paquet en y mettant ladresse globale, puis lenvoyer
linterface destinatrice.

Initialisation TCP Inside to Outside Transmission UDP Inside to Outside

L'adresse IP 192.168.2.2 correspond la source et l'adresse globale 172.20.1.4 l'adresse pour accder
l'interface avec le niveau scurit bas. Cette adresse globale est obtenue grce au NAT (Translation d'adresse
Rseau)

On peut utiliser soit la NAT statique, soit la NAT dynamique.

La NAT statique correspond l'association de n adresses avec n adresses, soit une adresse interne pour une adresse
externe. C'est utile par exemple pour associer une IP fixe internet l'adresse prive d'un serveur de l'entreprise.

La Nat dynamique correspond quant elle l'association d'une adresse choisie dans un pool d'adresses n adresses.
La Nat dynamique est aussi connu sous le nom IP Masquering.

2. Dans le deuxime cas lorsqu'un paquet arrive sur une interface avec un niveau de scurit bas pour aller sur une
interface avec un niveau de scurit haut, ASA va aussi vrifier si le paquet correspond aux attentes. Si le paquet
passe toutes les rgles avec succs, ASA enlve alors l'adresse de destination et insre la place l'adresse interne.

Grce ces mthodes les adresses sont masques et on augmente donc le niveau de scurit.

2.6 Inspections des applications

L'Adaptive Security Algorithm (ASA), utilis par le pare-feu PIX pour l'inspection des applications stateful, assure la
scurit d'utilisation des applications et des services. Certaines applications ncessitent un traitement spcial par la
fonction dinspection des applications du pare-feu PIX. Les applications qui ncessitent la fonction dinspections des
applications sont celles qui intgrent des informations d'adressage IP dans le paquet de donnes utilisateur ou des
canaux secondaires ouvert sur des ports attribus de faon dynamique.

La fonction d'inspection des applications fonctionne avec NAT pour laider identifier l'emplacement des
informations d'adressage intgre. Cela permet NAT de traduire ces adresses et de mettre jour le checksum ou
autre champs touchs par la traduction.

27
La fonction d'inspection des applications surveille galement les sessions pour dterminer les numros de port pour
les canaux secondaires. De nombreux protocoles ouvrent des ports secondaire TCP ou UDP pour amliorer les
performances. La premire session sur un port bien connu est utilise pour ngocier les numros de port attribu
dynamiquement. La fonction d'inspection des applications surveille ces sessions, identifie les affectations de port
dynamique, et permet l'change de donnes sur ces ports pour la dure de la session spcifique.

ASA utilise trois bases de donnes pour son fonctionnement de base:

Listes de contrle d'accs (ACL) - Utilis pour l'authentification et l'autorisation des connexions bases sur
des rseaux, htes et services spcifiques (numros de port TCP / UDP).
Inspections - Contient un ensemble des fonctions d'inspection, statique et prdfini, au niveau applicatif.
Connexions (XLATE et tables CONN)- maintient ltat et tout autre informations sur chaque connexion
tablie. Cette information est utilise par l'ASA et le proxy cut-through pour transfrer le trafic de manire
efficace dans les sessions tablies.

Les oprations sont numrotes dans l'ordre o elles se produisent :

1. un paquet TCP SYN arrive au PIX Firewall pour tablir une nouvelle connexion.
2. Le pare-feu PIX vrifie la base de donnes des listes de contrle d'accs (ACL) afin de dterminer si la
connexion est autorise.
3. Le pare-feu PIX cre une nouvelle entre dans la base de donnes de connexion (tables XLATE et CONN).
4. Le pare-feu PIX vrifie la base de donnes des inspections pour dterminer si la connexion ncessite une
inspection au niveau applicatif.
5. une fois que la fonction d'inspection des applications ait achev toutes les oprations ncessaires pour le
paquet, le pare-feu PIX transfre le paquet sa destination.
6. lhte destinataire rpond la demande initiale.
7. Le PIX Firewall reoit le paquet de rponse, cherche la connexion dans la base de donnes de connexion, et
transmet le paquet, car il appartient une session tablie.

28
La configuration par dfaut du pare-feu PIX comprend un ensemble dentre d'inspection des applications qui
associent les protocoles pris en charge avec les numros de ports spcifique TCP ou UDP et qui permettent
d'identifier toute manipulation ncessaire. La fonction d'inspection ne prend pas en charge NAT ou PAT pour
certaines applications en raison des contraintes imposes par les applications. Vous pouvez modifier les affectations
de port pour certaines applications, tandis que d'autres applications ont des affectations de ports fixes que vous ne
pouvez pas changer.

29
3. Configuration de base du Cisco PIX 515E
3.1 Configuration par dfaut du PIX

Les appliances de scurit Cisco sont livrs par dfaut avec une configuration dusine qui leur permet un dmarrage
rapide. Cette configuration rpond aux besoins de la plupart des environnements rseaux des petites et moyennes
entreprises. Par dfaut, lappareil de scurit est configur comme suit :

Linterface interne est configur avec un pool dadresse DHCP par dfaut

Configurez votre PC pour utiliser DHCP (pour recevoir automatiquement une adresse IP de l'appareil de scurit), ou
attribuer une adresse IP statique votre PC en slectionnant une adresse sur le rseau 192.168.1.0 (les adresses
valides sont 192.168.1.2 192.168.1.254 avec un masque de 255.255.255.0 et la route par dfaut 192.168.1.1.).

Cette configuration permet un client du rseau interne dobtenir une adresse DHCP de lappareil de scurit afin
de sy connecter. Les administrateurs peuvent alors configurer et grer le dispositif de scurit en utilisant ASDM

Linterface de sortie est configure pour refuser tout trafic entrant par le biais de cette interface

Cette configuration protge votre rseau interne de tout trafic non sollicit

3.1.1 LAdaptive Security Device Manager

L'Adaptive Security Device Manager (ASDM) est une interface graphique riche en fonctionnalits qui vous permet de
grer et de surveiller l'appareil de scurit. De conception base sur le web, il offre un accs scuris pour vous
permettre de vous y connecter en toute scurit de n'importe quel endroit en utilisant un navigateur web.

En complment des capacits de configuration et de gestion, ASDM simplifie et acclre le dploiement du dispositif
de scurit. Pour excuter ASDM, vous devrez avoir une licence DES ou 3DES-AES. En outre Java et JavaScript doivent
tre activs dans votre navigateur web.

Nous avons dcid de ne pas trop sattard sur les configurations via ASDM, et avons prfr nous attaquer la
configuration du Cisco PIX 515E via linterface de ligne de commande.

3.2 Configuration du Cisco PIX en mode CLI

Comme pour la plupart de ses produits, Cisco a muni le PIX dinterfaces physiques et logiques afin quun
administrateur puisse se connecter et accder la ligne de commande. Aprs vous tre connecter au PIX laide
dun cordon console, un prompt devrait apparaitre. Essayez dentrer en mode privilgi en entrant enable , il ne
devrait pas y avoir de mot de passe.

Pixfirewall > enable

Password: <Enter>

Pixfirewall # configure terminal

Pixfirewall (config) # write erase

Erase configuration in flash memory? [confirm] <Enter>

[OK]

Pixfirewall (config) # reload


30
System config has been modified. Save? [Y]es/[N]o: <N>

Proceed with reload? [confirm]

Il est prfrable quand on rcupre un PIX deffacer sa mmoire pour dmarrer proprement avec une configuration
vide. Nous avons eu plusieurs bugs concernant le mode interactif donc refusez linvitation en tapant <Ctrl +Z>

Pre-configure Firewall now through interactive prompts [yes]? <Ctrl +Z>

Aprs tre repass en mode configuration terminal, la premire chose que nous allons faire, cest de lui donner un
nom.

Pixfirewall> enable

Password: <Enter>

Pixfirewall# configure terminal

Pixfirewall (config) #hostname coruscant

Coruscant (config) #

3.2.1 Configurations des interfaces

Pour configurer les interfaces du PIX nous devons leur assigner un nom et un niveau de scurit :

La commande nameif assigne un nom chaque interface sur le PIX et indique son niveau de scurit (except les
interfaces intrieures et extrieures de PIX Firewall, qui sont dj nommes par dfaut). Les deux premires
interfaces ont les noms par dfaut inside et outside. L'interface inside a un niveau de scurit par dfaut de 100 ;
l'interface outside a un niveau de scurit par dfaut de 0. Pour linterface Ethernet 2 nous avons assigne un nom
de DMZ avec un niveau de scurit de 50.

La syntaxe pour la commande de nameif est comme suit :

nameif {hardware_id | vlan_id} if_name security_level

La commande interface identifie le matriel, fixe la vitesse du matriel, et active l'interface.

L'option shutdown neutralise une interface. Toutes les interfaces sont shutdown par dfaut. Vous devez
explicitement les activer en tapant la commande interface no shutdown.

coruscant(config)# interface ethernet 0

coruscant (config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

coruscant(config-if)# ip address 172.20.1.2 255.255.255.0

coruscant(config-if)# no shutdown

coruscant(config-if)# exit

coruscant(config)# interface ethernet 1

31
coruscant(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

coruscant(config-if)# ip address 192.168.1.1 255.255.255.0

coruscant(config-if)# no shutdown

coruscant(config-if)# exit

coruscant(config)# interface ethernet 2

coruscant(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

coruscant(config-if)# security-level 50

coruscant(config-if)# ip address 192.168.2.1 255.255.255.0

coruscant(config-if)# no shutdown

A tout moment, vous pouvez vrifier votre configuration laide des commandes show

coruscant(config-if)# show interface ip brief


Interface IP-Address OK? Method Status Protocol
Ethernet0 172.20.1.2 YES manual up up
Ethernet1 192.168.1.1 YES manual up up
Ethernet2 192.168.2.1 YES manual up up

coruscant(config-if)# show nameif


Interface Name Security
Ethernet0 outside 0
Ethernet1 inside 100
Ethernet2 dmz 50

Comme dis prcdemment le pare-feu ne laissera passer les donnes que si elles sont translates. Pour cela, nous
allons utiliser la commande nat

Network Address Translation (NAT) remplace l'adresse locale d'un paquet avec une adresse globale qui est routable
sur le rseau de destination.

Lorsque les htes reli sur une interface qui a un niveau de scurit lev (ex : inside) dsirent accder des htes
reli un niveau de scurit plus faible (ex : outside), vous devez configurer NAT sur les htes inside ou configurer
spcifiquement l'interface interne afin de contourner la translation.

La commande nat identifie les adresses locales pour la traduction en utilisant le NAT dynamique ou la traduction
d'adresses de port (PAT). La commande global identifie les adresses globales utilises pour la traduction sur une
interface destination donne. Each nat statement matches a global statement by comparing the NAT ID on each
statement. Chaque dclaration nat correspond une dclaration global en comparant les ID NAT sur chaque relev.
If you bypass NAT using identity NAT or NAT exemption, then no global command is required. Si vous ignorez

32
l'utilisation de NAT, en utilisant lID NAT (nat 0) ou la drogation NAT (nat 0 access-list), aucune commande globale
est ncessaire.

Nat [(local_interface)] id local_ip [mask [dns] [outside | [norandomseq] [max_conns [emb_limit]]]]

Nat [(local_interface)] id access-list acl_name [dns] [outside | [norandomseq] [max_conns [emb_limit]]]

Nat [(local_interface)] 0 access-list acl_name [outside]

coruscant(config)# nat (inside) 1 192.168.1.0 255.255.255.0

coruscant(config)# nat (dmz) 1 192.168.2.0 255.255.255.0

coruscant(config)# show run nat


nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 1 192.168.2.0 255.255.255.0

coruscant(config)# global (outside) 1 172.20.1.5-172.20.1.254 netmask 255.255.255.0

coruscant(config)# global (dmz) 1 192.168.2.5-192.168.2.254 netmask 255.255.255.0

coruscant(config)# show run global


global (outside) 1 172.20.1.5-172.20.1.254 netmask 255.255.255.0
global (dmz) 1 192.168.2.5-192.168.2.254 netmask 255.255.255.0

Nous avons dcid de ne pas translat les adresses des rseaux internes et DMZ quand ils communiquent ensemble,
pour cela nous avons utilis la commande static

coruscant(config)# static (inside,dmz) 192.168.1.0 192.168.1.0

coruscant(config)# static (dmz,inside) 192.168.2.0 192.168.2.0

Aprs avoir ajout une route par dfaut, vrifions maintenant ltat de notre table de routage.

coruscant(config)# route outside 0 0 172.20.1.1

coruscant(config)# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP


D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 172.20.1.1 to network 0.0.0.0

C 172.20.1.0 255.255.255.0 is directly connected, outside

33
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
S* 0.0.0.0 0.0.0.0 [1/0] via 172.20.1.1, outside

Pour clore notre configuration de base, activons de serveur http du PIX et prcisons quelles sont les htes qui sont
autoriss y accder. Nous avons galement renseign les champs domain et dns du PIX. Pour sauvegarder votre
configuration aidez-vous de la commande write memory

coruscant(config)# http server enable

coruscant(config)# http 192.168.1.10 255.255.255.255 inside

coruscant(config)# domain-name solo.afpa.fr

coruscant(config)# dns domain-lookup inside

coruscant(config)# dns name-server 192.168.1.2

coruscant(config)# write memory

Building configuration...

Cryptochecksum: ec445ac4 b6ac42d5 fddbc5ec 8a096673

1986 bytes copied in 0.780 secs

[OK]

3.2.2 Vrification de la connectivit

Du PIX vers les htes

coruscant(config)# ping 192.168.1.2


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 msdom

coruscant(config)# ping 192.168.1.3


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms

coruscant(config)# ping 192.168.1.10


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms

34
coruscant(config)# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/14/30 ms

coruscant(config)# ping 172.20.1.1


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.20.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/22/40 ms

Entres les htes

Comme expliqu plus haut (2.4) tous les paquets ICMP sont refuss
par le PIX sauf autorisation explicite avec les ACL.

Toujours dans ce mme paragraphe, nous avons vu que lASA suit des
rgles qui sont acquises par dfaut par le PIX. Ces rgles sont en fait
des access-list implicites configurs sur le PIX sur chacune de ses
interfaces.

Interface Inside

No Source Destination Service Action


1 any any ip Deny
2 any Rseaux moins scuris Ip Permit

Interface DMZ

No Source Destination Service Action


1 any any ip Deny
2 any Rseaux moins scuris Ip Permit

Interface Outside

No Source Destination Service Action


1 any any ip Deny

Revenons nos problmes de Ping. Pour autoriser les paquets traverser le PIX, il va falloir crire des access-list.
Nous allons autoriser non pas tous les paquets ICMP mais seulement ceux qui rsultent dune rponse faite par un
hte reli une interface de niveau de scurit lev. Pour les access-list qui seront positionns sur linterface
outside, il ny aura aucun danger. Par contre pour celles qui seront positionns sur linterface DMZ, pensez recrer
les access-list implicites (il ne peut y avoir quune seule access-list par interface, par direction t par protocole, rgle
des 3 P).
35
coruscant(config)# access-list dmz_access_in extended permit icmp any any echo-reply

coruscant(config)# access-list dmz_access_in extended permit icmp any any time-exceeded

coruscant(config)# access-list dmz_access_in extended permit icmp any any unreachable

coruscant(config)# access-list dmz_access_in extended deny ip 192.168.2.0 255.255.255.0 192.168.1.0


255.255.255.0

coruscant(config)# access-list dmz_access_in extended permit ip 192.168.2.0 255.255.255.0 any

coruscant(config)# access-group dmz_access_in in interface dmz

coruscant(config)# access-list outside_access_in extended permit icmp any any echo-reply

coruscant(config)# access-list outside_access_in extended permit icmp any any time-exceeded

coruscant(config)# access-list outside_access_in extended permit icmp any any unreachable

coruscant(config)# show run access-list


access-list dmz_access_in extended permit icmp any any echo-reply
access-list dmz_access_in extended permit icmp any any time-exceeded
access-list dmz_access_in extended permit icmp any any unreachable
access-list dmz_access_in extended deny ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list dmz_access_in extended permit ip 192.168.2.0 255.255.255.0 any
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any unreachable

coruscant(config)# show run access-group


access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz

Reprenons nos essais en testant la liaison entre un


poste du rseau intranet et la DMZ, de mme avec un
hte extrieur.

Nous pouvons voir que les Ping aboutissent.

36
3.2.3 Accs au serveur de la dmz pour les htes extrieurs

Nous allons commencer par donner un nom notre serveur en utilisant la commande name

coruscant(config)# name 192.168.2.2 webserver description Serveur2008 WEB et FTP

coruscant(config)# show run name

name 192.168.2.2 webserver description Serveur2008 WEB et FTP

Ensuite nous allons configurer une translation static pour que le trafic provenant du serveur web ait toujours la
mme adresse dorigine sur linterface extrieure du PIX, et nous configurerons une ACL pour permettre aux htes
extrieurs de pouvoir accder au serveur.

coruscant(config)# static (dmz,outside) 172.20.1.4 webserver netmask 255.255.255.255

coruscant(config)# access-list outside_access_in extended permit tcp any host 172.20.1.4 eq www

coruscant(config)# access-list outside_access_in extended permit tcp any host 172.20.1.4 eq ftp

coruscant(config)# access-group outside_access_in in interface outside

37
4. Configuration et installation AAA sur le PIX
4.1 Tour dhorizon dAAA

Lauthentification : fournir dune mthode pour valider lidentit les utilisateurs, comme par exemple le
couple login/mot de passe, le chalenge rponse (comme CHAP) ou encore les mots de passe usage unique
(One Time Password)
Lautorisation : contrler quel quipement ou service lutilisateur accrdit a accs, quelle zone du
rseau il peut se connecter, etc
Le comptage (accounting) : pouvoir quantifier et qualifier les actions des utilisateurs authentifis, des fins
de facturation ou daudit par exemple.
Les deux protocoles plbiscits pour la communication entre un client et un serveur AAA sont RADIUS et TACACS+.

Radius

Le protocole RADIUS a t mis au point par Livingston Enterprises Inc (Lucent) et il est implment par de nombreux
constructeurs de serveur daccs. Il est utilis par de nombreuses entreprises, notamment des fournisseurs daccs
et il est aujourdhui considr comme le standard pour supporter AAA.

Ce protocole sappuie sur UDP (protocole de transmission de donnes sans connexion et sans mcanismes de
fiabilit de transmission) pour transmettre les donnes sur le rseau.

Il combine les services dauthentification et dautorisation.

Il souffre de quelques problmes, telle quune limitation de lencryption des mots de passe 16 bits ou encore des
problmes de disponibilit ou de timeout sur les priphriques, lorsquils tentent de contacter le serveur.

Il est gnralement utilis pour laccs aux rseaux, par PPP ou VPN notamment.

Tacacs+

Le protocole TACACS+ a t mis au point par CISCO et cest une amlioration des protocoles TACACS et Enhanced
TACACS.

Il sappuie sur TCP (protocole de transmission de donnes fiable, bas sur une connexion) pour vhiculer les donnes
et crypte lintgralit des informations avant leur transmission sur le rseau.

Ce protocole combine lauthentification, lautorisation et laccounting.

Il est gnralement recommand pour laccs aux quipements.

4.2 Cisco Secure Access Control Server

Le serveur de contrle d'accs scuris est une solution centralise d'identification sur le rseau qui simplifie la
gestion des utilisateurs sur toutes les units et les applications de gestion de scurit Cisco. Souvent dsign sous le
nom de services AAA (prononc triple A ). Composante essentielle de l'architecture Cisco IBNS (Identity Based
Networking Services), elle largit la protection des accs en associant l'authentification, l'accs utilisateur et
administrateur, et le contrle des politiques partir d'un cadre centralis d'identification de rseau. Elle offre ainsi
une meilleure souplesse et une plus grande mobilit, amliore la scurit et permet l'utilisateur de raliser des
gains de productivit. Il y a deux composantes de base qui font ce travail : le serveur AAA (CSACS) et le client AAA
(PIX). Le client AAA nest pas un utilisateur ; cest le dispositif qui permet lutilisateur de se connecter par son biais.

38
Installation de CSACS

Tt dans le processus dinstallation, une fentre vous demande


de vous assurer que toutes les conditions ncessaires au bon
fonctionnement de CSACS sont remplies. Le CSACS a loption
demployer sa propre base de donnes pour lauthentification ou
une base externe comme lannuaire Active Directory. Ma
configuration initiale emploiera la base de donnes locale.
Plusieurs options avances vous sont proposes la suite, mais
vous pouvez les laissez vide (vous pouvez y accder aprs
linstallation). Le prochain cran (montr ci-dessous) nous donne
loption davoir une surveillance des tentatives douverture et
permet lexcution dun script en cas de problme. Choisissez
tous redmarrez. Aprs ces tapes accepter simplement les
options par dfaut pour le reste de linstallation.

La prochaine chose que je dois faire est de configurer mon serveur AAA pour travailler avec mon client AAA (PIX).
Dabord je dois lancer la console (double-cliquez sur le raccourci ACS Admin ). Les boutons sur la gauche vous
permettent de configurer CSACS. Pour ajouter notre PIX, cliquez sur le bouton Network Configuration . une
fenetre souvre qui a une zone o je peux entrer mes informations et une autre plus grande avec une aide sensible
au contexte. Cliquez sur Add Entry et renseignez le nom dhte, son adresse IP ainsi quune clef didentification.
Cliquez sur Submit +Restart . Maintenant je dois ajouter les utilisateurs (bouton User Setup sur la gauche).
Aprs ouverture de la fenetre, entrez le pseudo dsirez et cliquez sur Add/Edit . Puisque je nai pas besoin de mot
de passe diffrent pour PAP et CHAP, je ne cocherais pas la case Separate . Cest tout ce que nous devons faire
pour permettre lauthentification de base sur le CSACS pour chaque utilisateur. La dernire tape est de configurer le
PIX pour employer CSACS pour lauthentification.

39
Modifier la configuration du PIX pour utiliser CSACS

Dabord je vais configurer le PIX pour utiliser le serveur AAA. Le PIX peut avoir jusqu 16 groupes indpendant de
serveurs AAA lui permettant dexcuter des fonctions AAA diffrentes bases sur le type de trafic (Telnet, VPN, http,
etc.) ou la direction (inside, outside).

Chaque groupe peut avoir jusqu 16 serveurs AAA diffrents configurer comme membres pour tenir compte de la
redondance et du Failover. Ce qui nous donne jusqu 256 serveurs TACACS+ ou RADIUS, au total, entre les deux
protocoles.

Maintenant je veux crer un group AAA appel mytacacs et le faire utiliser le serveur AAA 192.168.1.3 connect
derrire mon interface inside. @zerty1234 est la cl secrte renseign dans ma configuration AAA (voir ci-dessus)

coruscant(config)# aaa-server mytacacs protocol tacacs+

coruscant(config-aaa-server-group)# max-failed-attempts 4

coruscant(config-aaa-server-group)# exit

coruscant(config)# aaa-server mytacacs (inside) host 192.168.1.3

coruscant(config-aaa-server-host)# timeout 5

coruscant(config-aaa-server-host)# key @zerty1234

coruscant(config-aaa-server-host)# exit

coruscant(config)# access-list inside_authentication extended permit tcp 192.168.1.0 255.255.255.0 any eq


www

coruscant(config)# access-list outside_authentication extended permit ip any 192.168.1.0 255.255.255.0

coruscant(config)# access-list outside_authentication extended permit ip any 192.168.2.0 255.255.255.0

coruscant(config)# aaa authentication match inside_authentication inside mytacacs

coruscant(config)# aaa authentication match outside_authentication outside mytacacs

Authentification de laccs aux consoles

Pixfirewall(config)# aaa authentication [serial | enable | telnet] console group_tag

Dfinissons une mthode daccs aux consoles qui exige lauthentification

coruscant(config)# aaa authentication enable console mytacacs

coruscant(config)# aaa authentication telnet console mytacacs

coruscant(config)# aaa authentication enable serial mytacacs

40
Changement des Timeouts de lauthentification

Pixfirewall(config)# timeout uauth hh:mm:ss [absolute|inactivity]

Poser lintervalle de temps avant que les utilisateurs seront obligs de sauthentifier nouveau.
Absolu: Temps de lintervalle commence au login de lutilisateur
L'inactivit : Temps de lintervalle pour les sessions inactives sessions (pas de trafic)
coruscant(config)# timeout uauth 3:00:00 absolute

coruscant(config)# timeout uauth 0:30:00 inactivity

Changement du prompt dauthentification

Pixfirewall(config)# auth-prompt [accept | reject | prompt] string

Dfinir le prompt utilisateur vu lors de lauthentification


Dfinir le message utilisateurs donner quand ils authentifier avec ou sans succs
Par dfaut, seulement le prompt username et le password sont vues.
coruscant(config)# auth-prompt prompt << Authentifiez-vous >>

coruscant(config)# auth-prompt accept << Bienvenue >>

coruscant(config)# auth-prompt reject << essaye encore une fois... >>

Activation de lautorisation

pixfirewall(config)#aaa authorization include | exclude author_service inbound | outbound | if_name local_ip


local_mask foreign_ip foreign_mask

Dfinir le trafic qui exige lauthentification du serveur AAA


author_service = protocol/port
protocol: tcp (6), udp (17), icmp (1), or others (protocol #)
port:
single port (e.g., 53), port range (e.g., 2000-2050), or port 0 (all ports)
ICMP message type (8 = echo request, 0 = echo reply)
port is not used for protocols other than TCP, UDP, or ICMP
Activation de la comptabilit

pixfirewall(config)# aaa accounting include|excludeacctg_service inbound |outbound|if_name local_ip


local_mask foreign_ip foreign_mask group_tag

Dfinir le trafic qui exige la comptabilit du serveur AAA


acctg_service= any, ftp, http, or telnet
any: All TCP traffic
coruscant(config)# aaa accounting include any outbound 0 0 0 0 mytacacs

coruscant(config)# aaa accounting exclude any outbound 192.168.1.10 255.255.255.255 0.0.0.0 0.0.0.0
mytacacs

Vous pouvez voir les informations de comptabilit sur le serveur CSACS en cliquant sur le bouton Reports and
Activity

41
Les commandes show

coruscant(config)# show aaa-server

coruscant(config)# show aaa [authentication |authorization | accounting]

coruscant(config)# show auth-prompt [prompt | accept | reject]

coruscant(config)# show timeout uauth

4.3 Telnet et SSH

Telnet est un protocole client-serveur qui nous semble provenir du fond des ges tant il est intgr dans les
ordinateurs au point que son nom est entr dans le langage commun. Bas sur TCP/IP, Telnet rend dinnombrables
services de par le monde et son ct pratique a largement contribu sa distribution et sa popularit. Toutefois,
Telnet prsente en termes de scurit de trs nombreux dsavantages comme celui de ne pas chiffrer les
communications. Ainsi, la squence dauthentification entre le client et le serveur passant en clair sur le rseau
rvle directement le mot de passe de lutilisateur qui tente de se connecter.

Comme pour la plupart des appareils Cisco, le PIX implmente par dfaut un service Telnet qui est disponible sur les
interfaces virtuelles VTY (Virtual terminal). Il est malgr tout indispensable davoir entr un mot de passe dans la
configuration ou de faire appel au service dauthentification. Tout ceci reste cependant insuffisant au regard des
menaces actuelles qui planent sur les rseaux.

La protection des accs (via le rseau) la ligne de commande est une ncessit et ce fait est universellement
reconnu. Cest la raison pour laquelle le protocole SSH connat depuis quelques annes un franc succs.

Limplmentation du protocole SSH (Secure Shell) sur les produits Cisco offre la possibilit de se connecter en toute
scurit un hte distant en chiffrant toute la communication y compris la squence dauthentification.

coruscant(config)# aaa authentication ssh console mytacacs

coruscant(config)# crypto key generate rsa modulus 768

INFO: The name for the keys will be: <Default-RSA-Key>

Keypair generation process begin. Please wait...

coruscant(config)# ssh 192.168.1.10 255.255.255.255 inside

5. Configuration avanc du Cisco PIX


5.1 Enregistrement du serveur web sur le DNS

On pourrait croire quil suffise juste de rajouter une access-list, mais ce serait trop simple. Nous savons quil va falloir
en rajouter une sur linterface DMZ. Mais si on le faisait, elle viendrait se rajouter la fin de la liste dj prsente et
donc naurait aucun impact (voir explication des rgles implicites ASA).

Nous pouvons avoir un tat des lieux en tapant : show access-list <le nom de la liste plac sur linterface DMZ>

coruscant(config)# show access-list dmz_access_in


42
access-list dmz_access_in; 5 elements
access-list dmz_access_in line 1 extended permit icmp any any echo-reply (hitcnt=1) 0x848d298a
access-list dmz_access_in line 2 extended permit icmp any any time-exceeded (hitcnt=0) 0xf224abc3
access-list dmz_access_in line 3 extended permit icmp any any unreachable (hitcnt=0) 0x831a927f
access-list dmz_access_in line 4 extended deny ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
(hitcnt=9) 0x8460f584
access-list dmz_access_in line 5 extended permit ip 192.168.2.0 255.255.255.0 any (hitcnt=4) 0xfef24096

Il nous faut intgrer notre access-list la ligne 4, pour cela tapez :

coruscant(config)# access-list dmz_access_in line 4 permit udp host webserver host domainserver eq 53

Nous pouvons confirmer son emplacement en retapant la commande show :

coruscant(config)# show access-list dmz_access_in

access-list dmz_access_in; 6 elements


access-list dmz_access_in line 1 extended permit icmp any any echo-reply (hitcnt=2) 0x848d298a
access-list dmz_access_in line 2 extended permit icmp any any time-exceeded (hitcnt=0) 0xf224abc3
access-list dmz_access_in line 3 extended permit icmp any any unreachable (hitcnt=0) 0x831a927f
access-list dmz_access_in line 4 extended permit udp host webserver host domainserver eq domain
(hitcnt=0) 0xc44f90e7
access-list dmz_access_in line 5 extended deny ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
(hitcnt=21) 0x8460f584
access-list dmz_access_in line 6 extended permit ip 192.168.2.0 255.255.255.0 any (hitcnt=6) 0xfef24096

5.2 Installation dun serveur de messagerie

Pour ne pas avoir ouvrir trop de portes, nous avons dcid dinstaller le serveur de messagerie MDaemon dans la
dmz.

MDaemon est une solution complte de messagerie et travail collaboratif fournissant des outils scuriss et
conformes aux standards actuels. Il inclut des listes de diffusion, supporte plusieurs domaines et peut s'administrer
distance par le web.

Il supporte les protocoles IMAP, SMTP et POP3 et garantit une scurit optimale grce de nombreux outils : filtre
anti-spam, filtre de contenu, listes blanches et listes noires, vrifications DNS inverses... Associ au module
SecurityPlus for MDaemon, il garantit une protection proactive contre les virus et phishings.

Les clients internes pourront communiquer avec le serveur via leur client de messagerie sans aucun problme et les
clients extrieurs pourront sy connecter via web mail

Nous devons donc ouvrir le port 3000 pour cela

coruscant(config)#access-list outside_access_in extended permit tcp any host 172.20.1.4 eq 3000

43
5.3 Installation dun serveur SYSLOG

Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente (notre PIX) met les informations sur
le rseau, via le port UDP 514. Le serveur collecte l'information et se charge de crer les journaux.

La premire tape est d'activer le logging avec la commande logging on.

Indiquez un serveur pour recevoir les messages avec la commande logging host :

logging host [in_interface_name] ip_address [protocol / port]

Indiquez les niveaux de log qui seront expdis au serveur syslog avec la commande logging trap level :

logging trap level

Le Logiciel utilis dans notre cas est le Serveur SYSLOG (Kiwi Syslog Daemon) de Kiwi Enterprises.

Activation de la journalisation pour tous les emplacements de sortie configure

coruscant(config)# logging enable

Dfinir le serveur KIWI comme serveur Syslog

coruscant(config)# logging host inside 192.168.1.3

Le PIX envoie des messages Syslog pour documenter les vnements suivants :

Scurit : Paquets UDP perdus et connexions TCP abandonnes.


Ressources : Notification d'puisement de connexion et translation.
Systme : Console connexion Telnet ainsi que quand les redmarrages du PIX.
Accounting : Octets transfrs par connexion.

coruscant(config)# logging list kiwi level 4

coruscant(config)# logging list kiwi level 5

coruscant(config)# logging list kiwi level 6

coruscant(config)# logging list kiwi level 7

On demande ce que les messages prcdemment dfinie dans la liste soit envoy au serveur Syslog

coruscant(config)# logging trap kiwi

5.4 Cisco intrusion prevention system

Un systme de dtection d'intrusion (ou IDS : Intrusion Detection System) est un mcanisme destin reprer des
activits anormales ou suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi d'avoir une
connaissance sur les tentatives d'intrusion d'une entreprise. LIDS na que le rle dalerter quune intrusion a lieu, il
faut donc que ladministrateur rseau de lentreprise intervienne afin de rgler les problmes. Un systme de
prvention d'intrusion (ou IPS, Intrusion Prevention System) a le mme rle de dtection quun IDS, sauf que ce
systme peut prendre des mesures afin de diminuer les risques d'impact d'une attaque. C'est un IDS actif, il dtecte
un balayage automatis, l'IPS peut bloquer les ports automatiquement.

44
Le PIX possde un systme de prvention dintrusions. Il contient une base avec un ensemble de signatures, bases
sur deux types de politique, info et attack . Comme tout bon IDS, il inspecte chaque paquet ou sessions
traversant le routeur, la recherche d'analogies avec l'une de ses 52 signatures.

coruscant(config)# ip audit signature ?

configure mode commands/options:


<1000-9999> Valid signatures are in the following range: { 1000, 1006 }, {
1100, 1103 }, { 2000, 2012 }, { 2150, 2151 }, { 2154, 2154 }, {
3040, 3042 }, { 3153, 3154 }, { 4050, 4052 }, { 6050, 6053 }, {
6100, 6103 }, { 6150, 6155 }, { 6175, 6175 }, { 6180, 6180 }, {
6190, 6190 }

Avec les commandes suivantes on peut le configurer afin quil ralise une action ds quune intrusion est dtecte.

ip audit info [action [alarm] [drop] [reset]]

ip audit attack [action [alarm] [drop] [reset]]

alarm permet de remonter une alerte.


drop permet de supprimer les paquets.
reset permet de rinitialiser la connexion TCP.

Pour notre configuration, nous avons dfini laction par dfaut pour les paquets qui correspondent une signature
dattaque : alerte et rinitialisation de la connexion

coruscant(config)#ip audit attack action alarm reset

La stratgie pour linterface interne se substitute la stratgie prcdente pour alerter seulement, alors que la
stratgie pour linterface externe utilisera les paramtres par dfaut dfini dans la commande ip audit attack

coruscant(config)#ip audit name INSIDEPOLICY attack action alarm


coruscant(config)#ip audit name OUTSIDEPOLICY attack
coruscant(config)#ip audit interface inside INSIDEPOLICY
coruscant(config)#ip audit interface outside OUTSIDEPOLICY

Le serveur KIWI tant dj dfini, dans la configuration prcdente, comme serveur Syslog. Cest lui qui recevra les
alertes mises par lIPS.

Commande SHOW :

coruscant(config)#show running-config ip audit count affiche le nombre de matches


coruscant(config)#show running-config ip audit attack affiche la config IP pour signatures dattaques
coruscant(config)#show running-config ip audit interface affiche la config de linterface
coruscant(config)#show running-config ip audit name affiche la config de la stratgie nomme

45
6. Virtual Private Network

5.1 Principe gnrale

Un rseau VPN repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les
informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de
se connecter directement sur le rseau de leur entreprise.

Le principe de tunneling consiste construire un


chemin virtuel aprs avoir identifi l'metteur et le
destinataire. Par la suite, la source chiffre les
donnes et les achemine en empruntant Ce
chemin virtuel. Afin d'assurer un accs ais et peu
coteux aux intranets ou aux extranets
d'entreprise, les rseaux privs virtuels d'accs
simulent un rseau priv, alors qu'ils utilisent en
ralit une infrastructure d'accs partage,
comme Internet. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.

Pour raliser une connexion VPN, nous pouvons utiliser plusieurs de niveau 2 (comme Pptp et L2tp) ou de niveau 3
(comme Mpls ou IPsec). Nous avons choisi dutiliser IPsec, qui est un protocole qui vise scuriser lchange des
donnes au niveau de la couche rseau.

IPsec permet donc via le rseau internet de


relier de faon scurise deux rseaux privs.
IPsec est bas sur 2 mcanismes diffrents
assurant les rles de scurisation des donnes :
AH (Authentification header) et ESP

(Encapsuling Security Payload). IPsec est largement configurable. Ainsi,


chacun des deux mcanismes AH et ESP peuvent tre utiliss seuls ou
combins avec le second afin de dfinir le niveau de scurit voulu.
Cest deux mcanismes rendent divers services. LAH permet une
authentification, une vrification de lintgrit des donnes, lanti-
rejeu, et la non-rpudiation. LESP rend les mmes services que lAH et
permet en plus lencryption des donnes.

Cest sous-protocoles peuvent tre mis en place dans deux modes


le mode de fonctionnement :

Le mode transport - les adresses destination et source


circulent en clair, les htes sont donc connus,
Le mode tunnel - ces adresses sont cryptes et un nouvel
en-tte encapsule le paquet.

Lauthentification peut se faire de plusieurs faon : par ladresse source, une signature numrique, une cl pr-
partage, ou des certificats.

46
Lintgrit des donnes est assure grce la fonction de hachage, qui consiste vrifier dune manire rapide si le
paquet na pas t modifi, il est calcul de tel sorte que la probabilit dobtenir un rsultat identique si un bit est
modifi soit presque nul. Le rsultat (appel empreinte digital) du calcule de hachage est adjoint au datagramme IP
dans un champ supplmentaire appel valeur de vrification dintgrit (Integrity Check Value, ICV), il est donc
calcul par la source aprs cryptage des donnes, il sera de nouveau calcul destination avant dcryptage de sorte
que si le rsultat calcul et la valeur dans le champ ICV ne soit pas identique le processus de dcryptage, plus long,
ne soit pas mis en uvre. Les principaux protocoles de hachage utiliss sont MD5 et SHA-1.

Lencryption est faite par des algorithmes de cryptage. Les plus utilis tant DES, 3DES, AES. AES tant aujourdhui le
standard. Pour crypter lalgorithme utilise une cl, il en existe deux types :

Les cls symtriques, commune aux deux priphriques, servant chiffr et dchiffr le message. La fiabilit
de lalgorithme tient au secret de cette cl (ex DES, AES).
Les cls asymtriques, un priphrique gnre une paire de cl (une cl priv et une cl publique), il envoie
la cl publique au priphrique distant. Cette cl ne sert quau cryptage, et le dcryptage ne peut se faire
quavec la cl priv (ex RSA, Deffie-Hellman). Le cryptage est une formule informatique qui permet de
modifier le message initial en message cod laide de la cl, et seul la cl permet de retrouver le message
initial (cl identique avec un algorithme symtrique et la cl prive avec un algorithme asymtrique).

La mise en place dun tunnel VPN avec IPsec se passe en 2 tapes.


ISAKMP (Internet Security Association and Key Management
Protocol) dfinit la faon de procder pour ces deux tapes. Dans
la premire phase, un certain nombre de paramtres de scurit
propres Isakmp sont mis en place, afin dtablir entre les deux
tiers un canal protg. Dans la deuxime phase, ce canal est
utilis pour ngocier les associations de scurit pour les
mcanismes de scurit que lon souhaite utiliser (AH et ESP par
exemple). Les donnes circuleront dans ce deuxime tunnel).
Chaque change unilatral est identifi par une SA (Security
association) une connexion bilatral comprend donc deux SA.
Une SA comprend toutes les donnes relative la connexion,
c'est--dire les adresses source et destination, les ports source et destination, la mthode dauthentification, les
algorithmes de cryptage et de hachage, le SPI (Security Parameter Index) Security protocole identifier (AH ou ESP)
ainsi que sa dure de vie. Toutes les SA dun priphrique sont stock dans une base de donne la SADB (Security
association data base)

5.2 Configuration dun tunnel VPN Site Site

Dans un premier temps il faut crer la police de scurit qui dterminera les rgles dtablissement du tunnel
ISAKMP (voit thorie VPN). Nous donnerons un numro cette police et dans cette police il y aura la mthode
dauthentification, lalgorithme de cryptage et de hachage, le groupe Deffie-Hellman.

(config#crypto isakmp policy <ID de la police> num de priorit entre 1 et 65535

(config-isakmp-policy)#authentication <mthode dauthentification>

(config-isakmp-policy)#encryption <algorithme de cryptage>

(config-isakmp-policy)#hash <algorithme de hashage>

(config-isakmp-policy)#groupe (n du groupe deffie-hellman)

47
Pour connatre les diffrentes options accepter par le matriel faire un ? aprs la commande

Exemple dans notre topologie :

coruscant(config)# crypto isakmp policy 10

coruscant(config-isakmp-policy)# authentication pre-share

coruscant(config-isakmp-policy)#encryption 3des

coruscant(config-isakmp-policy)#hash sha

coruscant(config-isakmp-policy)#group 2

Dans le cas dune authentification en pre-share key il faut la dfinir avec la commande suivant

(config)#crypto isakmp key <mot ou phrase cl choisi sans espace> address <adresse de la cible>

Exemple dans notre topologie :

coruscant(config)#crypto isakmp key dagobah address 172.20.3.1

Ensuite il nous faut crer les paramtres pour la ngociation du 2me tunnel. Pour cela nous allons dfinir des
transform-set , des ACL et une crypto map. Petite note sur les transform-set , un transform-set est cr
pour dfinir quels algorithmes de cryptage et de hachage seront utilis, chaque transform-set sera nomm afin
de les reconnaitre on peut en assign autant que lon veut une crypto map, un transform-set comprend soit un
algorithme de cryptage, soit un algorithme de hachage soit un de chaque. Une access-list dfinira les adresses
autorises entrer dans le tunnel. La crypto map comprendra donc les transform-set , ladresse de la cible (bout
du tunnel), et les adresses autoris dans ce VPN (ACL). Il faudra enfin affecter cette crypto map une interface (celle
dentre du tunnel), elle sera nomm et aura un numro de squence qui dfinira lordre dans lequel elle sera
applique si il y en plusieurs.

(config)#crypto ipsec transform-set <nom choisi> <algorithme 1> <algorithme2>

Faire ? pour savoir quels algorithmes sont supports par le matriel

(config)#access-list <nom> permit ip <adresse source> <masque> <adresse destination> <masque>

(config)#crypto map <nom de la crypto map> <numro de squence> ipsec-isakmp

(config)#crypto map <nom de la crypto map> <num de squence> match address <nom de lACL>

(config)#crypto map <nom de la crypto map> <num de squence> set transform-set <nom du transform-set>

(config)#crypto map <nom de la crypto map> <num de squence>set peer <adresse de la cible>

Exemple dans notre topologie :

coruscant(config)# crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

coruscant(config)# access-list outside_cryptomap_20 extended permit ip 192.168.1.0 255.255.255.0


192.168.3.0 255.255.255.0

coruscant(config)# access-list outside_cryptomap_20 extended permit ip 192.168.2.0 255.255.255.0


192.168.3.0 255.255.255.0

48
Nous avons dcid de ne pas translat les adresses qui rentrent dans le tunnel

coruscant(config)# nat (inside) 0 access-list outside_cryptomap_20

coruscant(config)# nat (dmz) 0 access-list outside_cryptomap_20

coruscant(config)# show run nat

nat (inside) 0 access-list outside_cryptomap_20


nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 0 access-list outside_cryptomap_20
nat (dmz) 1 192.168.2.0 255.255.255.0

coruscant(config)# crypto map outside_map 20 match address outside_cryptomap_20

coruscant(config)# crypto map outside_map 20 set transform-set ESP-DES-MD5

coruscant(config)# crypto map outside_map 20 set peer 172.20.3.1

coruscant(config)# crypto map outside_map 20 set pfs

coruscant(config)# crypto map outside_map interface outside

coruscant(config)# crypto isakmp enable outside

coruscant(config)# crypto isakmp identity address

Pour finir on peut vrifier nos configurations laide des commandes :

coruscant(config)# show run crypto map

crypto map outside_map 20 match address outside_cryptomap_20


crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 172.20.3.1
crypto map outside_map 20 set transform-set ESP-DES-MD5
crypto map outside_map interface outside (config)# show run Isakmp

coruscant(config)# show run crypto isakmp

crypto isakmp identity address


crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

ET coruscant(config)# show run crypto ipsec

crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac

Pour vrifier le bon fonctionnement on peut utiliser les commandes suivantes :

(config)# show crypto isakmp sa

(config)# show crypto ipsec sa


49
Pour le routeur distant, la configuration est approximativement la mme :

Configuration des access-list

access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

Configuration pre shared keys

Identique

Configuration IPsec

Identique

Configuration crypto map

Identique, ici le match address sera 120

Comme pour le PIX, ne pas oublier dappliquer la crypto map sur lentre du tunnel (ou linterface de sortie du
routeur, tout dpend de quel point de vue on se place)

interface FastEthernet0/0
ip address 172.20.3.1 255.255.255.0
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
crypto map outside_map

5.3 Configuration d'un VPN scuris l'aide dIPsec entre un PIX et un client VPN

Linstallation du logiciel Cisco VPN client est assez


simple, donc nous ne verrons pas ici les tapes de
son installation.

La plus grande contrainte ici, est de forcer le


client VPN utiliser le tunnel pour accder
Internet. Nous vous expliquerons les tapes
suivre pour atteindre cet objectif.

En premier lieu, il convient dappliquer la


commande qui permet au trafic IPsec dentrer et de sortir par la mme interface

coruscant(config)# same-security-traffic permit intra-interface

50
Pour permettre nos clients de pouvoir communiquer avec le rseau interne, il va falloir nater la liaison interne vers
le rseau 192.168.10.0

coruscant(config)#access-list outside_cryptomap_20 extended permit ip 192.168.1.0 255.255.255.0


192.168.10.0 255.255.255.0

Note : nous avons utilis ici une access-list dj crer prcdemment pour le VPN site site. Pour mmoire elle est
lie un natage 0, ce qui nous intresse pour notre configuration.

Ensuite dcidons dun pool dadresses pour les clients VPN

coruscant(config)# ip local pool remote_vpn_pool 192.168.10.1-192.168.10.254 mask 255.255.255.0

On autorise le rseau 192.168.10.0 tre translat en une adresse appartenant au global 1

coruscant(config)# nat (outside) 1 192.168.10.0 255.255.255.0

Configuration de la politique de groupe pour les clients VPN

coruscant(config)# group-policy remotevpn internal

coruscant(config)# group-policy remotevpn attributes

coruscant (config-group-policy)# dns-server value 192.168.1.2

coruscant(config-group-policy)# vpn-idle-timeout 20

On force le client VPN utiliser le tunnel pour accder Internet

coruscant(config-group-policy)# split-tunnel-policy tunnelall

Configuration IPsec Phase 2

coruscant(config)# crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

coruscant(config)# crypto dynamic-map outside_dyn_map 30 set transform-set ESP-3DES-SHA

coruscant(config)# crypto dynamic-map outside_dyn_map 30 set reverse-route

Set reverse-route met en place le RRI (Reverse Route Information), ce qui permet au PIX dapprendre des
informations de routage des clients connects. Pour faire simple, il rajoute le rseau 192.168.10.0 dans sa table
de routage.

coruscant(config)# crypto map outside_map 30 ipsec-isakmp dynamic outside_dyn_map

coruscant(config)# tunnel-group remotevpn type ipsec-ra

coruscant(config)# tunnel-group remotevpn general-attributes

coruscant(config-tunnel-general)# authentication-server-group mytacacs

51
coruscant(config-tunnel-general)# address-pool remote_vpn_pool

coruscant(config-tunnel-general)# default-group-policy remotevpn

coruscant(config-tunnel-general)# tunnel-group remotevpn ipsec-attributes

coruscant(config-tunnel-ipsec)# pre-shared-key cisco1234

En cas de souci avec le serveur TACACS pensez ajouter un login local

coruscant(config)# username remoteuser password cisco123 privilege 0

52
7. Procdure de restauration de mot de passe sur Cisco PIX 515E

Problmatique :

Vous voulez configurer un quipement Cisco dont vous avez perdu le mot de passe

Sur les commutateurs et routeurs, la mthodologie pour bypasser la phase dauthentification via les login et
mots de passe prsent dans le fichier de configuration est dinterrompre la squence de boot au dmarrage
(appuyez sur les touches CTRL + Pause au dmarrage).

Vous rentrerez alors dans un mode appel ROMMON (Rom monitor). A partir de ce menu, il faudra modifier le
config-register. Cette valeur indique au Switch/routeur dutiliser ou non le fichier de configuration. Par dfaut le
conf-register a pour valeur 02102. En modifiant cette valeur 02142, on indique que lon veut booter sans
utiliser la start-up config, puis on laisse lquipement booter normalement, ce qui nous permet de travailler
sur un fichier de configuration vide. Il suffira alors de passer en mode privilgi et de copier la start-up config
dans la running-config, ainsi vous aurez accs la configuration et vous pourrez effectuer vos modification : par
exemple pour redfinir le mot de passe dun compte local ou alors pour modifier le mot de passe ENABLE. Une
fois vos modifications faite, veuillez remettre la valeur du config-register la valeur 2102 et de sauvegarder les
changements que vous avez effectuez !

Sur un quipement de type PIX, la procdure de restauration de mot de passe est diffrente.

En effet, Dans le mode Rommon du PIX, on ne peut modifier la valeur de la cl du conf-reg rendant ainsi la
prcdente manipulation obsolte.

Afin de restaurer le mot de passe, Cisco fournit des fichiers de restauration avec lextension .BIN, il suffit
dindiquer au firewall, ladresse dun serveur TFTP joignable qui contient le fichier de restauration
(correspondant la version du micro code de notre quipement).

Fichiers de restauration :

np70.bin (version 7.x et 8.0)


np63.bin (version 6.3)
np62.bin (version6.2)
np61.bin (version 6.1)
np60.bin (version 6.0)
np53.bin (version 5.3)
np52.bin (version 5.2)
np51.bin (version 5.1)
np50.bin (version 5.0)
np44.bin (version 4.4)
nppix.bin (version 4.3 et infrieur)

Typiquement, la marche suivre est dinterrompre la squence de boot (CTRL + Pause au dmarrage), vous
devriez tomber sur un prompt : monitor >

La commande interface vous permet didentifier vos interfaces rseaux : monitor > interface 1

Spcifiez alors linterface rseau qui communiquera avec le serveur TFTP ainsi que son adresse , le nom du
fichier rcupr , la gateway ( si le serveur est distant ) , ladresse IP du serveur TFTP , et enfin tap TFTP pour
procd au transfert :

53
monitor >address 192.168.1.1
address 192.168.1.1
monitor > server 192.168.1.10
server 192.168.1.10
monitor >ping 192.168.1.10
Sending 5, 100-byte 0x2c9b ICMP
Echoes to 192.168.1.10, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5

Si le Ping nest pas concluant cest peut-tre parce que vous ntes pas connect en rseau directement de
votre PC votre routeur et que donc vous passez par le rseau de votre entreprise. Dans ce cas indiquez une
passerelle avec la commande :

monitor > gateway [adresse IP]

Il faut ensuite indiquez quel fichier nous allons rcuprer par TFTP, pour notre cas il sagit du fichier np70.bin :

monitor > file np70.bin


file np70.bin

Il ne nous reste plus qu se connecter en TFTP, rpondez oui aux questions demand

Do you wish to erase the passwords? [yn] y


Passwords have been erased.

Le routeur rcupre le fichier et lexcute puis enfin redmarre.

Vous pouvez maintenant passez en mode privilgi et en mode de configuration sans entrer de mot de passe. En
effet, aprs avoir tap la commande enable , pour passer au mode privilgi, le prompt password vous sera
demand et il vous suffira de valider pour entrer dans ce mode. Le mot de passe par dfaut pour Telnet aprs ce
processus est cisco

Conclusion

Vos mots de passes sont prsent rinitialiser blancs. Vous pouvez maintenant reconfigurer le pare-feu comme
vous le souhaitez. Cependant, noubliez pas de reconfigurer le mot de passe du mode enable avant de remettre
votre routeur en activit :

pixfirewall(config)# enable password class


pixfirewall(config)# write memory
Building configuration
Cryptochecksum: ab89dad5 ca61ba32 c50a58fc bf16aca6
[OK]

La premire commande correspond votre mot de passe, ici toto , puis on inscrit la nouvelle configuration dans
la flash.

Votre routeur est ainsi configur avec un nouveau mot de passe.

54
V. La virtualisation et les mulateurs

1. Virtualisation (VMware et Virtual Box)

Ce dossier a grandement bnfici de lessor des technologies de virtualisation et dmulation. Nous allons
dans ce chapitre dcrire les mthodes qui nous ont permis de raliser les maquettes destines concevoir
et valider les configurations prsentes dans ce dossier. Deux logiciels particulirement performants ont t
mis contribution. Nous citerons en premier lincontournable VMware puis le couple Dynamips, GNS3.

La virtualisation consiste utiliser un systme dexploitation afin de faire fonctionner en son sein dautres
systmes dexploitation. La virtualisation est apparue pour le grand public la fin des annes 90 avec
lavnement du logiciel VMware. Elle possde son actif de nombreux avantages parmi lesquels nous pouvons citer
une rduction du nombre de machines prsentes dans les salles informatiques grce aux regroupements
effectus sur des machines htes. Outre le gain de place vident, la virtualisation simplifie la cration et le
dplacement de systmes dexploitation virtuels entre les machines htes diminuant ainsi les cots associs
lexploitation.

La virtualisation prsente dindniables avantages en ce qui concerne la cration de rseaux des fins dessais lors
de phases dintgration et de validation dun projet informatique. Il est en effet facile de crer, de modifier, de
dplacer et de supprimer un systme dexploitation virtuel. Un autre avantage est de pouvoir aisment
dplacer un groupe de machines virtuelles dans le cadre de dmonstrations car elles prennent la forme dun
ensemble de quelques fichiers. La capture dcran montre six machines htes dont des serveurs Windows 2008 et
2003 et des Windows XP. Une septime machine tait install sur un autre bureau et virtualisait la machine
management (192.168.1.10) avec ASDM. Lhte fournissant le service dhbergement est galement dsign par
lappellation dhyperviseur. Les machines virtuelles avec certaines versions de VMware (ACE) peuvent tre
chiffres et recevoir des politiques de scurit. VMware est aussi prsent sous une forme qui constitue
elle-mme un systme dexploitation. Il sagit de la version ESX qui sinstalle directement sur le matriel. Il
nest plus indispensable dinstaller un systme dexploitation hte comme Microsoft Windows (ce qui est le cas
sur la capture dcran).

55
Lautre avantage que prsente VMware est quil offre une prise en charge avance du rseau. Un serveur DHCP et
jusqu 10 commutateurs virtuels permettent la connexion de machines virtuelles entre elles, la machine hte et
aux rseaux publics.

Toutes les machines virtuelles fonctionnait en mode host only et tait reli via des Cloud GNS3.

2. Emulation

Nous avons galement fait usage de la technique dmulation pour simuler un rseau de routeurs Cisco et surtout le
PIX. La frontire est mince entre lmulation et ce que nous venons de dcrire avec la virtualisation. Ici,
lordinateur va simuler llectronique du routeur afin de faire fonctionner le logiciel IOS.

GNS3 est un simulateur graphique de rseaux qui vous permet de crer des topologies de rseaux complexes et d'en
tablir des simulations. Ce logiciel, en lien avec Dynamips (simulateur IOS), Dynagen (interface textuelle pour
Dynamips) et Pemu (mulateur PIX), est un excellent outil pour l'administration des rseaux CISCO, les laboratoires
rseaux ou les personnes dsireuses de s'entraner avant de passer les certifications CCNA, CCNP, CCIP ou CCIE. De
plus, il est possible de s'en servir pour tester les fonctionnalits des IOS Cisco ou de tester les configurations devant
tre dployes dans le futur sur des routeurs rels. Ce projet est videmment OpenSource et multi-plates-formes.
Remarque importante : l'utilisateur doit fournir ses propres images IOS pour utiliser GNS3.

Il est important de prciser que le systme dexploitation IOS est sous licence. Pour utiliser Dynamips, il est
donc indispensable de possder lgalement une image systme.

On peut voir sur la capture dcran la topologie utilise pour faire les tests. Chaque ordinateur est en ralit un
nuage. Chaque nuage est reli une carte rseau VMnet, elle-mme reli une machine virtuelle.

Pour dbuter avec le PIX sous gns3, nous vous conseillons un tutoriel la page :

http://www.brainbump.net/tutorials/voice/asdm-gns3.htm

56
3. Conclusion

Les avantages des produits comme VMware ou Dynamips, GNS3 sont multiples, mais le revers de la mdaille est une
augmentation considrable des ressources (mmoire et processeur) qui sont consommes par ces programmes sur
le systme hte (a not que lmulation dun PIX occupe la totalit des ressources dun processeur). Il devient
possible dans un environnement rduit une seule machine de mettre en uvre une maquette rseau et
systme trs complte et relativement complexe. Ces techniques permettent aisment de sauvegarder les
diverses configurations et de les installer loisir. Les techniques de virtualisation et dmulation sont en quelque
sorte respectueuse de lenvironnement en permettant de raliser des conomies dlectricit et despace, cest pour
ces raisons quelles connaissent depuis quelques annes dj un franc succs.

57
VI. Conclusion

1. Conclusion dordre technique

Nous avons expos dans ce dossier quelques-unes des multiples fonctionnalits offertes par le pare-feu PIX qui vont
bien au-del de la simple confrontation du trafic des rgles de filtrage. Sans cette volution, ce type de matriel
serait sans doute tomb en dsutude. Le pare-feu PIX de Cisco est un quipement multifonction aux possibilits
remarquables qui reprend les fonctions de base comme le filtrage et y ajoute celles issues des boitiers VPN. Toutes
les couches du modle OSI sont couvertes et les protocoles applicatifs bnficient dun puissant service danalyse
permettant de parer aux problmes dirrgularits et dattaques embarqus.

Dans larchitecture de scurit, le pare-feu de Cisco occupe, de par ses capacits danalyses multicouches, des
positions qui ne se limitent pas aux frontires avec le monde extrieur car ses spcificits font de lui un appareil
capable de protger galement l'intrieur du rseau.

Grace sa configuration par dfaut, Le PIX peut se configurer aisment laide dune interface graphique (ASDM), et
ne ncessite pas de configuration pralable en mode CLI. Ce priphrique permet donc de scuriser son rseau
interne tout en laissant un accs par le web une partie de ses donnes moins scuriss grce lutilisation dune
DMZ. Par dfaut le PIX ne permet pas la communication entre les zones (interfaces) ce qui permet une fois branch
davoir un rseau scuris. Mais si les malware ne peuvent pas rentrer, laccs lextrieur nest pas non plus
possible. Pour le rendre possible, il faut donc dans un premier temps configurer les interfaces, et le NAT. A partir de
ce moment-l, la communication sera possible des interfaces avec un security-level plus lev vers des interfaces
security-level plus faible ; ce qui a t notre premier dfi : comprendre ce fonctionnement et lobligation
dinstruction de natage pour pouvoir tablir la connexion entre zones et pouvoir a laide de requtes ICMP tester cet
connectivit. Pour un retour des donnes de lextrieur, le pare-feu est dit stateful, c'est--dire quil garde
connaissance de la communication sortante pour permettre le retour des donnes demand uniquement. Le PIX
permet galement de monter des connexions VPN et easy-VPN afin dtablir des connexions scuris via le rseau
publique. Notre deuxime dfi, monter une topologie raliste quant la simulation du rseau tendu et configurer
un VPN sur le PIX mais galement sur un routeur. Nous avons enfin test les diffrentes autres fonctionnalits du
PIX comme le proxy lauthentification AAA via un serveur CSACS, la remonter dinformation sur un serveur Syslog.

2. Conclusion dordre personnel

Le Cisco PIX nous a permis une approche de la scurit rseau laide dun priphrique ddi trs complet et
offrant de grande possibilit, que nous navons eu le temps dexplorer dans la dure du projet mais quau fil de la
recherche documentaire nous avons pu observer. Une riche documentation et des tutoriaux abondant sur le Cisco
PIX nous ont aid tester diverses configurations spcifiques. A mesure de notre progression dans le mini-projet , il
nous est apparu que malgr son anciennet le PIX 515E est trs bon matriel rseau, et que son volution le Cisco
ASA doit tre en pratique trs performant. Nous avons galement constat quil y a de plus en plus de concurrence
dans ce domaine et quau niveau spcification constructeur les priphriques de scurit proposent globalement les
mmes fonctionnalits et que le choix doit se faire dans la facilit de configuration. Malgr que le PIX nous ai paru
compliqu dun premier abord par ses restriction implicite, une fois son principe de base assimil, il sest rvl plus
simple aborder.

58
VII. Annexes techniques

1. Le PIX devient lASA

Runissant sur une mme plate- Runissant sur une mme plate-forme une combinaison puissante de nombreuses
technologies prouves, la gamme Cisco ASA 5500 (Adaptive Security Appliance) donne lentreprise les moyens
oprationnels et conomiques de dployer des services de scurit complets vers un grand nombre de sites

Plus de scurit, avec le support de nouveaux services de scurit, tels lIPS et lAnti-X avec acclration
matrielle (modules optionnels).
Plus de performances et dvolutivit.
Une solution VPN-SSL avec ou sans client, dote de fonctionnalits de haut niveau.
Une migration douce, prservant les comptences acquises autour du PIX.

1.1 Technologie reconnue de firewall et VPN protg contre les menaces

Dveloppe autour de la mme technologie prouve qui a fait le succs du serveur de


Dveloppe autour de la mme technologie prouve qui a fait le succs du serveur de
scurit Cisco PIX et de la gamme des concentrateurs Cisco VPN 3000, la gamme Cisco
ASA 5000 est la premire solution proposer des services VPN SSL (Secure Sockets
Layer) et IPsec (IP Security) protgs par la premire technologie de firewall du march.
Avec le VPN SSL, lASA 5500 est une passerelle SSL performante qui permet laccs
distant scuris au rseau dun navigateur web banalis pour les utilisateurs nomades.

1.2 Service volu de prvention des intrusions

Les services proactifs de prvention des intrusions offrent toutes les fonctionnalits qui
permettent de bloquer un large ventail de menaces vers, attaques sur la couche
applicative ou au niveau du systme dexploitation, rootkits, logiciels espions, messagerie
instantane, P2P, et bien plus encore. En combinant plusieurs mthodes danalyse
dtaille du trafic, lIPS de lASA 5500 protge le rseau des violations de politique de
scurit, de lexploitation des vulnrabilits des systmes et du trafic anormal. LIPS
collabore avec dautres systmes Cisco de gestion de la scurit pour assurer une mise jour constante de la posture
de scurit du rseau et une ractivit totale aux nouvelles attaques ou vulnrabilits.

1.3 Systmes ANTI-X la pointe de lindustrie

La gamme Cisco ASA 5500 offre des services complets Anti-X la pointe de la technologie
protection contre les virus, les logiciels espions, le courrier indsirable et le phishing ainsi
que le blocage de fichiers, le blocage et le filtrage des URL et le filtrage de contenu en
associant le savoir-faire de Trend Micro en matire de protection informatique une
solution Cisco de scurit rseau prouve. Ces services Anti-X embarqus dans le module
dextension hardware CSC SSM et le renouvellement des abonnements Trend Micro pour
la gamme ASA sont commercialiss par Cisco au travers de ses partenaires agrs.
59
1.4 Migration transparente pour lutilisateur

Les utilisateurs actuels des serveurs de scurit PIX nauront aucune difficult
sadapter aux solutions Cisco ASA 5500. Les fichiers de configuration des
Cisco PIX sont transposables sur les serveurs ASA 5500. Le logiciel
dadministration graphique Cisco Adaptive Security Device Manager (ASDM)
livr avec la gamme ASA est un logiciel puissant et facile utiliser. Il acclre
la cration de politique de scurit, et rduit la charge de travail et les erreurs
humaines, grce des assistants graphiques, des outils de dbogage et de
surveillance. ASDM permet de grer aussi bien des serveurs Cisco PIX que des
serveurs ASA 5500, facilitant la migration vers la dernire gnration de
matriel et ses nouvelles fonctions.

1.5 Caractristiques techniques

Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550
Utilisateurs et 10, 50 ou illimit Illimit Illimit Illimit Illimit
nuds
Dbit du firewall Jusqu 150 Jusqu 300 Mbits/s Jusqu 450 Jusqu 650 Jusqu 1,2 Gbits/s
Mbits/s Mbits/s Mbits/s

dbit des services Non disponible Jusqu 150 Mbits/s Jusqu 225 Jusqu 450 Non disponible
simultans de Jusqu 100 avec le module AIP SSM Mbits/s avec le Mbits/s, avec le Jusqu 360
limitation des Mbits/s (Advanced Inspection module AIP SSM 10 module AIP-SSM20 Mbits/s
risques (firewall et and Prvention Security Jusqu Jusqu 325
services IPS) Dbit Services Module) 10 375 225 Mbits/s Mbits/s
des VPN 3DES ou (rfrence AIP SSM 10) avec le
AES pour la gamme Cisco module AIP SSM 20
ASA 5500 Jusqu 300 Jusqu 225
Mbits/s avec le module Mbits/s
AIP SSM 20 (rfrence
AIP SSM 20) pour la
gamme Cisco ASA 5500
Jusqu 170 Mbits/s
Homologues VPN 10 ; 25* 250 750 5000 5000
IPsec
Homologues VPN 2/25 2/250 2/750 2/2500 2/5000
SSL *
(inclus/maximum)
Sessions 10 000 ; 25 000* 50 000 ; 130 000* 280 000 400 000 650 000
simultanes
Nouvelles sessions 3 000 6 000 9 000 20 000 28 000
par seconde
Ports rseaux Commutateur 5 ports Fast Ethernet 4 ports Ethernet 4 ports Ethernet 8 ports Ethernet
intgrs Fast Ethernet 8 Gigabit + 1 Gigabit + 1 Gigabit, fibre
ports (dont 2 port Fast Ethernet port Fast Ethernet SFP et 1 port Fast
ports PoE) Ethernet
Interfaces virtuelles 3 (ligne rseau 50/100 * 150 200 250
(VLAN) dsactive) / 20*
(ligne rseau
active)
Contextes de 0/0 0/0 (Base) ; 2/5 2/20 2/50 2/50
scurit (Security
(intgrs / Plus)
maximum)
Haute disponibilit Non supporte / Non supporte / Actif/Actif et Actif/Actif et Actif/Actif et
Actif/Veille* Actif/Actif et Actif/Veille Actif/Veille Actif/Veille
inspection Actif/Veille*
dtat
Emplacement 1, SSC 1, SSM 1, SSM 1, SSM 0
d'extension

60
1.6 Chemin de migration pour le serveur de scurit Cisco PIX 515E

Cisco PIX 515E ASA5510-K8 Cisco ASA 5510 Firewall Edition, 3 ports Fast Ethernet, 250 homologues VPN IPsec et 2 SSL,
R/DMZ DES
ASA5510-BUN-K9 Cisco ASA 5510 Firewall Edition, 3 ports Fast Ethernet, 250 homologues VPN IPsec et 2 SSL,
3DES/AES
ASA5510-SEC-BUN-K9 Cisco ASA 5510 Firewall Edition Security Plus, 5 ports Fast Ethernet, 250 homologues VPN
IPsec et 2 SSL, haute disponibilit Actif / Veille, 3DES/AES
ASA5510-AIP10-K9 Cisco ASA 5510 IPS Edition, module AIP SSM 10, services de firewall, 250 homologues VPN
IPsec et 2 SSL, 3 ports Fast Ethernet
ASA5510-CSC10-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 10, 50 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-CSC20-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 20, 500 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-SSL50-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 50 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL100-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 100 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL250-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 250 SSL, services de
firewall, 3 ports Fast Ethernet
Cisco PIX 515E ASA5510-SEC-BUN-K9 Cisco ASA 5510 Firewall Edition Security Plus, 5 ports Fast Ethernet, 250 homologues VPN
UR/FO/FO AA IPsec et 2 SSL, haute disponibilit Actif / Veille, 3DES/AES
ASA5510-AIP10-K9 Cisco ASA 5510 IPS Edition, module AIP SSM 10, services de firewall, 250 homologues VPN
IPsec et 2 SSL, 3 ports Fast Ethernet
ASA5510-CSC10-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 10, 50 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-CSC20-K9 Cisco ASA 5510 Anti X Edition, module CSC SSM 20, 500 utilisateurs antivirus / anti logiciels
espions avec un an dabonnement, services de firewall, 250 homologues VPN IPsec et 2 SSL, 3
ports Fast Ethernet
ASA5510-SSL50-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 50 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL100-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 100 SSL, services de
firewall, 3 ports Fast Ethernet
ASA5510-SSL250-K9 Cisco ASA 5510 SSL/IPsec VPN Edition, 250 homologues VPN IPsec et 250 SSL, services de
firewall, 3 ports Fast Ethernet

61
2. Comparatifs des principaux Firewall matriels du march

ARKOON NETASQ CHECKPOINT JUNIPER CISCO


A500 U250 IP 297 S SG350m ASA 5520

Dbit firewall 500Mo/s 850Mo/s 1,5Go/s 550Mo/s 450Mo/s


Dbit VPN 150Mo/s 190Mo/s 1Go/s 225Mo/s 225Mo/s
interfaces 2fa, 3Gb, console 6G 6/8 fa 4 fa 1 fa et 4 G

nb de VPN
1000 500 750
simultan

connexion VPN
512 350
simultane

taille flash 48Mo 256Mo


RAM 256Mo 256Mo 2Go
firewall stateful stateful stateful

protocole de static, RIP, OSPF, static, RIP, static, RIP, static, RIP,
static, RIP, OSPF, BGP
routage BGP OSPF, BGP OSPF, BGP OSPF, BGP
DES, 3DES,
algorithme de DES, 3DES, AES, DES, 3DES, AES, DES, 3DES, DES, 3DES, AES,
AES, blowfish,
chiffrement blowfish, SSL blowfish, SSL AES SSL
SSL ,CAST
SSH, radius
radius LDAP, SSH, radius
mthode SSH, radius LDAP, SSH, radius LDAP, LDAP,
certificats LDAP, certificats
d'authentification certificats X.509 certificats X.509 certificats
X.509 X.509
X.509
HDD 40Go 70Go 40Go

firewall, VPN, IPS, firewall, VPN, IPS, firewall, VPN, firewall, VPN,
PAT/NAT, filtrage de PAT/NAT, IPS, PAT/NAT, IPS, PAT/NAT,
principal firewall, VPN,
MAC, IDS, filtrage antispam, mode 802.1q, mode
caractristique IPS
mail/antispam, transparent, filtrage transparent,
802.1q, 802.1q d'URL, 802.1q

gestion graphique Arkoon manager ASDM

prix 2999 HT 9642 $ (6695) 4O5O HT 4 900

62
3. Capture dcran de nos tests

3.1 Nos diffrents serveurs

63
3.2 VPN site site et VPN client

Construction du tunnel entre le rseau interne et le site distant. Nous pouvons voir sur cette capture wireshark les
ngociations de la phase 1 Isakmp. Sur limage de droite un monitoring ASDM nous montre ltat des deux tunnels
IKE et IPsec

Ngociations entre le PIX (172.20.1.2) et un remote (192.168.4.2) pour ltablissement dune liaison VPN. Le
monitoring ASDM nous montre lactivit des deux tunnels.

64
Nous sommes sur le bureau du Client VPN. Nous pouvons linterface de connexion Cisco VPN Client en haut
gauche. Aprs connexion, une carte rseau virtuelle est cre et une adresse IP appartenant au pool configur sur le
PIX est attribue notre remote. En bas droite, un petit icne informe lutilisateur quil est connect via VPN au
site.

3.3 Captures diverses

A gauche, nous pouvons voir un extrieur qui accdent au serveur web de la DMZ (ce serveur est accessible via
ladresse IP 172.20.1.4). Sur la droite, un utilisateur interne tente daccder internet et se voit demander une
authentification proxy.

65
4. Planning prvisionnel

TACHES A REALISER
Semaine du 21 mars Semaine du 28 mars Semaine du 04 avril Semaine du 11 avril
Nelson Vincent Binme
Recherche documentaires
branchement de la topologie
CONFIGURATION
configuration de base des routeurs et Switch
configuration de base du PIX
configuration serveur (AD, DNS, DHCP)
Configuration avance du PIX
configuration serveur (WEB, FTP)
SECURITE
configuration firewall
configuration NAT/PAT
ACL
configuration VPN sur PIX
configuration VPN sur routeur 2800
TEST
test de connectivit aux passerelles
test de connectivit entre serveur
test de connectivit des htes
test du firewall et ACL
test d'accs au site internet
test de connexion via VPN
REDACTION
gnralit scurit
fonctionnement du PIX
cahier des charges
technique et thorie de fonctionnement
Mise en page et finition
VIII. Synthse documentaire

Sujet Langue Type de Lien pertinent Commentaire Intrt


ressource
Politique de Franais et Cours Cisco http://www.cisco.com/web/learning/netacad/index.html Semestre4 Petite rvision, a ne fait pas de mal A lire
scurit anglais Internet 4
Franais Livre CISCO - Protocoles, concepts de routage et scurit - CCNA 640-802 11 Administration et scurit bof
Franais Livre CISCO - Scurit des routeurs et contrle du trafic rseau 1 et 2 Intro scurit et notion de chiffrement A lire
Franais Livre La scurit des rseaux avec Cisco entier Comme son titre le suggre vision de gnial
Cisco
Franais Internet http://www.doc-etudiant.fr/Informatique/Securite-des-systemes-informatiques/Cours-La- entier Scurit des rseaux bien
securite-des-reseaux-44679.html
Franais Internet http://www.doc-etudiant.fr/Informatique/Securite-des-systemes-informatiques/Memoire- entier Version plus avanc que le prcdent bien
Les-strategies-de-securite-et-systemes-de-protection-contre-les-intrusions-78248.html
Configuration Franais magazine Hakin9 N1/2009 Page 48 - 57 Dbuter avec un pare-feu Cisco bien
de base
Anglais Internet http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html 2-4 Configuration par dfaut A lire
Franais Internet http://www.doc-etudiant.fr/Informatique/Securite-des-systemes-informatiques/Rapport- Entier Premire approche du Pix bof
configuration-dun-PIX-CISCO-6990.html
Anglais Internet http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewall-basics.html Entier Config de base Pix A lire
Franais Internet http://www.brainbump.net/tutorials/voice/asdm-gns3.htm entier Config de base pour le Pix avec GNS3 gnial
Anglais Internet http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html 13-1 Commande de base IPv6 pour le Pix A lire
Anglais Internet http://it-audit.sans.org/community/papers/auditing-cisco-pix-firewall_31 entier Fonctionnalit du Pix bof
Configuration Anglais Internet http://it-audit.sans.org/community/papers/security-audit-cisco-pix-515-firewall_165 Entier Audit sur fonctionnalit avanc du Pix A lire
avance 515
Anglais Internet http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html 10 Configuration routage IP A lire
Anglais Livre CCSP CSPFA Cisco Secure PIX Firewall Advanced Student Guide Version2.1(2002) 15 Configuration VPN A lire
Anglais Internet http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html 29 Configuration IPsec et ISAKMP A lire
Franais Internet http://www.doc-etudiant.fr/Informatique/Reseaux-informatiques/Cours-Supprimer-mot- Entier Rcupration config et mot de passe Bien
pass-r-cisco-81453.html
Anglais Internet http://www.ekours.fr/index.php?option=com_content&task=view&id=133&Itemid=54 Entier Intrt dune solution Pix Failover Bien
Anglais Internet http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a008 Entier Guide config Tacacs et Radius A lire
0094e7e.shtml
Anglais Internet http://www.cisco.com/web/FR/documents/pdfs/guides/GuidedemigrationduPIXverslASA.pdf Entier Migration Pix 500 vers ASA 5500 A lire
Anglais Livre Cisco PIX CCSP Secure Firewall Advanced Exam Certification Guide (CCSP Self-Study) Entier Supplment lecture pour curieux Bien
Anglais Livre Cisco - CCNA 640-553 Security Official Exam Certification Guide(2008) Entier Supplment lecture pour curieux Bien
Anglais Livre Cisco ASA All in One Firewall IPS Anti X and VPN Adaptive Security Appliance 2nd.(2009) Entier Supplment lecture pour curieux Bien
Anglais Livre CCSP CSPFA Self-Study Cisco Secure PIX Firewall Advanced Exam Certification Guide(2003) Entier Supplment lecture pour curieux Bien
Anglais Livre CCSP CSVPN Cisco Secure Virtual Private Networks Student Guide Version4.7(2005) Entier Supplment lecture pour curieux Bien
Anglais Livre CCSP CSVPN Self-Study Cisco Secure VPN Exam Certification Guide(2003) Entier Supplment lecture pour curieux Bien
IX. Glossaire

A
AAA (Authentication, authorization, and accounting):
Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources :
Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un systme (hte, serveur,
commutateur ou routeur).
Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un utilisateur, un groupe
d'utilisateurs, un systme ou un programme.
Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une action spcifique, tel que le
pistage des connexions d'un utilisateur et la journalisation des utilisateurs du systme.

Analyse de risque :
Processus comprenant l'identification des risques en matire de scurit, leur impact et l'identification des zones
ncessitant une protection.

Attaque par interruption de service (DoS):


Action malveillante visant empcher le fonctionnement normal de tout ou partie d'un rseau ou d'un systme
hte. Cette attaque peut tre compare une personne qui composerait sans arrt le mme numro de tlphone
pour saturer cette ligne.

Autorit de certification (CA):


Entit de confiance charge de signer les certificats numriques et d'attester de l'identit d'autres utilisateurs
autoriss.

C
CBAC (Context-Based Access Control):
Fonction intgre au logiciel IOS de Cisco offrant le filtrage avanc de session de paquets pour tout le trafic routable.
En configurant des ACL, il est possible d'autoriser ou de refuser le traitement ou le transfert du trafic.

Certificat :
Message sign numriquement au moyen d'une cl prive d'une tierce partie de confiance (voir autorit de
certification) et indiquant qu'une cl publique spcifique appartient une personne ou un systme possdant un
nom et un ensemble d'attributs prcis.

CHAP (Challenge Handshake Authentication Protocol):


Protocole d'authentification permettant d'empcher les accs non autoriss. Le protocole CHAP authentifie et
identifie l'entit distante. Le routeur ou le serveur d'accs dtermine ensuite si l'utilisateur peut tre autoris
accder au rseau.

Cl cryptographique :
Code numrique servant au cryptage, au dcryptage et la signature d'informations.

Cl prive :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl doit demeurer
secrte et ne doit tre connue que de son propritaire.

68
Cl publique :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl peut tre diffuse
librement.

Compromission :
Dans le domaine de la scurit informatique, ce terme signifie l'attaque d'un rseau par la violation de la politique
de scurit.

Confidentialit des donnes :


Moyen permettant de garantir que seules les entits autorises peuvent voir les paquets de donnes dans un format
intelligible.
Processus de protection des donnes d'un rseau contre l'espionnage ou l'altration.
Dans certains cas, la sparation des donnes l'aide de technologies de tunnellisation, telles que GRE (generic
routing encapsulation) ou le L2TP (Layer 2 Tunneling Protocol), offre une confidentialit des donnes efficace.
Toutefois, il est parfois ncessaire d'augmenter la confidentialit l'aide de technologies de cryptage numrique et
de protocoles tels quIPsec, en particulier lors de la mise en uvre de VPN.

Contrle d'accs :
Limitation du flux de donnes des ressources d'un systme uniquement vers les personnes, programmes, processus
autoriss ou vers d'autres systmes du rseau. Les ensembles de rgles de contrle d'accs des routeurs Cisco sont
appeles listes de contrle d'accs ou ACL.

Contrle de la scurit :
Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security Posture Assessments).

Cryptage :
Codage des donnes empchant leur lecture par une autre personne que le destinataire prvu. De plus, les donnes
sont uniquement lisibles aprs avoir t correctement dcryptes.

Cryptographie :
Science de l'criture et de la lecture de messages cods.

D-F
DES (Data Encryption Standard):
Systme de cryptage cl secrte normalis par le National Institute of Standards and Technology (voir NIST et triple
DES).

Diffie Hellman :
Systme cl publique permettant deux utilisateurs ou quipements rseau d'changer des cls publiques via un
support non scuris.

DMZ (Demilitarized zone):


Sous-rseau isol du rseau local par un pare-feu. Ce sous-rseau contient les machines tant susceptibles d'tre
accdes depuis Internet.

Extranet :
Un extranet est une extension du systme d'information de l'entreprise des partenaires situs au-del du rseau.
Laccs lextranet se fait via Internet, par une connexion scurise avec mot de passe dans la mesure o cela offre
un accs au systme d'information des personnes situes en dehors de l'entreprise

En-tte d'authentification :

69
En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi pendant le transport.
Filtrage :
Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source, l'adresse de destination ou
le protocole, afin de dterminer, selon les critres dfinis, si le trafic de donnes concern est accept ou bloqu.

Filtrage de paquets :
Mcanisme de contrle paquet par paquet du trafic routable.

G-I
GRE (Generic Routing Encapsulation):
Protocole de tunnellisation dvelopp par Cisco permettant d'encapsuler des paquets utilisant de nombreux
protocoles diffrents dans des tunnels IP, afin de crer un lien point point virtuel entre des points distants et des
routeurs Cisco via un rseau IP.

Hyperviseur :
Plate-forme de virtualisation qui permet plusieurs systmes d'exploitation de travailler sur une machine physique
en mme temps.

Identit :
Identification prcise des utilisateurs, htes, applications, services et ressources du rseau. Les nouvelles
technologies, telles que les certificats numriques, les cartes puces, les services rpertoire jouent un rle de plus
en plus important dans les solutions d'identification.

IDS (Intrusion Detection System):


Sentinelle de scurit en temps rel (semblable un dtecteur de mouvement) protgeant le primtre du rseau,
les extranets et les rseaux internes de plus en plus vulnrables. Les systmes IDS analysent le flux de donnes du
rseau la recherche de signatures d'attaques ou d'activits considres comme non autorises, dclenchent
l'alarme et lancent les actions ncessaires face cette activit.

IETF (Internet Engineering Task Force):


Organisme de normalisation responsable de la conception de protocoles pour Internet. Les publications mises par
l'IETF s'intitulent des RFC (Request for Comments).

Intgrit :
Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par les personnes explicitement
autorises le faire. Le terme "intgrit du rseau" signifie qu'aucun service ou aucune activit contraire la
politique de scurit n'est permise.

Intgrit des donnes :


Processus permettant de garantir que les donnes n'ont pas t modifies ou dtruites lors du transport via le
rseau.

Intranet :
Rseau informatique utilis l'intrieur d'une entreprise ou de toute autre entit organisationnelle utilisant les
techniques de communication d'Internet (IP, serveurs HTTP). Dans les grandes entreprises, l'intranet fait l'objet
d'une gouvernance particulire en raison de sa pntration dans l'ensemble des rouages des organisations.

IP (Internet Protocol):
Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des rseaux informatiques.

IPsec :
Ensemble de normes de scurit offrant des services de confidentialit et de d'authentification au niveau de la

70
couche IP (Internet Protocol).
ISAKMP (Internet Security Association and Key Management Protocol):
Protocole de gestion de cls pour IPsec. Ce protocole, ncessaire la mise en uvre complte dIPsec, est
galement appel IKE (Internet Key Management).

K-N
Kerberos :
Protocole d'authentification rseau cl secrte dvelopp par le MIT (Massachusetts Institute of Technology), bas
sur l'utilisation de l'algorithme de cryptage DES pour le cryptage et une base de donnes de cls centralise pour
l'authentification.

L2F (Layer 2 Forwarding Protocol):


Protocole grant la mise en place de rseaux virtuels privs commuts via Internet.

L2TP (Layer 2 Tunneling Protocol):


Norme IETF combinant les caractristiques du protocole L2F de Cisco (Layer 2 Forwarding Protocol) et le protocole
PPTP de Microsoft (Point-to-Point Tunneling Protocol) pour la mise en uvre des VPN.

MD5 (Message Digest 5):


Algorithme de hachage utilis pour l'authentification de donnes et la vrification de l'intgrit des communications.

NAT (Network Address Translation):


Mcanisme consistant convertir une adresse IP en une autre. Le NAT est essentiellement utilis pour connecter un
espace d'adressage interne utilisant un protocole diffrent d'un autre rseau, tel qu'Internet.

Non-rpudiation :
Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur puisse nier ultrieurement
avoir envoy un message ou effectu une action spcifique.

P
PAP (Password Authentication Protocol):

Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs des autres. Le routeur
distant qui effectue une tentative de connexion sur le routeur local doit envoyer une requte d'authentification.
Contrairement CHAP, PAP ne crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot
de passe est valide ou non.

Pare-feu :
Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux rseaux.

Primtre de scurit :
Primtre dans lequel des contrles de scurit sont effectus afin de protger les quipements rseau.

Ping :
Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre systme.

Ping of Death (Ping de la mort):


Attaque par interruption de service (DoS) consistant en l'envoi d'un paquet Ping de taille surdimensionne, dans le
but d'entraner le blocage de la machine rceptrice lors de la tentative de rassemblage du paquet de donnes
surdimensionn.

71
PKI (Public Key Infrastructure):
Infrastructure de gestion de cls offrant un environnement sr et fiable.

Politique de scurit :
Ensemble de directives de haut niveau permettant de contrler le dploiement des services rseau. La maintenance
et l'audit du rseau font galement partie de la politique de scurit.

PPP (Point-to-Point Protocol):


Protocole normalis d'encapsulation de paquets IP via des liens point point.

PPTP (Point-to-Point Tunneling Protocol):


Norme IETF soutenue par Microsoft pour la mise en uvre des VPN partir du systme d'exploitation Windows
95/98 vers une passerelle VPN.

Proxy :
Equipement (mandataire) effectuant une tche la place d'un autre quipement. Dans le domaine des firewalls, le
proxy est un processus effectuant un certain nombre de contrles sur le trafic entrant. Ce mcanisme peut nuire aux
performances du firewall.

R
RADIUS (Remote Access Dial-In User Service):
Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole d'authentification et de gestion de
serveur d'accs.

Rinitialisation TCP :
Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur Cisco IOS Firewall. Une
commande est mise par ces quipements afin d'arrter la connexion par laquelle l'attaque est effectue, obligeant
ainsi l'attaquant tablir une nouvelle connexion.

RSA (Rivest, Shamir, Adelman):


Algorithme de cryptage cl publique permettant de crypter ou de dcrypter des donnes et d'appliquer ou de
vrifier une signature numrique.

S
SHA (Secure Hash Algorithm):
Algorithme de hachage utilis pour l'authentification et la vrification de l'intgrit des communications.

Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en
dtail la recherche de modles logarithmiques identiques.

Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en
dtail la recherche de modles logarithmiques identiques.

Signature numrique :
Chane de bits ajoute un message lectronique (hachage crypt) permettant l'authentification et l'intgrit des
donnes.

72
Spoofing (usurpation):
Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou programme autoriss).

Syslog :
Protocole dfinissant un service de journaux d'vnements d'un systme informatique. C'est aussi le nom du format
qui permet ces changes.

T
TACACS+ (Terminal Access Controller Access Control System Plus):
Protocole AAA principalement utilis pour la gestion des connexions commutes.

Triple DES :
Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de paquets de donnes.

Tunnel :
Connexion scurise et crypte entre deux points passant par un rseau public ou tiers.

V
VPN (Rseau priv virtuel):
Rseau garantissant un trafic IP scuris via un rseau TCP/IP public grce au cryptage des donnes entre les deux
rseaux concerns. Le VPN utilise la tunnellisation pour crypter les informations au niveau IP.

Vulnrabilit :
Faille au niveau des procdures de scurit, de la conception ou la mise en uvre du rseau, pouvant tre exploite
pour contourner la politique de scurit d'une entreprise.

73