PFE Bousslamti.pdf

Remerciement
Avant tout développement sur cette expérience professionnelle, il apparaît opportun

de commencer ce rapport de stage par des remerciements, à ceux qui m’ont beaucoup appris
au cours de ce stage, et même à ceux qui ont eu la gentillesse de faire de ce stage un moment
très profitable.
Il m’est agréable au terme de ce travail, de présenter mes vifs remerciements à M.

SRIFI Nabil mon encadrant pédagogique pour leur conseil et leur soutien durant ce stage, aux
membres du jury d’avoir accepté de juger mon travail et au corps professoral de l'ENSA Kenitra
pour leur inestimable contribution à ma formation.
Je formule mes sincères remerciements à M. TOUALI Mouhsine directeur de «CGI

technologies et solutions Maroc, Fès», à M. MOUDEN Moaad, Project Manager et à M. EL
ANBRI Imad mon encadrant au sein de CGI Fès, qui n’ont pas manqué de nous préparer les
conditions favorables au bon déroulement du projet.
Mes remerciements vont également à mes parents et mon oncle Driss pour leurs
sacrifices qu’ils ont consentis pour ma formation, et aux toutes personnes ayant contribué de
loin ou de près à la réussite de ce stage, reçoive l’expression de mes sincères reconnaissances
et gratitudes.
1
Table des matières
Table des matières

Remerciements .......................................................................................................................... 1
Tables des matières ................................................................................................................... 2
Liste des figures ......................................................................................................................... 4
Liste des tableaux ...................................................................................................................... 7
Introduction Générale ............................................................................................................... 8
Chapitre 1 : Présentation de l’entreprise d’accueil ..................................................... 9
1. Fiche technique de l’entreprise ........................................................................................... 9

2. Domaines d’activité de l’entreprise .................................................................................. 10
3. Structure et organisation générale ................................................................................... 11
4. Présentation du service : GTO ........................................................................................... 13
Chapitre 2 : Contexte général du Projet ..................................................................... 15
1. Cahier de charges ............................................................................................................... 15

2. Etude préalable ou Etude d’opportunité des solutions ..................................................... 16
2.1. Firewalls .................................................................................................................... 16
2.2. Proxy .......................................................................................................................... 19
2.3. La VOIP ...................................................................................................................... 21
2.3.1. Le protocole SIP ................................................................................................ 21
2.3.2. Le protocole H323 ............................................................................................ 22
2.4. Supervision ................................................................................................................ 22
2.5. VPN IPSec .................................................................................................................. 23
3. Plan d’action ...................................................................................................................... 25
4. Conclusion .......................................................................................................................... 26
Chapitre 3 : Etude détaillée du projet ......................................................................... 27
1. Description de la solution .................................................................................................. 27

2. Architecture générale du projet......................................................................................... 27
3. Architecture détaillée du projet ......................................................................................... 29
3.1. Cloud informatique ..................................................................................................... 29
3.1.1. SRX ...................................................................................................................... 29
3.1.2. ASA...................................................................................................................... 32
2
Table des matières
3.1.3. Routeur cisco 3725 ............................................................................................. 34

3.2. Site1 CGI ...................................................................................................................... 34
3.2.1. Fortigate ............................................................................................................. 35
3.2.2. Windows Server 2008(AD-DNS) ......................................................................... 36
3.2.3. Serveur Asterisk .................................................................................................. 38
3.2.4. Serveur Exchange ............................................................................................... 39
3.3. Site2 CGI ...................................................................................................................... 40
3.3.1. Serveur Centreon(Supervision) .......................................................................... 40
3.3.2. Serveur WEB-CA ................................................................................................. 42
Chapitre 4 : Réalisation et simulation du projet ........................................................ 43
1. Outils de réalisation ou simulation/Emulation .................................................................. 43

1.1. GNS3 ............................................................................................................................ 43
1.2. VMware Workstation .................................................................................................. 43
2. Réalisation du projet ......................................................................................................... 44
2.1. Configuration des équipements du Site1 – CGI ......................................................... 44
2.1.1. Configuration du Fortigate ................................................................................. 44
2.1.2. Configuration du AD - DNS - FTP ........................................................................ 48
2.1.3. Configuration du serveur Asterisk ...................................................................... 55
2.1.4. Configuration du serveur Exchange ................................................................... 58
2.2. Configuration des équipements du Cloud .................................................................. 60
2.2.1. Configuration de l’ASA cloud coté client ............................................................ 60
2.2.2. Configuration du routeur cloud coté Site1 ........................................................ 63
2.2.3 Configuration du routeur cloud coté Site2 ......................................................... 63
2.2.4. Configuration du SRX-juniper-Cloud .................................................................. 64
2.3. Configuration des équipements du Site2 – CGI ......................................................... 66
2.3.1. Configuration de l’ASA ....................................................................................... 66
2.3.2. Configuration du serveur Asterisk Site2 ............................................................ 68
2.3.3 Configuration du serveur Centreon Site2 ........................................................... 69
2.3.4. Configuration du serveur Web – CA - FTP .......................................................... 70
2.4. Configuration du Fortigate Site Client......................................................................... 71
3. Test et vérification ............................................................................................................. 75
4. Mise en œuvre et plan de maintenance ........................................................................... 78
5. Conclusion ......................................................................................................................... 79
Conclusion générale ................................................................................................................ 80
Les références ......................................................................................................................... 81
3
Table des matières
Les annexes ............................................................................................................................. 83
4
Liste des Figures
Figure 1. 1 : CGI en chiffres ................................................................................................................... 10
Figure 1. 2 : Organigramme de CGI ...................................................................................................... 12
Figure 1. 3 : Organigramme de CGI France, Maroc et Luxembourg .................................................... 12
Figure 1. 4 : Interface du tableau de bord d’OTRS............................................................................... 14
Figure 2. 1 : Architecture Générale ...................................................................................................... 15
Figure 2. 2 : Principe de fonctionnement du proxy ............................................................................. 21
Figure 2. 3 : Tunnel VPN IP Sec ............................................................................................................. 23
Figure 2. 4 : Plan d'action ..................................................................................................................... 26
Figure 2. 5 : Diagramme de Gantt ........................................................................................................ 26
Figure 3. 1 : Architecture globale du projet ......................................................................................... 27
Figure 3. 2 : Architecture du cloud ....................................................................................................... 29
Figure 3. 3 : Principe des zones de sécurité – SRX ............................................................................... 30
Figure 3. 4 : Distance administrative des protocoles de routage........................................................ 32
Figure 3. 5 : Architecture du Site1 CGI ................................................................................................. 34
Figure 3. 6 : Principe de fonctionnement du DNS ............................................................................... 37
Figure 3. 7 : Principe de fonctionnement de l’Exchange ..................................................................... 39
Figure 3. 8 : Architecture du Site2 CGI ................................................................................................. 40
Figure 4. 1 : architecture site1 .............................................................................................................. 44
Figure 4. 2 : Configuration des interfaces du Fortigate Site1 .............................................................. 44
Figure 4. 3 : Interface Web du Fortigate Site1 ..................................................................................... 45
Figure 4. 4 : Configuration des routes statique sur Fortigate Site1 .................................................... 45
Figure 4. 5 : Exemple de configuration du route statique su Fortigate .............................................. 45
Figure 4. 6 : Configuration du Policy route sur Fortigate Site1 ........................................................... 46
Figure 4. 7 : Exemple de configuration du Policy sur Fortigate Site1 ................................................. 46
Figure 4. 8 : Exemple de nomination d'un réseau sur Fortigate Site1 ................................................ 46
Figure 4. 9 : Configuration des autorisations sur les flux entrants et sortants sur le Fortigate Site1 47
Figure 4. 10 : Configuration -1- du proxy ............................................................................................. 47
Figure 4. 13 : Configuration du service DHCP sur le Fortigate Site1 ................................................... 48
Figure 4. 14 : Installation de fonctionnalité de l'AD ............................................................................ 49
Figure 4. 15 : Résultat d'installation de la fonctionnalité de l'AD....................................................... 49
Figure 4. 16 : Assistant d'installation des services de domaine AD .................................................... 50
Figure 4. 17 : Adressage IP du serveur AD ........................................................................................... 50
Figure 4. 18 : Le Résumé d'installation de service de l'AD-DS ............................................................ 51
Figure 4. 19 : Configuration du Zone principale DNS........................................................................... 51
Figure 4. 20 : Configuration de la recherche directe DNS ................................................................... 51
Figure 4. 21 : L'ajout de traduction de nom de domaine en adresse IP ............................................. 52
Figure 4. 22 : Configuration de la recherche inversée DNS ................................................................. 52
Figure 4. 23 : Assistant de configuration de la recherche inversée .................................................... 52
Figure 4. 24 : Résultat de configuration de la recherche direct et inversée sur DNS ......................... 53
Figure 4. 25 : Installation de Serveur FTP............................................................................................. 53
Figure 4. 26 : l'ajout du site FTP ........................................................................................................... 53
Figure 4. 27 : L'ajout des informations du site FTP .............................................................................. 54
5
Figure 4. 28 : la configuration d''adresse IP et du port sur le serveur FTP ......................................... 54
Figure 4. 29 : Les autorisations et l'authentification du serveur FTP.................................................. 54
Figure 4. 30 : Interface Web du serveur Asterisk ................................................................................ 55
Figure 4. 31 : Exemple de création d'utilisateur sur Asterisk Site1..................................................... 55
Figure 4. 32 : l'ajout du réseau local au serveur Asterisk .................................................................... 55
Figure 4. 33 : Configuration Asterisk Site1 ........................................................................................... 56
Figure 4. 34 : Dernière phase de configuration Asterisk Site 1 ........................................................... 57
Figure 4. 35 : Exemple de configuration d'utilisateur sur x-lite .......................................................... 57
Figure 4. 36 : Installation d'Exchange Server 2010 .............................................................................. 58
Figure 4. 37 : La configuration des différents paramètres du Serveur Exchange ............................... 58
Figure 4. 38 : Résumé d'installation du service Exchange ................................................................... 59
Figure 4. 39 : La dernière phase d'installation du serveur Exchange .................................................. 59
Figure 4. 40 : Architecture du Cloud..................................................................................................... 60
Figure 4. 41 : Les interfaces de l'ASA-cloud- coté client ...................................................................... 60
Figure 4. 42 : Configuration d'accès à l'interface management de l'ASA-Cloud- coté client ............. 60
Figure 4. 43 : l'ajout du fichier ASDM sur l'ASA-Cloud- coté client ..................................................... 61
Figure 4. 44 : Interface web de l'ASA ................................................................................................... 61
Figure 4. 45 : L'accès à l'interface ASDM sur l'ASA-Cloud- coté client ................................................ 61
Figure 4. 46 : Configuration des routes statiques sur l'ASA-Cloud- coté client .................................. 62
Figure 4. 47 : Configuration des ACL sur l'ASA-Cloud- coté client....................................................... 62
Figure 4. 48 : Configuration du routeur Cloud coté site1 .................................................................... 63
Figure 4. 49 : Configuration du routeur Cloud coté site2 .................................................................... 63
Figure 4. 50 : Configuration des interfaces et des zones de sécurité du cloud sur le SRX ................. 64
Figure 4. 51 : Configuration pour faire communiquer entre les zones du Cloud sur le SRX .............. 64
Figure 4. 52 : Routage Statique au niveau du SRX ............................................................................... 65
Figure 4. 53 : Configuration pour faire communiquer entre les sites internes de l'architecture ...... 65
Figure 4. 54 : Architecture Site 2 .......................................................................................................... 66
Figure 4. 55 : Les interfaces de l'ASA-Site2 .......................................................................................... 66
Figure 4. 56 : Configuration des routes statiques sur l'ASA coté Site2 ............................................... 67
Figure 4. 57 : Configuration des ACL sur l'ASA Site2............................................................................ 67
Figure 4. 58 : Configuration DHCP sur le Site2 ..................................................................................... 68
Figure 4. 59 : Configuration Asterisk Site 2 .......................................................................................... 68
Figure 4. 60 : Exemple de création d'utilisateur SIP sur l'Asterisk Site2 ............................................. 68
Figure 4. 61 : l'ajout d'utilisateur sur x-lite .......................................................................................... 69
Figure 4. 62 : Adressage IP du Serveur Centreon................................................................................. 69
Figure 4. 63 : Interface graphique du serveur Centreon ..................................................................... 69
Figure 4. 64 : Interface de supervision Centreon................................................................................. 70
Figure 4. 65 : Adressage IP du serveur Web - FTP - CA ........................................................................ 70
Figure 4. 66 : l'ajout du rôle Autorité de certification ......................................................................... 70
Figure 4. 67 : Résumé de configuration des services de certificats .................................................... 71
Figure 4. 68 : L'ajout des certificats des utilisateurs............................................................................ 71
Figure 4. 69 : Configuration des interfaces du Fortigate site client .................................................... 72
Figure 4. 70 : Configuration des routes statiques sur le Fortigate client ............................................ 72
Figure 4. 71 : Insertion des routes policy sur le Fortigate client ......................................................... 72
Figure 4. 72 : autorisation des flux entrants et sortants sur le Fortigate client ................................. 72
Figure 4. 73 : tunnel IPSEC ASA-Fortigate ............................................................................................ 73
6
Figure 4. 74 : Configuration phase 1 tunnel IP Sec sur l'ASA............................................................... 73
Figure 4. 75 : Configuration phase 2 tunnel IP Sec sur l’ASA .............................................................. 73
Figure 4. 76 : Configuration phase 1 tunnel IP Sec sur le Fortigate .................................................... 74
Figure 4. 77 : Configuration phase 2 tunnel IP Sec sur le Fortigate .................................................... 74
Figure 4. 78 : Test Tunnel VPN IPSEC ................................................................................................... 75
Figure 4. 79 : Ping entre client et utilisateur du site 1 CGI .................................................................. 75
Figure 4. 80 : Teste d'accès telnet vers Client ...................................................................................... 76
Figure 4. 81 : Teste de résolution DNS en utilisant nslookup ............................................................. 76
Figure 4. 82 : Supervision des hosts de la topologie ........................................................................... 77
Figure 4. 83 : Appel téléphonique entre deux clients x-lite ................................................................ 77
7
Liste des tableaux :
Tableau 2. 1 : Fiche technique du Cisco ASA 5505 ........................................................................ 18

Tableau 2. 2 : Fiche technique du SRX Juniper 1400 ..................................................................... 19
Tableau 2. 3 : Fiche technique du Fortigate ................................................................................. 19
Tableau 3. 1 : Plan d'adressage des Sites ..................................................................................... 28
Tableau 3. 2 : Plan d'adressage des équipements d'interconnexion ............................................. 28
8
Introduction Générale
La sécurité informatique de nos jours est devenue un élément majeur dans la gestion
des réseaux informatique ainsi que pour les particuliers toujours plus nombreux à se
connecter à Internet. La transmission d’informations sensibles et le désir d’assurer la
confidentialité de celles-ci sont devenus un point primordial dans la mise en place des réseaux
informatiques.
Ce stage est déroulé au sein du Conseillers et Gestion en Informatique dont le principal

objectif est de présenter une vision d’ensemble pour renforcer la sécurité du réseau
informatique du CGI-Fès et les modalités techniques de sa mise en œuvre.
Ce stage constitue pour moi une opportunité qui consiste à explorer de plus en plus le
monde de travail en entreprise tant au niveau organisationnel que méthodologie de travail et
à consolider mes savoirs acquis au cours de ma formation.
Ce rapport est scindé en quatre parties dont la première est consacrée à la

présentation de l’entreprise d’accueil, la seconde donne un aperçu sur les technologies utilisés
pour réaliser les tâches de mon travail, la troisième et la quatrième parties traitent en détail
les missions qui me furent confiées et le projet sur lequel j’ai travaillé.
À la fin, je conclus sur le déroulement global de cette période de cinq mois en insistant
sur les faits marquants et les points bénéfiques.
9
Chapitre 1 : Présentation de l’entreprise d’accueil
Le présent chapitre a pour but de situer le projet dans son contexte général, ce chapitre
donne un bref aperçu sur l’organisme d’accueil, à savoir la société CGI, son organisation, ses
domaines d’activité et dans la suite de ce chapitre on décrit le déroulement du stage et des
activités professionnelles exercées.
1. Fiche technique de l’entreprise
CGI figure parmi les plus importants fournisseurs de services en technologies de

l’information (TI) au monde. Au Maroc, où travaillent 700 de ses professionnels, il offre des
services complets en TI, dont des services-conseils en management ainsi que des services
d’intégration de systèmes, en gestion des processus d’affaires et d’impartition
(externalisation).
CGI est l’une des rares entreprises possédant l’envergure, la portée et les capacités pour
répondre aux besoins des clients en matière de transformation numérique. Elle offre des
services-conseils complets et novateurs en TI et en management grâce à un modèle d’affaires
axé sur la proximité avec les clients. Elle travaille de concert avec eux et met à profit ses
capacités mondiales pour définir, élaborer, mettre en œuvre et exécuter les stratégies et
solutions requises pour satisfaire aux attentes des consommateurs et des citoyens.
CGI tire parti de sa présence mondiale grâce à ses 400 emplacements répartis dans 40 pays
et qui regroupent 73 000 membres, dont la majorité est actionnaires de CGI. Ses
professionnels agissent à titre de partenaires de confiance pour plus de 5 000 clients à l’échelle
mondiale. Forts de plus de quatre décennies de croissance soutenue, elle offre une expertise
spécialisée dans 10 secteurs d’activité et bonifie son offre de services grâce à un portefeuille
de plus de 150 solutions fondées sur la propriété intellectuelle (PI). [1]
10
Figure 1. 1 : CGI en chiffres
Sa détermination à surpasser les attentes de ses clients se traduit par une note globale
de satisfaction des clients de 9 sur 10, dans le cadre d’évaluations en personne. Son bilan
inégalé de 95 % de projets réalisés selon les échéances et budgets prévus est le témoignage
de son engagement envers l’excellence opérationnelle.
2. Domaines d’activité de l’entreprise
CGI cible 10 secteurs d’activité clés au sein desquels les TI sont un facteur stratégique
ainsi qu’un outil de transformation et de création de valeur.
Gouvernements :
2 000 clients gouvernementaux dans 15 pays.
Secteurs : provincial et municipal, central et fédéral, défense et renseignement.
Secteur bancaire :
Collaboration avec 15 des 20 principales banques à l’échelle mondiale.
Secteurs : banques de détail, marchés des capitaux, services aux entreprises et
transactions bancaires.
Secteur manufacturier :
Plus de 700 clients du secteur manufacturier.
Secteurs : ressources naturelles, biens commerciaux et industriels, industrie automobile.
Services publiques :
Plus de 450 clients des secteurs de l’électricité, de l’eau et du gaz dans le monde
Secteurs : vente au détail, exploitants de réseaux et tous les autres.
11
Commerce de détail et services aux consommateurs :

Plus de 800 clients à l’échelle mondiale.
Secteurs : commerce de détail, vente en gros, biens de consommation courante et services
aux consommateurs.
Santé :
Gestion de régimes d’assurance maladie couvrant plus de 195 millions de personnes et
plus de 6 milliards de dossiers médicaux.
Secteurs : assureurs, fournisseurs, sciences de la vie.
Assurance :
Collaboration avec 7 des 10 principales compagnies d’assurance mondiales.
Secteurs : assurance de dommages et assurance.
Communications :
Collaboration avec 6 des plus importants fournisseurs de services de communication au
monde.
Gamme de services : transformation de la facturation, de l’orchestration des
commandes, de l’assurance des revenus ou du service à la clientèle.
Transport et logistique :
Plus de 200 clients à l’échelle mondiale.
Secteurs : services postaux et logistique ainsi que transport aérien, ferroviaire, maritime,
routier et transit régional.
Pétrole et Gaz :
Collaboration avec toutes les entreprises pétrolières et gazières dans le monde Services
en production, raffinage, approvisionnement et distribution, commerce électronique
interentreprises (B2B) et de l’entreprise au consommateur (B2C).
CGI collabore avec des leaders de tous ces secteurs d’activité qui visent à devenir, selon
la portée et le rythme appropriés, des organisations agiles qui répondent aux attentes des
consommateurs et des citoyens.
3. Structure et organisation générale
L'ensemble de la structure de CGI est représenté par l’organigramme suivant :
12
Services corporatifs – Équipe de direction :
Figure 1. 2 : Organigramme de CGI
Opérations – France :
Figure 1. 3 : Organigramme de CGI France, Maroc et Luxembourg
13
4. Présentation du service : GTO

Une organisation opérationnelle pérenne dans l’ère digitale :
 Des Offreurs et Project/Delivery Managers, Architectes, Bâtisseurs Experts et

Industriels: une combinaison équilibrée de nos forces pour réaliser la proposition de
valeur GTO.
 Des équipes pluridisciplinaires transverses, adressant tout le cycle de vie des projets
et des services.
 Des équipes constituées en fonction des enjeux à adresser, à la fois externes et
internes.
 Une approche par proposition de valeur décloisonnant les technologies, pérenne dans
un monde digital, et garantissant la performance économique du modèle.
 Un catalogue de service vivant, capitalisant sur les assets existants, dont la vocation
est de proposer des réponses toujours pertinentes et différenciantes dans l’actualité
des clients.
 Une organisation opérationnelle construite pour offrir une évolution de carrière à tous
les métiers de GTO. [1]
14
Chapitre 2 : Contexte général du projet
1. Cahier des charges
Vu la Répartition géographique des différents sites de CGI et ses multiples clients, dont
la majorité se localisent sur le territoire français, les sites marocains de CGI se trouvent obligés
de concevoir une architecture conforme pour contribuer à la gestion des infrastructures des
clients, et offrir des services d'infrastructure, solutions et services-conseils rentables,
novateurs et sécurisés, pour cela il existe des obligations à respecter et des améliorations à
mener sur son réseau :
 Assurer une communication sécurisée entre les sites CGI et les clients
 Accroître l’efficacité de l’infrastructure, réaliser des économies de coûts et
obtenir d'autres résultats stratégiques.
 Minimiser la lenteur d’accès, et assurer la haute disponibilité des VM, hébergés
dans les DATACENTER de CGI.
 Gérer les flux selon le besoin.
Figure 2. 1 : Architecture Générale
15
2. Etude préalable ou Etude d’opportunité des solutions

2.1. Les Firewalls
Les firewalls ont été une première ligne de défense en sécurité réseau depuis plus de
25 ans. Ils établissent une barrière entre les réseaux internes sécurisés et contrôlés qui
peuvent être fiables et non fiables en dehors des réseaux, comme Internet.
On distingue entre deux types de parfeu : Les parfeu Next-Génération, et les parfeu
UTM :
Avant de choisir un UTM/NGFW Firewall, il faut s’intéresser à différents points. Tout

d'abord, sa richesse fonctionnelle, sa puissance, autrement dit sa capacité à gérer assez
d’utilisateurs pour satisfaire aux besoins de l’entreprise, et à ses fonctionnalités de gestion du
réseau et à la convivialité de son interface utilisateur.
Les Parfeu-Next Génération sont caractérisé par :

 Sensibilisation à l’application : le parfeu doit être capable de surveiller le trafic des
couches 2 à 7 et de déterminer quel type de trafic le traverse. [2]
 Multifonctionnel :
-filtrage des paquets de base.
-Traduction d’adresse de port et du réseau.
-Systèmes de détection d’intrusion.
-Systèmes de protection contre les intrusions.
 Infrastructure rationalisée :
-Antivirus intégré.
-Filtrage Antispam.
-Inspection approfondie des paquets.
 Protection contre les menaces :
-Protection Antivirus.
-Protection Anti-malware.
 Vitesse du réseau : le débit reste le même quel que soit le nombre de services de
protection
16
Firewall UMT :
Dans le secteur de la sécurité informatique, l'UTM (Unified Threat Management), ou

gestion unifiée des menaces, est une solution de sécurité tout-en-un, qui fournit plusieurs
fonctions de sécurité en un seul point du réseau. Une Appliance UTM réunit le plus souvent
des fonctions telles que logiciel antivirus, logiciel anti-espions, protection anti spam, pare-feu
réseau, prévention et détection des intrusions, filtrage des contenus et prévention des fuites.
Certains produits proposent également des services de type acheminement à distance,
conversion d'adresses réseau et prise en charge des réseaux privés virtuels (VPN). L'intérêt de
cette solution est sa simplicité : plutôt que de recourir à des fournisseurs ou appliances dédiés
à chaque tâche de sécurité, les organisations peuvent regrouper toutes ces fonctions autour
d'un seul et même fournisseur. L'administration est ainsi réduite à un seul segment ou à une
seule équipe informatique utilisant une console centralisée. [2]
On distingue différent technologies de Firewall parmi ceux il y a :
 Cisco ASA
Les Serveurs de Sécurité Adaptatifs Cisco ASA combinent les meilleurs services de VPN
et de sécurité, conçue comme l’élément principal de la solution Self-Defending Network de
Cisco (le réseau qui se défend tout seul), cette gamme Cisco ASA permet de mettre en place
une défense proactive face aux menaces et de bloquer les attaques avant qu’elles ne se
diffusent à travers le réseau, de contrôler l’activité du réseau et le trafic applicatif et d’offrir
une connectivité VPN flexible( que ça soit SSL VPN ou IPSEC ).
ASA est un pare-feu capable d’assurer en profondeur la protection élargie des réseaux
des PME/PMI et des grandes entreprises tout en réduisant l’ensemble des frais de
déploiement et d’exploitation et en simplifiant les tâches généralement associées à un tel
niveau de sécurité, il permet de surveiller le trafic entrant et sortant du réseau et décide
d'autoriser ou de bloquer un trafic spécifique en fonction d'un ensemble défini de règles de
sécurité. [3]
Parmi les principales caractéristiques de l’ASA on trouve : la flexibilité de déploiement,

l’haute disponibilité, haute performance, support de la qualité de service. [3]
La configuration de l’ASA se fait soit par ligne de commande sois par l’outil de l’ASDM.
17
Version testée du Firewall Cisco ASA 5505
Stockage intégré 360 Go
Sessions simultanées 10 millions
VPN performance Jusqu’à 100 Mbps
Maximum security policies 10,240
Tableau 2. 1 : Fiche technique du Cisco ASA 5505
 Juniper SRX :
Pour notre architecture, et pour satisfaire les besoins de trois sites, la passerelle de
services SRX1400 est la solution la plus adapté. Elle regroupe de multiples services de sécurité
et fonctions de mise en réseau au sein d'un équipement 3 U hautement disponible. De plus,
elle dispose d'une conception modulaire qui utilise des modules à encombrement standard
pouvant être remplacés depuis le panneau avant. Elle intègre des innovations qui améliorent
la fiabilité, renforcent la disponibilité du réseau et assurent aux services de sécurité simultanés
des performances déterministes à grande échelle. [4]
Il offre comme fonctionnalités :
 Une sécurité globale : Protection complète comprenant les fonctions de gestion des menaces
unifiée (UTM) incluant un système de prévention des intrusions (IPS), sécurité des applications
(AppSecure), contrôles du pare-feu en fonction du rôle des utilisateurs, antivirus, anti spam,
filtrage Web et fonctions NAT, DoS et QoS.
 Performances évolutives : L'évolutivité des performances permet d'ajouter des services sans
dégradation.
 Fiabilité de qualité opérateur : La résilience système et réseau garantit une fiabilité de qualité
opérateur du matériel et des composants redondants, et du logiciel Junos OS.
 Flexibilité de l'interface : La flexibilité de l'interface lui permet de répondre aux besoins de tous
les réseaux.
 Segmentation du réseau : Grâce à la segmentation du réseau, les administrateurs peuvent adapter
la sécurité et les stratégies en fonction des situations.
 Moteur de routage robuste : Le moteur de routage robuste distingue les plans de données et de
contrôle afin de permettre le déploiement d'équipements de routage et de sécurité consolidés.
[4]
18
Version testée du Firewall Juniper SRX 1400
VPN performance Jusqu’à 80 Gbps

Tableau 2. 2 : Fiche technique du SRX Juniper 1400
 Fortigate
FortiGate (produit de la multinationale Fortinet) est une gamme de boitiers de sécurité

UTM, comprenant les fonctionnalités firewall, Antivirus, système de prévention d'intrusion
(IPS), VPN (IP Sec et SSL), filtrage Web, Anti spam et d'autres fonctionnalités : QoS, DHCP,
routage, policy-routing etc. [5]
La série FortiGate 7000E offre des services de sécurité NGFW ultra-performants pour
les grandes entreprises et les environnements de centres de données qui ont besoin d'une
protection sans compromis contre les cyber-menaces et les logiciels malveillants, à la frontière
et dans le cœur. Avec des débits jusqu'à 100 Gbps NGFW et une simplicité de gestion, la série
7000E est la solution NGFW la plus rapide et la plus avancée du marché. [5]
La configuration du Fortigate se fait soit par ligne de commande sois par interface
graphique via sa page HTML.
Version testée du Système

Fortigate 7000E
d’exploitation
VPN performance Jusqu’à 40 Gbps

Tableau 2. 3 : Fiche technique du Fortigate
2.2. Proxy :
Un proxy est un relais applicatif c’est en effet application de la couche 7 du modèle OSI
qui permet à une machine d’intercepter les données qui ne lui sont pas destinées et les
transmis vers la machine de destination « internet ».
19
Chaque proxy est caractérisé par ses fonctionnalités : [6]
 Filtrage
Consiste à bloquer les sites considérés comme malveillants ou inutiles au contexte de

travail de l’entreprise.
 Le masquage
Permet de masquer de votre lieu de connexion : Le proxy peut être dans un pays
différent du votre. Cela peut être utile sur certains sites qui filtrent les connexions suivants les
lieux d’où elles proviennent.
 Proxy-cache
La capacité à garder en mémoire (en "cache") les pages les plus visitées par les
utilisateurs du réseau local afin de pouvoir les fournir le plus rapidement possible.
 Authentification
Sert à authentifier les utilisateurs, de leur demander de s'identifier à l'aide d'un nom
d'utilisateur et d'un mot de passe par exemple. [6]
 Principe de fonctionnement
Figure 2. 2: Principe de fonctionnement du proxy
1- Un client fait une requête vers internet ; c’est le serveur proxy qui l’intercepte et la
traite.
2- S’il s’agit d’un lien qui est déjà filtré, le serveur répond par une page des règles de
sécurité, sinon il cherche dans son cache pour répondre à la requête de manière
rapide, sinon il redirige la requête vers internet.
20
3- Le résultat de la requête est retourné vers le serveur proxy qu’il le stocke dans son
cache.
4- Le serveur proxy redirige la réponse vers le client.
2.3. La VOIP :
La voix sur IP constitue actuellement l’évolution la plus importante du domaine des

Télécommunications C’est en effet une technique qui permet de communiquer par la voix (ou
via des flux multimédia : audio ou vidéo) sur des réseaux compatibles IP, qu'il s'agisse de
réseaux privés ou d'Internet, filaire (câble/ADSL/optique) ou non (satellite, Wi-Fi, GSM,
UMTS ou LTE).
La VoIP concerne le transport de la voix sur un réseau IP. Cette technologie est
complémentaire de la téléphonie sur IP (« ToIP » pour Telephony over Internet Protocol). La
ToIP concerne les fonctions réalisées par un autocommutateur téléphonique IPBX.
En effet, chaque constructeur apporte ses normes et ses fonctionnalités à ses solutions. Il
existe donc plusieurs approches pour offrir des services de téléphonie et de visiophonie sur
des réseaux IP. Certaines placent l'intelligence dans le réseau alors que d'autres préfèrent une
approche égale à égale avec l'intelligence répartie à la périphérie. Chacune ayant ses
avantages et ses inconvénients.
Les deux principaux protocoles sont SIP, H.323.
2.3.1. Le protocole SIP

Le protocole SIP (Session Initiation Protocol) est un protocole normalisé et standardisé
par l'IETF (décrit par le RFC 3261 qui rend obsolète le RFC 2543, et complété par le RFC 3265)
qui a été conçu pour établir, modifier et terminer des sessions multimédia. [7]
Il se charge de l'authentification et de la localisation des multiples participants également
de la négociation sur les types de média utilisables par les différents participants en
encapsulant des messages SDP (Session Description Protocol). SIP ne transporte pas les
données échangées durant la session comme la voix ou la vidéo.
SIP étant indépendant de la transmission des données, tout type de données et de
protocoles peut être utilisé pour cet échange. Cependant le protocole RTP (Real-time
Transport Protocol) assure le plus souvent les sessions audio et vidéo. SIP remplace
progressivement H323.
21
SIP est le standard ouvert de VoIP, interopérable, le plus étendu et vise à devenir le
standard des télécommunications multimédia (son, image, etc.).SIP n'est donc pas seulement
destiné à la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la
messagerie instantanée, la réalité virtuelle ou même les jeux vidéo. [7]
2.3.2. Le protocole H323

Le standard H.323 fournit un cadre pour les communications audio, vidéo et de données
sur les réseaux IP. Il a été développé par l’ITU (International Télécommunications Union) pour
les réseaux qui ne garantissent pas une qualité de service (QoS). Il est présent dans plus de 30
produits et il concerne le contrôle des appels, la gestion multimédia, la gestion de la bande
passante pour les conférences point-à-point et multipoints. H.323 traite également de
l'interfaçage entre le LAN et les autres réseaux. [8]
Le protocole H.323 fait partie de la série H.32x qui traite de la vidéoconférence au travers
différents réseaux. Il inclue H.320 et H.324 liés aux réseaux ISDN (Integrated Service Data
Network) et PSTN (Public Switched Telephone Network).
Plus qu'un protocole, H.323 crée une association de plusieurs protocoles différents et qui
peuvent être regroupés en trois catégories : la signalisation, la négociation de codec, et le
transport de l’information.
Une communication H.323 se déroule en cinq phases : l’établissement d'appel, l’échange
de capacité et réservation éventuelle de la bande passante, l’établissement de la
communication audio-visuelle, l’invocation éventuelle de services en phase d'appel (par
exemple, transfert d'appel, changement de bande passante, etc.) et enfin la libération de
l'appel. [8]
2.4. La Supervision (via SNMP) :
SNMP est un protocole relativement simple. Pourtant l’ensemble de ses fonctionnalités

est suffisamment puissant pour permettre la gestion des réseaux hétérogènes complexes.
L’environnement de gestion SNMP est constitué de plusieurs composantes : la station de
supervision, les éléments actifs du réseau, les variables MIB. [9]
Les éléments actifs du réseau sont les équipements ou les logiciels que l’on cherche à
gérer. Cela va d’une station de travail à un concentrateur, un routeur, un pont, etc.
Chaque élément du réseau dispose d’une entité dite agent qui répond aux requêtes de la
station de supervision.
22
La MIB (Management Information Base) est une collection d’objets résidant dans une
base d’information virtuelle. Ces collections d’objets sont définies dans des modules MIB
spécifiques.
On distingue entre SNMPv1, SNMPv2 et SNMPv3 :

SNMPv1 : Ceci est la première version du protocole, tel que définie dans le RFC 1157. La
sécurité de cette version est triviale, car dans cette version on trouve l'absence d'un
mécanisme adéquat pour assurer la confidentialité et la sécurité des fonctions des
informations transmises sur le réseau. En effet, la communauté circule en clair sur le réseau,
et donc n’importe quelle personne mal intentionnée pourrait facilement la récupérer, et par
la suite, récupérer ou modifier des données sur les équipements du réseau. De plus, les
données renvoyés par les agents ne sont pas cryptés, il est donc très facile de lire ces
informations si on arrive à récupérer un paquet SNMP.
SNMPv2c : Cette version du protocole est appelé " community stringbased SNMPv2 ".
Ceci est une amélioration des opérations de protocole et des types d'opérations et utilise la
sécurité par chaîne de caractères "community " de SNMPv1.
Introduite avec la version 2 du protocole SNMP. L’équipement génère un envoi vers son
manager pour signaler un événement, un changement d’état ou un défaut. L’agent attend un
d’acquittement de la part du manager et il y aura une retransmission en cas de non réponse.
SNMPv3 : Cette nouvelle version du protocole SNMP vise essentiellement à inclure la
sécurité des transactions. La sécurité comprend l’identification des parties qui communiquent
et l’assurance que la conversation soit privée, même si elle passe par un réseau public. [9]
2.5. VPN IPSec :
IP Sec fournit des services de sécurité crypto-graphiquement conçus pour les

protocoles IPv4 et IPv6. Les services de sécurité IP Sec couvrent la confidentialité des données,
l'intégrité des données et l'authenticité pour le trafic réseau.
Figure 2. 3 : Tunnel VPN IP Sec
23
IPSec utilise trois protocoles de sécurité principaux: AH (Authentication Header), le

protocole ESP (Encapsulating Security Protocol) et IKE (Internet Key Exchange). [10]
Pour le VPN IPsec on distingue deux modes :
 Le mode tunnel : utilisé dans les VPN de type « Client à site » ou « Site à Site », dans
lequel le paquet IP originale est totalement protégé puisque l’entête du corps du
paquet IP est chiffré et encapsulé dans un autre paquet IP.
 Le mode transport : utilisé dans les VPN de type « Serveur à serveur » ou « client à
serveur », dans lequel l’entête des paquets IP n’est pas chiffré. Les adresses IP ne sont
pas protégées, ce mode protège juste les données transportées par le paquet IP.
Le VPN IP Sec se base sur les protocoles :

• IKE « Internet key exchange » permet la gestion et l’échange des clés pour la plupart
des VPN,
 IKE=ISAKMP+ OAKLEY
 ISAKMP : protocole pour la négociation préalable à l’établissement des

associations de sécurité.
 OAKLEY : détermine le mécanisme pour l’échange automatique des clefs, le

partage de façon sur entre les tiers d’un ensemble d’informations relatives au
chiffrement.
• AH : Authentication Header, ce protocole assure l’intégrité des données en mode non
connecté et l’authentification de l’origine des datagrammes IP sans chiffrement des
données. Son principe est d’ajouter un bloc au datagramme IP. Une partie de ce bloc
servira à l’authentification, tandis qu’une autre partie, contenant un numéro de
séquence, assurera la protection contre le rejeu.
• ESP : Encapsulating Security Payload, Ce protocole assure, en plus des fonctions

réalisées par AH, la confidentialité des données et la protection partielle contre
l’analyse du trafic, dans le cas du mode tunnel. C’est pour ces raisons que ce protocole
est le plus largement employé. Le mécanisme est différent de celui d’AH. En effet, ce
protocole utilise les mécanismes d’encapsulation et de chiffrement des données.
24
Les phases du VPN IP Sec sont :
IKE Phase 1 (Tunnel ISAKMP):

• Les sessions ISAKMP utilisent UDP (source & destination port = 500).
• Les résultats de l’établissement d’une session ISAKMP sont des associations de sécurité
ISAKMP bidirectionnelles.
• Une session ISAKMP est authentifiée:
• Soit par une clef partagée
• Soit par certificat numérique.
IKE Phase 2 :
• Définit le mécanisme d’échange des clefs dans les Sas ISAKMP.
• Détermine les clefs AH/ESP nécessaires pour chaque IPSec SA.
• Utilise l’algorithme DiffieHellman pour les générations de clefs. [10]
3. Plan d’action
Pour mettre en place notre planification nous avons utilisé le logiciel de gestion de projet
Gantt Project, il permet de planifier efficacement les projets, décrits par les différentes tâches
et leurs dépendances, les ressources et les charges de travail associées. La planification
obtenue peut ensuite être adaptée en fonction de l’avancement du projet et des difficultés
rencontrées. Cet outil nous permet aussi d’avoir une vue précise sur notre avancement grâce
à ses différentes fonctions de calcul (diagramme de Gant, tableau de tâches.. etc).
L’enjeu de cette tâche était de planifier notre projet en respectant les différents délais
imposés, en tenant compte de la remise de différentes phases, ainsi que de la date de rendu
final.
Il nous a fallu évaluer la charge de travail requise pour chaque tâche du projet, qui ne
constitue pas forcément la charge réelle, notamment en ce qui concerne les parties
exploratoires, difficiles à spécifier précisément sans avoir commencé la phase de conception.
25
Figure 2. 4 : Plan d'action

Le projet a été divisé en cinq phases. La première phase correspond à une phase
d’étude dont l’objectif était de nous familiariser avec les différents équipements du projet et
de mieux maitriser les concepts du routage/Switching et de la sécurité. Les phases 2, 3, 4 et 5
correspondent respectivement aux phases d’analyse, de conception, de rédaction du rapport
et de la réalisation du projet.
Figure 2. 5: Diagramme de Gantt
Après avoir présenté l’organisme d’accueil, définir le cadre du projet et planifier les
différentes tâches du projet, nous allons par la suite effectuer une étude théorique pour mieux
cerner le projet.
4. Conclusion
Ce chapitre nous a permet de savoir le contexte générale du projet, les différents
protocoles et technologies à utiliser par la suite et le plan d’action qu’on va le suivre durant la
réalisation de notre projet.
26
Chapitre 3 : Etude détaillée du projet
1. Description de la solution
La sécurité est un sujet qui touche tous les composants du système d'information, y
compris l'environnement (local technique) et les utilisateurs. Elle couvre généralement trois
principaux objectifs :
L’intégrité : garantir que les données sont bien celles qu'on croit être ;
La confidentialité : donner l'accès aux ressources aux seules personnes autorisées ;
La disponibilité : maintenir le bon fonctionnement du système informatique.
Pour assurer son fonctionnement ou ses interconnexions, le réseau a besoin
d'équipements tels que les Firewalls (Fortigate, Cisco Asa, SRX juniper), les routeurs et des
commutateurs (switches). Ces équipements très sensibles sont installés dans des locaux
spécifiques sécurisés couramment appelés "Data Center".
2. Architecture générale du projet
Figure 3. 1 : Architecture globale du projet
27
PLAN D’adressage :
Le tableau suivant décrit le plan d’adressage des équipements installés sur les sites
(Réseaux Locaux) :
Adresse IP Masque du réseau
@ Réseaux du site 10.10.0.0 255.255.255.0
@ Réseaux des clients 10.10.0.10=>10.10.0.110 255.255.255.0
Site1 CGI @ Serveur AD 10.10.0.5 255.255.255.255
@ Serveur Téléphonie 10.10.0.4 255.255.255.255
@ Serveur Exchange 10.10.0.6 255.255.255.255
@ Réseaux du site 10.20.0.0 255.255.255.0
@ Réseaux des clients 10.20.0.10=>10.20.0.210 255.255.255.0
Site2 CGI
@ Serveur Supervision 10.20.0.2 255.255.255.255
@ Serveur Téléphonie 10.20.0.4 255.255.255.255
Site Client @ Réseaux du site 172.16.10.0 255.255.255.0
Tableau 3. 1 : Plan d'adressage des Sites
Le tableau suivant décrit le plan d’adressage des équipements d’interconnexion entre les
sites :
Equipement Interface Adresse IP
ASA « Client » - SRX ASA E0/0 192.168.200.2
ASA – Fortigate ASA E1/0 1.1.1.1
Routeur Site1 – SRX Routeur Site1 F0/0 192.168.100.2
Routeur Site1 - Fortigate Routeur Site1 F0/1 2.2.2.1
Routeur Site2 – SRX Routeur Site2 F0/0 192.168.150.2
Routeur Site2 – ASA « Site2» Routeur Site2 F0/1 3.3.3.1
SRX – ASA « Client » SRX Ge-0/0/1 192.168.200.1
SRX – Routeur Site1 SRX Ge-0/0/2 192.168.100.1
SRX – Routeur Site2 SRX Ge-0/0/3 192.168.150.1
Tableau 3. 2 : Plan d'adressage des équipements d'interconnexion
28
3. Architecture détaillée du projet
L’architecture CGI se compose de 4 parties, le Cloud informatique, Site 1, Site 2 et le Site

Client.
3.1. Le Cloud informatique :
Figure 3. 3: Architecture du cloud
Cette partie comporte un firewall jupier SRX conçu pour l’ouverture de flux, définir et
assurer l’intercommunication des zones de sécurité, connecté à un Cisco ASA coté client qui
permet de sécuriser les flux entrants et sortants, utilisé aussi pour avoir un tunnel IPSec Site
to Site (entre les sites CGI et le Site du client) et des routeurs Cisco 3735 coté site1 et site 2.
Commençant par le SRX :
3.1.1. SRX :
Lorsqu’on parle du SRX Juniper il faut bien indiquer les paramètres suivant qu’on a utilisé pour
notre configuration :
 Zones de sécurités et leurs interfaces
Les zones de sécurité sont les éléments constitutifs des règles. Ce sont des entités logiques
auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité permettent de
distinguer les réseaux et leurs ressources les unes des autres afin de leur appliquer différentes
mesures de sécurité sur le trafic entrant et sortant. [11]
29
Une interface pour une zone de sécurité peut être considérée comme une porte à travers
laquelle le trafic TCP / IP peut passer entre cette zone et toute autre zone.
De nombreuses interfaces peuvent partager exactement les mêmes exigences de sécurité.
Cependant, différentes interfaces peuvent également avoir des exigences de sécurité
différentes pour les paquets de données entrants et sortants. Les interfaces présentant des
exigences de sécurité identiques peuvent être regroupées en une seule zone de sécurité.
 politique de sécurité « Security Policy »
Une politique de sécurité est une stratégie qui fournit un ensemble d'outils aux
administrateurs réseau, leur permettant d'implémenter la sécurité réseau pour leurs
organisations et les actions qui doivent être effectuées sur le trafic lorsqu'il passe à travers le
pare-feu pour sécuriser et contrôler l'accès à leurs réseau local et à leurs ressources.
Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et
quitte une autre zone de sécurité. Cette combinaison de from-zone et de to-zone s'appelle un
contexte. Grâce aux contextes définis, le trafic est autorisé entre les zones à circuler dans une
direction ou dans les deux, chaque contexte contient une liste ordonnée de règles traitées
dans l'ordre dans lequel elles sont définies dans un contexte.
Les règles permettent de refuser, autoriser, rejeter, crypter et décrypter, authentifier,
hiérarchiser, planifier, filtrer et surveiller le trafic qui tente de traverser une zone de sécurité
à un autre. On décide quels utilisateurs et quelles données peuvent entrer et sortir, et quand
et où ils peuvent aller.
Figure 3. 3 : Principe des zones de sécurité – SRX
30
 La stratégie de sécurité
Une stratégie de sécurité est un ensemble d'instructions qui contrôle le trafic d'une source
spécifiée vers une destination spécifiée à l'aide d'un service spécifié. Une stratégie autorise,
refuse des types de trafic spécifiés unidirectionnellement entre deux points.
Chaque Policy comprend:
 Un nom unique pour la Policy.

 A from-zone and a to-zone, par example: user@host# set security policies from-zone
untrust to-zone untrust
 Ensemble de critères de correspondance définissant les conditions à remplir pour
appliquer la règle de stratégie. Les critères de correspondance sont basés sur une
adresse IP source, une adresse IP de destination et des applications.
 Un ensemble d'actions à effectuer en cas de match « permit, deny ou drop ».
 Address Book
Un carnet d'adresses est une collection d'adresses et de jeux d'adresses. Junos OS vous
permet de configurer plusieurs carnets d'adresses. Les carnets d'adresses sont pour but
d’identifier une ou ensemble d’adresse réseau afin que vous puissiez leur appliquer des
stratégies. [11]
Les entrées du carnet d'adresses incluent les adresses des hôtes et des sous-réseaux dont
le trafic est autorisé, bloqué, crypté ou authentifié par l'utilisateur. Ces adresses peuvent être
n'importe quelle combinaison d'adresses IPv4, d'adresses IPv6, d'adresses génériques ou de
noms DNS (Domain Name System).
 Routage statique de base
Comme vous pouvez lier plusieurs interfaces à une zone, les routes que vous utilisez sont
importantes pour diriger le trafic vers les interfaces de votre choix.
Les routes permanentes dans les tables de routage et de transfert sont souvent
configurées en tant que routes statiques
Pour créer une route statique dans la table de routage, vous devez au moins définir la
route comme statique et lui associer une adresse de saut suivant.
31
La route statique est insérée dans la table de routage et par la suite dans la table transfert
lorsque l'adresse de saut suivant est accessible. Tout le trafic destiné à la route statique est
transmis à l'adresse du saut suivant pour le transit.
3.1.2. ASA :
Lorsqu’on parle de l’asa il faut bien indiquer les paramètres suivant qu’on a utilisé pour notre
configuration
 Les interfaces réseau et les niveaux de sécurité (Security Level) :
Chaque interface doit posséder un nom (inside, outside, etc.) et un security-level. Le

security-level est le niveau de confiance accordé au sous-réseau désigné. Ainsi un sous-réseau
avec un security-level égal à 0 ne pourra pas communiquer avec un sous-réseau configuré
avec une valeur à 100. L’inverse est bien entendu autorisé (level 100 vers level 0), dans ce cas
le sous-réseau configuré à 0 pourra répondre au sous-réseau configuré à 100.
 Routage :
Sur les équipements Cisco, les protocoles de routage possèdent tous une Distance
Administrative (DA) qui permet de privilégier certaines informations par rapport à d’autres.
Chaque protocole de routage possède sa propre DA et cette dernière est prise en compte dans
le choix du chemin à emprunter, si un équipement possède deux routes identiques annoncées
par deux protocoles différents, l’équipement choisira la route proposée par le protocole de
routage possédant la DA la plus faible. Voici donc un tableau récapitulatif des protocoles les
plus utilisés ainsi que leur DA associée (il s’agit des valeurs Cisco par défaut, elles sont
personnalisables afin de pouvoir privilégier un protocole à un autre) : [12]
Figure 3. 4 : Distance administrative des protocoles de routage
32
Par la suite on a configuré dans notre architecture le routage statique afin de bien préciser
la source et la destination demandé et pour mieux sécurisé les réseaux (sites CGI en question)
car ce routage est plus maitrisable dans la partie production.
 Règle de filtrage :
Les listes de contrôle d'accès sont généralement composées de plusieurs entrées de

contrôle d'accès (ACE) organisées en interne par l'appliance de sécurité dans une liste chaînée.
Les entrées de contrôle d'accès décrivent un ensemble de trafic tel que celui provenant d'un
hôte ou d'un réseau et répertorient une action à appliquer à ce trafic, généralement autoriser
ou refuser. Lorsqu'un paquet est soumis à un contrôle de liste d'accès, Cisco Security
Appliance recherche cette liste chaînée d'ACE afin d'en trouver une qui corresponde au
paquet. Le premier ACE qui correspond à l'appliance de sécurité est celui qui est appliqué au
paquet. Une fois la correspondance trouvée, l'action dans cette ACE (autoriser ou refuser) est
appliquée au paquet. [12]
 Nat transversal :
En réseau informatique, NAT-T (NAT traversal dans le cadre de l'IKE) est une méthode
permettant aux datagrammes IPsec de traverser un réseau utilisant du NAT. [13]
En effet, le PAT est un type de NAT qui ne s'applique qu'aux protocoles UDP et TCP (couche
4 du modèle OSI) pour discriminer les différents flux IP. Or IPSec (Internet Protocol Security)
est un protocole de couche 3 uniquement, il ne possède pas de couche 4. De ce fait, il n'est
pas compatible avec le PAT.
Cependant, il est toujours possible d'utiliser le protocole NAT-T qui encapsule les paquets
IPsec dans des paquets UDP permettant à ces derniers de traverser un réseau « natté » avec
du PAT. La négociation du NAT-T durant l'IKE est définie par la RFC 39471 et l'encapsulation
proprement dite est quant à elle définie dans la RFC 39482.
Cisco a développé son propre protocole de tunnel pour traverser un réseau natté. Il
permet d'utiliser IPSec sur TCP ou bien UDP. [13]
 DHCP en ASA :
Vous pouvez configurer un serveur DHCP sur chaque interface de l'ASA. Chaque interface
peut avoir son propre pool d'adresses à partir duquel dessiner.
33
Toutefois, les autres paramètres DHCP, tels que les serveurs DNS, le nom de domaine, les
options, le délai d'attente de ping et les serveurs WINS, sont configurés globalement et utilisés
par le serveur DHCP sur toutes les interfaces.
 IP Sec en ASA :
La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est
possible de réaliser des VPN site à site, mais aussi des VPN pour un accès distant. Par la suite
nous allons configurer un VPN site à site entre notre l’ASA et le Fortigate (Coté client).
3.1.3. Routeur Cisco 3735
Le routeur est un élément intermédiaire dans un réseau informatique assurant le routage

des paquets. Son rôle est de faire transiter des paquets d'une interface réseau vers une autre,
au mieux, selon un ensemble de règles. Il y a habituellement confusion entre routeur et relais,
car dans les réseaux Ethernet les routeurs opèrent au niveau de la couche 3 de l'OSI.
Le routeur Cisco 3735 relie le réseau du client aux deux sites CGI via le Cloud, ce modèle
se caractérise par ses hautes performances, fiable et sécurisée et sa stabilité par rapport aux
autres modèles. Ce routeur éprouvé fournit les performances et la sécurité dont on a besoin
pour optimiser la productivité des employés et de l’entreprise.
3.2. Le Site1-CGI :
Figure 3. 5 : Architecture du Site1 CGI
34
Cette partie comporte un firewall Fortigate conçu pour la sécurisation du réseau local du
Site1 en analysant les flux entrants et sortants, un serveur de téléphonie (Asterisk) utilisé pour
réaliser des appels téléphoniques entre les utilisateurs des sites CGI et un serveur AD dans
lequel on a installé les fonctionnalités : l’AD DS, DNS.
Commençant par le Fortigate :
3.2.1. Fortigate :
 Les interfaces réseau et les niveaux de sécurité (Security Level) :
L’unité Fortigate comporte un certain nombre de ports, Chaque interface doit posséder
les protocoles quelle permet le faire passer le flux correspondant au protocole déclarer. La
communication entre les interfaces se fait par Policy, chaque policy à un sens unidirectionnel
 Routage
L’unité Fortigate peut jouer le rôle d’un routeur pour faire circuler les flux entrant et
sortants vers leurs destinations, suivant une table de routage. Le routage dans Fortigate se
base sur des priorités des différentes routes possibles, le système évalue d'abord les règles
d'itinéraire de contenu, puis les routes de stratégie, puis les routes statiques. Les paquets sont
routés vers la première route qui correspond. [14]
La table de routage statique est celle qui doit inclure une "route par défaut" à utiliser
lorsqu'aucune route plus spécifique n'a été déterminée.
Les routes statiques spécifient l'adresse IP d'un routeur next-hop accessible depuis cette
interface réseau.
 Règle de filtrage :
Les règles pare-feu sont des instructions utilisées par le boîtier FortiGate pour décider de
la réponse à donner à une requête de connexion. Lorsque le boitier FortiGate reçoit une
requête de connexion sous la forme d'un paquet, il analyse ce paquet pour en extraire
l'adresse source, l'adresse de destination et le service (via le numéro du port).
L’adresse source, l’adresse de destination et le service d’un paquet qui veut se connecter
à travers un FortiGate doivent correspondre à une règle pare-feu. La règle régit l’action du
pare-feu sur le paquet. Les actions possibles sont l’autorisation de la connexion, le blocage de
la connexion, la requête d’une authentification avant que la connexion soit autorisée ou le
traitement du paquet comme un paquet IPSec VPN. [14]
35
 DHCP en Fortigate :
Le Fortigate peut fournir le service DHCP et donc distribuer une ou plusieurs adresses aux
équipements du réseau local, à partir d'une plage d'adresses définie.
Un ou plusieurs serveurs DHCP peuvent être configuré sur n'importe quelle interface
Fortigate. Un serveur DHCP attribue dynamiquement des adresses IP aux hôtes du réseau
connecté à l'interface. Les ordinateurs hôtes doivent être configurés pour obtenir leurs
adresses IP en utilisant DHCP.
3.2.2. Windows Server2008 (AD – DNS)
Windows Server 2008 permet de gérer les rôles et fonctionnalités des autres
serveurs de notre réseau. Nous n’avons pour l’instant aucun autre serveur donc cette
installation ne concernera que notre futur contrôleur de domaine.
L'AD (Active Directory) : L'active Directory permet de recenser toutes les
informations concernant le réseau, que ce soit les utilisateurs, les machines ou les
applications. L'Active Directory constitue ainsi le noyau de toute l'architecture réseau
et permet ainsi de facilité l'accès aux applications et aux périphériques disponibles sur
le réseau.
FTP (File Transfer Protocol) est un protocole de communication, de la couche
application du modèle OSI, destiné au partage de fichiers sur un réseau TCP/IP. Il
permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du
réseau, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur. Ce
mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un
tiers.
Le DNS (Domain Name System) : Un serveur DNS est en quelque sorte un annuaire
pour ordinateur. Lorsque vous voulez accéder à un ordinateur dans le réseau, votre
ordinateur va interroger le serveur DNS pour récupérer l’adresse de l’ordinateur que
vous voulez joindre. Une fois, que votre ordinateur aura récupéré l’adresse du
destinataire, il pourra le joindre directement avec son adresse IP.
36
Ce serveur comprend une zone de résolution directe pour la résolution du mon

en adresse ip et une zone de résolution inverse pour la résolution des adresses en nom.
[15]
Figure 3. 6 : Principe de fonctionnement du DNS
DNS sur Windows 2008 Server

Dans le rôle de serveur DNS de Windows Server 2008, quatre fonctions ont été ajoutées
ou améliorées pour renforcer le service de serveur DNS ou lui attribuer de nouvelles
fonctionnalités :
 Chargement de zone en arrière-plan

Les serveurs DNS qui hébergent des zones DNS importantes stockées dans des services
AD DS (Active Directory Domain Services) sont en mesure de répondre plus rapidement aux
demandes clients lorsqu’ils redémarrent car les données de zone sont désormais chargées en
arrière-plan.
 Prise en charge des contrôleurs de domaine en lecture seule

Le rôle de serveur DNS de Windows Server 2008 propose des zones principales en lecture
seule sur des contrôleurs de domaine en lecture seule.
 Noms unique globaux
La zone GlobalNames zone offre une résolution des noms en une seule partie aux grands
réseaux d’entreprise qui ne déploient pas WINS (Windows Internet Name Service). Elle s’avère
utile lorsqu’il n’est pas possible d’utiliser des suffixes de noms DNS pour assurer la résolution
des noms en une seule partie. [15]
37
3.2.3. Serveur Asterisk
Asterisk est un autocommutateur téléphonique privé (PABX) open source et

propriétaire pour systèmes GNU/Linux. Il permet, la messagerie vocale, les files
d'attente, les agents d'appels, les musiques d'attente et les mises en garde d'appels, la
distribution des appels.
Asterisk implémente les protocoles H.320, H.323 et SIP, ainsi qu'un protocole
spécifique nommé IAX (Inter-Asterisk eXchange). Ce protocole IAX permet la
communication entre deux serveurs Asterisk ainsi qu'entre client et serveur Asterisk.
Asterisk peut également jouer le rôle de registrar et passerelle avec les r éseaux publics
(RTC, GSM, etc.). [16]
 Fonctionnalités
Asterisk comprend un nombre très élevé de fonctions permettant l'intégration
complète pour répondre à la majorité des besoins en téléphonie. Il permet de
remplacer totalement, par le biais de cartes FXO/FXS, un PABX propriétaire, et d'y
adjoindre des fonctionnalités de VoIP pour le transformer en PBX IP. Il permet
également de fonctionner totalement en VoIP, par le biais de téléphon es SIP ou IAX du
marché.
Au sein des grandes installations d'Asterisk, il est courant de déployer les
fonctionnalités sur plusieurs serveurs. Une unité centrale ou plus seront dédiées au
traitement des appels et seront épaulées par des serveurs auxiliaires traitant les tâches
secondaires (comme une base de données, les boîtes vocales, les conférences). Des
modules tiers permettent de visualiser ou paramétrer le PBX via une interface Flash ou
via un client léger. Enfin, notez qu'une distribution particulière d'Asterisk, Asterisk
NOW, est dédiée au PBX léger sur un réseau domestique. [16]
 X-lite
X-Lite est un soft phone comme il en existe beaucoup. Il a la particularité d’être
gratuit et de gérer les appels vidéo. Sa configuration est simple et son installatio n l’est
aussi.
Pour configurer le logiciel X-Lite il suffit d’ajouter un <SIP Account > et de renseigner
le nom ou l’adresse du serveur SIP le login et le mot de passe.
38
3.2.4. Serveur Exchange
Microsoft Exchange Server est un serveur de messagerie et un serveur d'agenda

développés par Microsoft . Il fonctionne exclusivement sur les systèmes d'exploitation
Windows Server .
Il est important de comprendre comment fonctionne un service de messagerie
Exchange. De l’envoi d’un mail jusqu’à sa réception sur une boite mail, une multitude
d’étapes se déroulent. Ce schéma résume ces différents points de passage des emails
au travers des différents protocoles mails : [17]
Figure 3. 7 : Principe de fonctionnement de l’Exchange
Sur le schéma précédent vous pouvez constater les différents points de contrôle
entre ces deux Exchange Server 2016. Voici à quoi correspondent ces différents
acronymes :
 Le MUA = Mail User Agent : Le MUA désigne le client de messagerie (ou logiciel) utilisé
pour envoyer ou recevoir ses mails. La messagerie professionnelle la plus répandue est
Microsoft Outlook Exchange mais il en existe d’autres tels que Thunderbird, Lotus
Notes, Zimbra ou encore Google Suite avec Gmail.
 Le MSA = Mail Submission Agent : C’est le programme serveur qui traite les demandes
de mails envoyés. En fait le Mail User Agent envoi une demande d’envoi email au MSA
qui y répondra favorablement si toutes les conditions sont remplis (login et password
corrects, contenu autorisé…).
 Le MTA = Mail Transfert Agent : Cet élément correspond à la voiture de transport du
courrier électronique pour amener le mail d’un serveur Exchange à l’autre.
 Le MDA = Mail Delivery Agent : Jouant le rôle inverse du MSA, le Mail Delivery Agent
comme son nom l’indique permet de délivrer le mail dans le client de messagerie du
destinataire. C’est un logiciel serveur qui traite l’information du courrier électronique
pour le transmettre à un Mail User Agent comme Outlook Exchange par exemple. [17]
39
Pour communiquer entre eux de manière sécurisée, tous ces agents mails reposent
sur le protocole SMTP
SMTP « Simple Mail Transfert Protocol »: Ce protocole permet globalement
d’émettre les mails, il est donc surtout utilisé par le Mail Submission Agent et le Mail
Transfert Agent.
3.3. Site2-CGI :
Figure 3. 8 : Architecture du Site2 CGI
Le Serveur Asterisk et le par feu (Fortigate sont déjà cité précédemment)

Par la suite on va détailler un peu sur le serveur de supervision Centreon, et le
serveur Web.
3.3.1. Serveur Centreon (Supervision)
Centreon est un serveur conçus pour la supervision des différents équipements d’un
réseau, suite à des recherches plus approfondies et aux conseils de notre encadrant,
on est penché sur une variante de la solution, à savoir : Centreon Entreprise Server.
La base Centreon est une surcouche de Nagios, et donc logiquement il fallait
procéder à une installation complète de Nagios (plugins..) puis à l'installation de
Centreon. Grâce à CES, on retrouve le meilleur de la suite Centreon dans une solution
efficace, complète et maintenue au sein d'un même package. [18]
40
L'intérêt est bien entendu de déployer rapidement les outils nécessaires à notre
supervision vis-à-vis de notre infrastructure.
La solution est présentée sous la forme d'une image ISO, on peut alors la graver
pour procéder à l'installation, ou tout simplement créer une machine virtuelle basée
sur celle-ci. Une fois installée, CES est prêt à l'emploi.
Il est composé des différents outils suivants :
 Un noyau Linux: CES est basé sur la distribution CentOs 6.5, elle-même basée sur
RedHat Enterprise Linux (REHL). Le principal avantage vient de l'outil YUM qui
facilite l'exploitation et la gestion des paquets au format RPM, toutes les
dépendances sont automatiquement calculées par YUM, il n'est donc pas nécessaire
de vérifier les versions de chaque paquet. Un simple "yum update" permet de
mettre à jour tous les éléments de CES (Centreon Entreprise Serve).
 Un ordonnanceur (moteur central): CES propose le choix de deux ordonnanceurs,
le premier Nagios le plus classique connu de tous, et le second Centreon Engine,
développé par les équipe de Meréthis. Celui-ci offre une alternative au moteur
central Nagios, mais est cependant basé sur Nagios. C'est un véritable challenge
que se sont lancés les équipes de Meréthis, en ne cachant pas qu'ils souhaitent à
long terme remplacer Nagios par leur propre ordonnanceur.
 Un broker: Un Broker est un module chargé de remonter les informations dans la
base de données.
 Une IHM intuitive: il s'agit bien évidemment de Centreon lui-même, qui fournit une
interface simplifiée, pour rendre la consultation de l'état du système accessible aux
utilisateurs, également à présent les informations et l'administration des
ordonnanceurs sont inclus dans l'interface (sous le nom de Monitoring Engine).
 Un serveur HTTP: CES propose la version propose la version la plus récente de
APACHE (la version 2) qui est actuellement le serveur HTTP le plus utilisé pour le
développement. Son support Multiplateformes ainsi que les processus légers UNIX
en font un incontournable.
 Une base de données et son SGBD: Une base de données est installée afin de
permettre la remontée des données à l'aide du Broker. [18]
41
3.3.2. Serveur WEB – CA

 Serveur WEB
Un serveur web est spécifiquement un serveur multi-service utilisé pour publier

des sites web sur Internet ou un intranet. L'expression « serveur Web » désigne
également le logiciel utilisé sur le serveur pour exécuter les requêtes HTTP, le protocole
de communication employé sur le World Wide Web.
Un serveur web diffuse généralement des sites web, il peut contenir d'autres
services liés comme l'envoi d'e-mails, du streaming, le transfert de fichiers par FTP, etc.
 Serveur CA
Les certificats d’authentification serveur sont des certificats qui servent à identifier
de façon sûre le serveur (ou les applications) auprès d’autres applications tierces. [19]
En effet comme tous les certificats, le certificat d’authentification serveur est
considéré comme la carte d’identité du serveur. Pareillement à la carte d’identité, il
doit être émis par une autorité ou un tiers de confiance et est composé d’un ensemble
de données servant à identifier le serveur. En principe, son fonctionnement est basé
sur le chiffrement d’informations et sur la confiance. De ce fait, un tel certificat doit au
moins contenir une clé publique pour que les informations sur le serveur ne soient
lisibles que par ceux qui détiennent la clé privée correspondante. En outre, il doit
contenir les informations d’identification du serveur comme son nom, sa localisation,
etc… Il doit aussi être associé au moins à une signature puisque celle-ci est le garant
de la non-altération des informations hébergées sur le serveur. [19]
Par ailleurs, les certificats d’authentification serveur permettent d’établir des
sessions sécurisées pour l’échange des données entre serveurs .
42
Chapitre 4 : Réalisation et Simulation du projet
1. Outils de réalisation et Simulation
Afin de réaliser notre projet nous avons utilisé deux plateformes (GNS3 et VMWAR)
le premier c’est pour dessiner l’architecture et réaliser les interconnexions, le
deuxième est utilisé pour mettre en place les machines virtuelles et les configurer.
L’interconnexion entre les deux plateformes se fait par un fichier « gns3server.exe »
et en importons les machines, ainsi d’attribuer à chaque machine virtuel des cartes
réseaux virtuelles de VMnet 1 => VMnet 19.
1.1. GNS3
GNS3 (Graphical Network Simulator) est un logiciel Open Source permettant

l'émulation ou la simulation de réseaux informatiques, permet le même type
d'émulation à l'aide de Cisco Internet work Operating Systems. Il vous permet
d’exécuter un IOS Cisco dans un environnement virtuel sur votre ordinateur. GNS3 est
une interface graphique pour un produit appelé Dynagen. Dynamips est le programme
de base qui permet l'émulation d'IOS. Dynagen s'exécute au-dessus de Dynamips pour
créer un environnement plus convivial, basé sur le texte environnement. [20]
1.2. VMware Workstation
VMware Workstation est une plate-forme de virtualisation qui permet à

plusieurs systèmes d'exploitation de travailler sur une même machine physique en
même temps.
VMware Workstation prend en charge le pontage des cartes réseau hôte existantes
et le partage de disques durs physiques et de périphériques USB avec une machine
virtuelle. Il peut simuler des lecteurs de disque; un fichier image ISO peut être monté
en tant que lecteur de disque optique virtuel et les lecteurs de disque dur virtuels sont
implémentés en tant que fichiers .vmdk .
43
2. Réalisation du projet
La phase de la réalisation est divisée en 4 parties :
2.1. Configuration des équipements du Site1 - CGI
Figure 4. 1 : Architecture site1
Tout d’abord Pour le site 1 On a mis un Firewall « Fortigate » dans lequel on a

configuré le DHCP et surveiller les flux entrants et sortants, un serveur de téléphonie
Asterisk et deux autres serveurs le premier contient l’AD, le DNS et le FTP en outre le
deuxième est utilisé pour la messagerie « serveur Exchange ».
Au début on a commencé par configurer le Fortigate :
2.1.1. Configuration du Fortigate :

Les premiers paramètres à configurer sont les interfaces :
Figure 4. 2 : Configuration des interfaces du Fortigate Site1
44
Après avoir configuré les interfaces du Fortigate, on peut maintenant y accéder à

son interface web :
Figure 4. 3 : Interface Web du Fortigate Site1
On ajoute des routes statique sur le Fortigate afin qu’il puisse connaitre la route
vers le réseau demandé en question :
Figure 4. 4 : Configuration des routes statique sur Fortigate Site1
Sur cet équipement le routage n’est pas suffisant pour identifier les réseaux
distants, il fallait donc configurer Policy Route
L’ajout d’une route Policy se fait comme montre la figure suivante :
Figure 4. 5 : Exemple de configuration du route statique su Fortigate
45
Après avoir ajouté les routes policy on s’assure que les routes sont bien
configurées :
Figure 4. 6 : Configuration du Policy route sur Fortigate Site1
Il nous reste qu’à configurer les Policy afin de surveiller les flux entrants et sortant
vers le site 1 pour cela on sélection l’interface source et on ajoute le réseau source,
l’interface de destination et le port de destination et les services à autoriser :
Figure 4. 7 : Exemple de configuration du Policy sur Fortigate Site1
L’appellation d’un réseau par un nom se fait par (clique sur le bouton plus pour
ajouter un nouveau nom d’un réseau) et on remplit les cases :
Figure 4. 8 : Exemple de nomination d'un réseau sur Fortigate Site1
46
La configuration résultant des flux entrants et sortants pour autoriser le flux de passe r
par les deux interfaces est la suivante :
Figure 4. 9 : Configuration des autorisations sur les flux entrants et sortants sur le Fortigate Site1
La configuration du proxy sur le Fortigate est montrée sur les figures suivantes :
Figure 4. 10 : Configuration -1- du proxy
47
La dernière phase avant le tunnel c’est de distribuer les adresses IP en réseau local
à travers le service DHCP :
Figure 4. 13 : Configuration du service DHCP sur le Fortigate Site1
2.1.2. Configuration AD – DNS - FTP

Après avoir installé la machine Windows Server 2008 on Lance l'ajout des
rôles depuis la console Gestion de l'ordinateur :
Les fonctionnalités à ajouter sont les suivantes :
 AD DS (Active Directory Domaine Services)
On sélectionne le service adéquat à l’Active Directory Domaine Services
48
Figure 4. 14 : Installation de fonctionnalité de l'AD
On confirme les sélections par défaut et on vérifie les fonctionnalités installé dans le
champ résultat :
Figure 4. 15: Résultat d'installation de la fonctionnalité de l'AD
Après avoir installé les fonctionnalités de l’AD il reste d’installer ses services :
Pour cela on crée une nouvelle forêt qu’on la nomme CGI-Local :
49
Figure 4. 16 : Assistant d'installation des services de domaine AD
Il reste que définir les options supplémentaires pour ce contrôleur de domaine et

attribuer une adresse IP à notre serveur:
Figure 4. 17 : Adressage IP du serveur AD
50
On ajoute le service de restauration annuaire et on confirme notre configuration
Figure 4. 18: Le Résumé d'installation de service de l'AD-DS
 DNS (Domaine Name System)

Tout d’abord il faut ajouter le rôle « Serveur DNS » à notre Serveur. Pour cela on
ouvre le Gestionnaire de serveur on sélectionne « Ajouter un rôle » et sélectionnez
Serveur DNS puis zone principale:
Figure 4. 19 : Configuration du Zone principale DNS
Puis on sélectionne zone directe ensuite en le nome CGI.local
Figure 4. 20 : Configuration de la recherche directe DNS
51
Après avoir terminé la configuration de la zone directe on ajoute le pointeur

d’enregistrement et la traduction de nom de domaine en adresse IP :
Figure 4. 21 : L'ajout de traduction de nom de domaine en adresse IP
Pour la configuration de la zone inverse :

On sélectionne zone principale puis zone de recherche inversée
Figure 4. 22 : Configuration de la recherche inversée DNS
Ensuite on ajoute l’id réseau et le nom
Figure 4. 23 : Assistant de configuration de la recherche inversée
52
Après avoir terminé l’installation et la configuration de la zone inverse on s’assure

que les services sont bien opérationnels :
Figure 4 :de
Figure 4. 24 : Résultat la recherche directede
configuration et la
inverse installédirect
recherche avec succès
et inversée sur DNS
 FTP (File Transfert Protocol)

On installe la fonctionnalité d’IIS Server dans lequel on coche
Figure 4. 25 : Installation de Serveur FTP
Puis on ajoute les utilisateurs que nous allons autoriser à manipuler les fichiers et répertoires
gérés par le service FTP et on clique ajouter site FTP :
Figure 4. 26 : L'ajout du site FTP
53
On saisit le nom du site FTP et on sélectionne le chemin du dossier qu’on souhaite le partager :
Figure 4. 27 : L'ajout des informations du site FTP

On renseigne l’adresse de notre serveur et le port adéquat :
Figure 4. 28 : La configuration d''adresse IP et du port sur le serveur FTP
On utilise l’authentification de base, et on autorise le group renseigner en lecture et écriture :
Figure 4. 29 : Les autorisations et l'authentification du serveur FTP
54
2.1.3. Configuration du serveur Asterisk :

Après avoir installé le serveur Asterisk avec succès, on accède à l’interface web du
serveur Asterisk en le mettant dans la barre de recherche sur le navigateur Web :
Figure 4. 30 : Interface Web du serveur Asterisk
La première des choses c’est de créer les utilisateurs :
Figure 4. 31 : Exemple de création d'utilisateur sur Asterisk Site1
On ajoute l’adresse du réseau local
Figure 4. 32 : L'ajout du réseau local au serveur Asterisk
55
On remplit les champs suivants comme montre la figure :
Figure 4. 33 : Configuration Asterisk Site1
56
On génère le certificat management, et on valide la configuration qui reste puis on

télécharge le fichier de configuration :
Figure 4. 34 : Dernière phase de configuration Asterisk Site 1
Il reste qu’à configurer les utilisateurs ajoutés sur x-lite après son installation sur l’une
des machines d’utilisateurs locaux
Figure 4. 35: Exemple de configuration d'utilisateur sur x-lite
57
2.1.4. Configuration du serveur Exchange:

Après avoir installé une autre machine Windows Server 2008 et configuré son adressage IP
Il reste qu’installer les fonctionnalités du Serveur de messagerie :
Figure 4. 36 : Installation d'Exchange Server 2010
On sélectionne installation par défaut d’Exchange Server, on saisit le nom d’organisation et

le domaine du serveur Exchange :
Figure 4. 37 : La configuration des différents paramètres du Serveur Exchange
58
On installe le service exchange et on clique terminer :
Figure 4. 38 : Résumé d'installation du service Exchange
On l’ajoute notre serveur au domaine CGI.local et on vérifie son état :
Figure 4. 39 : La dernière phase d'installation du serveur Exchange
59
2.2. Configuration des équipements du Cloud
Pour la partie de l’interconnexion sur le cloud :
Figure 4. 40 : Architecture du Cloud
Tout d’abord on a commencé par la configuration de l’ASA coté client :
2.2.1. Configuration de l’ASA Cloud coté client

Premièrement nous allons mettre en place une configuration de base dans l’ASA
afin d’y accéder avec l’ASDM.
Figure 4. 41 : Les interfaces de l'ASA-cloud- coté client
Les commandes suivant permettent d’autoriser l’accès à l’interface de Management

de l’ASA via n’importe quelle machine ayant le réseau 192.168.240.0/24 :
Figure 4. 42 : Configuration d'accès à l'interface management de l'ASA-Cloud- coté client
60
L’ASDM est l’interface WEB de l’ASA. Même si elle n’est pas exempte de dé faut, elle
reste une très bonne interface de configuration, qui vous permettra de vous passer en
grande partie de la CLI, les commandes ci-dessous permettent d’importer le fichier
asdm.bin via tftp afin d’accéder à l’interface de configuration de l’ASA via la machine
physique
Figure 4. 43 : L'ajout du fichier ASDM sur l'ASA-Cloud- coté client

On se connectant sur l’interface management en http via un navigateur Web :
Figure 4. 44 : Interface web de l'ASA
On installe l’ASDM et on configure l’accès admin avec le mot de passe en cli, on peut
maintenant accéder à l’interface ASDM :
Figure 4. 45 : L'accès à l'interface ASDM sur l'ASA-Cloud- coté client
61
On ajoute les routes afin d’y accéder vers les réseaux définit précédemment dans
le plan d’adressage
Figure 4. 46 : Configuration des routes statiques sur l'ASA-Cloud- coté client
Il reste qu’à configurer les ACL en autorisant les réseaux suivant :
Figure 4. 47 : Configuration des ACL sur l'ASA-Cloud- coté client
62
2.2.2. Configuration du Routeur Cloud coté Site1

Pour la configuration du routeur 1 situé en Cloud coté site1 on a configuré les
interfaces et définir les routes statiques vers les réseaux non connecté :
Figure 4. 48 : Configuration du routeur Cloud coté site1
2.2.3. Configuration du Routeur Cloud coté Site2

A propos du routeur situé en Cloud coté site2 on a mis :
Figure 4. 49: Configuration du routeur Cloud coté site2
63
2.2.4. Configuration du SRX-juniper-Cloud

Au début on a mis en place une configuration de base dans le SRX en configurons
les interfaces et créons les zones de sécurité afin de permettre la communication entre
les équipements du Cloud, voici la configuration à mettre en place :
Figure 4. 50 : Configuration des interfaces et des zones de sécurité du cloud sur le SRX
Le deuxième paramètre à configurer dans le SRX c’est de faire communiquer entre

les zones de sécurité pour permettre la communication entre eux :
La figure suivante montre la configuration nécessaire pour faire communiquer entre
les différentes zones du SRX situé en Cloud :
Figure 4. 51 : Configuration pour faire communiquer entre les zones du Cloud sur le SRX
64
La figure suivante montre la configuration des routes statiques sur le SRX afin qu’il
puisse identifier les réseaux distants :
Figure 4. 52 : Routage Statique au niveau du SRX
La figure ci-dessous montre la configuration nécessaire pour faire communiquer

entre les sites internes de l’architecture, NB : On a autorisé pour chaque direction des
flux selon le besoin et le cahier de charge :
Figure 4. 53 : Configuration pour faire communiquer entre les sites internes de l'architecture
65
2.3. Configuration des équipements du Site2 CGI
Figure 4. 54 : Architecture Site 2
Tout d’abord Pour le site 2 On a mis un Firewall « ASA-Cisco » dans lequel on a

configuré le DHCP et surveiller les flux entrants et sortants, un serveur de téléphonie
Asterisk et deux autres serveurs le premier contient les fonctionn alités WEB, CA et FTP
en outre le deuxième est utilisé pour la supervision.
Au début on a commencé par configurer l’ASA :
2.3.1. Configuration de l’ASA

Dans un premier temps on a commencé par la configuration des interfaces de l’ASA :
Figure 4. 55 : Les interfaces de l'ASA-Site2
66
On se connecte à l’interface de l’ASDM et on ajoute les routes statiques :
Figure 4. 56 : Configuration des routes statiques sur l'ASA coté Site2
Il nous reste qu’autoriser les flux entrants et sortants par l’ASA :
Figure 4. 57 : Configuration des ACL sur l'ASA Site2
67
La dernière étape c’est de configurer le DHCP sur notre Fire wall :
Figure 4. 58 : Configuration DHCP sur le Site2
2.3.2. Configuration de L’Asterisk Site 2

L’installation et la configuration de base est similaire que celui de L’Asterisk Site1
sauf que les adresses IP change (l’adresse du réseau local)
Les paramètres à modifier pour l’Asterisk site 2 sont :
Figure 4. 59 : Configuration Asterisk Site 2
L’ajout d’utilisateur sur le site 2 se fait comme la montre la figure suivante :
Figure 4. 60 : Exemple de création d'utilisateur SIP sur l'Asterisk Site2
68
On installe x-lite sur l’une des machines d’utilisateurs locaux et on ajoute

l’utilisateur créé sur Asterisk :
Figure 4. 61 : L'ajout d'utilisateur sur x-lite
2.3.3. Configuration du serveur Centreon

On configure l’interface de notre serveur, ainsi que le domaine local :
Figure 4. 62 : Adressage IP du Serveur Centreon
On continue l’installation de notre serveur en suivant les étapes par défaut puis on accède
à son interface web dans laquelle on confirme la configuration des modules de notre serveur
:
Figure 4. 63 : Interface graphique du serveur Centreon
69
Après avoir terminé la configuration basique du serveur Centreon on peut maintenant

accéder à son interface web de supervision :
Figure 4. 64 : Interface de supervision Centreon
2.3.4. Configuration du serveur Web – CA - FTP

La configuration des fonctionnalités Web et FTP sont similaires au celles du serveur déjà
cité en Site 1, le seul changement c’est l’adressage IP.
Figure 4. 65 : Adressage IP du serveur Web - FTP - CA
Concernant la configuration du serveur CA : On ajoute la fonctionnalité du CA et on remplit

les informations d’identification
Figure 4. 66 : L'ajout du rôle Autorité de certification
70
On suit les étapes de configuration par défaut et on valide la création du rôle CA :
Figure 4. 67 : Résumé de configuration des services de certificats
Ensuite on génère les certificats pour nos utilisateurs CGI :
Figure 4. 68 : L'ajout des certificats des utilisateurs
2.4. Configuration du Fortigate Site client

On configure ses interfaces comme le montre la figure suivante :
71
Figure 4. 69 : Configuration des interfaces du Fortigate site client
Puis on ajoute les routes sur notre Fortigate
Figure 4. 70 : Configuration des routes statiques sur le Fortigate client
Ensuite on ajoute les routes Policy :
Figure 4. 71 : Insertion des routes policy sur le Fortigate client
Il reste qu’autorise les flux entrants et sortants :
Figure 4. 72 : Autorisation des flux entrants et sortants sur le Fortigate client
72
Après avoir configuré les deux équipements coté client (ASA et Fortigate), il reste de
monté le tunnel VPN IP Sec entre eux afin de réaliser une communication sécurisé entre eux
Figure 4. 73 : tunnel IPSEC ASA-Fortigate
Sur l’ASA on a mis
Figure 4. 74 : Configuration phase 1 tunnel IP Sec sur l'ASA
Figure 4. 75 : Configuration phase 2 tunnel IP Sec sur l’ASA
73
Coté Fortigate on a mis :
Figure 4. 76 : Configuration phase 1 tunnel IP Sec sur le Fortigate
Figure 4. 77 : Configuration phase 2 tunnel IP Sec sur le Fortigate
74
3. Test et vérification
Apres configuration sur les deux équipements. Sur Fortigate, on aille sur VPN > Monitor
> IPSEC Monitor. On met le tunnel en mode fonctionnement, en cliquant sur « Bring Up ».
Figure 4. 78: Test Tunnel VPN IPSEC
Depuis le réseau interne du Site 1, on devrait être capable d’envoyer un Ping, et de passer
le flux vers le réseau interne du Client, dans le tunnel en toute sécurité.
Figure 4. 79 : Ping entre client et utilisateur du site 1 CGI
Ouverture d’une session Telnet :

Le flux de Telnet est permit entre le site 1 et site Client, pour pouvoir prendre la main sur
les équipements des clients.
Les membres ayant l’autorité de faire des connections Telnet vers les équipements client,
disposent d’un login et mot de passe pour y accéder.
75
Figure 4. 80: Teste d'accès Telnet vers Client
Résolution DNS
Pour accéder aux différents servers CGI, c’est plus pratique d’avoir des noms de domaines des
serveurs que de se rappeler des centaines d’adresses IP.
Figure 4. 81 : Teste de résolution DNS en utilisant nslookup
76
Supervision Centreon
La supervision des sites CGI est centralisée dans un serveur Centreon, se trouvant sur le site
2, et peut superviser les différents équipements de l’architecture. Centreon donne la
possibilité de voir les statistiques d’utilisation des ressources et les affiche sur un Dashboard.
En cas de saturation ou excès d’utilisation, Centreon génère des Warnings pour précipiter la
défaillance.
Figure 4. 82 : Supervision des hosts de la topologie
Test de Téléphonie entre Site 1 et Site 2

Pour le teste, en effectue un appel depuis deux clients de sites différent : du Site 1 vers Site 2
en utilisant Xlite.
Figure 4. 83 : Appel téléphonique entre deux clients x-lite
77
4. Mise en œuvre et plan de maintenance
Les technologies de l’informatique évoluent très rapidement, le cycle de renouvellement

du matériel est très court, aussi il est rentables d’anticiper les besoins futurs. Le choix de la
configuration la plus performante du moment pour un serveur (processeur, mémoire vive,
espace de stockage,…) permet parfois d’allonger la durée de vie d’un matériel. Les
équipements qui disposent de fonctionnalités avancées deviennent moins rapidement
obsolètes que les autres.
Les critères fondamentaux

La planification et la maintenance dépendent d’un grand nombre de facteurs dont il faut
avoir conscience et qu’il faut savoir estimer dans la mesure du possible.
Certains critères sont fondamentaux :
 Les fonctions du réseau :

o Le partage des ressources
o La centralisation de l’administration
 Les services du réseau :
o Les serveurs de fichiers et d’impression
o Les serveurs d’applications bureautiques
o Les serveurs de messagerie, les routeurs, le serveur proxy et les firewalls
 La taille du réseau :
o Le nombre de nœuds (de Sites, de serveurs), la segmentation du réseau
o La localisation des sites
o L’accès à Internet, l’accès à distance via des tunnels VPN
 La nature des données véhiculée par le réseau :
o Le débit moyen
o La sensibilité des données
o Le niveau de sécurité attendu
 Les intervenants sur le réseau :
o Les utilisateurs, leur nombre et leurs compétences informatiques
o L’administrateur
o L’assistance extérieure
 L’architecture du réseau :
o L’ouverture et la compatibilité
o L’hétérogénéité et l’interopérabilité
o La portabilité vers d’autres architectures
 L’implémentation du réseau :
o L’installation
o La configuration
o L’optimisation
78
La maintenance d’un réseau commence dès le début de la planification et se poursuit

tout au long de la vie du réseau.
Au niveau des sites :
- S’assurer de mettre des redondances des chemins entre sites, en cas de destruction lien,
on bascule vers le 2éme chemin automatiquement.
- prévoir une bande passante adéquate pour satisfaire les besoins croissants de CGI.
- Mettre en place un lieu de stockage externe pour les sauvegardes.
Au niveau des données :

- Les cryptages des données.
- La régularité des sauvegardes.
- La mise en place d’une redondance des données, tolérance de panne (système RAID).
Au niveau des matériels

- Prévoir la date de fin de service des équipements, pour la migration vers les nouvelles
versions.
- Mettre tous les équipements en cluster, pour éviter les cas de défaillance.
- Avoir des copies de configurations sur un équipement de stockage externe.
5. Conclusion
Dans ce chapitre, on a pu présenter la réalisation de notre projet, tout en expliquant
l’ensemble des étapes à suivre pour pouvoir mettre en place l’architecture réseau, et de
sécurisé les communications inter-sites, en achevant le chapitre par des tests et des un plan
de maintenance.
79
Conclusion Générale
Conclusion Générale :
Ce stage m’a permis d’approfondir mes connaissances théoriques académiques, acquises

tous le long de ma formation, par la pratique des nouvelles technologies dans le domaine de
la sécurité des réseaux informatique. Cette expérience m’a permis de maîtriser les outils de
virtualisation, ainsi le principe de supervision au sein d’un réseau locale en utilisant le serveur
Centreon, Elle m’a permis de sentir l’importance de l’esprit du groupe et d’acquérir un bon
esprit de synthèse et d’analyse.
En effet, les objectifs fixés ont donc été atteints, nous avons su proposer une solution de
sécurisation et supervision complète qui répond au cahier des charges imposé, et nous avons
pu l'intégrer avec OTRS pour plus d'efficacité et de souplesse de travail.
Lors de la création de ce projet, j’ai pu acquérir une pléthore de connaissances vis-à-vis

de notre environnement d’études de ses différents aspects dissimulés, j’ai pu également
améliorer mes manipulations au niveau des outils utilisés, des machines virtuelles choisis, afin
de mettre en place les réseaux locaux CGI ; La deuxième partie du projet était consacré pour
l’interconnexion des réseaux locaux et sécurisé l’architecture en utilisant des firewalls de
différents technologies ( Fortinet , Cisco et Juniper ).
Cette expérience était une occasion unique pour épanouir mes capacités de
communication dans un environnement professionnel, de plus nous avons eu l’occasion de
découvrir l’ambiance de travail dans une multinationale, et de travailler avec des ingénieurs
d’une grande expertise, chose qui a été d’un grand apport pour nous. Enfin mon stage au sein
de CGI été très satisfaisant et dans l’ensemble mon objectif a été atteint.
80
Les références
Les références
[1]: Livret d'accueil_CGI Maroc _ GDC Rabat et Casa Version Finale.1.1.pdf
[2]: Guide d'achat : quel pare-feu nouvelle génération "UTM/NGFW" [en ligne] disponible à
l’adresse <https://www.tomshardware.fr/articles/firewall-pare-feu-securite,2 2362.html>
[3]: pare-feu de nouvelle génération Cisco ASA, série 5500-X. [en ligne] disponible à l’adresse
<https://www.cisco.com/c/fr_ca/products/security/asa-5500-series-next-generation-
firewalls/index.html>
[4]: SRX240. [en ligne] disponible à l’adresse https://www.juniper.net/sites/fr/fr/products-

services/security/srx-series/srx240/index.page
[5]: FortiGate 800D. [en ligne] disponible à l’adresse https://www.exclusive-

networks.com/fr/wp-content/uploads/sites/11/2018/02/Fortinet_FortiGate-800D_FR.pdf
[6]: Proxy server. [en ligne] disponible à l’adresse https://whatismyipaddress.com/proxy-

server
[7]: SIP protocole. [en ligne] disponible à l’adresse http://www.stri.ups-

tlse.fr/intranet/elearning/stri4/US9EREM/aoun/supports /1213_SIP .pdf
[8]: H323vsSIP. [en ligne] disponible à l’adresse

https://wapiti.telecomlille.fr/commun/ens/peda/options/st/rio/pub/exposes
/exposesser2010-ttnfa2011 /barisaux-gourong/H323vsSIP.html
[9]: Centreon sever. [en ligne] disponible à l’adresse

https://documentationfr.centreon.com/docs/centreon/en/2.8.x/ exploitation_guide
/index.html
[10]: Cours M. Chougdali en Sécurité des réseaux informatiques en S8 (Chapitre VPN).
[11]: H323vsSIP. [en ligne] disponible à l’adresse

https://www.juniper.net/documentation/en_US/junos/topics/concept/zone-and-
interface-overview.html
81
Les références
[12]: protocole de routage su cisco asa. [en ligne] disponible à l’adresse

http://www.clementmichel.fr/configurer-des-protocoles-de-routage-sur-un-cisco-asa/
[13]: Nat transversal. [en ligne] disponible à l’adresse http://www.internet-computer-

security.com/VPN-Guide/NAT-T.html
[14]: https://docs.fortinet.com/uploaded/files/1953/Advanced%20Routing%2052.pdf
[15]:DNS sous windows server 2008. [en ligne] disponible à l’adresse

http://www.lolokai.com/blog/2012/03/27/mise-en-place-dun-serveur-dns-sous-windows-
server-2008-ou-2008-r2/
[16]: Asterisk. [en ligne] disponible à l’adresse https://www.networklab.fr/presentation-

dasterisk/
[17]: Exchange server. [en ligne] disponible à l’adresse https://www.openhost-

network.com/blog/fonctionnement-messagerie-exchange-server/
[18]: installation et configuration centreon. [en ligne] disponible à l’adresse

https://www.supinfo.com/articles/single/2191-supervision-via-centreon-installation-
configuration
[19]: Serveur d’authentification CA. [en ligne] disponible à l’adresse
https://www.oodrive.fr/blog/securite/quest-ce-quun-certificat-dauthentification-serveur/
[20] : http://www.nemako.net/dc2/?post/GNS3
82
Les annexes
Les annexes
Pour les firewalls (ASA, SRX juniper et le Fortigate) on les a eu à travers notre
encadrant, il nous a donné les machines installés en utilisant sur une version d’essai (de 6 mois
pour chaque virtual machine).
Annexe A : Installation et Configuration de Centreon
On a commencé par l’installation du Centreon .Pour commencer, il faudra récupérer
l'image ISO de Centreon 3.4.
Figure : Installation de CES
Il faut nommer l’ordinateur pour qu’il soit identifiable sur le réseau, dans notre cas le
nom d’hôte est : SRV-SUP.localdomain.
Puis On choisit maintenant l’installation de supervision, suivant l’architecture proposée
précédemment, notre choix se portera sur la proposition par défaut, le serveur central avec
la base de données interne :
Figure : Choix de système de supervision
83
Les annexes
Après configuration, l’installation démarre, la figure suivante montre la fin d’installation du

serveur :
Figure : Installation de CES terminée

On se connecte sur le serveur Web via une autre machine en saisissant l’adresse 10.20.0.2
du serveur :
Figure : Démarrage du serveur Web
Puis on suit les étapes d’installation par défaut :
Figure : Démarrage du serveur Web
84
Les annexes
Annexe B : Installation et Configuration de l’Asterisk

La première phase d’installation c’est de choisir la version, nous on a l’occasion de
travailler avec « Asterisk 11 » le choix a été imposé par le cahier de charge car cette version
est plus stable et demande moins de ressources.
Figure : Le choix de la version Asterisk à installer

Après le démarrage du système, vous verrez des options pour configurer votre réseau.
Les sélections par défaut sont correctes dans la plupart des cas, Vous pouvez également
choisir l'option pour configurer manuellement vos connexions réseau, si vous le souhaitez.
Figure : Configuration d’adresse statique sur l’Asterisk
L'installateur effectuera une vérification des dépendances, formatera le disque dur,

puis démarrera le processus d'installation du paquet. Finalement, l'installation montrera une
barre de progression indiquant le pourcentage complété et le temps écoulé / restant.
Figure : L’installation des packages
85
Les annexes
Après vous être connecté, on peut voir l'adresse IP de notre PBX comme défini ci-
dessous.
Figure : L’interface de l’Asterisk installé
Annexe C : Installation et Configuration de Winsows Server

L’installation du Windows Server est simple les étapes à suivre sont les suivant :
Figure : Installation -1- Windows Server
On suit les étapes définit par défaut, puis on choisit la version avec interface graphique
en suite on sélectionne mode avancé :
86
Les annexes
Ensuite on Sélectionne le disque et la partition sur lesquels on souhaite installer le

système (minimum 32 Go) puis on clique sur Suivant :

A la fin de l’installation, vous devez définir le mot de passe du compte Administrateur,
puis on accède à notre machine :
Figure : L’accès à la machine Windows Server
87

PFE Bousslamti.pdf

Description :

Droits d'auteur :

Available Formats

Titres liés

Remerciement

Avant tout développement sur cette expérience professionnelle, il apparaît opportun

Il m’est agréable au terme de ce travail, de présenter mes vifs remerciements à M.

Je formule mes sincères remerciements à M. TOUALI Mouhsine directeur de «CGI

Table des matières

Chapitre 1 : Présentation de l’entreprise d’accueil ..................................................... 9

1. Fiche technique de l’entreprise ........................................................................................... 9

Chapitre 2 : Contexte général du Projet ..................................................................... 15

1. Cahier de charges ............................................................................................................... 15

Chapitre 3 : Etude détaillée du projet ......................................................................... 27

1. Description de la solution .................................................................................................. 27

3.1.3. Routeur cisco 3725 ............................................................................................. 34

Chapitre 4 : Réalisation et simulation du projet ........................................................ 43

1. Outils de réalisation ou simulation/Emulation .................................................................. 43

Les annexes ............................................................................................................................. 83

Tableau 2. 1 : Fiche technique du Cisco ASA 5505 ........................................................................ 18

Ce stage est déroulé au sein du Conseillers et Gestion en Informatique dont le principal

Ce rapport est scindé en quatre parties dont la première est consacrée à la

Chapitre 1 : Présentation de l’entreprise d’accueil

1. Fiche technique de l’entreprise

CGI figure parmi les plus importants fournisseurs de services en technologies de

Figure 1. 1 : CGI en chiffres

2. Domaines d’activité de l’entreprise

Commerce de détail et services aux consommateurs :

3. Structure et organisation générale

L'ensemble de la structure de CGI est représenté par l’organigramme suivant :

Services corporatifs – Équipe de direction :

Figure 1. 2 : Organigramme de CGI

Figure 1. 3 : Organigramme de CGI France, Maroc et Luxembourg

4. Présentation du service : GTO

 Des Offreurs et Project/Delivery Managers, Architectes, Bâtisseurs Experts et

Chapitre 2 : Contexte général du projet

1. Cahier des charges

Figure 2. 1 : Architecture Générale

2. Etude préalable ou Etude d’opportunité des solutions

Avant de choisir un UTM/NGFW Firewall, il faut s’intéresser à différents points. Tout

Les Parfeu-Next Génération sont caractérisé par :

Dans le secteur de la sécurité informatique, l'UTM (Unified Threat Management), ou

On distingue différent technologies de Firewall parmi ceux il y a :

Parmi les principales caractéristiques de l’ASA on trouve : la flexibilité de déploiement,

Version testée du Firewall Cisco ASA 5505

Stockage intégré 360 Go

Sessions simultanées 10 millions

VPN performance Jusqu’à 100 Mbps

Maximum security policies 10,240

Tableau 2. 1 : Fiche technique du Cisco ASA 5505

Il offre comme fonctionnalités :

Version testée du Firewall Juniper SRX 1400

Stockage intégré 360 Go

Sessions simultanées 10 millions

VPN performance Jusqu’à 80 Gbps

Maximum security policies 10,240

FortiGate (produit de la multinationale Fortinet) est une gamme de boitiers de sécurité

Version testée du Système

Sessions simultanées 12 millions

VPN performance Jusqu’à 40 Gbps

Maximum security policies 40,000

Chaque proxy est caractérisé par ses fonctionnalités : [6]

Consiste à bloquer les sites considérés comme malveillants ou inutiles au contexte de

Figure 2. 2: Principe de fonctionnement du proxy

La voix sur IP constitue actuellement l’évolution la plus importante du domaine des

2.3.1. Le protocole SIP

2.3.2. Le protocole H323

2.4. La Supervision (via SNMP) :

SNMP est un protocole relativement simple. Pourtant l’ensemble de ses fonctionnalités

On distingue entre SNMPv1, SNMPv2 et SNMPv3 :

2.5. VPN IPSec :

IP Sec fournit des services de sécurité crypto-graphiquement conçus pour les

Figure 2. 3 : Tunnel VPN IP Sec

IPSec utilise trois protocoles de sécurité principaux: AH (Authentication Header), le

Pour le VPN IPsec on distingue deux modes :

Le VPN IP Sec se base sur les protocoles :

 ISAKMP : protocole pour la négociation préalable à l’établissement des

 OAKLEY : détermine le mécanisme pour l’échange automatique des clefs, le

• ESP : Encapsulating Security Payload, Ce protocole assure, en plus des fonctions