Vous êtes sur la page 1sur 56

**********************************************

Rapport de stage

4éme Années
Ingénierie des systèmes et Réseaux
informatique

Firewalls

Réalisé par : Encadré par : Suivi par :


ANEJJAR Hassan M. Mourad M. Samir
GOUAZIZ ACHAHOD
Année Universitaire : 2014/2015
IGA Marrakech Page 2 2014/2015
REMERCIEMENTS

Avant d’accéder au vif du sujet, Je tiens à


remercier dans un premier temps, mon maître
de stage, Mr Mourad GOUAZIZ, Gérant de la
société PRO-TECHNO.
C’est avec un réel plaisir que j’ai effectué ce
stage sous votre direction.
Enfin, mes vifs remerciements pour tout le
corps professoral et administratif de l’institut
Supérieur du Génie Appliqué, IGA, qui ne
cessent pas de nous encourager à faire
toujours de notre mieux.

IGA Marrakech Page 3 2014/2015


DEDICACE

Je dédie ce rapport de
stage: a mes très chers
parents qui ont toujours
été là pour moi tout au
long de mes études et qui
m’ont donné un
magnifique modèle de
labeur et de
persévérance.
J’espère qu’ils trouveront
dans ce travail toute ma
reconnaissance et tout
IGA Marrakech Page 4 2014/2015
mon amour. a mes chers
frères: pour leurs soutiens
qu’ils n’ont cessés
d’apporter au cours de ma
formation.

IGA Marrakech Page 5 2014/2015


Résumé

Les systèmes d’information sont aujourd’hui de plus en


plus ouverts sur internet. Cette ouverture, a priori
bénéfique, pose néanmoins un problème majeur : il en
découle un nombre croissant d’attaque. La mise en place
d’une politique de sécurité autour de ces systèmes est
donc primordiale.

Outre que la mise en place des stratégies de sécurité (GPO,


authentification par login et mot de passe…), il est
nécessaire pour compléter notre politique de sécurité de
mettre en place un pare-feu.

Ce rapport présente le travail effectué lors du stage, du 3


aout 2015 au 2 octobre 2015 au sein de PRO-TECHNO.

Mon projet consiste à mettre en place une étude


comparative sur les différents pare-feu existé.

L’objectif du stage est de mettre en conditions les


étudiants à une insertion rapide dans le domaine
professionnel. Ce stage à été intéressant du point vu
humain car j’ai l’occasion de voir l’atmosphère du monde
du travail et mettre en pratique tous ce que j’ai appris
pendant ma formation ainsi que de nouvelles notions.

IGA Marrakech Page 6 2014/2015


Abstract

Information systems are nowadays more open to internet.


This opening, is priori beneficial, made a major problem, it
follows a growing number of attacks. The implementation
of a security policy around these systems is paramount.

Besides the implementation of security policies (GPO,


authentication by login and password…), it is necessary to
complete our security policy by implementing a firewall.

This report presents the work done during the training of 3


August 2015 to 2 October 2015 in PRO-TECHNO.

My project is to develop a comparative study on the


different firewalls exist.

The objective of the training is to guarantee to the students


a rapid insertion in the professional field. This training has
been interesting from a point seen human because I could
see the atmosphere of the workplace and put into practice
everything I learned during my formation as well a learning
new concepts.

IGA Marrakech Page 7 2014/2015


Liste des figures

Figure 1: logo de PRO-TECHNO.........................................................................13


Figure 2: organigramme de l'entreprise PRO-TECHNO.....................................14
Figure 3: Diagramme de GANT.........................................................................17
Figure 4: Diagramme de GANT (Deroulement de stage)..................................18
Figure 5: Câblage..............................................................................................18
Figure 6: Câble droit.........................................................................................19
Figure 7: Câble croisé.......................................................................................19
Figure 8: panneau de brassage........................................................................20
Figure 9: Emulation putty.................................................................................20
Figure 10 : Fonctionnement de pare-feu............................................................25
Figure 11 : interface de Comodo Firewall..........................................................31
Figure 12 : interace de Jetico Personal Firewall..................................................32
Figure 13 : interface de Online Armor Free........................................................34
Figure 14 : interface de PC Tools Firewall...........................................................35
Figure 15 : Pare-feu ASA 5505...........................................................................42
Figure 16 : schéma de travail............................................................................42
Figure 17 : Configuration de l'adresse IP...........................................................46
Figure 18 : Configuration au niveau de sécurité................................................47
Figure 19 : inetrface web de Pare-feu ASA........................................................49
Figure 20 : interface web de Switch..................................................................51

IGA Marrakech Page 8 2014/2015


Liste des tableaux

Tableau 1 : Les règles de pare-feu.....................................................................26


Tableau 2 : Les plus et les moins de Comodo Firewall.......................................32
Tableau 3 : Les plus et les moins de Jetico Personal Firewall.............................33
Tableau 4 : Les plus et les moins de Online Armor Free....................................34
Tableau 5 : Les plus et les moins de PC Tools Firewall.......................................36

IGA Marrakech Page 9 2014/2015


Table des matières
REMERCIEMENTS.............................................................................................3
DEDICACE.........................................................................................................4
Résumé.............................................................................................................5
Abstract.............................................................................................................6
Liste des figures..............................................................................................7
Liste des tableaux...........................................................................................8
Introduction Générale..................................................................................11
PREMIERE PARTIE : Présentation d’établissement d’accueil...............12
1 - Introduction :.............................................................................................13
2 - Fiche identificatrice de PRO TECHNO :......................................................13
3 - Présentation de la société :.......................................................................13
4 - Services de la société...............................................................................13
5 - Organisation de l’entreprise :....................................................................14
DEUXIEME PARTIE : Présentation de cahier de charge et le planning
de stage..........................................................................................................15
1 - Introduction...............................................................................................16
2 - Cahier des charges....................................................................................16
3 - Planification du stage................................................................................16
4 - Déroulement du stage..............................................................................17
5 - Les tâches réalisées :................................................................................18
A - Le câblage.............................................................................................18
B - Panneau de brassage.............................................................................19
C - Interface web d’un Switch.....................................................................20
D - Caméra de surveillance.........................................................................21
TROISIEME PARTIE : Mise en place du projet..........................................23
1 - Pourquoi un firewall ?................................................................................24
2 - Qu'est-ce qu'un pare-feu?.........................................................................24
3 - Fonctionnement d'un système pare-feu....................................................25
A - Le filtrage simple de paquets................................................................26
B - Le filtrage dynamique............................................................................27
4 - Les différentes catégories de firewall........................................................28

IGA Marrakech Page 10 2014/2015


A - Pare-feu sans état..................................................................................28
B - Pare-feu avec état..................................................................................28
C - Pare-feu applicatif..................................................................................29
5 - Catégories secondaires de pare-feu..........................................................29
A - Pare-feu identifiant................................................................................29
B - Pare-feu personnel.................................................................................29
6 - Les limites des firewalls............................................................................30
7 - Comparatif de 4 firewalls gratuit...............................................................30
A - Comodo Firewall.....................................................................................31
B - Jetico Personal Firewall...........................................................................32
C - Online Armor Free..................................................................................33
D - PC Tools Firewall....................................................................................35
8 - Le Pare-feu ASA.........................................................................................36
A - Principales caractéristiques...................................................................36
B - Cinq raisons de choisir la gamme Cisco ASA 5500................................37
Conclusion......................................................................................................39
BIBLIOGRAPHIE ET WEBOGRAPHIE...........................................................40
ANNEXE...........................................................................................................41
1 - Configuration de base d'un firewall ASA 5505..........................................42
2 - Interface Web d’un switch.........................................................................49

IGA Marrakech Page 11 2014/2015


Introduction Générale

Dans le cadre de mes études à l’institut supérieur de Génie


Appliqué de Marrakech, la quatrième année se termine par un stage
en entreprise d’une durée minimum de 2 mois, afin d’établir un lien
entre les théories apprises sur le banc de l’école et la pratique.

De ce fait, j’ai l’occasion d’effectuer un stage au sein d’entreprise


PRO-TECHNO.
Ce stage permet d’appliquer et d’approfondir les connaissances
acquises au cours de la formation, et d’en découvrir d’autre. Il
permet aussi de s’impliquer dans la vie d’une société ou tout au
moins dans l’un de ses services.

Le projet que j’ai choisi consiste à mettre en place une étude


comparative sur les différents pare-feu existé, c’est un sujet
pédagogique qui ma donner une idée claire sur le fonctionnement
du pare-feu.

Dans la première partie de ce rapport je vais présenter l’entreprise


d’accueil PRO-TECHNO, ses différents services et son
organigramme.

Au niveau de la deuxième partie, je vais présenter le planning de


mon stage ainsi que les différentes tâches réalisées.

Au niveau de la troisième partie, je vais présenter mon sujet de


stage et sa mise en place.

Et pour terminer vous prendrez compte des tests accomplis et des


différents problème rencontrés lors de la réalisation du projet.

IGA Marrakech Page 12 2014/2015


PREMIERE PARTIE
Présentation d’établissement
d’accueil

IGA Marrakech Page 13 2014/2015


1 - Introduction :

L’objectif de cette partie est de fournir une présentation générale du contexte


du projet à savoir, tout d’abord l’organisme d’accueil PRO TECHNO en décrivant
ses activités principales et son organisation.

2 - Fiche identificatrice de PRO TECHNO :

Figure 1 : logo de PRO-TECHNO

 Adresse d'entreprise : DOUAR LAHBICHATE N°407 TASENTANTE -


MARRAKECH-MéDINA (AR)
 Région : MARRAKECH-MéDINA (AR)
 Rc : 47615 (TRIBUNAL DE MARRAKECH)
 Forme juridique : Société à Responsabilité Limitée à Associé Unique
 Capital : 100 000 DHS
 Téléphone : +212664773585
 Email : protechnomaroc@gmail.com
 Dirigeants : Mourad Gouaziz
 Activité : négoce et installation -vidéo surveillance, détection d'incendie
et extinction, détection de vol et contrôle d'accès –système d'alarme
vidéo phonie la clim industrielle

3 - Présentation de la société :

PRO-TECHNO est une récente société, créé par Mr. Mourad GOUAZIZ. Elle est
spécialisée dans le domaine de l’informatique. Cette société est créative et
indépendante, qui maîtrise en interne l’ensemble des médias et prend en
charge, pour les professionnels :
Installation -vidéo surveillance, détection d'incendie et extinction, détection de
vol et contrôle d'accès -système d'alarme vidéo phonie

4 - Services de la société :

PRO TECHNO propose une gamme complète de services et de prestations


visant à permettre aux petites structures de communiquer plus efficacement
auprès de leurs clients et prospects. Ces services complémentaires à

IGA Marrakech Page 14 2014/2015


l’installation-vidéo surveillance avec une supervision complète, détection
d'incendie et extinction…
Ils peuvent également prendre la forme de la création et du graphisme avec la
mise en place de logos, cartes de visites, plaquettes de présentation.

 Service d’installation vidéo surveillance


 Service du système d’alarme vidéo phonie
 Service de conception graphique

Le service de conception graphique offre la possibilité de créer tous types


de supports créatifs, pour élaborer une communication graphique performante
et lisible. Le service « Graphisme » analyse et traduit la stratégie commerciale
et marketing des clients, dans des environnements de communication variés :

 Cartes de visite
 Invitations, papier à lettres, affiches, logo…
 Plaquette, catalogue, guide…

5 - Organisation de l’entreprise :

L’architecture de la société PRO TECHNO peut être représentée par


l’organigramme suivant :

IGA Marrakech Page 15 2014/2015


Figure 2 : organigramme de l'entreprise PRO-TECHNO

IGA Marrakech Page 16 2014/2015


DEUXIEME PARTIE

Présentation de cahier de charge


et le planning de stage

IGA Marrakech Page 17 2014/2015


1 - Introduction :

L’objectif de cette partie est de fournir une présentation générale sur le


travail demandé, ainsi que le planning du stage (digramme de gant), aussi de
fournir une présentation sur les différents tâches que j’ai pu réalisé au sein de
PRO-TECHNO

2 - Cahier des charges :

Titre du projet :

Mettre en place une étude comparative sur les différents pare-feu existé.

Travail demandé:

Recherche, Implémentation et configuration d'un firewall

Entreprise d’accueil :

PRO TECHNO

Plan du travail :

Le but principal du projet est de pouvoir établir ou choisir et installer un


pare-feu qui remplit les conditions suivantes :

 Qui protège le réseau des intrusions provenant d'un réseau tiers


 Coûts financiers les plus réduits possibles.
 Qui respecte la politique de sécurité du réseau

3 - Planification du stage :

Voici un diagramme de Gantt permettant de visualiser l’enchainement et la


durée des différentes tâches durant le stage.

IGA Marrakech Page 18 2014/2015


Figure 3 : Diagramme de GANT

4 - Déroulement du stage :

La première partie du stage où l’on voit plusieurs petites tâches est la


découverte de la société, ce qui comprend l’observation et la réalisation des
tâches, ainsi que documentation et l’apprentissage, La deuxième phase
importante a été la spécification et analyse des besoins ce qui comprend la
description du projet et la recherche, ainsi que élaboration de cahier de charge.
Après avoir avec sucée spécifier et analyser les besoins, la 3éme partie c’est de
conception ce qui comprend définition de la plateforme de travail ainsi que la
conception de la maquette, en dernier étape a été pour réaliser la simulation
avec le test.

IGA Marrakech Page 19 2014/2015


Figure 4 : Diagramme de GANT (Deroulement de stage)

5 - Les tâches réalisées :


A - Le câblage :

Parmi les techniques que j’ai apprises dans cette période de stage (le
câblage) les types de câblages, comment sertir un câble que ça soit
droit/croisé.
Le câble contient 8 conducteurs, répartis en paires torsadées, pour améliorer la
réjection du bruit.
Les couleurs des gaines sont normalisées :

orange - orange/blanc
vert - vert/blanc
bleu - bleu/blanc
marron - marron/blanc

IGA Marrakech Page 20 2014/2015


Figure 5 : Câblage

A-1 Câble droit :


Pour faire un câble droit Il faut
que les embouts soient sertis de la
même façon à chaque extrémité et
en respectant la répartition des
paires torsadées sur le connecteur.
En général, le code employé est :
1) orange-blanc
2) orange
3) vert-blanc
4) bleu
5) bleu-blanc
Figure 6 : Câble droit
6) vert

7) marron-blanc
8) marron

A-2 Câble croisé :


Pour un câble croisé Il faut
intervertir les parties 1/2 et 3/6,
donc on a d'un côté le même
câblage que ci-dessus, et de l'autre,
le câblage suivant :

1) vert-blanc
2) vert
3) orange-blanc
4) bleu
5) bleu-blanc
6) orange

IGA Marrakech Page 21 2014/2015


7) marron-blanc
8) marron

B - Panneau de brassage :

Parmi les techniques que j’ai appris aussi dans cette période de
stage le brassage, comment monter un câble dans le panneau de
brassage.
Le panneau de brassage est le point ou se concentrent tous les câbles de
chaque prise murale Rj45 d’un Figure 7 : Câble croisé

bâtiment. Il sert à relier ces prises à un Switch grâce à un cordon de


brassage.

Figure 8 : panneau de brassage

C - Interface web d’un Switch :

J’ai aussi configuré un Switch (cisco catalyst 2960), avec l émulation


putty :

IGA Marrakech Page 22 2014/2015


Figure 9 : Emulation putty

J’ai travaillé sur les configurations de base (hostname, vlan, vtp …), ce
que je trouve nouveau pour moi c’est comment créer une interface web
au Switch. (Voire l’annexe)

IGA Marrakech Page 23 2014/2015


D - Caméra de surveillance :

Aujourd'hui, la vidéo surveillance n'est plus un dispositif réservé aux


entreprises de sécurité. Chacun peut chez soi, avec quelques compétences
techniques, installer une caméra de surveillance. Mais fonctionne comment ce
type de matériel ?

Deux principaux types de caméras de surveillance


 Caméras analogiques : ces caméras sont reliées par un câble coaxial à un
téléviseur/un moniteur, où les images s'affichent. Elles envoient des flux
continus de données (balayage) à un dispositif de stockage (enregistreur
numérique).
 Caméras IP : les caméras IP permettent une connexion à un réseau
informatique (relié à internet) soit par câble Ethernet soit par WiFi (sans fil).
Les images filmées peuvent être enregistrées et consultées en temps réel
sur un PC, ou un smartphone via Internet.

D-1 Utiliser une caméra IP :

L'installation et l'utilisation de ces caméras se déroulent en quatre étapes :


 Connecter la caméra de surveillance au routeur (box internet) : l'utilisation
d'un câble est nécessaire à cette étape
 Trouver et attribuer l'adresse IP de la caméra (cette démarche nécessite
un mot de passe, disponible sur l'équipement vendu)
 Positionner (fixer) la caméra
 Une fois que la box internet est synchronisée avec la caméra : Le flux
d'image est accessible en ligne, via une page web (accès protégé par mot
de passe).

D-2 Les éléments techniques d'une caméra de surveillance :

 Qualité de l'image : pour les caméras IP, la qualité de l'image est


déterminée par la résolution d'affichage (1600 x 1200 pixels = très haute
résolution).
 Le capteur : l'élément essentiel, positionné derrière l'objectif, qui permet de
capter la lumière
 La luminosité (LUX) : la luminosité est exprimée en LUX (comprise entre 0,
l'obscurité totale et 50 000 lux).
 L'objectif : il varie selon l'angle de vision souhaité.

D-3 Les différentes catégories de caméra de surveillance :

 Caméras infrarouges : la nuit, elles utilisent les diodes électroluminescentes


placées autour de leur lentille pour repérer les rayonnements infrarouges
(ondes de chaleur) et retransmettre les images en noir et blanc.
 Caméras jour/nuit : elles basculent automatiquement en mode jour ou en
mode nuit selon le niveau de luminosité
 Mini dôme (caméra discrète en forme de dôme), dômes motorisés (rotations
possibles) , caméras espion (qui se fondent dans le décor).
TROISIEME PARTIE

Mise en place du projet


1 - Pourquoi un firewall ?

De nos jours, la plus part des entreprises possèdent de nombreux


postes informatiques qui sont en général reliés entre eux par un réseau
local. Ce réseau permet d'échanger des données entre les divers
collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur
des projets communs. La possibilité de travail collaboratif apportée par un
réseau local constitue un premier pas. L'étape suivante concerne le besoin
d'ouverture du réseau local vers le monde extérieur, c'est à dire internet.
En effet, une entreprise n'est jamais complètement fermée sur elle même.
Il est par exemple nécessaire de pouvoir partager des informations avec
les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur
signifie aussi laisser une porte ouverte a divers acteurs étrangers. Cette
porte peut être utilisée pour des actions qui, si elles ne sont pas
contrôlées, peuvent nuire à l'entreprise (piratage de données,
destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et
variés : attaque visant le vol de données, passe-temps, ... Pour parer à ces
attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant
essentiel qui est le firewall. Cette outil a pour but de sécuriser au
maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau
ouvert sur Internet beaucoup plus sûr. De plus, il peut également
permettre de restreindre l'accès interne vers l'extérieur. En effet, des
employés peuvent s'adonner à des activités que l'entreprise ne cautionne
pas, comme par exemple le partage de fichiers. En plaçant un firewall
limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir
un contrôle sur les activités se déroulant dans son enceinte. Le firewall
propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il
permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi
d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans
l'encombrer avec des activités inutiles, et d'empêcher une personne sans
autorisation d'accéder à ce réseau de données.
2 - Qu'est-ce qu'un pare-feu?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en


anglais), est un système permettant de protéger un ordinateur ou un
réseau d'ordinateurs des intrusions provenant d'un réseau tiers
(notamment internet). Le pare-feu est un système permettant de filtrer les
paquets de données échangés avec le réseau, il s'agit ainsi
d'une passerelle filtrante comportant au minimum les interfaces réseau
suivante :

 Une interface pour le réseau à protéger (réseau interne)


 Une interface pour le réseau externe.

Figure 10 : Fonctionnement de pare-feu

Le système firewall est un système logiciel, reposant parfois sur un


matériel réseau dédié, constituant un intermédiaire entre le réseau
local (ou la machine locale) et un ou plusieurs réseaux externes. Il est
possible de mettre un système pare-feu sur n'importe quelle machine et
avec n'importe quel système pourvu que :
 La machine soit suffisamment puissante pour traiter le traffic ;
 Le système soit sécurisé ;
 Aucun autre service que le service de filtrage de paquets ne fonctionne sur
le serveur.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en
main », on utilise le terme « Appliance ».
2 - Fonctionnement d'un système pare-feu :

Un système pare-feu contient un ensemble de règles prédéfinies


permettant :
 D'autoriser la connexion (allow).
 De bloquer la connexion (deny).
 De rejeter la demande de connexion sans avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en œuvre une méthode de


filtrage dépendant de la politique de sécurité adoptée par l'entité. On
distingue habituellement deux types de politiques de sécurité permettant :
 soit d'autoriser uniquement les communications ayant été explicitement
autorisées :
 soit d'empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle
impose toutefois une définition précise et contraignante des besoins
en communication.

3 - Le filtrage simple de paquets :

Un système pare-feu fonctionne sur le principe du filtrage simple de


paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes
de chaque paquet de données (datagramme) échangé entre une machine
du réseau interne et une machine extérieure.
Ainsi, les paquets de données échangées entre une machine du réseau
extérieur et une machine du réseau interne transitent par le pare-feu et
possèdent les en-têtes suivants, systématiquement analysés par le firewall
:
 adresse IP de la machine émettrice ;
 adresse IP de la machine réceptrice ;
 type de paquet (TCP, UDP, etc.) ;
 numéro de port (rappel: un port est un numéro associé à un service ou une
application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la
machine émettrice et la machine cible, tandis que le type de paquet et
le numéro de port donnent une indication sur le type de service utilisé.
Le tableau ci-dessous donne des exemples des règles de pare-feu :
Règl Actio IP source IP dest Protoco Port Port
e n l source dest

1 Accep 192.168.10.20 194.154.192. Tcp any 25


t 3

2 Accep any 192.168.10.3 Tcp any 80


t

3 Accep 192.168.10.0/2 any Tcp any 80


t 4

4 Deny any any Any any any

Tableau 1 : Les règles de pare-feu

Les ports reconnus (dont le numéro est compris entre 0 et 1023)


sont associés à des services courants (les ports 25 et 110 sont par
exemple associés au courrier électronique, et le port 80 au Web). La
plupart des dispositifs pare-feu sont au minimum configurés de manière à
filtrer les communications selon le port utilisé. Il est généralement
conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la
politique de sécurité retenue).

Le port 23 est par exemple souvent bloqué par défaut par les dispositifs
pare-feu car il correspond au protocole Telnet, permettant d'émuler un
accès par terminal à une machine distante de manière à pouvoir exécuter
des commandes à distance. Les données échangées par Telnet ne sont
pas chiffrées, ce qui signifie qu'un individu est susceptible d'écouter le
réseau et de voler les éventuels mots de passe circulant en clair. Les
administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et
fournissant les mêmes fonctionnalités que Telnet.

4 - Le filtrage dynamique :
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets
IP indépendamment les uns des autres, ce qui correspond au niveau 3
du modèle OSI. Or, la plupart des connexions reposent sur le protocole
TCP, qui gère la notion de session, afin d'assurer le bon déroulement des
échanges. D'autre part, de nombreux services (le FTP par exemple) initient
une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-
dire de manière aléatoire) un port afin d'établir une session entre la
machine faisant office de serveur et la machine cliente.

Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les


ports à laisser passer ou à interdire. Pour y remédier, le système
de filtrage dynamique de paquets est basé sur l'inspection des
couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des
transactions entre le client et le serveur. Le terme anglo-saxon est
« stateful inspection » ou « stateful packet filtering », traduisez
« filtrage de paquets avec état ».

Un dispositif pare-feu de type « stateful inspection » est ainsi capable


d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des
anciens paquets pour appliquer les règles de filtrage. De cette manière, à
partir du moment où une machine autorisée initie une connexion à une
machine située de l'autre côté du pare-feu; l'ensemble des paquets
transitant dans le cadre de cette connexion seront implicitement acceptés
par le pare-feu.

Si le filtrage dynamique est plus performant que le filtrage de paquets


basique, il ne protège pas pour autant de l'exploitation des failles
applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités
représentent la part la plus importante des risques en termes de sécurité.

5 - Les différentes catégories de firewall :

Depuis leur création, les firewalls ont grandement évolué. Ils sont
effectivement la première solution technologique utilisée pour la
sécurisation des réseaux. De ce fait, il existe maintenant différentes
catégories de firewall. Chacune d'entre-elles disposent d'avantages et
d'inconvénients qui lui sont propre. Le choix du type d'un type de firewall
plutôt qu'un autre dépendra de l'utilisation que l'on souhaite en faire, mais
aussi des différentes contraintes imposées par le réseau devant être
protégé.

A - Pare-feu sans état :

C’est un filtre statique de paquet (au niveau de la couche 3 du


modèle OSI) selon des critères qui se base sur les adresses IP source ou
destination, le protocole encapsulé (ICMP, IP, TCP, OSPF …), ou les
numéros de ports source ou de destination, ses caractéristiques sont les
suivantes :
Sa mise en place est aisée à l’aide de règle simple.
 Il est performant si les règles sont limitées et bien optimisés.
 Il ne prend pas en charge les états des sessions établies (statique).
 Il ne prend pas en charge les applications
 Il ne prend pas en charge l’authentification des utilisateurs

B - Pare-feu avec état :

C’est un filtre dynamique de paquet (au niveau des couches 3 ou 4


du modèle OSI) selon des critères qui se base sur les états des sessions
TCP (NEW, ESTABLISHED, RELATED, INVALID), les ports sources TCP/UDP, le
séquençage des paquets, les interfaces associées aux sessions en cours …
Ses caractéristiques sont les suivantes :

 Il prend en compte les sessions (dynamique).


 Il présente de bonnes performances.
 Il gère la translation d’adresse NAT et PAT.
 Il ne prend pas en compte les protocoles des couches supérieures à la
couche transport (Telnet, FTP…).

C - Pare-feu applicatif :

C’est un filtre applicatif (couche 7 du modèle OSI), chaque connexion


correspond à deux connexions : la première entre l’utilisateur et le pare-
feu, et la deuxième entre le pare-feu et le système visé avec un agent qui
agit comme relais pour chaque application (SMTP, http …).
Ses caractéristiques sont :
 Il filtre les protocoles applicatifs en profondeur.
 Il cache le plan d’adresse interne.
 Il effectue une journalisation des évènements très détaillé
 Ile présente une forte puissance de traitement qui n’impacte pas le trafic.
 Il ne prend pas en compte ni les trafics UDP ni les protocoles applicatifs
RPC

6 - Catégories secondaires de pare-feu :


A - Pare-feu identifiant :
Il se base sur l’identification des connexions passant à travers le
filtre IP. L’administrateur peut ainsi définir des règles de filtrage par
utilisateurs et non plus par IP, et suivre l’activité réseau par utilisateur.

B - Pare-feu personnel :
Appelé aussi pare-feu embarqué, il se base sur la notion de sécurité
réduits au système local et à ses applications.
Ses caractéristiques sont les suivantes :
 Il peut être un pare-feu sans-état, avec état, ou un proxy.
 Il contrôle le trafic entre deux systèmes d’un même réseau local.
 Le pare-feu en soit est une application ce qui rend difficile de désolidariser
la gestion de la sécurité de celle de ses applications.
 Il rend la gestion fastidieuse même pour un parc de taille moyenne.

7 - Les limites des firewalls :

Un système pare-feu n'offre bien évidemment pas une sécurité


absolue, bien au contraire. Les firewalls n'offrent une protection que dans
la mesure où l'ensemble des communications vers l'extérieur passe
systématiquement par leur intermédiaire et qu'ils sont correctement
configurés. Ainsi, les accès au réseau extérieur par contournement du
firewall sont autant de failles de sécurité. C'est notamment le cas des
connexions effectuées à partir du réseau interne à l'aide d'un modem ou
de tout moyen de connexion échappant au contrôle du pare-feu.
De la même manière, l'introduction de supports de stockage provenant de
l'extérieur sur des machines internes au réseau ou bien d'ordinateurs
portables peut porter fortement préjudice à la politique de sécurité
globale.

Enfin, afin de garantir un niveau de protection maximal, il est nécessaire


d'administrer le pare-feu et notamment de surveiller son journal d'activité
afin d'être en mesure de détecter les tentatives d'intrusion et les
anomalies. Par ailleurs, il est recommandé d'effectuer une veille de
sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple)
afin de modifier le paramétrage de son dispositif en fonction de la
publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une
véritable politique de sécurité.

8 - Comparatif de 4 firewalls gratuit :

Les différents pare-feu que j’ai retenus sont totalement gratuits, sans
limite d’utilisation, pour 99% d’entre eux en français, et destinés à un
usage personnel pour les environnements Windows XP, Vista et bien
entendu Seven et tout aussi bien à destination du PC de bureau que du
portable. Il s’agit pour la plupart de solutions simples d’emploi pour lequel
l’utilisateur néophyte s’appuiera sur les règles automatiques et idéalement
élaborera une stratégie de défense au cas par cas en créant des règles
manuelles fondées et bien réfléchies, dans la mesure du possible.
Dans ce comparatif, je vais passer en revue les meilleurs firewalls gratuits,
Les six logiciels retenus sont:
 Comodo Firewall
 Jetico Personal Firewall
 Online Armor Free
 PC Tools Firewal

A - Comodo Firewall :
Avec Comodo, l'utilisateur a le choix d'installer le firewall seul ou avec sa
protection supplémentaire contre les logiciels malveillants. Dans la seconde
optique, le module intégré, "Malware Scan" vérifie avant toute installation s'il y a
traces de virus ou de logiciel espion connus sur le système.

Comodo fonctionne indifféremment sous Windows XP et Vista 32/64 bits et


fait donc office de pare-feu et de protection contre les hackers, spywares,
Trojans et autres usurpations d'identité.
Des règles génériques sont prédéfinies pour le navigateur Web, le client de
courrier électronique, le FTP, les applications de confiance et celles à
bloquer. Le pare-feu dispose de cinq paliers de comportements (tout
bloquer, personnalisé, mode sécurité, mode entraînement, et désactivé) et
de cinq autres niveaux d'alertes (de très basse à très haute). Avec le degré
d'alerte maximal, la lisibilité est parfaite puisque l'on sait le nom de
l'application, les ports réclamés, l'adresse IP et les protocoles TCP et UDP
concernés.

Figure 11 : interface de Comodo Firewall

Le pare-feu Comodo Firewall Professional détecte automatiquement le


réseau local, recense clairement dans "Port Sets" tous les ports ouverts,
affiche les connexions actives, permet de définir ses propres règles de
défense pour des exécutables, des services ou des processus, détecte les
attaques TCP, UDP et ICMP Flood, et synthétise même tous les
événements clés dans son journal.
Les plus Les moins
Firewall très complet En version anglaise uniquement
Ports non utilisés masqués et Prise en main peu évidente pour un
invisibles Défense contre les néophyte
malwares, virus, spywares
Possibilité d'importer et d'exporter
ses règles Fonctionne sous XP et
Vista 32/64 bits

Tableau 2 : Les plus et les moins de Comodo Firewall

B - Jetico Personal Firewall :

Est un pare-feu très convivial et peu sophistiqué fonctionnant sous


Windows 98 / Me / NT / 2000 et XP. Le logiciel est en anglais mais des
patchs de traduction sont disponibles. Il existe trois politiques de réglage
au choix, la protection optimale, tout autoriser ou tout bloquer. Dans la
configuration de la protection optimale, des règles courantes sont définies
pour les ports connus tels que la navigation http (80) et https sécurisée
(443), le FTP (21), les ports emails POP3 (110), SMTP (25) et IMAP (143).

Figure 12 : interace de Jetico Personal Firewall


Le moniteur d'activité (" Traffic monitor ") affiche les histogrammes des
flux entrants et sortants. Le journal (onglet " log ") est en temps réel et ce
sont des pages d'actions qui y sont détaillées (heure, protocole, politique
appliquée, port de destination, adresse locale, adresse distante,
attaquant…) et qui serviront plus à l'amateur éclairé qu'au novice. Il est
possible de créer des règles personnalisées mais cette fonction n'est guère
mise en valeur et trop peu évidente pour un grand débutant (onglet
configuration, bouton contextuel, new, application rule…).

Les plus Les moins


Un pare-feu gratuit qui fait le Aide à la création de règles
minimum personnalisées
Règles d'ouverture des ports Pas de jeux de règles pour la
traditionnelles Moniteur d'activité messagerie instantanée
graphique Absence du mode apprentissage

Tableau 3 : Les plus et les moins de Jetico Personal Firewall

C - Online Armor Free :

Est un pare-feu gratuit très " actif " qui scanne tout d'abord toutes
vos applications situées dans le menu ‘Démarrer’, dans le démarrage
Windows et les fichiers système et qui crée ensuite les règles les mieux
adaptées, notamment pour les programmes qu'il reconnaît. Pour les
programmes qui ne sont pas d'emblée recensés dans sa base, c'est à vous
qu'il incombera d'agir en les autorisant ou non. Le réseau local, la box
Internet en mode routeur et le serveur de stockage de fichiers, si vous en
disposez, sont identifiés sans aucun problème.
Le firewall ne dispose pas de degrés de paramétrage, autrement dit il est
soit actif soit désactivé. En revanche, il y présente un mode entraînement
qui analyse et propose des règles "intelligentes" pour vos programmes.
Figure 13 : interface de Online Armor Free

Seul l'administrateur peut paramétrer le pare-feu via un mot de passe qu'il


aura pris soin de saisir, ce qui constitue une barrière sécuritaire de plus.
Grâce au "Firewall status", l'utilisateur dispose d'une vue globale sur les
programmes en cours d'utilisation avec des courbes graphiques sur les
flux entrants et sortants (y compris pour les clients P2P), les adresses IP
requérantes.
Dans l'interface du firewall, on peut très rapidement savoir quels sont les
programmes autorisés, éditer et modifier des règles en cours ou de
nouvelles règles spécifiques et stopper en un tournemain des applications
menaçantes qui se lancent au démarrage de session. Avec Online Armor
Free vous pouvez à tout moment ordonner une analyse des fichiers
système sensibles, une fonction qui s'avère plutôt utile si vous installez
régulièrement beaucoup de nouveaux logiciels et qui se chargera de
réadapter de nouvelles règles pour vos ports ouverts ou inutilisés.
Les plus Les moins
Scanne et détecte les programmes Pas de degrés de réglages du
connus Contrôle des fichiers de firewall (on ou off) En version
démarrage et fichiers système, anglaise uniquement
hosts... Mise à jour manuelle
Spectre graphique des activités Pour Windows XP uniquement
entrantes et sortantes
Tableau 4 : Les plus et les moins de Online Armor Free

D - PC Tools Firewall :

Malgré une interface plus que sympathique, cette version de PC


Tools Firewall Plus qui a l'avantage d'être en français, est moins complète et
moins puissante que Comodo Free Firewall et sa fonction HIPS, par exemple.
Vous n'avez que deux possibilités de réglage, à savoir l'activer ou non pour
lutter contre les attaques en temps réel. L'onglet ‘Applications’ réunit les
programmes autorisés et bloqués ainsi que leurs types de permissions
(connectivité complète, accès complet, droits de connexions non
déterminés…). Il suffit de double-cliquer sur un programme pour voir en
détails les règles en vigueur et le cas échéant peaufiner les règles
avancées.

Figure 14 : interface de PC Tools Firewall

En matière de monitoring, il est possible de surveiller les applications


actives, leurs activités (paquets envoyés et reçus), visualiser les points de
connexion et consulter en détails l'écoute (adresse IP locale, port local). Les
autres fonctions de ce firewall sont le mode furtif, la protection contre
l'injection de code, la journalisation des événements, l'importation /
exportation des jeux de règles (*.RLS) et l'exportation de l'historique
(*.CSV).

Les plus Les moins


Firewall convivial en mode Peu accessible aux néophytes
automatique Pas de paliers de réglage du firewall
Mode furtif pour le masquage des Une règle manuelle doit être crée
ports non utilisés pour le réseau local
Trafic réseau et activité du pare-feu
détaillés Interface réussie sous XP
et Vista

Tableau 5 : Les plus et les moins de PC Tools Firewall

9 - Le Pare-feu ASA :

Une entreprise qui dépend de son réseau a besoin d'une sécurité


sans faille. Les appareils de sécurité adaptative Cisco ASA gamme 5500
garantissent une sécurité optimale suffisamment souple pour s'adapter à la
croissance et à l'évolution de votre entreprise.

A - Principales caractéristiques :

Les appareils de sécurité adaptative Cisco ASA offrent de nombreux


avantages:

 Personnalisation : personnalisez votre système de sécurité en fonction de


vos besoins d’accès et de la politique de votre ‘entreprise.
 Flexibilité : vous pouvez facilement ajouter des fonctionnalités ou mettre à
jour un appareil au fur et à mesure que votre entreprise se développe et
que vos besoins évoluent.
 Sécurité avancée : profitez des dernières technologies en matière de
sécurité de contenu, de chiffrement, d’authentification, d’autorisation et de
prévention des intrusions.
 Simplicité : utilisez un seul périphérique facile à installer, à gérer et à
contrôler.
 Mise en réseau avancée : configurez des réseaux privés virtuels (VPN)
offrant aux utilisateurs nomades et distants un accès parfaitement
sécurisé aux ressources de l’entreprise. Vous pouvez également créer des
réseaux VPN avec d’autres bureaux ou entre vos partenaires ou employés
selon leur fonction.

En offrant à votre réseau la meilleure sécurité, vos employés peuvent


toujours compter sur sa disponibilité. Les appareils de sécurité adaptative
Cisco ASA gamme 5500 sont votre première ligne de défense et de loin la
meilleure.

La gamme Cisco ASA (Adaptive Security Appliance) assure en profondeur


la protection des réseaux des petites, moyennes et grandes entreprises
tout en réduisant les frais de déploiement et d’exploitation. Le Cisco ASA
succède au célèbre PIX, le boîtier firewall et VPN le plus vendu au monde
et réunit sur une même plateforme une combinaison de technologies
éprouvées. Pour suivre l’évolution des menaces, il offre plus de puissance
et des services de sécurité de nouvelle génération comme la Prévention
d’Intrusion (IPS), le Filtrage de Contenu (AntiX – technologie en
provenance de Trend Micro) ou le VPN SSL.

L’ASA est administré à l’aide d’un puissant logiciel graphique d’utilisation


facile et conviviale, ASDM (Adaptive Security Device Manager). ASDM
permet d’accélérer la création de politiques de sécurité, de réduire la
charge d’administration et les erreurs de configuration grâce à des
assistants graphiques d’installation, des outils de débogage, et de
surveillance.
B - Cinq raisons de choisir la gamme Cisco ASA :

 Technologie de pare-feu sécurisé et de protection des VPN contre les


menaces Développée autour de la même technologie éprouvée qui a
fait le succès du serveur de sécurité Cisco PIX et de la gamme des
concentrateurs Cisco VPN, la gamme Cisco ASA est la première
solution à proposer des services VPN SSL et IPSec protégés par la
première technologie de pare-feu du marché.
 Services de protection des contenus à la pointe de l’industrie Réunit la
maîtrise de Trend Micro en matière de protection contre les menaces et
de contrôle des contenus à la périphérie Internet et les solutions
éprouvées de Cisco pour fournir des services anti-X complets –
protection contre les virus, les logiciels espions, le courrier indésirable
et le phishing, ainsi que le blocage de fichiers, le blocage et le filtrage
des URL et le filtrage des contenus.
 Services évolués de prévention des intrusions Les services proactifs de
prévention des intrusions offrent toutes les fonctionnalités qui
permettent de bloquer un large éventail de menaces – vers, attaques
sur la couche applicative ou au niveau du système d'exploitation,
rootkits, logiciels espions, partages de fichiers en « peer-to-peer » et
messagerie instantanée.
 Services multifonctions de gestion et de surveillance Sur une même
plate-forme, la gamme Cisco ASA fournit des services de gestion et de
surveillance utilisables de manière intuitive grâce au gestionnaire Cisco
ASDM (Adaptive Security Device Manager) ainsi que des services de
gestion de catégorie entreprise avec Cisco Security Management Suite.
 Réduction des frais de déploiement et d’exploitation Développée
autour d’un concept et d’une interface analogues à ceux des solutions
de sécurité existantes de Cisco, la gamme Cisco ASA permet de réduire
considérablement le coût d’acquisition que ce soit dans le cadre d’un
premier déploiement d’une solution de sécurité ou d’une gestion au
jour le jour.
Conclusion

Lors de ce stage de deux mois, j’ai pu mettre en pratique


mes connaissances théoriques acquises durant ma formation,
de plus, j’ai confronté les difficultés réelles du monde su travail
et du management d’équipes.
Après l’intégration rapide dans l’équipe, j’ai eu l’occasion de
réaliser plusieurs tâches qui ont constitué une mission de stage
globale.

Je pense que cette expérience en entreprise n m’a offert une


bonne préparation à mon insertion professionnelle car elle fut
pour moi une expérience enrichissante et complète qui conforte
mon désire d’exercer mon futur métier d’ingénieur dans le
domaine de système et sécurité informatique.
Durant la réalisation de mon projet, j’ai confronté différentes
difficultés surtout au niveau du pare-feu ASA

Enfin, il me reste plus qu’à remercier mon encadrant M.


GOUAZIZ pour sa disponibilité, son soutien et sa mise en
disposition le matériel nécessaire pour la réalisation de mon
projet ainsi que M. ACHAHOD pour sec encouragements et
conseils tout au long de la période de stage. Je tiens aussi à
exprimer mon satisfaction d’avoir pu travaillé dans les bonnes
conditions matérielles et un environnement agréable.
BIBLIOGRAPHIE ET
WEBOGRAPHIE

 Bibliographies
 Building Internet Firewalls, (2nd Edition)[Paperback] D.
Brent Chapman (author)
 Cisco ASA Configuration (Networking Professional’s
library) [Paperback] David Hucaby (author)

 Webographies
 https://fr.wikipedia.org
 www.commentcamarche.net
 www.generation-nt.com/s/comparatif+firewall/
 www.zonealarm.com
 www.cisco.com
ANNEXE
 Configuration de base d’un pare-feu ASA
 Interface Web d’un Switch
1 - Configuration de base d'un firewall ASA 5505 :

Figure 15 : Pare-feu ASA 5505

A - Schéma de travail :

Figure 16 : schéma de travail

Je dois réinitialiser le firewall


Je Saisi la commande « Config factory-default »
Je redémarre le firewall

B - Configuration du firewall après le redémarrage :


C - Modification en mode terminale serie :
Je dois désactiver le DHCP afin d'attribuer une adresse IP au VLAN1:

D - Configuration du VLAN inside (LAN) :


Je saisi les commandes suivantes :
E - Configuration de l'ordinateur (LAN) :
Je dois mettre mon ordinateur dans le même réseau que l'ASA et je lui
brancher sur le port 1 du firewall

Figure 17 : Configuration de l'adresse IP

Dans le panneau de configuration


Je sélectionne Java /onglet sécurité, je baisse le niveau de sécurité.
Cette partie me permet de connecter mon ordinateur à l'interface
graphique du firewall (ASDM) sans avoir d'erreur à la connexion.
Figure 18 : Configuration au niveau de sécurité

F - Configuration du VLAN outside (WAN)

L'interface outside (VLAN2) est configuré par défaut sur le port eth0/0 ; le
DHCP de l'entreprise Erenet lui attribue une adresse la configuration est :
192.168.2.254 255.255.255.0
J - Configuration du VLAN3 (DMZ) :
Je dois saisir les configurations suivantes :
J’attribue une adresse IP au vlan3

Lorsque je veux donner un nom il y a l'erreur suivante car la licence dont


je dispose ne me permet de configurer que 2 VLAN ; je dois donc saisir la
commande suivante.

Je souhaite assigner le port 6 et 7 au VLAN « DMZ »

J’ai maintenant la configuration suivante :


J’autorise l’accès en mode graphique pour les adresses 192.168.2.254
(adresse Inside) et 192.168.3.254 (adresse DMZ) :

JE lance un navigateur : https://192.168.2.254

Figure 19 : interface web de Pare-feu ASA

2 - Interface Web d’un Switch :

La fonction Web Server ou HTTP Server sur un router est désactiver par
défaut pour des raisons de sécurité. Premièrement, il faut vérifier si IOS
Web Server n'est pas activer, alors je tape la commande :

Switch# show running-config


Si l'IOS Web server est désactivé, le command no ip http server doit être
dans les résultats de la commande show running-config. Alors pour
l'activer je tape le command suivant :

Switch (config)#ip http server

Pour sécurisé l'accès par HTTPS:

Switch (config)#ip http secure server

Pour changer le port d'application, le port 80 par défaut pour le http :

Switch (config)#ip http port 1 – 65535

Une chose qu’il ne faut pas oublier. L'accès doit être protégé par un login
et un Mot de Passe alors il faut créer une base de données
d'authentification Local.
Pour ce fait:
Switch (config)#username "username" privilege 15 secret
"password"

J’applique cette base de données à l'accès http par:

switch (config)#ip http authentication local

Création des ACL Standard à cet effet:

Switch (config)#access-list "1 - 99" permit "source ip address"


"source wildcard mask"

Example
switch (config)#access-list 1 permit host 10.10.10.1

Pour appliquer cette ACL à l'Access http

Switch (config)# ip http access-class 1


Figure 20 : interface web de Switch

Vous aimerez peut-être aussi