ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

ISTA NTIC HAY RIAD

Filière : Technicien Spécialisé technique des réseaux informatiques

Elaboré par  : Bennouri Mohamed Ali

TRI  : 2E

Encadrée par: EL-Beghdadi Mohammed

E-mail   : medalibennouri@gmail.com

2013/2014

1
 Remerciement
Au terme de ce stage effectué a sein de la société ANRT, j’exprime ma
particulière gratitude à Mr Benabed mon professeur à l’institut supérieur des
technologies appliquées « NTIC » qui a bien voulu encadrer ce travail ainsi que
tous mes professeurs de l’école.
Je remercie vivement Mr Beghdadi. Pour tout le temps qu’il a bien voulu me
consacrer ; grâce à lui j’ai pu rencontrer un grand nombre de personne
travaillant dans cette société.
Enfin je voudrais remercier les responsable de la société ANRT qui m’ont
permis d’effectuer ce stage dans des conditions particulièrement bonnes et de
m’avoir bien accueillie.

2
Sommaire
Introduction...........................................................................................................................................5
Présentation et l’organisation de l’entreprise........................................................................................6
Organisation de l’ANRT :.....................................................................................................................6
Conseil d’Administration :..............................................................................................................6
Comité de gestion :.........................................................................................................................6
Directeur de l’ANRT :......................................................................................................................7
Organigramme de l’ANRT :.............................................................................................................7
Missions de l’ANRT :...........................................................................................................................7
Interconnexion :.............................................................................................................................8
Concurrence et Gestion des ressources :.......................................................................................9
La gestion du spectre de fréquences :............................................................................................9
Service universel et Formation :.....................................................................................................9
Certifications électroniques :..........................................................................................................9
Acteurs du marché des télécoms au Maroc :...............................................................................10
Qu'est-ce que la sécurité d'un réseau ?................................................................................................10
Le pare feu...........................................................................................................................................11
Pour votre serveur dédié (Mode transparent).....................................................................................11
Présentation.....................................................................................................................................11
Utilisations du firewall......................................................................................................................11
Principe de fonctionnement.............................................................................................................12
Interface d'administration................................................................................................................12
Avantages.........................................................................................................................................12
Pour votre baie virtuelle Mode routed.................................................................................................12
Présentation.....................................................................................................................................12
Utilisations........................................................................................................................................13
Fonctions avancées..........................................................................................................................13
Principe de fonctionnement.............................................................................................................13
Interface d'administration................................................................................................................13
Avantages.........................................................................................................................................13
Présentation de la gamme ASA............................................................................................................13
Cisco ASA 5505.................................................................................................................................14
Caractéristiques techniques.........................................................................................................14
Performances...............................................................................................................................14

3
 Possibilité d'extensions................................................................................................................15
Cisco ASA 5540.................................................................................................................................15
Matériel........................................................................................................................................16
Performances...............................................................................................................................16
Possibilité d'extensions................................................................................................................16
Cisco ASA 5580-40............................................................................................................................16
Matériel........................................................................................................................................17
Performances...............................................................................................................................17
Possibilité d'extensions................................................................................................................17
Ce dont vous avez besoin.....................................................................................................................17
La configuration de GNS3.....................................................................................................................18
Les premiers pas sur Cisco ASA............................................................................................................20
Création de l'ASA..............................................................................................................................20
Création et configuration du switch ethernet..................................................................................21
Création et configuration du nuage..................................................................................................21
Mise en fonction de l’ASA et premier test........................................................................................22
Se connecter à distance sur l'ASA.........................................................................................................23
Via l’ASDM........................................................................................................................................23
Via une session Putty........................................................................................................................25
ID réseau a choisi Cisco ASA Cisco............................................................................................26
Une technologie VPN sûre et éprouvée. ..............................................................................................26
Intrusion Prevention Services...............................................................................................................27
Tutoriel configuration de base du pare-feu Cisco ASA 5510.................................................................27
Etape 1: Configurer un mot de passe niveau privilégié (activer mot de passe)................................27
Etape 2: Configure the public outside interface...............................................................................27
Etape 3: Configure the trusted internal interface.............................................................................28
Etape 4: Configure PAT on the outside interface..............................................................................28
Etape 5: Configure Default Route towards the ISP (assume default gateway is 100.100.100.2)......28
Etape 6: Configure the firewall to assign internal IP and DNS address to hosts using DHCP............28
Conclusion............................................................................................................................................29

4
Introduction

De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui
sont en général reliés entre eux par un réseau local.

Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise
et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif
apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin
d'ouverture du réseau local vers le monde extérieur, c'est à dire Internet.

En effet, une entreprise n'est jamais complètement fermée sur elle-même. Il est par exemple
nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir
l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte à divers acteurs
étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées,
peuvent nuire l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de
telles actions sont nombreux et variés : attaque visant le vol de données, passe-temps, …

Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'ard1itecture
devant être mise en place doit comporter un composant essentiel qui est le firewall.

5
Présentation et l’organisation de l’entreprise
Organisation de l’ANRT :
Notre stage s’est déroulé au sein de l’Agence National des Réglementations des
Télécommunications (ANRT) établissement public chargé de la régulation et de la
réglementation du secteur des télécommunications. L’Agence est instituée auprès du Chef
du Gouvernement et elle est dotée de la personnalité morale et de l’autonomie financière.
Elle prépare les études et les actes réglementaires relatifs aux télécoms et assure
l’application de la réglementation.Les organes d’administration et de gestion de l’ANRT
comprennent le conseil d’administration, le comité de gestion et le directeur.

Conseil d’Administration :
Le Conseil d’Administration de l’Agence, conformément à l’article 34 de la loi n ̊24-96, exerce
tous les pouvoirs et dispose des attributions nécessaires à la réalisation des missions
confiées à l’ANRT. Il fixe ainsi, lors de ses délibérations, les pouvoirs délégués au Comité de
Gestion et au Directeur Général de l’ANRT pour la préparation et la mise en œuvre des
actions. Il délibère notamment sur les moyens d’action de l’Agence et en particulier :
– Sur le statut personnel.
– Sur le budget de l’ANRT et son exécution.
– Sur les dépenses de fonctionnement et d’équipement de l’Institut National des
Postes et Télécommunications.
– Sur les modalités de gestion et de surveillance du spectre des fréquences
radioélectriques. Le Conseil d’Administration peut également décider de la création de tout
comité dont il fixe la composition et les modalités de fonctionnement et auquel il peut
déléguer partie de ses pouvoirs.Présidé par le Chef du Gouvernement, ou l’autorité à
laquelle il choisit de déléguer cette fonction, le Conseil d’Administration de l’ANRT comprend
des représentants de l’Etat et des personnalités nommées intuitu personae. Les
représentants de l’Etat membres du Conseil d’Administration de l’ANRT sont :
• Le Chef du Gouvernement ;
• Le Ministre chargé de l’Intérieur ;
• Le Ministre chargé de l’Economie et des Finances ;
• Le Secrétaire Général du Gouvernement ;
• Le Ministre chargé l’Industrie du Commerce et de l’Artisanat ;
• Le Ministre chargé de l’Enseignement Supérieur, de la Formation des Cadres et de la
Recherche Scientifique ;
• Le Ministre chargé de la Communication ;
• Le Ministre chargé du Secteur Public et de la Privatisation ;
• Le Ministre chargé de l’Administration de la Défense Nationale ;
• Le Ministre chargé des Affaires Générales du Gouvernement ;
• Le Secrétaire d’Etat chargé de la Poste et des Technologies de l’Information.
Comité de gestion :
Le Comité de Gestion de l’ANRT est chargé de régler, par ses délibérations, les questions
pour lesquelles il a reçu délégation du Conseil d’Administration et notamment celles

6
relatives au règlement des litiges liés à l’interconnexion, à la concurrence et au partage
d’infrastructures. Les membres du Comité sont nommés par le Conseil d’Administration.
Directeur de l’ANRT :
L’ANRT est gérée par un directeur nommé conformément à la législation en vigueur. Le
directeur détient tous les pouvoirs et attributions nécessaires à la gestion de l’ANRT. En
outre, il peut recevoir une délégation du conseil d’administration pour le règlement de
certaines affaires dont la technicité ou l’urgence impliquent une réponse rapide et
techniquement appropriée. Il représente l’ANRT vis-à-vis de l’Etat, des administrations
publiques et des tiers. Il exerce les actions judiciaires en demande et en défense.
Organigramme de l’ANRT :
Présidée par le directeur général, l’agence nationale de réglementation des télécom- muni
cations est organisée de la manière suivante :
Figure 1.1 – Organigramme ANRT

Missions de l’ANRT :
A travers ses actions, l’ANRT veille à 1 :
• Créer les conditions d’une concurrence saine et loyale et veiller à son maintien.
• Contribuer à l’évolution du cadre législatif et réglementaire pour un développement
harmonieux du secteur.
• Gérer pour le compte de l’Etat certaines ressources rares relevant du domaine public.
• Accompagner le développement du secteur par le biais de la formation et la promotion de
la recherche.

7
• Contribuer à la dynamique de progrès et de développement du pays par ses actions
citoyennes.
Pour arriver à ces termes, l’ANRT met en place différents textes juridiques (Lois, Décrets,
Arrêtés et Décisions).Ainsi les 24-96 relatives à la poste et aux télécommunications confies à
l’ANRT :
1. d’élaborer, à la demande de l’autorité gouvernementale compétente ou à
l’initiative de l’agence, les propositions visant à adapter le cadre juridique,
économique et sécuritaire dans lequel s’exercent les activités de télécommunications
;
2. de préparer et de tenir à jour, en liaison avec les autres départements ministériels
concernés et les organismes de sécurité publique, le texte du cahier des charges
fixant les droits et obligations des exploitants des réseaux publics de
télécommunications ;
3. d’instruire les demandes de licences, de préparer et mettre en œuvre les
procédures d’attribution de licences par appel à la concurrence, de recevoir les
déclarations préalables pour les activités de télécommunications relevant du régime
des licences.
4. de proposer les spécifications et les procédures techniques d’agrément des
laboratoires d’essais et de mesures ;
5. de proposer au gouvernement la réglementation applicable à la cryptographie et
son contrôle ;
6. de proposer les tarifs maximum pour les prestations relatives au service universel ;
7. de suivre, pour le compte de l’Etat, le développement des technologies de
l’information.
8. de proposer au gouvernement les normes du système d’agrément des prestataires
de services de certification électronique et de prendre les mesures nécessaires à sa
mise en œuvre ;
9. d’agréer, pour le compte de l’Etat, les prestataires de services de certification
électronique et de contrôler leur activité ;
10. de proposer au gouvernement la législation et la réglementation relatives à
l’utilisation des noms de domaine Internet "point ma" désignés sous l’extension
".ma", permettant d’identifier les adresses Internet correspondant au territoire
national ;
Ces missions concernent différents angles qui sont l’interconnexion, la concurrence,
la gestion des ressources, le spectre de fréquences, le service universel, la formation
et les certifications électroniques et la qualité de service.
Interconnexion :
On entend par interconnexion la liaison physique et logique des réseaux ouverts au public
exploités par le même opérateur ou un opérateur différent, afin de permettre aux
utilisateurs d’un opérateur de communiquer avec les utilisateurs du même opérateur ou
d’un autre, ou bien d’accéder aux services fournis par un autre opérateur. Les services
peuvent être fournis par les parties concernées ou par d’autres parties qui ont accès au
réseau.L’interconnexion constitue un type particulier d’accès mis en œuvre entre opérateurs
de réseaux ouverts au public.Dans le cadre de ses missions relatives à l’interconnexion,
l’ANRT est chargée d’approuver les offres techniques et tarifaires relatives à l’interconnexion
et au dégroupage de la boucle locale. L’Agence Nationale de Réglementation des
Télécommunications veille au respect des dispositions relatives aux conditions de

8
l’interconnexion et à la résolution des litiges y afférant. Véritables leviers de régulation, les
conditions d’interconnexion sont fixées par l’ANRT dans une perspective de baisse des tarifs,
profitable aux consommateurs.
Concurrence et Gestion des ressources :
L’ANRT est le garant des conditions d’une concurrence saine et loyale sur les différents
segments du marché des télécommunications. Pour cela, elle a été dotée des attributions et
des outils nécessaires en vue de veiller au respect des règles en vigueur, et ce en établissant
des démarches d’analyses de marché, de suivi des opérateurs et de régulation de la
concurrence.
L’ANRT est chargée de la gestion de certaines ressources rares, notamment les ressources en
numérotation et le nom de domaine « .ma ».
• Numérotation :La croissance rapide du secteur des télécommunications conduit à une
pénurie des ressources en numérotation. Pour pallier à cette situation et répondre aux
demandes des opérateurs, l’Agence Nationale de Réglementation des Télécommunications
(ANRT) convient, en concertation avec tous les acteurs du secteur de procéder à une
évolution du Plan National de Numérotation lorsque nécessaire.
• Domaine .ma :La gestion du domaine « .ma » est l’une des missions de l’Agence Nationale
de Réglementation des Télécommunications. Dans ce cadre, l’ANRT est tenue de mettre en
place les dispositions nécessaires à assurer une gestion administrative, technique et
commerciale du domaine .ma conforme aux pratiques internationales.
La gestion du spectre de fréquences :
L’ANRT est chargée de la gestion du spectre des fréquences radioélectriques, de
l’autorisation des réseaux radioélectriques, du contrôle technique des installations et des
infrastructures, ainsi que de l’agrément des équipements de télécommunication et de la
normalisation.
Service universel et Formation :
Le Service Universel est un mécanisme devant permettre, à terme, l’accès de toute la
population marocaine aux services de télécommunications de base : téléphonie et internet.
La réalisation des missions du Service Universel a été l’un des fondements de la réforme du
secteur des télécommunications en 1998, et constitue aujourd’hui l’un des chantiers majeurs
menés par l’ANRT.
La mission de formation confiée à l’ANRT est assurée par l’Institut National des Postes et
Télécommunications (INPT), considéré aujourd’hui comme l’une des grandes écoles
d’ingénieurs marocaines opérant dans la formation de cadres supérieurs pour spécialisés en
télécoms et en technologies de l’information.Créée en 1961, sa vocation première a d’abord
été la formation d’ingénieurs d’application pour évoluer en 1991 vers la formation
d’ingénieurs et la recherche dans les domaines des technologies de l’information, à travers
un Master et une formation doctorale, ainsi que vers la formation qualifiante et la formation
de cadres de haut niveau à travers des Mastères spécialisés.
Certifications électroniques :
Conformément aux dispositions de la loi n ̊29/06, modifiant et complétant la loi n ̊ 24-96
relative à la poste et aux télécommunications, l’ANRT, en tant qu’autorité nationale
d’agrément et de surveillance de la certification électronique est notamment chargée :
– De proposer au Gouvernement la réglementation applicable à la cryptographie et à son
contrôle.

9
– De proposer au Gouvernement les normes du système d’agrément des prestataires de
services de certification électronique et de prendre les mesures nécessaires à sa mise en
œuvre.
– D’agréer, pour le compte de l’Etat, les prestataires de services de certification électronique
et de contrôler leur activité. Ainsi, les personnes, répondant aux conditions fixées par les
dispositions de l’article 21 de la loi n ̊53-05, qui désirent émettre et délivrer des certificats
électroniques sécurisés, pour des besoins de signature électronique sécurisée, et gérer les
services y afférents, doivent obtenir un agrément auprès de l’ANRT.
Acteurs du marché des télécoms au Maroc :
En plein essor, le marché marocain des télécommunications a attiré un nombre important
d’opérateurs, nationaux et étrangers, couvrant l’ensemble des segments de marché. Ces
opérateurs de natures diverses couvrent les domaines suivants :Fixe et mobile
Ce marché connait une concurrence entre trois opérateurs globaux :
• Itissalat Al Maghreb ;
• Médi Telecom ;
• Wana Corporate, qui propose en plus du fixe, le service fixe avec mobilité restreinte.
Services d’accès à Internet En concurrence ouverte, le marché de l’Internet compte comme
principaux fournisseurs d’accès :
• Itissalat Al-Maghrib;
• Médi Telecom ;
• Wana Corporate.
VSAT2 Ce marché connait une concurrence entre trois opérateurs :
• SpaceCom;
• Gulfsat Maghreb ;
• Nortis (Cimecom).
GMPCS 3Marché dont les acteurs sont :
• European Datacom Maghreb ;
• Globalstar North Africa ;
• Orbcomm Maghreb ;
• Soremar ;
• Thuraya Maghreb.
Réseaux radioélectriques à ressources partagées : 3RP Ce marché est couvert par deux opérateurs :
• Morocco Radio Telecom (Moratel) ;
• Cires Telecom.
Cette variété d’opérateurs nationaux et internationaux, globaux ou spécialisés a imposé une
concurrence accrue ce qui nécessite un contrôle et régulation à la hauteur pour protéger le
consommateur et assurer un bon rapport qualité/prix pour tous les services offerts par ces
opérateurs.C’est dans ce cadre que s’inscrit notre projet de fin d’études qui va être présenté dans la
section suivante.

Qu'est-ce que la sécurité d'un réseau ?

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau
fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent
uniquement les droits qui leur ont été octroyés. Il peut s'agir :
 D’empêcher des personnes non autorisées d'agir sur le système De façon
malveillante.

10
  D’empêcher les utilisateurs d'effectuer des opérations Involontaires capables de
nuire au système.
 De sécuriser les données en prévoyant les pannes.
 De garantir la non-interruption d'un service.

Le pare feu
Un pare feu est un logiciel (software) ou un équipement (hardware) qui permet de bloquer
les communications sur les ports TCP et UDP selon les plages d'adresses IP pour les plus
performants. C'est un équipement de sécurité anti-intrusion.
 un firewall software s'installe sur les ordinateurs et vérifie les logiciels qui se
connectent sur Internet et plus généralement sur le réseau Ethernet, acceptant la
connexion ou non. Ces programmes détectent et bloquent les trains, spyware et
adar. Par contre, ils ne détectent pales manipulations spécifiques comme les
attaquent par failles de sécurité, les modifications de programmes existants, les
modifications de trames CP/IP. Remarquez que si vous bloquez un spyware avec ce
type déparé, comme ils se collent littéralement sur le navigateur (Internet Explorer,
Firefox, ...), la navigation Internet devient généralement impossible.
 Un firewall hardware permet de vérifier les portes d'accès en UDP etc. et de les
bloquer éventuellement en fonction de l'adresse de départe de l'adresse IP d'arrivée.
Contrairement au premier type, ces équipements hardware bloquent généralement
une large partie des failles de sécurité et des modifications de trames en fermant les
portes d'accès. D’autres spécificités comme le Stateful inspection améliorent encore
la sécurité en analysant les en-têtes des messages (trames).Dans un sens, ces 2 types
sont donc complémentaires

Pour votre serveur dédié (Mode transparent)

Présentation

Prémunissez-vous des tentatives d'intrusion, grâce au firewall Cisco ASA.

Simple et rapide à administrer, vous configurez vos règles de filtrage directement depuis une
interface graphique en https:// grâce à l'accès client JAVA.
Attention : Il est impossible de migrer un firewall d'un serveur dédié à une Baie Virtuelle.
Vous devrez nécessairement résilier votre équipement et vous acquitter des frais
d'installation d'un nouveau firewall.

Utilisations du firewall
Le firewall Cisco ASA, vous assure une protection optimale, grâce à ses nombreuses
fonctionnalités :
 Inspection applicative : contrôle application, support des protocoles voix et vidéo ;
 Prévention des intrusions : protection en temps réel contre les attaques des
applications DOS, détection et filtrage de l’activité réseau des vers et des virus,
détection des spywares et malwares ;
 Sécurisation IPCom : inspection avancée des protocoles voix, signatures IPs
spécifiques ;

11
  Connectivité SSL et IPsec : services IPSec et SSL protégés, services SSL avec client ou
avec portail ;
 Gestion de 450 Mbps de trafic ;
 Activer ou désactiver votre firewall, directement depuis votre Manager.

Principe de fonctionnement
Connexion
Votre firewall est connecté directement entre votre serveur et le routeur OVH.com

Interface d'administration
Le firewall Cisco est livré avec sa console d'administration. Vous trouverez ci-dessous
quelques extraits de l'interface :

Avantages
Grâce au firewall Cisco ASA, vous bénéficiez d'un pare-feu physique dédié à la protection de
votre serveur.
Le déploiement et l'activation de cet équipement sont assurés par OVH.com. Plus
performant qu'un firewall logiciel, le Cisco ASA ne peut être victime d'une désactivation non
souhaitée provenant d'une action humaine ou d'un logiciel malveillant.
De plus sa protection reste active indépendamment du niveau de ressources disponible sur
votre serveur dédié

Pour votre baie virtuelle Mode routed

Présentation
Vous avez besoin de garantir la sécurité de vos informations circulant sur Internet,
d’interconnecter votre serveur dédié au réseau de votre entreprise, à vos sites distants,
commerciaux sédentaires, télétravailleurs. Le Firewall VPN Cisco ASA proposé est basé sur le
firewall Cisco ASA.

Utilisations
Le Firewall VPN Cisco ASA, vous assure de multiples sécurités, grâce à ses nombreuses
fonctionnalités :

12
 Etablir des connexions sécurisées point à point ;
 Authentifier les utilisateurs ;
 Connectivité SSL et IPsec : services IPSec et SSL protégés, services SSL avec client ou
avec portail ;
 Gestion jusqu'à 450 Mbps de trafic ;
 Activer ou désactiver votre VPN, directement depuis votre Manager ;
 Gestion jusqu'à 750 sessions simultanées.

Fonctions avancées
 Filtrer avec le firewall en mode NAT;
 Sécuriser les échanges de données avec sécurisation IPCom : inspection avancée des
protocoles voix, signatures IPs spécifiques.

Principe de fonctionnement
En mode VPN, le Firewall Cisco ASA relie votre réseau privé à votre Baie Virtuelle.

Interface d'administration
Votre Firewall VPN Cisco ASA est livré avec sa console d'administration. Vous trouverez ci-
dessous quelques extraits de l'interface

Avantages
Livré et configuré par OVH.com, votre Firewall VPN Cisco ASA assure jusqu'à 750 sessions
simultanées. Vous bénéficiez d'une interface d'administration graphique, afin de configurer
votre VPN et modifiez votre nombre d'utilisateurs au fur et à mesure de vos besoins sans
coupure de service.

Présentation de la gamme ASA

Le matériel Cisco ASA de la série 5500 (Adaptive Security Appliance) est un système de
sécurité s'appuyant sur une
Plate-forme modulaire. Les ASA peuvent être employés dans différents cadres suivant la
gamme que l'on choisit. Les
Plus petits modèles seront plutôt dédiés à un usage à domicile ou dans les petites
entreprises, alors que les gros
Modèles seront orientés pour les grosses entreprises voir les Datacenter nécessitant une
sécurité renforcé tout en
Assurant un service et une rapidité de connexion optimum.

13
L’OS des ASA est devenu différent de celui des PIX depuis la version 8.x, il utilise depuis un «
Kerner » Linux en lieu et
Place du PIX OS.
Les différentes familles de Cisco ASA :
La gamme étant assez large, sept références différentes (sans compter les versions Security
Plus de certain modèles),
Nous allons juste voir trois références, bas, milieu et haut de gamme.

Cisco ASA 5505

L'ASA 5505 est le plus petit modèle de la gamme. Il y a plus exactement deux modèles, le
5505 Base et la version
Security Plus, qui accepte plus de connexions, de sessions VPN, et liens VLANs et point plus
intéressant supporte les
Services de haute disponibilité en Statées Actif/Passif. C’est sur la version de base que no

Caractéristiques techniques

Modèle : 5505

Introduit dans la gamme en 2006

Matériel :
CPU : AMD Géode LX @ 500MHz
Chipset : Géode CS5536
Chipset Réseau : Marvell 88E6095
RAM (par défaut) : 256 Mo
Périphérique Flash de boot : ATA Compact Flash
Flash (par défaut) : 64 Mo
Version minimale de l'OS : 7.2.1
Interfaces Max : 3 (trunk désactivé) / 20 (trunk activé)
Supporte les VPN SSL : Oui, 25
Performances
Bande passante maximale du firewall : 150 Mbps
Connexions maximales : 1 000 / 25 000 (pour la version Security Plus)
Connexions maximales par secondes : 4 000
Paquets par secondes (64 octets) : 85 000
Bande passante maximale VPN 3DES/AES : 100 Mbps
Nombre de sessions VPN maximales (site à site et accès distant) : 10 / 25 (pour la version
Security Plus)
Nombre maximale de sessions utilisateur VPN SSL : 25
Nombres de sessions VPN SSL comprises à l'achat : 2

14
Possibilité d'extensions
Extension SSC/SSM/IC : 1 SSC
Support SSC/SSM/IC: AIP, SSC
Prévention des intrusions : Oui (avec AIP SSC)
Version de l’ASA OS supportée : 8.2
Haute disponibilité supportée : Non, Actif/Passif (pour la version Security Plus)
VPN clustering et équilibrage de charge : Non
Ce modèle est donc intéressant pour les petites structures, aussi bien au vu de ses capacités
que de son prix.
De plus un point qui peut être intéressant pour les particulier ou petites sociétés, il n’est pas
rackable, donc facile à mettre en œuvre au vu de sa petite taille.

Cisco ASA 5540

Au vu de ses caractéristique et performances impressionnante cette Appliance est vraiment

dédiée aux très grands
Groupes ayants de très nombreux collaborateurs nomades, ou la base de leur méthode de
travail est le télétravail.

Modèle : 5540

Introduit dans la gamme en 2005

15
Matériel
CPU : Intel Pentium 4 @ 2,0 GHz
RAM (par défaut) : 1 Go
Périphérique Flash de boot : ATA Compact Flash
Flash (par défaut) : 64 Mo
Version minimale de l'OS : 7.0.1
Interfaces Max : 200
Supporte les VPN SSL : Oui, 2500
Performances
Bande passante maximale du firewall : 650 Mbps
Connexions maximales : 400 000
Connexions maximales par secondes : 25 000
Paquets par secondes (64 octets) : 500 000
Bande passante maximale VPN 3DES/AES : 325 Mbps
Nombre de sessions VPN maximales (site à site et accès distant) : 5 000
Nombre maximale de sessions utilisateur VPN SSL : 2 500
Nombres de sessions VPN SSL comprises à l'achat : 2
Possibilité d'extensions
Extension SSC/SSM/IC : 1 SSM
Support SSC/SSM/IC : CSC SSM, AIP SSM, 4GE SSM
Prévention des intrusions : Oui (avec AIP SSM)
Version de l’ASA OS supportée : 8.2
Haute disponibilité supportée : Actif/Passif, Actif/Actif
VPN clustering et équilibrage de charge : Oui

Cisco ASA 5580-40

Cette référence de la gamme ASA est le plus gros équipement possible. Il est dédié aux Datacenter ou
pour les très grands campus, et au vu de ses performances il serait totalement inutile hors de ce rôle.

Modèle : 5580-40

Introduit dans la gamme en 2008

Matériel
CPU : 4 AMD Opteron (4 x 2 cœurs) @ 2,6 GHz
RAM (par défaut) : 12 Go

16
Périphérique Flash de boot : ATA CompactFlash
Flash (par défaut) : 1 Go
Version minimale de l'OS : 8.1.1
Interfaces Max : 250
Supporte les VPN SSL : Oui, 10 000
Performances
Bande passante maximale du firewall : 10 Gbps (en application http standard par exemple)
20 Gbps (en Jumbo Frames)
Connexions maximales : 2 000 000
Connexions maximales par secondes : 150 000
Paquets par secondes (64 octets) : 4 000 000
Bande passante maximale VPN 3DES/AES : 1 Gbps
Nombre de sessions VPN maximales (site à site et accès distant) : 10 000
Nombre maximale de sessions utilisateur VPN SSL : 10 000
Nombres de sessions VPN SSL comprises à l'achat : 2
Possibilité d'extensions
Extension SSC/SSM/IC : 6 IC
Support SSC/SSM/IC : 4 10/100/1000, 4 GE SR LC, 2 10GE SR LC
Prévention des intrusions : NA
Version de l’ASA OS supportée : 8.2
Haute disponibilité supportée : Actif/Passif, Actif/Actif
VPN clustering et équilibrage de charge : Oui (Avec la version Security Plus)

Ce dont vous avez besoin

Pour mettre en place un réseau virtuel comportant un pare-feu tel que le Cisco ASA, il vous
faut les éléments suivants :
Un ordinateur fonctionnant de préférence sous un système 64bits (en effet la virtualisation
est plus facile avec ce type d’architecture),
Le fichier de boot de l’ASA appelé "initrd.gz",
Une image d’un IOS d’un Firewall ASA appelé "wm linux",
Un fichier ASDM pour la prise en main via l’interface WEB,
Le logiciel TFTPd32 pour des transferts de fichiers,
la configuration suivante pour Quem : -m 1024 -i count auto -hdachs 980, 16,32
Cette commande permet de créer et configurer une machine virtuelle dans Quem. On y
retrouve, notamment, la configuration de la mémoire. Cette machine supportera le fichier
initrd.gz ainsi que, et surtout, l’image de notre ASA.
La commande noyau suivante : -append ide_generic probe_mask=0x01
ide_core.chs=0.0:980, 16,32 auto nous console=ttyS0, 9600 big physarea=65536
Elle permet de donner des instructions lors du démarrage de notre pare-feu. Ici, elle donne
les éléments nécessaires pour ouvrir une connexion SSH en redirigeant le "ttyS0" vers une
fenêtre Patty. Le paramètre précédent permet de configurer le noyau de façon à pouvoir
l’exécuter dans un système d’exploitation.
et, bien sûr, le logiciel GNS3, disponible directement sur le site éponyme : Ici, sélectionner la
version "all-in-one".

17
La configuration de GNS3
Vous allez voir dans cette partie que la configuration de l’ASA dans GNS3 peut se réduire à quelques
clics et ne demande, tout au plus, que 5 petites minutes. Il faut tout simplement aller dans [Edit],
sélectionner [préférences ...]. Voici ce que vous devez obtenir :

Ensuite aller dans l'onglet [Qemu](à gauche), puis dans l’onglet [ASA](à droite)

18
Sur l’image ci-dessus vous pouvez voir la configuration initiale de GNS3. Il ne vous reste plus
qu’à faire de même en copiant les informations données dans le Chapitre I aux bons
endroits, c’est à dire :
Configurer la mémoire à 1024Mo,
Copier la commande Quem dans le champ Qemu Options
Champ Initrd : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez
téléchargé,
Champ Initrd : Faire de même en prenant le fichier image IOS (wmlinuz) "désarchivé",
Copier la commande kernel dans le champ Kernel cmd line
Sauvegarder votre configuration en cliquant sur Save
Enfin, appliquée la en cliquant sur Apply puis sur OK
Et voilà, il ne vous reste plus qu’à redémarrer GNS3 pour profiter de la configuration que
vous venez de réaliser.

19
Les premiers pas sur Cisco ASA
Dans cette partie, nous allons mettre en place une première mise en œuvre très simple de
notre nouveau pare-feu. Pour cela, voici la topologie qui sera utilisée :

Lorsque vous redémarrez GNS3, ce dernier vous proposer de nommer un nouveau projet.

Création de l'ASA
Dans la liste de produit qui se trouve dans la colonne de gauche sélectionnez l’ASA et faites
le glisser sur la feuille de projet centrale. Ensuite faite un clic droit et cliquez sur Start. Une
fenêtre Qemu s’ouvre. Il ne faut pas la fermer tout de suite sinon vous ne pourrez pas
utiliser votre ASA. Si par mégarde vous la fermer, il suffit de relancer l’ASA pour la rouvrir.
Pour vérifier la bonne installation et le bon démarrage du Firewall ASA, refaites un clic droit
et sélectionnez Console. Une fenêtre "Putty" va s’ouvrir et vous affichera tout un tas
d’informations montrant le démarrage de l’Appliance virtuelle.
Il faut ensuite configurer une interface de votre ASA en saisissant les commandes ci-
dessous :

20
Surtout n’oubliez pas le write memory (abrégé en wr mem) sinon vous seriez obligé de
refaire la configuration de l’interface.
Ensuite, il faut arrêter votre ASA pour pouvoir le "câbler" comme nous le verrons dans la
suite de l’exercice. Pour cela, faîtes un clic droit et sélectionner Stop

Création et configuration du switch ethernet

Pour pouvoir connecter l'ASA au nuage, il faut ajouter un Switch Ethernet entre ces deux éléments.
Pour se faire, sélectionnez "Ethernet Switch" dans la colonne de gauche et faites le glisser dans la
feuille de projet central.
Vous pouvez le connecter en utilisant les liens que vous trouverez dans la barre en bas.
En dehors de cette dernière action, il n’y pas d’autre configuration à apporter à ce composant. En
effet, il agira ici comme un simple switch d’interconnexion, il n’y a même pas besoin de configurer de
VLAN.

Création et configuration du nuage

Le nuage permet de relier votre réseau virtuel à votre machine hôte voir même à votre réseau
"physique".
Comme les deux autres éléments présentés juste avant, pour ajouter un nuage, il suffit de le
sélectionner dans la colonne de gauche et de le faire glisser dans la feuille de projet central.
Pour la configuration rien de plus simple : clic droit sur le nuage et sélectionner Configuration.
Ensuite, dans le cas où vous avez créé plusieurs nuages, il faut sélectionner celui que vous voulez
configurer.
Puis aller dans l’onglet [NIO Ethernet]
Utilisateur de systèmes d’exploitation Windows, seule la première moitié vous concerne mais le
fonctionnement est le même pour les systèmes sous Linux. Vous pouvez voir ci-dessous ce que ça
donne une fois configuré :

21
En préparation du prochain chapitre, nous allons connecter l’interface de réseau local au
nuage. Vous pouvez le faire en sélectionnant l’interface correspondante dans la liste, puis
ajoutez l’interface en cliquant sur Add. Pour terminer, cliquez sur Ok.

Il ne vous reste plus qu’à connecter votre nuage au switch.

Mise en fonction de l’ASA et premier test

Pour redémarrer l’ASA, faites comme dans la partie concernant la création du pare-feu :
clique droit sur l’équipement, sélectionnez Start. La fenêtre Qemu qui s’ouvre doit rester
ouverte. Ensuite, pour afficher la console refaites à nouveau un clique droit sur l’ASA et
sélectionnez ... Console.
Vous avez à nouvel accès à la configuration de votre ASA.
Avant d’aborder la phase de test, une dernière configuration s’impose : l’adresse réseau de
votre carte réseau local.
Pour cela vous pouvez consulter l’article ici qui, si vous ne le savez pas, vous montre
comment faire, à la seule différence prête que vous devrez utiliser la configuration suivante
(ou du moins une similaire) :

Adresse IP : 192.168.1.10
Masque : 255.255.255.0
passerelle par défaut : 192.168.1.254
Dans cet exercice, nous n’aurons pas besoin de DNS.

Enfin, faites un "ping" depuis votre machine hôte vers votre ASA. Si tout fonctionne comme
il faut, voici ce que vous devez obtenir :

Faites de même depuis l’ASA vers votre machine hôte. Vous devriez obtenir quelque chose
comme ceci :

22
Se connecter à distance sur l'ASA
Via l’ASDM
Si vous ne souhaitez pas configurer votre ASA en ligne de commande en dehors de la
configuration minimale que je vous ai présentée auparavant, je vous comprends. Nous allons
donc procéder à l’installation de l’ASDM.
Avant toute chose, il faut charger et configurer la version de l’ASDM. Pour cela, démarrer
votre serveur TFTP sur votre ordinateur. Configurez le répertoire de travail de votre serveur
pour faire en sorte que l’ASDM soit disponible.
Retournez ensuite dans la console de l’ASA et saisissez la commande suivante :
# Copy tftp flash:/nom_de_votre_image_ASDM
Ensuite, il faut préciser que vous utiliserez cette version en saisissant la commande suivante:
# asdm image nom_de_votre_image_ASDM
Puis configurer le serveur HTTP qui exécutera l’ASDM via les commandes suivantes :
# http server enable
# http 172.16.99.0 255.255.255.0 WAN
La dernière commande permet d’autoriser l’accès à l’ASDM depuis le WAN.
Pour pouvoir vous connecter à l’ASDM, vous devez configurer un compte, comme suit :
# user nom-de-l'utilisateur password mot_de_passe
Il ne vous reste plus qu’à tester cet accès en ouvrant un navigateur sur votre ordinateur et en
saisissant l’adresse de votre ASA, dans notre exemple il s’agit de https://172.16.99.254. Vous devriez
obtenir la page suivante :

Cliquez sur Run ASDM

23
Votre navigateur va procéder au téléchargement d’un plug-in java. Une fois téléchargé, il
vous faut cliquer dessus pour le "lancer". Attention : ceci nécessite d’avoir une version de
JAVA à jour. Une fois lancé, vous devez obtenir ceci :

Saisir les identifiants créés précédemment. Et voilà votre client ASDM est démarré :

N’oubliez pas de faire un "write mem" pour ne pas perdre votre configuration !

24
Via une session Putty
Si vous souhaitez administrer votre ASA via l’interface CLI (pour récupérer le fichier de
configuration, charger un fichier ASDM, simplement faire de débogage) voici comment
configurer cette interface :
Il faut commencer par générer une paire de clé dont l’une sera échangée avec le client SSH :
# crypto key generate rsa modulus 1024
Si l’interface vous demande si vous souhaitez remplacer les clés existantes, répondez par
"yes".
Puis, il faut autoriser l’accès à cette interface (comme pour l’ASDM) :
ssh 172.16.99.0 255.255.255.0 WAN
Enfin, il faut définir le groupe d’utilisateur autorisé à accéder à l’ASA via l’interface CLI.
Pour cela connecter via votre accès ASDM fraichement installé et aller dans l’onglet
configuration puis User/AAA, et AAA Access.
Enfin dans le premier onglet de cette page, vous pouvez configurer le groupe LOCAL vous
permettant d’utiliser le compte admin créé auparavant.

Pour vous aider, voici une image de ce que vous devriez avoir :

Pour tester cette accès, démarrer un client SSH tel que Putty et saisir l’adresse de votre ASA.
Puis lorsque l’interface vous le demande, saisissez les identifiants que vous utilisés pour
l’accès à votre interface ASDM. Vous devriez obtenir ceci :

25
ID réseau a choisi Cisco ASA Cisco
Le contexte de sécurité a beaucoup évolué ces dernières années, tant du
point de vue des menaces que du point de vue des usages :
L ’ e x p l o s i o n d e l a m o b i l i t é e t d e s n o u v e a u x o u ti l s d e c o m m u n i c a ti o n ( v o i x e t
v i d é o s u r I P ) p o s e n t d e n o u v e a u x d é fi s a u x a p p l i a n c e s d e s é c u r i t é .
L e p i r a t a g e i n f o r m a ti q u e , q u a n t à l u i , e s t a u j o u r d ’ h u i r é a l i s é p a r d e s
p r o f e s s i o n n e l s , a v e c u n e v é r i t a b l e m o ti v a ti o n fi n a n c i è r e d e r r i è r e l e s
a tt a q u e s .
L ’ A S A r e l è v e c e s d é fi s e n f a i s a n t é v o l u e r l a t e c h n o l o g i e p a r e - f e u é p r o u v é e
d u P I X , t o u t e n i n t é g r a n t d e s f o n c ti o n s d e p a r e - f e u à i n s p e c ti o n a p p l i c a ti v e
a v a n c é e ( p l u s d e 3 0 p r o t o c o l e s s u p p o r t é s ) , a i n s i q u e d e s f o n c ti o n s d e
s é c u r i s a ti o n d e s c o m m u n i c a ti o n s u n i fi é e s u n i q u e s .
Flexibilité de déploiement, haute disponibilité, haute performance, support
d e l a q u a l i t é d e s e r v i c e f o n t é g a l e m e n t p a r ti e d e s c a r a c t é r i s ti q u e s
communes à la gamme ASA.

Une technologie VPN sûre et éprouvée.

La série Cisco ASA 5500 se base sur la technologie éprouvée du Cisco PIX
Security Appliance et du Cisco VPN 3000 Concentrator.
C ’ e s t l a p r e m i è r e s o l u ti o n à p r o p o s e r d e s s e r v i c e s V P N S S L e t I P s e c V P N e n
a s s o c i a ti o n a v e c l a p r o t e c ti o n a s s u r é e p a r u n e t e c h n o l o g i e d e p a r e - f e u
leader du marché.
Elle permet un accès à distance sûr à des systèmes internes et à des
services du réseau, et facilite le déploiement des VPN, site à site ou à accès
distant, pour les entreprises.
Les technologies Secure Sockets Layer (SSL) et IP Security (IPsec) VPN
R e m o t e A c c e s s , e n l i a i s o n a v e c d e s t e c h n o l o g i e s d e p r o t e c ti o n t e l l e s q u e
C i s c o S e c u r e D e s k t o p e t l e s s e r v i c e s d e p a r e - f e u e t d e p r é v e n ti o n d e s
i n t r u s i o n s , g a r a n ti s s e n t q u ’ a u c u n e m e n a c e n e p u i s s e p é n é t r e r d a n s
l ' e n t r e p r i s e p a r l e t r a fi c V P N .

Intrusion Prevention Services

S e r v i c e s d e p r é v e n ti o n d e s i n t r u s i o n s l e a d e r s s u r l e p l a n t e c h n i q u e
L a s é r i e C i s c o A S A 5 5 0 0 p r o p o s e d e s s e r v i c e s d e p r é v e n ti o n d e s i n t r u s i o n s
p r o a c ti f s e t c o m p l e t s p o u r r e p o u s s e r u n e l a r g e g a m m e d e m e n a c e s

26
n o t a m m e n t l e s v e r s , l e s a tt a q u e s a u n i v e a u d e s c o u c h e s d ’ a p p l i c a ti o n e t d u
s y s t è m e d ’ e x p l o i t a ti o n , l e s r o o t k i t s , l e s p y w a r e , a i n s i q u e l e p a r t a g e d e
fi c h i e r s p e e r - t o - p e e r e t l a m e s s a g e r i e i n s t a n t a n é e .
Le Cisco IPS Manager Express joue ainsi un rôle clef en tant que logiciel
d e g e s ti o n I P S t o u t e n u n . S p é c i a l e m e n t m i s a u p o i n t p o u r r é p o n d r e
a u x e x i g e n c e s d e s p e ti t e s e n t r e p r i s e s , i l o ff r e u n e p r o t e c ti o n i n t u i ti v e
e t e n m ê m e t e m p s e ffi c a c e d e s r é s e a u x e t d e s d o c u m e n t s

Tutoriel configuration de base du pare-feu Cisco ASA 5510

Je vous propose ici un tutoriel de configuration de base pour l'appareil de sécurité Cisco ASA
5510. Cet appareil est le second modèle de la série ASA (ASA 5505, 5510, 5520 etc) et il est
assez populaire depuis est destiné aux petites et moyennes entreprises. Comme le plus petit
modèle ASA 5505, 5510 est livré avec deux options: La licence de base et la licence Security
Plus. La seconde (la sécurité et plus) fournit quelques améliorations de performances et de
matériel au cours de la licence de base, tels que pare-feu 130.000 connexions maximum (au
lieu de 50.000), 100 VLAN maximum (au lieu de 50), la redondance de basculement, etc En
outre, la licence Security Plus permet à deux des cinq ports réseau pare-feu pour travailler
comme 10/100/1000 au lieu de seulement 10/100.
Ensuite, nous allons voir un scénario simple d'Internet Access qui nous aidera à comprendre
les étapes de base nécessaires pour configurer un ASA 5510. Supposons que l'on se voient
attribuer une adresse IP publique statique 100.100.100.1 de notre FAI. En outre, le réseau
LAN interne appartient à 192.168.10.0/24 de sous-réseau. Interface ethernet0 / 0 sera relié à
l'extérieur (vers le FAI), et ethernet0 / 1 sera connecté au commutateur LAN intérieur.
Le pare-feu est configuré pour fournir des adresses IP dynamiquement (DHCP) pour les hôtes
internes. Toutes les communications sortantes (de l'intérieur vers l'extérieur) seront
convertis en utilisant Port Address Translation (PAT) sur l'interface public en dehors. Voyons
un extrait des étapes de configuration requises pour ce scénario de base:

Etape 1: Configurer un mot de passe niveau privilégié (activer mot de

passe)

ASA5510(config)# enable password mysecretpassword

Etape 2: Configure the public outside interface

ASA5510(config)# interface Ethernet0/0

ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut

Etape 3: Configure the trusted internal interface

ASA5510(config)# interface Ethernet0/1

27
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut

Etape 4: Configure PAT on the outside interface

ASA5510(config)# global (outside) 1 interface

ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0

Etape 5: Configure Default Route towards the ISP (assume default gateway
is 100.100.100.2)

ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2

Etape 6: Configure the firewall to assign internal IP and DNS address to

hosts using DHCP

ASA5510(config)# dhcpd dns 200.200.200.10

ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside

Il Ya de nombreuses autres fonctions de configuration dont vous avez besoin pour mettre en
œuvre pour accroître la sécurité de votre réseau, tels que NAT statique et dynamique,
Access Control List pour contrôler le flux du trafic, DMZ zones, VPN, etc.

Conclusion

28
Mon stage m'a beaucoup intéressée, j'ai pu découvrir les différents postes de l'entreprise et
avoir un aperçu global de son fonctionnement. Il m'a permis de me familiariser avec les
différents services et d'avoir une approche réelle du monde du travail. J'ai pu faire le
rapprochement entre ce que j'avais appris en cours et ce qui se passe vraiment dans l'
entreprise, ce qui n'a pas toujours été facile car chaque entreprise est un cas particulier. J'ai
surtout occupé deux postes qui ont suscité ma curiosité et mon envie d'en savoir plus, le
Premier au service comptabilité fournisseurs, le second au poste de responsable d'entrepôt.
Ce dernier m'a beaucoup intéressée et m'a permis d'aborder le rangement, l'organisation,
L’approvisionnement, la gestion des stocks. J'ai pu voir ce que c'était d'avoir une équipe sous
ses ordres, il faut s'adapter aux humeurs de toutes les personnes tout en restant ferme dans
les directives de travail. Je regrette que l'entreprise n'ait pas eu un service qualité pour
pouvoir traiter ce sujet. Malgré l'absence de ce service l'entreprise est quand même obligée
de faire de la qualité par rapport aux clients. La structure juridique de l'entreprise est très
compliquée à expliquer car beaucoup de sociétés interfèrent dans sa structure. Le travail
d'équipe est très importants car tous les services sont liés et doivent communiquer entre
eux. Une bonne ambiance règne dans l'entreprise et tout le personnel a été très coopératif
et attentif à mes questions.
J'aurais aimé que le stage dure plus longtemps car je n'ai pas eu le temps de bien
approfondir tous les postes.

29