Académique Documents
Professionnel Documents
Culture Documents
Présenté par :
Malek TLIK & Achref LABIEDH
Page | 1
Table des matières…………………………………………………………….…Page1
Introduction Générale………………………………………………………….…Page2
Problématique …………………………………………………………………....Page3
1. Filtrage……………………………………………………………………….Page3
1.1 Introduction………………………………………………………………...Page3
1.2 Rôle du filtrage…………………………………….……………………... .Page4
1.3 Types de filtrage …………………..…………………………………….....Page5
1.4 Avantages et inconvénients du filtrage…………………………………..…Page6
1.4.a Avantages du Filtrage ……………………………………………….…Page6
1.4. Inconvénients du Filtrage………………………………………………..Page7
2. Firewalls……………………………………………………………………….Page8
2.1 Présentation générale des pare-feu……………………………………...…..Page9
2.2 Rôle crucial des pares-feux dans la sécurité du réseau………………….….Page10
2.3 Différences entre pare-feu matériel et logiciel……………………………...Page11
3. Context-Based Access Control (CBAC) Firewall……………………………..Page13
3.1 Introduction au CBAC et son mode de fonctionnement………………….....Page13
3.2 Avantages spécifiques du CBAC par rapport à d'autres approches………...Page14
3.3 Cas d'utilisation et exemples concrets……………………………………...Page15
4. Zone-Based Policy Firewall (ZBF, ZPF or ZFW)………………………….....Page16
4.1 Concept de pare-feu basé sur les zones…………………………………...…Page16
4.2 Comparaison avec d'autres types de pare-feu…………………………….....Page18
4.3 Application pratique du ZBF dans la sécurisation des réseaux………...……Page18
5. Réalisation……………………………………………………………….……Page19
5.1 Outils et logiciels utilisés dans la configuration………………………….....Page19
5.1. a GNS3………………………………………………………………….Page19
5.1. b Nmap………………………………………………………………….Page20
5.2 Étapes concrètes pour la mise en place……………………………………Page21
Conclusion…………………………………………………………………........Page30
Page | 1
Introduction Générale
Le filtrage, en tant que première ligne de défense, revêt une importance cruciale dans la
protection des réseaux contre les menaces extérieures. Sa capacité à contrôler le flux de données
entrant et sortant offre une première barrière contre les attaques potentielles. Nous débuterons
notre exploration par une définition approfondie de ce mécanisme, plongeant ensuite dans les
différents types de filtrage, de la granularité du filtrage de paquets à l'intelligence du filtrage
d'état. Cette première étape vise à établir les bases essentielles pour une compréhension
approfondie de la sécurité réseau.
Dans la suite de notre exploration, nous nous pencherons sur deux approches spécifiques
de pare-feu : le Context-Based Access Control (CBAC) et le Zone-Based Policy Firewall
(ZBF). Le CBAC, avec son approche contextuelle, se positionne comme un pas en avant vers
une sécurité réseau plus intelligente. Nous détaillerons son mode de fonctionnement unique et
identifierons ses avantages distinctifs. Le ZBF, quant à lui, exploite la segmentation du réseau
pour une sécurité renforcée. Notre analyse comparative avec d'autres types de pare-feu
permettra de saisir pleinement son impact sur la robustesse de la défense réseau.
Page | 2
Enfin, la réalisation concrète constituera le point d'orgue de notre mini-projet. À travers
des étapes détaillées, nous guiderons la mise en place de ces mécanismes de sécurité, tout en
utilisant des outils tels que GNS3 et Nmap pour une expérience pratique. Notre objectif ultime
est d'équiper les praticiens en sécurité réseau des connaissances nécessaires pour fortifier leurs
infrastructures contre les menaces numériques en constante mutation.
Problématique
1. Filtrage
1.1 Introduction
Le filtrage, en tant que première ligne de défense dans le domaine de la sécurité réseau,
constitue le pilier fondateur de notre exploration. Dans ce chapitre, nous plongerons au
cœur de cet élément essentiel, cherchant à comprendre ses nuances, ses mécanismes et
son rôle crucial dans la protection des réseaux contre les menaces numériques en
constante évolution.
À la croisée des chemins entre l'accessibilité sans entrave aux données et la nécessité
impérieuse de protéger ces données, le filtrage se présente comme le gardien vigilant
Page | 3
des frontières numériques. Il incarne une barrière intelligente, scrutant chaque paquet
de données qui circule au sein du réseau, décidant instantanément de son sort en fonction
de règles préalablement établies. C'est ici, dans cette capacité à discriminer entre le
légitime et le malveillant, que réside la puissance du filtrage.
Page | 4
Au-delà de la protection contre les menaces, le filtrage permet un contrôle fin des accès
au réseau. En spécifiant des règles précises, il détermine quels utilisateurs, dispositifs
ou services sont autorisés à communiquer. Cela contribue à maintenir une politique de
sécurité rigoureuse en restreignant l'accès non autorisé.
Page | 5
• Filtrage de Paquets
Le filtrage de paquets, également connu sous le nom de filtrage au niveau de la couche
réseau, examine chaque paquet individuel en fonction de règles prédéfinies. Cette
méthode évalue des éléments tels que l'adresse source et de destination, le protocole, et
le port. Bien qu'il offre une granularité élevée, le filtrage de paquets peut parfois
manquer de contexte global dans l'évaluation des connexions.
• Filtrage d'État
Le filtrage d'état, aussi appelé inspection d'état, va au-delà du simple examen de chaque
paquet, en maintenant un suivi de l'état global de la connexion. Il évalue la séquence des
paquets dans le contexte d'une communication en cours. Cela permet au filtrage d'état
d'apporter des décisions plus informées en termes d'autorisation ou de blocage du trafic.
• Filtrage de Contenu
Le filtrage de contenu se penche sur le contenu réel des paquets, analysant les données
qu'ils transportent. Cela permet de détecter des motifs spécifiques ou des signatures
associées à des menaces connues, comme des virus ou des attaques par injection de
code. Cette méthode est particulièrement efficace pour prévenir la propagation de
logiciels malveillants.
• Filtrage Proxy
Le filtrage proxy intervient en agissant comme un intermédiaire entre l'utilisateur et les
serveurs distants. Il filtre les requêtes et les réponses, évaluant le contenu au niveau de
l'application. Cela permet de cacher les adresses IP internes, d'appliquer des règles de
sécurité spécifiques aux applications, et d'assurer une protection accrue contre les
menaces basées sur le web.
• Filtrage URL
Le filtrage URL, également connu sous le nom de filtrage web, contrôle l'accès aux
ressources en ligne en se basant sur les adresses URL. Il peut être utilisé pour restreindre
l'accès à des catégories spécifiques de sites web, renforçant ainsi les politiques de
sécurité en empêchant l'accès à des contenus inappropriés ou dangereux.
Page | 6
Chaque type de filtrage apporte une contribution unique à la sécurité globale du réseau,
offrant une palette d'outils pour répondre aux divers défis posés par le paysage
cybernétique en constante évolution. Le choix judicieux entre ces approches dépend des
besoins spécifiques de chaque environnement réseau.
• Adaptation Dynamique :
La capacité du filtrage à s'adapter dynamiquement aux menaces émergentes en ajustant
les règles en temps réel renforce la résilience du réseau.
Page | 7
• Complexité de Gestion :
La mise en place de règles de filtrage précises peut devenir complexe, nécessitant une
gestion minutieuse pour éviter des configurations excessivement restrictives ou
permissives.
• Latence Potentielle :
L'analyse approfondie du trafic peut engendrer une légère latence, en particulier dans
les cas de filtrage d'état, pouvant impacter la réactivité du réseau.
2. Firewalls
Page | 8
Figure 1 : présentation Firewal
Le firewall, ou pare-feu en français, émerge comme un rempart robuste dans la
protection des réseaux informatiques contre les menaces cybernétiques. En tant que gardien
vigilant des frontières numériques, le pare-feu joue un rôle essentiel dans la préservation de
l'intégrité des données et la sécurisation des communications. Ce chapitre explorera la nature et
la fonction des pare-feu, soulignant leur importance cruciale dans le maintien de la sécurité et
de la confidentialité au sein des environnements informatiques interconnectés.
Au-delà de leur rôle classique de défense contre les intrusions, les pare-feu sont
également des acteurs clés dans la gestion des accès, la prévention des fuites d'information, et
la défense contre les attaques sophistiquées. Ce chapitre explorera en profondeur la présentation
générale des pare-feu, leur rôle crucial dans la sécurisation des réseaux, ainsi que les nuances
entre les pare-feu matériels et logiciels. En comprenant la portée et la diversité des pare-feu,
nous jetterons les bases nécessaires pour plonger plus profondément dans deux approches
spécifiques : le Context-Based Access Control (CBAC) et le Zone-Based Policy Firewall
(ZBF). Ensemble, ces éléments constituent une défense multicouche, préparant les réseaux à
affronter les défis complexes d'un environnement cybernétique en perpétuelle évolution.
Page | 9
2.2 Rôle crucial des pare-feu dans la sécurité du réseau
Les pare-feu occupent une position cruciale dans la sécurité des réseaux, agissant
comme des gardiens vigilants qui veillent à la préservation de l'intégrité, de la
confidentialité et de la disponibilité des données. Leur rôle va bien au-delà de la
simple prévention des intrusions, s'étendant à la gestion stratégique du trafic et à la
défense proactive contre une multitude de menaces numériques.
Page | 10
associées à des menaces connues, ils permettent une détection précoce des activités
malveillantes. Cette vigilance constante contribue à anticiper et à contrer les attaques
avant qu'elles ne compromettent la sécurité du réseau.
En résumé, le rôle crucial des pare-feu s'étend bien au-delà de la simple protection
contre les intrusions. Ils sont des architectes de la sécurité réseau, permettant une
défense proactive, une gestion fine des accès et une surveillance constante, contribuant
ainsi à la création d'environnements informatiques résilients et sécurisés.
Page | 11
Configuration Souvent géré via une Généralement configuré via des
interface web dédiée ou interfaces graphiques utilisateur
une ligne de commande. (GUI) ou des lignes de
commande, avec une flexibilité
accrue dans les options de
configuration.
Facilité de La maintenance matérielle Plus facile à mettre à jour et à
Maintenance peut nécessiter des entretenir en raison de la nature
compétences spécialisées. logicielle, avec des mises à jour
régulières disponibles.
Mobilité et Moins mobile en raison de Plus mobile et flexible, pouvant
Flexibilité sa nature physique. être déployé sur différents
environnements virtuels ou
physiques.
Sécurité Moins vulnérable aux Plus vulnérable aux attaques
Physique attaques physiques en physiques sur l'infrastructure
raison de sa nature dédiée. sous-jacente, bien que des
mesures de sécurité logicielle
puissent être mises en place.
Les pare-feu peuvent être implémentés sous forme de matériel dédié ou de logiciel.
Chacun a ses propres avantages et inconvénients, influençant le choix en fonction des besoins
spécifiques d'un réseau.
3. Context-Based Access Control (CBAC) Firewall
3.1 Introduction au CBAC et son mode de fonctionnement
Le Context-Based Access Control (CBAC) Firewall, souvent désigné
simplement par CBAC, représente une évolution significative dans les technologies de
pare-feu. Contrairement aux pare-feu classiques qui se contentent de filtrer le trafic en
fonction de règles prédéfinies, le CBAC opère à un niveau supérieur d'intelligence en
prenant en compte le contexte des connexions réseau. Cette section offre une
introduction approfondie au CBAC et explore son mode de fonctionnement innovant.
• Compréhension du Contexte :
Le CBAC va au-delà des méthodes traditionnelles de filtrage en évaluant le
contexte spécifique de chaque connexion. Il analyse des facteurs tels que l'état de la
connexion, les protocoles utilisés, et même le contenu des paquets. Cette approche
contextuelle permet au CBAC de prendre des décisions plus informées sur l'autorisation
ou le blocage du trafic.
• Inspection Dynamique des Connexions :
Au cœur du fonctionnement du CBAC réside sa capacité à inspecter
dynamiquement les connexions. Plutôt que de simplement suivre des règles statiques,
Page | 12
le CBAC adapte son comportement en temps réel en fonction des caractéristiques
évolutives du trafic réseau. Il peut ainsi détecter et répondre à des modèles de
communication inhabituels.
• Gestion des Sessions :
Le CBAC maintient une gestion active des sessions, permettant de suivre l'état
des connexions. Cette gestion des sessions autorise le pare-feu à distinguer entre les
connexions légitimes et les tentatives d'intrusions en établissant une corrélation entre
les paquets entrants et sortants.
• Inspection de Contenu :
Outre la simple analyse des en-têtes de paquets, le CBAC va plus loin en
inspectant le contenu des données transitant par le réseau. Cette fonctionnalité lui
permet de détecter des menaces basées sur le contenu, renforçant ainsi la sécurité en
prévenant la propagation de logiciels malveillants ou d'attaques de type application.
Page | 13
• Prise de Décision Contextuelle :
Le CBAC évalue le contexte spécifique de chaque connexion, prenant en compte des
éléments tels que l'état de la connexion, les protocoles, et le contenu des paquets,
permettant des décisions plus informées.
• Inspection Dynamique :
Il inspecte dynamiquement le trafic en temps réel, s'adaptant aux caractéristiques
évolutives du trafic réseau, contrairement à des règles statiques qui pourraient manquer
des comportements anormaux.
• Inspection de Contenu :
En plus de l'analyse des en-têtes de paquets, le CBAC inspecte le contenu des données,
détectant des menaces basées sur le contenu et renforçant la sécurité contre les attaques
sophistiquées.
• Logs Détaillés :
Le CBAC génère des logs et des rapports détaillés, offrant une visibilité approfondie sur
le trafic et les tentatives d'accès, facilitant ainsi l'analyse des événements et la réponse
aux incidents.
Page | 14
Le Context-Based Access Control (CBAC) Firewall offre des avantages concrets à
travers divers cas d'utilisation :
• Protection des Applications Web Critiques :
CBAC sécurise les applications web en inspectant le trafic HTTP/HTTPS, focalisant sur
la détection d'attaques applicatives et la prévention des fuites de données.
• Gestion des Communications VoIP :
Il assure un contrôle contextuel des sessions vocales en examinant le trafic SIP et RTP
dans les environnements de VoIP.
• Sécurisation des Connexions VPN :
CBAC évalue le contexte des sessions VPN, autorisant ou bloquant le trafic en fonction
de critères tels que l'identité de l'utilisateur et la sécurité de la connexion.
Page | 15
Le concept de Pare-feu Basé sur les Zones (Zone-Based Policy Firewall - ZBF, ZPF,
ou ZFW) est une approche innovante dans la conception des pare-feu, mettant l'accent
sur la gestion du trafic en fonction de zones logiques plutôt que d'interfaces
individuelles. Ce concept offre une flexibilité accrue dans la définition des politiques
de sécurité, facilitant la gestion des réseaux complexes. Voici les principaux éléments
de ce concept :
• Zones Logiques :
Définition : Au lieu de se baser sur des interfaces physiques, le Pare-feu Basé sur les
Zones organise le réseau en zones logiques. Chaque zone représente une région du
réseau ayant des caractéristiques de sécurité similaires.
Exemple : Les zones peuvent inclure des catégories telles que "Interne," "DMZ" (Zone
démilitarisée), et "Externe," chacune représentant un niveau de confiance spécifique.
Avantages : Une approche plus intuitive pour configurer les politiques de sécurité en
établissant des règles claires entre les différentes zones du réseau.
• Décisions Informatives :
Cette évaluation contextuelle permet des décisions de filtrage plus informatives,
adaptées aux conditions spécifiques de chaque connexion.
• Flexibilité et Évolutivité :
Page | 16
Assignation des Interfaces : Chaque interface réseau est assignée à une zone spécifique.
Une interface peut appartenir à une seule zone, simplifiant la gestion et facilitant l'ajout
de nouvelles interfaces.
• Gestion Évolutive :
La structure par zones rend le système facilement évolutif, permettant l'ajout de
nouvelles zones ou interfaces sans la nécessité de réécrire l'ensemble des règles.
Cette comparaison vise à illustrer les différences clés entre le Pare-feu Basé sur les
Zones, les pare-feu à état, et les pare-feu à inspection de paquets. Chacun de ces types
de pare-feu a ses propres avantages et limitations, et le choix dépend des besoins
spécifiques de l'environnement réseau et des objectifs de sécurité.
Pare-feu Basé sur les Pare-feu à Pare-feu à Inspection de
Caractéristique Zones (ZBF) État Paquets
Approche Suivi de l'état Filtrage statique des en-
Principale Contextuelle des connexions têtes de paquets
Flexibilité Excellente Bonne Limitée
Gestion des
Gestion des Facile (Politiques par états de Dépendante des règles
Politiques zone) connexion statiques
Basée sur l'état Basée sur des critères
Prise de Décision Basée sur le contexte des connexions statiques
Inspection du Oui, incluant le
Contenu contenu des paquets Non Non
Gestion de
Gestion des Gestion active des l'état des Fonctionne au niveau des
Connexions sessions connexions paquets individuels
Page | 17
Très adaptable aux Adaptable aux
Adaptabilité changements changements Moins adaptable
Page | 18
• Contrôle des Applications Cloud :
Scenario : Avec l'utilisation croissante d'applications cloud, le ZBF peut offrir un
contrôle précis sur le trafic lié à ces services, assurant une utilisation sécurisée et conforme des
applications cloud.
5. Réalisation
5.1 Outils et logiciels utilisés dans la configuration
5.1.a GNS3
• Création de Topologies :
GNS3 facilite la création de topologies de réseau complexes, fournissant un
environnement réaliste pour tester la connectivité et les configurations de pare-feu.
5.1.b Nmap
Page | 19
Figure 3 : Logo NMAP
• Description :
Nmap (Network Mapper) est un scanner de sécurité open-source qui est utilisé pour
découvrir des hôtes et des services sur un réseau, ainsi que pour créer un profil des systèmes en
fonction des ports ouverts. Nmap est un outil polyvalent qui peut être utilisé pour l'inventaire
réseau, la cartographie des ports, la détection d'OS, et même l'analyse de vulnérabilités.
• Détection d'OS :
En utilisant Nmap, on peut détecter les systèmes d'exploitation des périphériques
connectés au réseau simulé.
En intégrant ces outils dans le processus de configuration, nous assurons une mise en
œuvre robuste et une évaluation approfondie de la sécurité du réseau simulé. Ces outils
contribuent à une expérience pratique et réaliste dans le cadre du mini-projet.
5.2 Étapes concrètes pour la mise en place
Page | 20
Part 1: Basic Router Configuration
Step 2: Scan for open ports on R1 using Nmap from internal host PC-A.Après avoir
lancé les commandes
c)
• À partir du PC-A interne, Nmap détecte les ports ouverts 23 (Telnet) et 80
(HTTP)
• Pour ce routeur, il est 00:1B:53:25:25:6F
• Les réponses peuvent varier mais Nmap détermine que R1 est un routeur et qu’il
exécute Cisco IOS version 12.4
Step 3: Scan for open ports on R1 using Nmap from external host PC-C.
Après avoir lancé les scans demandé en petite a et b
c) Telnet and http
Page | 22
d) Trois sauts. L’acquisition est passée de PC-C à la passerelle par défaut R3 Fa0/1
(192.168.3.1) à R2 S0/0/1 (10.2.2.2) puis à R1S0/0/0 (10.1.1.1)
b) Yes
Step 2:
a) ping 192.168.1.3
b) Yes
Step 3
c) Non, il y a une longueur de mot de passe minimum de 10. Les mots de passe
de connexion et exec-timeout sont définis sur la console, vty, et aux lignes.
Task 2: Use AutoSecure to Secure R1 and Enable CBAC
Step 4: Scan for open ports on R1 using Nmap from external host PC-C
b) Aucun service n’est détecté. Nmap,exécuter à partir du PC-C,signale que l’état de
l’hôte R1 10.1.1.1 est bas.
Step 1 :
Page | 23
b)
ip inspect name autosec_inspect
c) Interface Serial0/0/0 dans le sens sortant
Step 2: Display the protocols available with theip inspectcommand
b) plus de cent
c) Cuseeme, FTP, HTTP, RCMD, Realaudio, SMTP, TFTP, UDP AND TCP.
d) S0/0/0 inbound
e) Il permet au trafic de démarrage d’entrer dans l’interface S0/0/0 et bloque toutes les
autres connexions non établies à partir de l’extérieur de R1
Task 4: Verify CBAC Functionality
Step 1: From PC-A, ping the R1 internal LAN interface
a) ping 192.168.1.1
b) Oui, l’adresse IP PC-A et l’adresse IP R1 Fa0/1 sont sur le même réseau interne
et le pare-feu n’entre pas en jeu. L’adresse IP R1 Fa0/1 est la passerelle par défaut de PC-A.
Step 2: From PC-A, ping the R2 external WAN interface.
a) ping 10.1.1.2
b) Non. Le protocole ICMP n’a pas été inclus dans la liste autosec_inspect, de sorte
que les pings envoyés par PC-A sont bloqués
Page | 24
Connection timed out; remote host not responding
b) Non, la connexion a été initiée de l’extérieur et a été bloquée par le pare-feu ACL
Step 6: Configure R1 to allow Telnet access from external hosts.
Page | 25
a)
Page | 26
d) Deny it.
g)
h) La haute sécurité identifie le trafic entrant et sortant IM et peer-to-peer (P2P) et le
supprime. Cela empêche l’utilisation de ces applications sur le réseau. La sécurité moyenne
identifie le courrier entrant et le courrier sortant et P2Ppour le suivi, mais ne le laisse pas tomber.
La faible sécurité n’identifie pas le trafic spécifique à l’application, mais elle l’inspecte pour
vérifier qu’il a été initié à partir du réseau interne
j) Une description textuelle (sans commande) de ce que fait l’Assistant Pare-feu en
fonction des sélections que vous avez effectuées.
m) Les mises à jour EIGRProuting de R2 seraient bloquées au niveau du pare-feu, et R3
ne connaîtrait pas les réseaux 10.1.1.0/30 ou 192.168.1.0/24
n) RIP et OSPF
p) 115 commandes avec SDM 2.5.
s) Le trafic est abandonné et enregistré
Task 3: Review the Zone-Based Firewall Configuration
Step 1: Examine the R3 running configuration with the CLI.
Step 2: Examine the R3 firewall configuration using SDM.
a) doit être active
b) Informations sur les paires de zones
d) Interface Serial0/0/1 est dans la zone hors zone, et l’interface FastEthernet0/1 est dans
la zone en zone
e)
Zone Pair Source Destination Policy
Sdm-zp- Self out-zone sdm-permit-
self-out icmpreply
Sdm-zp- out-zone Self sdm-permit
out-self
Sdm-zp- in-zone out-zone sdm-inspect
self-out
Page | 28
Router Interface Summary Table
Conclusion
Le mini-projet explore les mécanismes de protection des réseaux à travers
la configuration du Context-Based Access Control (CBAC) Firewall et du Zone-
Based Policy Firewall (ZBF), soulignant leur rôle essentiel dans la défense contre
les menaces. L'étude approfondie du CBAC met en lumière ses avantages
distincts, notamment l'inspection contextuelle du trafic, la sécurisation des
applications web et la défense proactive contre les attaques DDoS, en faisant du
CBAC une solution puissante pour des environnements nécessitant une sécurité
avancée.
Le ZBF, avec sa flexibilité basée sur les zones, offre une approche
novatrice, simplifiant la configuration des politiques de sécurité et adaptant la
protection aux évolutions du réseau, y compris la sécurisation de zones
spécifiques comme la DMZ.
Page | 29
L'application concrète du ZBF dans divers scénarios, du contrôle des
communications VoIP à la réponse aux menaces DDoS, souligne sa polyvalence.
La combinaison du CBAC et du ZBF forme une architecture de sécurité complète
répondant aux défis variés des environnements réseau modernes.
Page | 30