Mini projet en Sécurité et Réseaux

Présenté par :
Malek TLIK & Achref LABIEDH

Configuration de CBAC et Pare-feu Basés

sur les Zones

Encadré par : Mr Mohamed SAKKOUHI

Année Universitaire : 2023 / 2024

Page | 1
Table des matières…………………………………………………………….…Page1
Introduction Générale………………………………………………………….…Page2
Problématique …………………………………………………………………....Page3
1. Filtrage……………………………………………………………………….Page3
1.1 Introduction………………………………………………………………...Page3
1.2 Rôle du filtrage…………………………………….……………………... .Page4
1.3 Types de filtrage …………………..…………………………………….....Page5
1.4 Avantages et inconvénients du filtrage…………………………………..…Page6
1.4.a Avantages du Filtrage ……………………………………………….…Page6
1.4. Inconvénients du Filtrage………………………………………………..Page7
2. Firewalls……………………………………………………………………….Page8
2.1 Présentation générale des pare-feu……………………………………...…..Page9
2.2 Rôle crucial des pares-feux dans la sécurité du réseau………………….….Page10
2.3 Différences entre pare-feu matériel et logiciel……………………………...Page11
3. Context-Based Access Control (CBAC) Firewall……………………………..Page13
3.1 Introduction au CBAC et son mode de fonctionnement………………….....Page13
3.2 Avantages spécifiques du CBAC par rapport à d'autres approches………...Page14
3.3 Cas d'utilisation et exemples concrets……………………………………...Page15
4. Zone-Based Policy Firewall (ZBF, ZPF or ZFW)………………………….....Page16
4.1 Concept de pare-feu basé sur les zones…………………………………...…Page16
4.2 Comparaison avec d'autres types de pare-feu…………………………….....Page18
4.3 Application pratique du ZBF dans la sécurisation des réseaux………...……Page18
5. Réalisation……………………………………………………………….……Page19
5.1 Outils et logiciels utilisés dans la configuration………………………….....Page19
5.1. a GNS3………………………………………………………………….Page19
5.1. b Nmap………………………………………………………………….Page20
5.2 Étapes concrètes pour la mise en place……………………………………Page21
Conclusion…………………………………………………………………........Page30

Page | 1
 Introduction Générale

Dans l'ère numérique contemporaine, où la connectivité est omniprésente, la

sécurisation des réseaux se positionne au cœur des préoccupations. Dans ce contexte, notre
mini-projet se profile comme une exploration approfondie des mécanismes fondamentaux de
défense réseau, mettant particulièrement l'accent sur le filtrage et les pare-feu. En effet, alors
que les avantages de la connectivité mondiale sont indéniables, les risques de cybermenaces
sont également en constante évolution, nécessitant des stratégies de sécurité réseau
sophistiquées.

Le filtrage, en tant que première ligne de défense, revêt une importance cruciale dans la
protection des réseaux contre les menaces extérieures. Sa capacité à contrôler le flux de données
entrant et sortant offre une première barrière contre les attaques potentielles. Nous débuterons
notre exploration par une définition approfondie de ce mécanisme, plongeant ensuite dans les
différents types de filtrage, de la granularité du filtrage de paquets à l'intelligence du filtrage
d'état. Cette première étape vise à établir les bases essentielles pour une compréhension
approfondie de la sécurité réseau.

Les pare-feu, en tant que gardiens incontournables, représentent la deuxième

composante essentielle de notre mini-projet. Au-delà de leur rôle classique de défense, ils sont
les sentinelles qui discernent le trafic légitime du trafic malveillant. Notre parcours débutera
par une présentation générale des pare-feu, soulignant leur rôle crucial dans la sécurisation des
réseaux modernes. Nous examinerons également les nuances entre les pare-feu matériels et
logiciels, afin de fournir une perspective éclairée sur les choix stratégiques qui s'offrent aux
architectes réseau.

Dans la suite de notre exploration, nous nous pencherons sur deux approches spécifiques
de pare-feu : le Context-Based Access Control (CBAC) et le Zone-Based Policy Firewall
(ZBF). Le CBAC, avec son approche contextuelle, se positionne comme un pas en avant vers
une sécurité réseau plus intelligente. Nous détaillerons son mode de fonctionnement unique et
identifierons ses avantages distinctifs. Le ZBF, quant à lui, exploite la segmentation du réseau
pour une sécurité renforcée. Notre analyse comparative avec d'autres types de pare-feu
permettra de saisir pleinement son impact sur la robustesse de la défense réseau.

Page | 2
 Enfin, la réalisation concrète constituera le point d'orgue de notre mini-projet. À travers
des étapes détaillées, nous guiderons la mise en place de ces mécanismes de sécurité, tout en
utilisant des outils tels que GNS3 et Nmap pour une expérience pratique. Notre objectif ultime
est d'équiper les praticiens en sécurité réseau des connaissances nécessaires pour fortifier leurs
infrastructures contre les menaces numériques en constante mutation.

Problématique

Dans le cadre du laboratoire de configuration CBAC et Zone-Based Firewalls du

chapitre 4, les apprenants seront confrontés à la complexité croissante des réseaux sécurisés.
Comment les mécanismes de CBAC et les pares-feux basés sur les zones peuvent-ils être
efficacement configurés pour assurer une protection robuste tout en permettant un flux de trafic
nécessaire ? Quels sont les défis spécifiques liés à la mise en œuvre de ces technologies dans
des topologies réseau diverses, et comment peuvent-ils être surmontés pour garantir une
sécurité optimale ?

Cette problématique soulève des questions sur la configuration optimale des

mécanismes de sécurité, la gestion du trafic nécessaire, les défis potentiels liés aux différentes
topologies réseau, et la manière dont les apprenants peuvent résoudre ces défis. Vous pouvez
personnaliser cette problématique en fonction des aspects particuliers que vous souhaitez mettre
en avant dans votre laboratoire.

1. Filtrage
1.1 Introduction
Le filtrage, en tant que première ligne de défense dans le domaine de la sécurité réseau,
constitue le pilier fondateur de notre exploration. Dans ce chapitre, nous plongerons au
cœur de cet élément essentiel, cherchant à comprendre ses nuances, ses mécanismes et
son rôle crucial dans la protection des réseaux contre les menaces numériques en
constante évolution.

À la croisée des chemins entre l'accessibilité sans entrave aux données et la nécessité
impérieuse de protéger ces données, le filtrage se présente comme le gardien vigilant

Page | 3
des frontières numériques. Il incarne une barrière intelligente, scrutant chaque paquet
de données qui circule au sein du réseau, décidant instantanément de son sort en fonction
de règles préalablement établies. C'est ici, dans cette capacité à discriminer entre le
légitime et le malveillant, que réside la puissance du filtrage.

Au-delà de cette fonction fondamentale, le filtrage revêt diverses nuances, chacune

adaptée à des contextes spécifiques. Du filtrage de paquets, examinant chaque fragment
d'information individuellement, au filtrage d'état, analysant le contexte global des
communications, chaque approche offre des avantages distincts. Cependant, cette
puissance de discernement n'est pas sans ses défis, et nous explorerons également les
complexités de la gestion des règles de filtrage.

Ainsi, en plongeant dans l'univers du filtrage, nous chercherons à dévoiler les

mécanismes qui sous-tendent cette première barrière de défense. Nous examinerons
comment le filtrage devient la sentinelle vigilante, garantissant que seules les données
autorisées traversent les frontières numériques. En comprenant le filtrage dans sa
profondeur et sa complexité, nous jetterons les bases nécessaires pour une exploration
approfondie des pare-feu, la deuxième composante essentielle de notre mini-projet.

1.2 Rôle du filtrage

Le filtrage, en tant que mécanisme fondamental de sécurité réseau, endosse un rôle
central dans la préservation de l'intégrité et de la confidentialité des données. Son
objectif premier est d'établir une barrière discernante entre le trafic autorisé et le trafic
malveillant, offrant ainsi une première ligne de défense robuste.

• Défense contre les Menaces Externes

Le principal rôle du filtrage réside dans la protection contre les menaces externes. En
examinant chaque paquet de données qui entre ou sort du réseau, le filtrage peut
identifier et bloquer activement le trafic nuisible tel que les tentatives d'intrusions, les
attaques par déni de service (DDoS), ou les logiciels malveillants.

• Contrôle des Accès

Page | 4
Au-delà de la protection contre les menaces, le filtrage permet un contrôle fin des accès
au réseau. En spécifiant des règles précises, il détermine quels utilisateurs, dispositifs
ou services sont autorisés à communiquer. Cela contribue à maintenir une politique de
sécurité rigoureuse en restreignant l'accès non autorisé.

• Gestion de la Bande Passante

Le filtrage joue également un rôle crucial dans la gestion de la bande passante. En
analysant le trafic en temps réel, il peut prioriser certains types de données, assurant une
utilisation optimale des ressources réseau et garantissant une expérience utilisateur
fluide.

• Prévention des Fuites d'Information

En inspectant le contenu des paquets de données, le filtrage contribue à prévenir les
fuites d'information sensibles. Il peut bloquer la transmission de données confidentielles
ou s'assurer qu'elles sont sécurisées au moyen de protocoles de chiffrement adéquats.

• Adaptation Dynamique aux Menaces Émergentes

Le rôle du filtrage s'étend également à l'adaptation dynamique aux menaces émergentes.
Les règles peuvent être mises à jour en temps réel pour faire face à de nouveaux types
d'attaques, assurant ainsi une défense proactive contre les techniques malveillantes en
constante évolution.

En résumé, le filtrage agit comme le gardien vigilant du réseau, remplissant un éventail

de fonctions cruciales allant de la protection contre les menaces à la gestion efficace des
ressources. Sa capacité à opérer à la fois en tant que rempart défensif et outil de contrôle
stratégique en fait un élément incontournable dans la conception d'une sécurité réseau
complète.

1.3 Types de filtrage

Le filtrage, en tant que stratégie de défense réseau, peut être décliné en plusieurs types,
chacun répondant à des besoins spécifiques en matière de sécurité. Chaque approche a
ses caractéristiques distinctes, offrant une flexibilité adaptée aux différentes
architectures et exigences de réseau.

Page | 5
 • Filtrage de Paquets
Le filtrage de paquets, également connu sous le nom de filtrage au niveau de la couche
réseau, examine chaque paquet individuel en fonction de règles prédéfinies. Cette
méthode évalue des éléments tels que l'adresse source et de destination, le protocole, et
le port. Bien qu'il offre une granularité élevée, le filtrage de paquets peut parfois
manquer de contexte global dans l'évaluation des connexions.

• Filtrage d'État
Le filtrage d'état, aussi appelé inspection d'état, va au-delà du simple examen de chaque
paquet, en maintenant un suivi de l'état global de la connexion. Il évalue la séquence des
paquets dans le contexte d'une communication en cours. Cela permet au filtrage d'état
d'apporter des décisions plus informées en termes d'autorisation ou de blocage du trafic.

• Filtrage de Contenu
Le filtrage de contenu se penche sur le contenu réel des paquets, analysant les données
qu'ils transportent. Cela permet de détecter des motifs spécifiques ou des signatures
associées à des menaces connues, comme des virus ou des attaques par injection de
code. Cette méthode est particulièrement efficace pour prévenir la propagation de
logiciels malveillants.

• Filtrage Proxy
Le filtrage proxy intervient en agissant comme un intermédiaire entre l'utilisateur et les
serveurs distants. Il filtre les requêtes et les réponses, évaluant le contenu au niveau de
l'application. Cela permet de cacher les adresses IP internes, d'appliquer des règles de
sécurité spécifiques aux applications, et d'assurer une protection accrue contre les
menaces basées sur le web.

• Filtrage URL
Le filtrage URL, également connu sous le nom de filtrage web, contrôle l'accès aux
ressources en ligne en se basant sur les adresses URL. Il peut être utilisé pour restreindre
l'accès à des catégories spécifiques de sites web, renforçant ainsi les politiques de
sécurité en empêchant l'accès à des contenus inappropriés ou dangereux.

Page | 6
Chaque type de filtrage apporte une contribution unique à la sécurité globale du réseau,
offrant une palette d'outils pour répondre aux divers défis posés par le paysage
cybernétique en constante évolution. Le choix judicieux entre ces approches dépend des
besoins spécifiques de chaque environnement réseau.

1.4 Avantages et inconvénients du filtrage

Le filtrage, en tant que pilier essentiel de la sécurité réseau, présente un ensemble
d'avantages et d'inconvénients. Comprendre ces aspects permet de concevoir une
stratégie de filtrage adaptée aux besoins spécifiques tout en tenant compte des éventuels
compromis.
1.4.a Avantages du Filtrage :
• Protection contre les Menaces :
Le filtrage constitue une barrière proactive contre les menaces en bloquant le trafic
malveillant, réduisant ainsi le risque d'intrusions et d'attaques.

• Contrôle d'Accès Granulaire :

En spécifiant des règles précises, le filtrage offre un contrôle granulaire sur les accès au
réseau, autorisant uniquement les utilisateurs, dispositifs ou services autorisés.

• Optimisation de la Bande Passante :

En analysant le trafic en temps réel, le filtrage permet une gestion optimale de la bande
passante en priorisant certains types de données, garantissant une utilisation efficace des
ressources.

• Prévention des Fuites d'Information :

En inspectant le contenu des paquets, le filtrage contribue à prévenir les fuites
d'informations sensibles en bloquant la transmission de données confidentielles.

• Adaptation Dynamique :
La capacité du filtrage à s'adapter dynamiquement aux menaces émergentes en ajustant
les règles en temps réel renforce la résilience du réseau.

4.1.b Inconvénients du Filtrage :

Page | 7
 • Complexité de Gestion :
La mise en place de règles de filtrage précises peut devenir complexe, nécessitant une
gestion minutieuse pour éviter des configurations excessivement restrictives ou
permissives.

• Latence Potentielle :
L'analyse approfondie du trafic peut engendrer une légère latence, en particulier dans
les cas de filtrage d'état, pouvant impacter la réactivité du réseau.

• Filtrage Trop Restrictif :

Une configuration trop stricte du filtrage peut entraîner des faux positifs, bloquant
parfois du trafic légitime et limitant la fonctionnalité normale des applications.

• Besoin de Mises à Jour Fréquentes :

Les bases de données de filtrage, telles que les signatures pour la détection de logiciels
malveillants, nécessitent des mises à jour régulières pour rester efficaces contre les
menaces émergentes.

• Coût de Mise en Place :

La mise en place initiale d'un système de filtrage, surtout si elle implique l'acquisition
de technologies spécifiques, peut entraîner des coûts substantiels.

En évaluant soigneusement ces avantages et inconvénients, les administrateurs réseau

peuvent concevoir une stratégie de filtrage équilibrée, optimisant la sécurité tout en
préservant la performance et la fonctionnalité du réseau.

2. Firewalls

2.1 Présentation générale des pares-feux

Page | 8
 Figure 1 : présentation Firewal
Le firewall, ou pare-feu en français, émerge comme un rempart robuste dans la
protection des réseaux informatiques contre les menaces cybernétiques. En tant que gardien
vigilant des frontières numériques, le pare-feu joue un rôle essentiel dans la préservation de
l'intégrité des données et la sécurisation des communications. Ce chapitre explorera la nature et
la fonction des pare-feu, soulignant leur importance cruciale dans le maintien de la sécurité et
de la confidentialité au sein des environnements informatiques interconnectés.

À la croisée des chemins entre la connectivité mondiale et la nécessité impérieuse de

défendre les infrastructures numériques, les pare-feu se positionnent comme les sentinelles qui
discernent le trafic légitime du trafic malveillant. Leur mission première consiste à surveiller et
à contrôler le flux de données, autorisant ou bloquant les connexions en fonction de règles
prédéfinies. Ce contrôle stratégique s'étend de la couche réseau à la couche application,
conférant au pare-feu une polyvalence adaptée aux diverses menaces émergentes.

Au-delà de leur rôle classique de défense contre les intrusions, les pare-feu sont
également des acteurs clés dans la gestion des accès, la prévention des fuites d'information, et
la défense contre les attaques sophistiquées. Ce chapitre explorera en profondeur la présentation
générale des pare-feu, leur rôle crucial dans la sécurisation des réseaux, ainsi que les nuances
entre les pare-feu matériels et logiciels. En comprenant la portée et la diversité des pare-feu,
nous jetterons les bases nécessaires pour plonger plus profondément dans deux approches
spécifiques : le Context-Based Access Control (CBAC) et le Zone-Based Policy Firewall
(ZBF). Ensemble, ces éléments constituent une défense multicouche, préparant les réseaux à
affronter les défis complexes d'un environnement cybernétique en perpétuelle évolution.

Page | 9
2.2 Rôle crucial des pare-feu dans la sécurité du réseau

Les pare-feu occupent une position cruciale dans la sécurité des réseaux, agissant
comme des gardiens vigilants qui veillent à la préservation de l'intégrité, de la
confidentialité et de la disponibilité des données. Leur rôle va bien au-delà de la
simple prévention des intrusions, s'étendant à la gestion stratégique du trafic et à la
défense proactive contre une multitude de menaces numériques.

• Défense contre les Intrusions et Menaces

Le rôle premier des pare-feu est de constituer une première ligne de défense contre les
intrusions et les menaces extérieures. En analysant le trafic entrant et sortant, ils
identifient et bloquent les tentatives d'intrusion, les attaques par déni de service
(DDoS), les scans de ports, et autres activités malveillantes. Cette capacité à filtrer le
trafic en fonction de règles prédéfinies assure la sécurisation des réseaux contre une
variété de vecteurs d'attaques.

• Contrôle Granulaire des Accès

Les pare-feu offrent un contrôle granulaire sur les accès au réseau, permettant de
définir des règles spécifiques en fonction des utilisateurs, des dispositifs, des
applications ou des services. Cela autorise une gestion stratégique des permissions,
limitant l'accès non autorisé et renforçant la politique de sécurité de l'organisation.

• Prévention des Fuites d'Information

En inspectant le contenu des données transitant par le réseau, les pare-feu contribuent
à prévenir les fuites d'informations sensibles. Ils peuvent bloquer activement la
transmission de données confidentielles et s'assurer que les communications respectent
les politiques de confidentialité établies.

• Surveillance et Détection Précoce

Les pare-feu jouent un rôle prépondérant dans la surveillance continue du trafic
réseau. En identifiant des schémas de comportement suspects ou des signatures

Page | 10
associées à des menaces connues, ils permettent une détection précoce des activités
malveillantes. Cette vigilance constante contribue à anticiper et à contrer les attaques
avant qu'elles ne compromettent la sécurité du réseau.

• Application de Politiques de Sécurité

Les pare-feu sont des instruments centraux dans l'application des politiques de
sécurité. Ils permettent aux administrateurs réseau de définir des règles spécifiques
adaptées aux besoins de l'organisation, assurant ainsi une cohérence dans la mise en
œuvre des mesures de sécurité.

En résumé, le rôle crucial des pare-feu s'étend bien au-delà de la simple protection
contre les intrusions. Ils sont des architectes de la sécurité réseau, permettant une
défense proactive, une gestion fine des accès et une surveillance constante, contribuant
ainsi à la création d'environnements informatiques résilients et sécurisés.

2.3 Différences entre pare-feu matériel et logiciel

Les pare-feu peuvent être implémentés sous forme de matériel dédié ou de logiciel.
Chacun a ses propres avantages et inconvénients, influençant le choix en fonction des
besoins spécifiques d'un réseau.

Caractéristique Pare-feu Matériel Pare-feu Logiciel

Implémentation Physiquement dédié, Exécuté sur des plates-formes
souvent sous la forme d'un informatiques générales, telles
appareil autonome. que des serveurs ou des
appliances virtuelles.
Performance Généralement, offre des Dépend de la puissance de
performances élevées grâce traitement de l'hôte sur lequel il
à des matériels spécialisés. est exécuté, pouvant varier en
fonction de la charge du système.
Évolutivité Moins flexible en termes Plus flexible en termes
d'évolutivité matérielle. Les d'évolutivité, car les mises à
mises à niveau peuvent niveau logicielles peuvent être
nécessiter le remplacement réalisées sans modifier le matériel
de l'appareil. sous-jacent.
Coût initial Souvent plus élevé en Généralement plus abordable car
raison du coût des il utilise l'infrastructure
équipements matériels informatique existante.
dédiés.

Page | 11
 Configuration Souvent géré via une
interface web dédiée ou
une ligne de commande.
Facilité de La maintenance matérielle
Maintenance peut nécessiter des
compétences spécialisées.
Mobilité et Moins mobile en raison de
Flexibilité sa nature physique.
Sécurité Moins vulnérable aux
Physique attaques physiques en
raison de sa nature dédiée.
Généralement configuré via des
interfaces graphiques utilisateur
(GUI) ou des lignes de
commande, avec une flexibilité
accrue dans les options de
configuration.
Plus facile à mettre à jour et à
entretenir en raison de la nature
logicielle, avec des mises à jour
régulières disponibles.
Plus mobile et flexible, pouvant
être déployé sur différents
environnements virtuels ou
physiques.
Plus vulnérable aux attaques
physiques sur l'infrastructure
sous-jacente, bien que des
mesures de sécurité logicielle
puissent être mises en place.

Les pare-feu peuvent être implémentés sous forme de matériel dédié ou de logiciel.
Chacun a ses propres avantages et inconvénients, influençant le choix en fonction des besoins
spécifiques d'un réseau.
3. Context-Based Access Control (CBAC) Firewall
3.1 Introduction au CBAC et son mode de fonctionnement
Le Context-Based Access Control (CBAC) Firewall, souvent désigné
simplement par CBAC, représente une évolution significative dans les technologies de
pare-feu. Contrairement aux pare-feu classiques qui se contentent de filtrer le trafic en
fonction de règles prédéfinies, le CBAC opère à un niveau supérieur d'intelligence en
prenant en compte le contexte des connexions réseau. Cette section offre une
introduction approfondie au CBAC et explore son mode de fonctionnement innovant.
• Compréhension du Contexte :
Le CBAC va au-delà des méthodes traditionnelles de filtrage en évaluant le
contexte spécifique de chaque connexion. Il analyse des facteurs tels que l'état de la
connexion, les protocoles utilisés, et même le contenu des paquets. Cette approche
contextuelle permet au CBAC de prendre des décisions plus informées sur l'autorisation
ou le blocage du trafic.
• Inspection Dynamique des Connexions :
Au cœur du fonctionnement du CBAC réside sa capacité à inspecter
dynamiquement les connexions. Plutôt que de simplement suivre des règles statiques,

Page | 12
 le CBAC adapte son comportement en temps réel en fonction des caractéristiques
évolutives du trafic réseau. Il peut ainsi détecter et répondre à des modèles de
communication inhabituels.
• Gestion des Sessions :
Le CBAC maintient une gestion active des sessions, permettant de suivre l'état
des connexions. Cette gestion des sessions autorise le pare-feu à distinguer entre les
connexions légitimes et les tentatives d'intrusions en établissant une corrélation entre
les paquets entrants et sortants.
• Inspection de Contenu :
Outre la simple analyse des en-têtes de paquets, le CBAC va plus loin en
inspectant le contenu des données transitant par le réseau. Cette fonctionnalité lui
permet de détecter des menaces basées sur le contenu, renforçant ainsi la sécurité en
prévenant la propagation de logiciels malveillants ou d'attaques de type application.

• Adaptabilité aux Protocoles :

Une des forces du CBAC réside dans sa capacité à s'adapter à différents
protocoles. Il peut prendre en charge un large éventail de services réseau, de protocoles
applicatifs, et même de techniques de tunnellisation, offrant une flexibilité essentielle
dans des environnements réseau diversifiés.
• Logs et Rapports Détaillés :
Le CBAC génère des logs et des rapports détaillés sur les activités réseau,
fournissant aux administrateurs une visibilité approfondie sur le trafic et les tentatives
d'accès. Cette transparence accrue facilite l'analyse des événements, la détection
d'anomalies, et la réponse rapide aux incidents de sécurité.

En conclusion, le CBAC Firewall se distingue par sa capacité à introduire une dimension

contextuelle dans le processus de filtrage, renforçant ainsi la sécurité réseau. Cette approche
dynamique, basée sur la compréhension du contexte des connexions, offre une défense plus
intelligente et adaptable aux menaces émergentes.
3.2 Avantages spécifiques du CBAC par rapport à d'autres approche
Le Context-Based Access Control (CBAC) Firewall se distingue par son approche
contextuelle et dynamique, offrant des avantages significatifs par rapport aux approches
traditionnelles de pare-feu. Voici les points clés :

Page | 13
 • Prise de Décision Contextuelle :
Le CBAC évalue le contexte spécifique de chaque connexion, prenant en compte des
éléments tels que l'état de la connexion, les protocoles, et le contenu des paquets,
permettant des décisions plus informées.
• Inspection Dynamique :
Il inspecte dynamiquement le trafic en temps réel, s'adaptant aux caractéristiques
évolutives du trafic réseau, contrairement à des règles statiques qui pourraient manquer
des comportements anormaux.

• Gestion Active des Sessions :

Le CBAC maintient une gestion active des sessions, assurant un suivi efficace de l'état
des connexions et permettant la corrélation des paquets entrants et sortants.

• Inspection de Contenu :
En plus de l'analyse des en-têtes de paquets, le CBAC inspecte le contenu des données,
détectant des menaces basées sur le contenu et renforçant la sécurité contre les attaques
sophistiquées.

• Adaptabilité aux Protocoles :

Il s'adapte facilement à divers protocoles, services réseau, et techniques de
tunnellisation, offrant une flexibilité essentielle dans des environnements réseau
complexes.

• Logs Détaillés :
Le CBAC génère des logs et des rapports détaillés, offrant une visibilité approfondie sur
le trafic et les tentatives d'accès, facilitant ainsi l'analyse des événements et la réponse
aux incidents.

En combinant ces caractéristiques, le CBAC se positionne comme une solution

proactive et intelligente pour la sécurisation des réseaux, adaptée à la complexité et à la
diversité des menaces numériques émergentes.

3.3 Cas d'utilisation et exemples concrets

Page | 14
 Le Context-Based Access Control (CBAC) Firewall offre des avantages concrets à
travers divers cas d'utilisation :
• Protection des Applications Web Critiques :
CBAC sécurise les applications web en inspectant le trafic HTTP/HTTPS, focalisant sur
la détection d'attaques applicatives et la prévention des fuites de données.
• Gestion des Communications VoIP :
Il assure un contrôle contextuel des sessions vocales en examinant le trafic SIP et RTP
dans les environnements de VoIP.
• Sécurisation des Connexions VPN :
CBAC évalue le contexte des sessions VPN, autorisant ou bloquant le trafic en fonction
de critères tels que l'identité de l'utilisateur et la sécurité de la connexion.

• Contrôle des Applications Cloud :

Pour les services cloud, CBAC surveille et contrôle le trafic, garantissant une utilisation
sécurisée et conforme.
• Prévention des Attaques DDoS :
Il détecte et répond aux schémas de trafic inhabituels, offrant une défense proactive
contre les attaques de déni de service distribué.
• Filtrage Basé sur le Contenu :
CBAC inspecte le contenu des paquets pour un filtrage précis, adapté aux besoins de
contrôle d'accès dans les environnements éducatifs ou professionnels.
• Sécurisation des Transactions Financières :
Dans les institutions financières, CBAC assure la sécurité des protocoles de paiement
et détecte toute activité suspecte.
• Monitoring des Communications IoT :
Il offre une visibilité et un contrôle sur les communications des dispositifs IoT,
renforçant la sécurité dans les réseaux intégrant l'Internet des Objets.

À travers ces applications, le CBAC se révèle comme une solution adaptable,

contextuelle et intelligente, prête à répondre aux défis variés de la sécurisation des
réseaux modernes.
4. Zone-Based Policy Firewall (ZBF, ZPF or ZFW)
4.1 Concept de pare-feu basé sur les zones

Page | 15
Le concept de Pare-feu Basé sur les Zones (Zone-Based Policy Firewall - ZBF, ZPF,
ou ZFW) est une approche innovante dans la conception des pare-feu, mettant l'accent
sur la gestion du trafic en fonction de zones logiques plutôt que d'interfaces
individuelles. Ce concept offre une flexibilité accrue dans la définition des politiques
de sécurité, facilitant la gestion des réseaux complexes. Voici les principaux éléments
de ce concept :

• Zones Logiques :
Définition : Au lieu de se baser sur des interfaces physiques, le Pare-feu Basé sur les
Zones organise le réseau en zones logiques. Chaque zone représente une région du
réseau ayant des caractéristiques de sécurité similaires.

Exemple : Les zones peuvent inclure des catégories telles que "Interne," "DMZ" (Zone
démilitarisée), et "Externe," chacune représentant un niveau de confiance spécifique.

• Politiques de Sécurité par Zone :

Définition : Les politiques de sécurité sont définies entre les zones plutôt que sur des
interfaces individuelles. Cela permet de créer des règles basées sur la confiance entre
les zones, simplifiant la gestion des politiques.

Avantages : Une approche plus intuitive pour configurer les politiques de sécurité en
établissant des règles claires entre les différentes zones du réseau.

• Contrôle de Trafic Contextuel :

Évaluation du Contexte : Le Pare-feu Basé sur les Zones évalue le contexte du trafic,
prenant en compte des facteurs tels que le type de service, l'état de la connexion, et les
caractéristiques du paquet.

• Décisions Informatives :
Cette évaluation contextuelle permet des décisions de filtrage plus informatives,
adaptées aux conditions spécifiques de chaque connexion.

• Flexibilité et Évolutivité :

Page | 16
 Assignation des Interfaces : Chaque interface réseau est assignée à une zone spécifique.
Une interface peut appartenir à une seule zone, simplifiant la gestion et facilitant l'ajout
de nouvelles interfaces.

• Gestion Évolutive :
La structure par zones rend le système facilement évolutif, permettant l'ajout de
nouvelles zones ou interfaces sans la nécessité de réécrire l'ensemble des règles.

4.2 Comparaison avec d'autres types de pare-feu

Cette comparaison vise à illustrer les différences clés entre le Pare-feu Basé sur les
Zones, les pare-feu à état, et les pare-feu à inspection de paquets. Chacun de ces types
de pare-feu a ses propres avantages et limitations, et le choix dépend des besoins
spécifiques de l'environnement réseau et des objectifs de sécurité.
Pare-feu Basé sur les Pare-feu à Pare-feu à Inspection de
Caractéristique Zones (ZBF) État Paquets
Approche Suivi de l'état Filtrage statique des en-
Principale Contextuelle des connexions têtes de paquets
Flexibilité Excellente Bonne Limitée
Gestion des
Gestion des Facile (Politiques par états de Dépendante des règles
Politiques zone) connexion statiques
Basée sur l'état Basée sur des critères
Prise de Décision Basée sur le contexte des connexions statiques
Inspection du Oui, incluant le
Contenu contenu des paquets Non Non
Gestion de
Gestion des Gestion active des l'état des Fonctionne au niveau des
Connexions sessions connexions paquets individuels

Page | 17
 Très adaptable aux Adaptable aux
Adaptabilité changements changements Moins adaptable

4.3 Application pratique du ZBF dans la sécurisation des réseaux

• Sécurisation des Zones Internes et Externes :
Scenario : Un réseau d'entreprise typique comprend des zones internes (bureaux,
serveurs internes) et des zones externes (accès internet, serveurs publics). En configurant le
ZBF, des politiques de sécurité peuvent être définies pour autoriser le trafic spécifique entre ces
zones, garantissant ainsi une communication sécurisée.

• Protection de la Zone Démilitarisée (DMZ) :

Scenario : Les serveurs exposés, tels que les serveurs web dans la DMZ, sont des cibles
potentielles. Le ZBF peut être utilisé pour spécifier des règles de filtrage précises, permettant
uniquement le trafic nécessaire vers les serveurs de la DMZ tout en bloquant les accès non
autorisés.
• Contrôle des Communications VoIP :
Scenario : Dans un environnement où les communications vocales sur IP (VoIP) sont
essentielles, le ZBF peut être configuré pour surveiller et contrôler le trafic VoIP entre les zones.
Cela permet de prévenir les menaces potentielles et d'assurer une qualité de service optimale.
• Filtrage Basé sur le Contenu :
Scenario : Pour une sécurité renforcée, le ZBF peut inspecter le contenu des paquets,
bloquant ainsi l'accès à des sites web malveillants ou filtrant des contenus spécifiques. Cela est
particulièrement utile dans des environnements où le contrôle du contenu est critique.
• Gestion des Connexions VPN :
Scenario : Lorsque des connexions VPN sont établies entre différentes zones, le ZBF
peut être utilisé pour évaluer le contexte de ces connexions et appliquer des politiques
spécifiques en fonction de l'identité des utilisateurs et de la sécurité de la connexion.
• Réponse aux Menaces DDoS :
Scenario : Face à une attaque de déni de service distribué (DDoS), le ZBF peut être
configuré pour détecter des schémas de trafic inhabituels et bloquer le trafic malveillant,
contribuant ainsi à atténuer les effets de l'attaque.

Page | 18
 • Contrôle des Applications Cloud :
Scenario : Avec l'utilisation croissante d'applications cloud, le ZBF peut offrir un
contrôle précis sur le trafic lié à ces services, assurant une utilisation sécurisée et conforme des
applications cloud.
5. Réalisation
5.1 Outils et logiciels utilisés dans la configuration
5.1.a GNS3

Figure 2 : Logo GNS3

GNS3 (Graphical Network Simulator-3) est une plateforme de simulation de réseaux
qui permet de modéliser, tester et déployer des réseaux complexes. Il offre une interface
graphique conviviale pour créer des topologies réseau virtuelles, en simulant divers
périphériques réseau, y compris des routeurs, des commutateurs et des pares-feux. GNS3
permet une émulation fidèle des fonctionnalités d'un réseau réel, facilitant ainsi la
configuration, le dépannage et le test de différentes configurations.

• Utilisation dans la Configuration :

Simulation de Routeurs et Périphériques : GNS3 est utilisé pour simuler des routeurs,
permettant ainsi une configuration pratique des paramètres de base du routeur, des pare-feu
CBAC et ZBF.

• Création de Topologies :
GNS3 facilite la création de topologies de réseau complexes, fournissant un
environnement réaliste pour tester la connectivité et les configurations de pare-feu.

5.1.b Nmap

Page | 19
 Figure 3 : Logo NMAP

• Description :
Nmap (Network Mapper) est un scanner de sécurité open-source qui est utilisé pour
découvrir des hôtes et des services sur un réseau, ainsi que pour créer un profil des systèmes en
fonction des ports ouverts. Nmap est un outil polyvalent qui peut être utilisé pour l'inventaire
réseau, la cartographie des ports, la détection d'OS, et même l'analyse de vulnérabilités.

• Utilisation dans la Configuration :

Analyse de la Connectivité : Nmap peut être utilisé pour scanner les ports et vérifier la
connectivité entre les périphériques réseaux simulés.

• Détection d'OS :
En utilisant Nmap, on peut détecter les systèmes d'exploitation des périphériques
connectés au réseau simulé.

En intégrant ces outils dans le processus de configuration, nous assurons une mise en
œuvre robuste et une évaluation approfondie de la sécurité du réseau simulé. Ces outils
contribuent à une expérience pratique et réaliste dans le cadre du mini-projet.
5.2 Étapes concrètes pour la mise en place

Part 1: Basic Router Configuration

Part 2: Configuring a Context-Based Access Control (CBAC) Firewall
Part 3: Configuring a Zone-Based Firewall (ZBF) Using CCP

Page | 20
 Part 1: Basic Router Configuration

Figure 4 : Architecture Réseaux

Step 6: Verify basic network connectivity.

A ) YES
b) Yes
Step 7 et 8

Step 9: Enable HTTP server and HTTP server secure.

b) Non , Les mots de passe sont maintenant cryptés

Task 2:Use the Nmap Port Scanner to Determine Router Vulnerabilities

Page | 21
 Step 1: (Optional) Download and install Nmap and the Zenmap GUI front-end.

Step 2: Scan for open ports on R1 using Nmap from internal host PC-A.Après avoir
lancé les commandes

c)
• À partir du PC-A interne, Nmap détecte les ports ouverts 23 (Telnet) et 80
(HTTP)
• Pour ce routeur, il est 00:1B:53:25:25:6F
• Les réponses peuvent varier mais Nmap détermine que R1 est un routeur et qu’il
exécute Cisco IOS version 12.4
Step 3: Scan for open ports on R1 using Nmap from external host PC-C.
Après avoir lancé les scans demandé en petite a et b
c) Telnet and http

Page | 22
 d) Trois sauts. L’acquisition est passée de PC-C à la passerelle par défaut R3 Fa0/1
(192.168.3.1) à R2 S0/0/1 (10.2.2.2) puis à R1S0/0/0 (10.1.1.1)

Part 2: Configuring a Context-Based Access Control (CBAC) Firewall

Task 1: Verify Access to the R1 LAN from R2

Step 1:
a)
R2#ping 10.1.1.1

b) Yes
Step 2:
a) ping 192.168.1.3
b) Yes
Step 3

c) Non, il y a une longueur de mot de passe minimum de 10. Les mots de passe
de connexion et exec-timeout sont définis sur la console, vty, et aux lignes.
Task 2: Use AutoSecure to Secure R1 and Enable CBAC

Step 2: Configure the R1firewall to allow EIGRP updates

b) Tentatives d’association de voisins EIGRP

Step 4: Scan for open ports on R1 using Nmap from external host PC-C
b) Aucun service n’est détecté. Nmap,exécuter à partir du PC-C,signale que l’état de
l’hôte R1 10.1.1.1 est bas.

Task 3: Review the AutoSecure CBAC Configuration

Step 1 :

Page | 23
 b)
ip inspect name autosec_inspect
c) Interface Serial0/0/0 dans le sens sortant
Step 2: Display the protocols available with theip inspectcommand
b) plus de cent
c) Cuseeme, FTP, HTTP, RCMD, Realaudio, SMTP, TFTP, UDP AND TCP.
d) S0/0/0 inbound
e) Il permet au trafic de démarrage d’entrer dans l’interface S0/0/0 et bloque toutes les
autres connexions non établies à partir de l’extérieur de R1
Task 4: Verify CBAC Functionality
Step 1: From PC-A, ping the R1 internal LAN interface

a) ping 192.168.1.1
b) Oui, l’adresse IP PC-A et l’adresse IP R1 Fa0/1 sont sur le même réseau interne
et le pare-feu n’entre pas en jeu. L’adresse IP R1 Fa0/1 est la passerelle par défaut de PC-A.
Step 2: From PC-A, ping the R2 external WAN interface.
a) ping 10.1.1.2
b) Non. Le protocole ICMP n’a pas été inclus dans la liste autosec_inspect, de sorte
que les pings envoyés par PC-A sont bloqués

Step 3: Add ICMP to the autosec_inspectlist

Step 4: From PC-A, ping the R2 external WAN interface.

a) ping 10.1.1.2
b) Oui, ICMP est maintenant inclus dans la liste autosec_inspect, de sorte que les
réponses ICMP pour les demandes ICMP provenant du réseau local R1 sont autorisées à
revenir.

Step 5: Test Telnet access from R2to R1.

a)
R2>telnet10.1.1.1
Trying 10.1.1.1 ...%

Page | 24
 Connection timed out; remote host not responding
b) Non, la connexion a été initiée de l’extérieur et a été bloquée par le pare-feu ACL
Step 6: Configure R1 to allow Telnet access from external hosts.

b) Tentatives précédentes de ping et de telnet qui ont été refusées

d)

f) La tentative telnet qui vient d’être autorisée.

Step 7: Test Telnet access from internal PC-A to external router R2

b) Oui, la connexion a été initiée à partir du réseau local R1 et a été autorisée
Task 5: Verify CBAC Configuration and Operation
Step 1: Display CBAC inspection information.

Page | 25
a)

b) 192.168.1.3 et le port 1185. Le port source varie.

c) 10.1.1.2 et port 23 (telnet)
Part 3: Configuring a Zone-Based Firewall (ZBF) Using SDM
Task 1: Verify Access to the R3 LAN from R2
Step 1: Ping from R2 to R3.
a) R2#ping 10.2.2.1
b) Oui
Step 2: Ping from R2 to PC-Con the R3 LAN.
a) R2#ping 192.168.3.3
b) Oui
b) Il ne devrait pas y en avoir. Il y a une longueur de mot de passe minimum de 10. Les
mots de passe de connexion et exec-timeout sont définis sur la console, vty, et aux lignes
Task 2: Create a Zone-Based Policy Firewall
Step 3: Use the SDM Firewall wizard to configure a zone-based firewall.
a) Devrait être inactive
b) Basic Firewall applique un ensemble prédéfini de règles pour protéger le réseau
interne, mais ne permet pas la création d’une DMZ. Le pare-feu avancé permet des règles
prédéfinies ou personnalisées pour protéger le réseau interne et permet également la
configuration des services DMZ tels que FTP ou WWW
c)

Page | 26
 d) Deny it.
g)
h) La haute sécurité identifie le trafic entrant et sortant IM et peer-to-peer (P2P) et le
supprime. Cela empêche l’utilisation de ces applications sur le réseau. La sécurité moyenne
identifie le courrier entrant et le courrier sortant et P2Ppour le suivi, mais ne le laisse pas tomber.
La faible sécurité n’identifie pas le trafic spécifique à l’application, mais elle l’inspecte pour
vérifier qu’il a été initié à partir du réseau interne
j) Une description textuelle (sans commande) de ce que fait l’Assistant Pare-feu en
fonction des sélections que vous avez effectuées.
m) Les mises à jour EIGRProuting de R2 seraient bloquées au niveau du pare-feu, et R3
ne connaîtrait pas les réseaux 10.1.1.0/30 ou 192.168.1.0/24
n) RIP et OSPF
p) 115 commandes avec SDM 2.5.
s) Le trafic est abandonné et enregistré
Task 3: Review the Zone-Based Firewall Configuration
Step 1: Examine the R3 running configuration with the CLI.
Step 2: Examine the R3 firewall configuration using SDM.
a) doit être active
b) Informations sur les paires de zones
d) Interface Serial0/0/1 est dans la zone hors zone, et l’interface FastEthernet0/1 est dans
la zone en zone
e)
Zone Pair Source Destination Policy
Sdm-zp- Self out-zone sdm-permit-
self-out icmpreply
Sdm-zp- out-zone Self sdm-permit
out-self
Sdm-zp- in-zone out-zone sdm-inspect
self-out

g) Cisco Common Classification Policy Language

h) 10
j) Match Class Name: SDM_EIGRP_PT Action:PassMatch
Class Name: class-default Action:Drop
Page | 27
 Task 4: Verify EIGRP Routing Functionality on R3
Step 1:Display the R3 routing tableusing the CLI.
a)
b) 10.1.1.0/30 et 192.168.1.0/24

Task5: Verify Zone-Based Firewall Functionality

Step 1: From PC-C, ping the R3 internal LAN interface.
a)
b)Oui, l’adresse PC-CIP et l’adresse IP R3Fa0/1 sont sur le même réseau interne, et le
pare-feu n’entre pas en jeu. L’adresse IP R3Fa0/1 est la passerelle par défaut de PC-C
Step 2: From PC-C, ping the R2 external WAN interface
a)
b) Non, le ping a été lancé depuis l’extérieur de R2S0/0/1et a été bloqué.
Step 4: Telnetfrom R2 to R3
a)
b) Le Telnet a été lancé de l’extérieur de R2S0/0/1et a été bloqué
Step 5: Telnet from internal PC-C to external router R2
d) 192.168.3.3 et le port 1247.Le numéro de port peut varier
e) 0.2.2.2 and port 23 (telnet)
Step 6: Verify the ZBF function using SDM Monitor.
Task 6: Reflection
Les réponses varient mais peuvent inclure :Les méthodes CLI traditionnelles prennent
beaucoup de temps et sont sujettes aux erreurs de frappe. Ils exigent également que
l’administrateur ait une connaissance approfondie des ACL et de la syntaxe de commande de
sécurité Cisco IOS.AutoSecure CBAC simplifie le processus en l’automatisant et isole
l’administrateur de la syntaxe détaillée des commandes Cisco IOS. Cependant, il pourrait ne
pas produire les résultats souhaités, comme en témoigne la perte des mises à jour de routage
EIGRP vers R1. Il est également plus difficile de configurer les interfaces internes avec CBAC.
SDM offre une flexibilité maximale et simplifie considérablement la configuration du pare-feu,
en particulier pour les routeurs multiples avec plusieurs interfaces et où les services DMZ sont
nécessaires

Page | 28
 Router Interface Summary Table

Conclusion
Le mini-projet explore les mécanismes de protection des réseaux à travers
la configuration du Context-Based Access Control (CBAC) Firewall et du Zone-
Based Policy Firewall (ZBF), soulignant leur rôle essentiel dans la défense contre
les menaces. L'étude approfondie du CBAC met en lumière ses avantages
distincts, notamment l'inspection contextuelle du trafic, la sécurisation des
applications web et la défense proactive contre les attaques DDoS, en faisant du
CBAC une solution puissante pour des environnements nécessitant une sécurité
avancée.

Le ZBF, avec sa flexibilité basée sur les zones, offre une approche
novatrice, simplifiant la configuration des politiques de sécurité et adaptant la
protection aux évolutions du réseau, y compris la sécurisation de zones
spécifiques comme la DMZ.

Page | 29
 L'application concrète du ZBF dans divers scénarios, du contrôle des
communications VoIP à la réponse aux menaces DDoS, souligne sa polyvalence.
La combinaison du CBAC et du ZBF forme une architecture de sécurité complète
répondant aux défis variés des environnements réseau modernes.

L'utilisation d'outils tels que GNS3 et Nmap enrichit l'expérience pratique,

renforçant l'efficacité des dispositifs de protection. En conclusion, le mini-projet
met en évidence l'importance du filtrage, la pertinence des pare-feu avancés, et la
nécessité de maîtriser ces concepts pour édifier des infrastructures résilientes dans
le paysage numérique en constante évolution..

Page | 30