Pare-Feu Cisco PIX
February 26, 2017 | Author: Yassine Bouayadi | Category: N/A
Short Description
Download Pare-Feu Cisco PIX...
Description
Rapport De Fin de Formation 2008-2010
Pare-feu Cisco PIX 2ème année Systèmes et Réseaux Informatiques
EITIA Réalisé par : Yassine BOUAYADI Yassine KHADOUCH
Encadré par : Nabil BENYOUSSEF
2008-2010
1
Dédicace
Nous dédions ce travail à :
A Mes chers parents que je remercie de tout mon cœur pour leurs conseils qui m’ont guidé tout au long de mon chemin d’étude ; A mon encadrent qui m’as énormément aidé et soutenu tout au long de la réalisation de travail. Mes formateurs, pour leur formation, leur conseil et leur aide. A mes amis pour leur encouragement et soutien.
2008-2010
2
Remerciement On tient à exprimer notre gratitude envers Monsieur Nabil BENYOUSSEF notre encadreur qui a toujours répondu présent à nos sollicitudes, nous a enrichi par sa vision critique des choses, son savoir faire et son savoir être. On ne peut passer cette occasion sans rendre hommage à nos enseignants ainsi à Mr Taoufik ZNIBER, Mr Hicham MOHMOH, Mr Françoise HEBERT, Mme Fatima-zahra ZNIBER et à tous ceux qui contribuent à la réussite de la formation en sein de notre établissement. Enfin, on tient à saluer tous ceux qui nous ont aidé du près ou de loin dans ce projet et que nous avons oublié de mentionner. A tous un très grand merci.
2008-2010
3
Avant propos
L’objectif principal de l’Ecole nationale des technologies informatiques avancées (EITIA), c’est d’offrir une parfaite adéquation entre la formation et la demande des professionnels des secteurs.
A cet effet, EITIA oblige ses stagiaires à effectuer un projet de fin de formation, qui a pour but d’améliorer et d’enrichir leurs connaissances pratique et théorique.
2008-2010
4
Sommaire Chapitre 1 : Introduction ......................................................................................... 8 Introduction ................................................................................................................................ 8 Qu'est-ce que la sécurité d'un réseau ? .............................................................................. 9 Le pare feu .................................................................................................................................. 9 Chapitre 2 : Cahier des charges ............................................................................ 11 Présentation générale de Electro-House ......................................................................... 11 Organigramme d’Electro-House ....................................................................................... 11 Etude de l’existant : ............................................................................................................... 12 Analyse et conception : ........................................................................................................ 13 Les objectifs : .......................................................................................................................... 14 Chapitre 3 : Les outils utilisés ............................................................................... 16 Pare-feu Cisco PIX ................................................................................................................ 16 GNS3 ............................................................................................................................................ 17 Gestion de la politique de sécurité Firewall avec le Cisco Adaptive Security Device Manager (ASDM 5.2) : ......................................................................................... 18 Les images IOS : .................................................................................................................... 19 Windows Server 2003 Enterprise Edition : ................................................................... 21 Windows XP Professionnel : .............................................................................................. 21 Cisco VPN Client ................................................................................................................... 22 Kiwi Syslog Daemon ............................................................................................................ 22 SolarWinds TFTP server: .................................................................................................... 23 Chapitre 4: Taches et réalisations techniques .................................................... 25 Installation d’Active directory ......................................................................................... 25 Sur le site de Rabat ......................................................................................................................... 25 Sur le site de Casablanca .............................................................................................................. 29
Configuration de la zone DMZ ....................................................................................... 30 Configuration des routeurs ................................................................................................ 31 Configuration de Pare-feu Pix ......................................................................................... 31 Les Interfaces :......................................................................................................................................... 31 ASDM : .................................................................................................................................................... 32
Les stratégies de sécurités (ACL) ................................................................................... 34 Translation d'adresse (NAT) ............................................................................................ 36 VPN site à site ........................................................................................................................ 37
2008-2010
5
Accès distant ........................................................................................................................... 38 Les journaux ............................................................................................................................. 39 Chapitre 5: Conclusion ........................................................................................... 41 Conclusion : .............................................................................................................................. 41 Annexe 1 : Webographie : ........................................................................................ 42 Annexe 2 : Configuration du PIX1 (Rabat) : ......................................................... 43 Annexe 3 : Configuration du PIX2 (Casa) : ........................................................... 47 Annexe 4 : Configuration du Routeur1 : ................................................................ 50 Annexe 5 : Configuration du Routeur2 : ................................................................ 52
2008-2010
6
2008-2010
7
Chapitre 1 : Introduction Introduction L’objectif du projet est de proposer une solution technologique répondant au cahier des charges spécifié. La mise en place de la solution permettra de sanctionner par des compétences pratiques l es acquis du cours pare-feu. La société Electro-House souhaite acquérir une prestation de mise en place d’un pare-feu en lieu et place de son routeur existant. Nous allons présenter une solution de filtrage avec une maquette répondant aux critères de ce cahier des charges. La société Electro-House insiste sur le fait qu’elle souhaite un environnement hautement sécurisé. Une pondération privilégiée du nombre de points sera accordée aux candidats proposant des solutions visant à sécurisé le système d’information (liste de contrôle d'accès). Nous allons fournir une solution utilisant un système d’exploitation différent sur le pare-feu et le serveur, ainsi que de proposer des services différents sur les plateformes si possible.
2008-2010
8
Chapitre 1 : Introduction Qu'est-ce que la sécurité d'un réseau ? La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui le ur ont été octroyés. Il peut s'agir : D’empêcher des personnes non autorisées d'agir sur le système de façon malveillante. D’empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système. De sécuriser les données en prévoyant les pannes. De garantir la non-interruption d'un service.
Le pare feu Un pare feu est un logiciel (software) ou un équipement (hardware) qui permet de bloquer les communications sur les ports TCP et UDP selon les plages d'adresses IP pour les plus performants. C'est un équipement de sécurité anti-intrusion. • un firewall software s'installe sur les ordinateurs et vérifie les logiciels qui se connectent sur Internet et plus généralement sur le réseau Ethernet, acceptant la connexion ou non. Ces programmes détectent et bloquent les trojans, spyware et adware. Par contre, ils ne détectent pas les manipulations spécifiques comme les attaquent par failles de sécurité, les modifications de programmes existants, les modifications de trames TCP/IP. Remarquez que si vous bloquez un spyware avec ce type de parefeu, comme ils se collent littéralement sur le navigateur (Internet Explorer, Firefox, ...), la navigation Internet devient généralement impossible. • Un firewall hardware permet de vérifier les portes d'accès en UDP et TCP et de les bloquer éventuellement en fonction de l'adresse de départ et de l'adresse IP d'arrivée. Contrairement au premier type, ces équipements hardware bloquent généralement une large partie des failles de sécurité et des modifications de trames en fermant les portes d'accès. D'autres spécificités comme le Stateful inspection améliorent encore la sécurité en analysant les en-têtes des messages (trames). Dans un sens, ces 2 types sont donc complémentaires.
2008-2010
9
2008-2010
10
Chapitre 2 : Cahier des charges Présentation générale de Electro-House
Créée en décembre 1997, Electro-House est une entreprise spécialisée dans la vente de matériel électroménager et multimédia neuf déclassé (aspirateur, congélateur, Fours micro-ondes, frigo, Téléviseur LCD, Téléviseur Plasma, Vidéoprojecteur, Appareil photo numérique…).
Elle met à la disposition de sa clientèle deux points de vente : le siège situé à Rabat et l’annexe à Casablanca. Electro-House vous propose du matériel d'électroménager à prix discount. Livraison et expédition sous 24/48h dans tout le Maroc des appareils électroménagers en stock. Garantie 2 ans et 5 an s.
Organigramme d’Electro-House
2008-2010
11
Chapitre 2 : Cahier des charges Etude de l’existant :
Rabat
Casablanca
La société Electro-House est composée de 13 stations de travail et de deux contrôleurs de domaine le principale à Rabat et le supplémentaire à Casablanca. La première maquette est une maquette très simple et très peu sécurisé pour pouvoir permettre de mettre en évidence les failles d’une architecture faible. ELECTRO-HOUSE à un site web qui a été hébergé dans le serveur du fournisseur d'accès et ils veulent qu’il soit héberger dans leur serveur local. ELECTRO-HOUSE utilise une ligne spécialisé pour le partage des ressources entre les deux sites de Rabat et Casablanca, ce qui coute très cher (7000 DH pour chaque site, ce qui donne 168000 DH par an pour les deux sites). Le réseau actuel utilise un adressage public non-conforme à la RFC 1918. Le prestataire devra fournir une suggestion d’un nouveau plan d’adressage, La maquette devra être construite sur ce nouveau réseau. Pour des raisons de compatibilité avec l’adressage précédent et des contraintes opérateurs, le serveur devra être translaté sur Internet avec une adresse différente de celle du pare-feu (NAT).
2008-2010
12
Chapitre 2 : Cahier des charges Analyse et conception :
Rabat
Casablanca
Nous avons tout d’abord effacé les précédentes configurations qui avaient été mises en place sur les différents équipements réseau (switchs et routeur) pour avoir une base de configuration seine. Nous avons ensuite implanté trois switchs deux à Rabat et un à Casablanca sans aucune configuration spéciale. Sur le premier switch nous avons branché le Pare-feu PIX et c’est aussi sur ce switch que vont se brancher les machines des clients. Sur le deuxième switch nous avons branché aussi le Pare-feu PIX et le serveur Web DMZ. Et sur le troisième Qui sera à Casablanca nous avons branché le pare-feu Pix et les ordinateurs des clients du réseau interne Ensuite nous avons configuré deux Routeurs Cisco 7200 correspondront très bien à notre architecture. Ces routeurs auront pour mission d’effectuer le routage entre les deux sites de Rabat et Casablanca. Aura donc comme adresse 80.80.1.0 sur le réseau lié au Pix1 de Rabat et 80.80.2.0 sur le réseau lié au Pix2 de Casablanca et 80.80.3.0 sur le réseau entre les deux routeurs. Le reste de la configuration ne comporte rien de spécial elle est sécurisé comme celle de tous les équipements que nous avons mis en place sur la maquette : - Mot de passe de login - Mot de passe telnet - Mot de passe Console - Cryptage des mots de passe Et ce qui concerne le partage des ressource nous avons mise en place une solution d’un tunnel VPN bien sécurisé qui ce base seulement sur l’internet.
2008-2010
13
Chapitre 2 : Cahier des charges Les objectifs :
Fournir un accès Internet sans restriction pour chaque machine du réseau interne.
Utiliser un jeu de règles bloquant tout flux par défaut.
Rediriger les tentatives de connexion sur le port TCP 80 (qui sont des tentatives d'accès à un serveur Web/FTP)
La mise en place d'un VPN entre 2 Sites distants
L’accès distant au serveur depuis l’extérieur du réseau (internet)
générer un fichier de log pour suivre l'état du pare-feu
2008-2010
14
2008-2010
15
Chapitre 3 : Les outils utilisés Pare-feu Cisco PIX
Les Pix (Firewall Cisco) sont des appareils de sécurisation à hautes performances, simple d’installation à condition de disposer d'un minimum de connaissance Cisco. il vous permet de protéger votre réseau interne des attaques extérieurs ainsi que de réduire le trafique du réseau interne en limitant les accès à certains ports. Contrairement aux firewalls software, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les Pix utilisent un système dédié de sécurisation en temps réel. Les Pix sont donc très performants. Leurs capacités dépassent de loin celles des autres firewalls (pare-feu) dédiés ou des pare-feu logiciels. Le pare-feu devra fournir un accès HTTP aux machines du réseau local et protéger l’accès aux services publiés du serveur de la société Electro-House. Aucune connexion directe entre une machine externe et le serveur publié ne sera possible via le filtre de paquets par la configuration de : ACL basées sur les adresses, l'heure et les protocoles Filtrage de java/activeX Le filtrage d'URL Vérification des restrictions de trafic entrant NAT statique/dynamique
2008-2010
16
Chapitre 3 : Les outils utilisés GNS3
GNS3 est un simulateur d'équipements Cisco capable de charger des vraies images de l'IOS de Cisco permettant ainsi d'émuler entièrement des routeurs ou firewalls Cisco et de les utiliser en simulation com plète sur un simple ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer à l'aide d'un compte Cisco CCO par exemple. Ou grâce à Google. Cet outil est parfait pour se préparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE. Afin de permettre des simulations complètes, GNS3 est fortement lié avec: Dynamips : un émulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems. Dynagen : une interface en mode text pour Dynamips. Pemu : émulateur PIX GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.
2008-2010
17
Chapitre 3 : Les outils utilisés Gestion de la politique de sécurité Firewall avec le Cisco Adaptive Security Device Manager (ASDM 5.2) :
Pour plus de facilité, les Cisco Pix Firewall sont livrés avec un logiciel d'administration graphique (ASDM). ASDM permet à l'administrateur réseau de configurer et de gérer le pare-feu Pix Firewall à l'aide d'une interface GUI. Il permet de récupérer, modifier et administrer les politiques de sécurité ainsi que de faire du monitoring Grâce à l’ASDM, les administrateurs réseau peuvent effectuer des analyses statistiques sur les tentatives d'accès non autorisés, la densité du trafic et les enregistrements. Les administrateurs du réseau peuvent être tenu informé des surcharges réseau ou des tentatives d’attaques. Ces informations peuvent être envoyées sur un serveur syslog sans difficulté de mise en place. Les logiciels de gestion tel que ASDM permettent aux firewalls Pix d’être gérés depuis n'importe quel ordinateur et indépendamment du système d'exploitation. Ce dernier point est bien souvent une exigence essentielle des applications e-business. De plus, il est possible
2008-2010
18
Chapitre 3 : Les outils utilisés d'utiliser la plupart des navigateurs courants, dont Netscape Navigator et Microsoft Internet Explorer, Puisque ASDM est accessible via une interface web. ASDM se caractérise aussi avec : Configuration rapide :
Glisser-déplacer, édition des règles en ligne, assistants de configuration assistants de mise à jour logicielle et puissante aide en ligne permettent une installation initiale et des changements de règles sans souci, sans commande complexe et sans risque d'erreur. Diagnostics Puissants: Traceur de paquets, corrélation log-policy et aide en ligne sur les logs permettent de réduire considérablement le temps et la complexité d'administration. Monitoring Temps Réel: tableaux de bord pour équipement, politique firewall, sécurité du contenu ou IPS. Graphes temps réel et historiques. Souplesse d'Administration : l'architecture sécurisée et la légèreté de l'application autorisent l'administration à distance de plusieurs appliances, depuis des environnements comme Windows XP, Vista, 2003 Server ou MacOS X. ASDM est fourni gratuitement avec le pare-feu PIX.
Les images IOS : Pix version 7.22 : le PIX 7.22 offre une protection de pare-feu complète, ainsi que des fonctionnalités VPN avec IPsec. Le PIX 7.22 permet d'assurer des communications privées via Internet ou tout autre réseau IP. il garantit des plates-formes sûres, évolutives et économiques pour les connexions à distance (extranets, succursales, utilisateurs itinérants) via les infrastructures de communication publiques. Prise en charge : NAT Statique, Dynamique et Conforme à des politiques PAT Débit texte : 330 Mbps Débit VPN : 145 Mbps Connexions simultanées : 280000 Vitesse du processeur : 600 MHz RAM installée 256 Mo Protocole De Transport : IPSec, TCP/IP Protocoles de routage : OSPF, Routage statique Protocole de gestion à distance : SNMP Authentification : RADIUS, TACACS+, RSA SecurID, LDAP, Active Directory
2008-2010
19
Chapitre 3 : Les outils utilisés Cryptage, DES, 3DES, AES, MD5, IKE Tunnels VPN : 2000 Protocole de liaison de données: Ethernet, Fast Ethernet Pix ASDM version 5.22 : c’est la version de l’ASDM qui support Pix 7.22. ASDM permet à l'administrateur réseau de configurer et de gérer le pare feu Pix Firewall à l'aide d'une interface GUI(graphique). Routeur Cisco 7200 : Les routeurs Cisco de la série 7200 sont les routeurs Cisco à processeur unique les plus rapides. Ils constituent la solution idéale pour les entreprises et les prestataires de s ervices qui déploient MPLS, l'agrégation de bande passante, WAN edge, des réseaux privés virtuels (VPN) à sécurité IP et l'intégration vidéo/voix/données. La série 7200 offre une conception modulaire, ainsi que des options de connectivité et des fonctionnalités de gestion. Caractéristiques importantes : Jusqu’à 16 000 sessions PPP par châssis Évolutif jusqu’à 5000 tunnels par châssis Point d’interface réseau à réseau pour l’interfonctionnement de la signalisation (H.323, SIP), l’interfonctionnement des mé dias, la conversion des adresses et des ports (respect de la vie privée et masquage de la topologie), normalisation de la facturation et de l’enregistrement des détails des appels et gestion de la bande passante (marquage de la qualité de service à l’aide de TOS) Châssis VXR proposant TDM et des adaptateurs de ports vocaux Encombrement 3RU avec une gamme d’interfaces modulaires (de DS0 à OC-3) Prise en charge de Fast Ethernet, Gigabit Ethernet, paquet sur SONET et bien d’autres encore
2008-2010
20
Chapitre 3 : Les outils utilisés Windows Server 2003 Enterprise Edition : Windows Server 2003 est un système d'exploitation orienté serveur développé par Microsoft. Présenté le 24 avril 2003 comme le successeur de Windows Server 2000, il est considéré par Microsoft comme étant la pierre angulaire de la ligne de produits serveurs professionnels Windows Server System. Une version évoluée intitulée Windows Server 2003 R2 a été finalisée le 6 décembre 2005. Selon Microsoft, Windows Server 2003 est plus évolutif et fournit de meilleures performances que son prédécesseur Windows Server 2000.
Windows XP Professionnel : Windows XP est un système d'exploitation multitâche. Conçu et réalisé par Microsoft en 2001. Il est destiné à tout usage aussi bien sur ordinateur (PC ou portable,...) que sur des matériels spécifiques. Son appellation « XP » vient du mot « expérience ». Alors que de nouvelles versions du système d'exploitation Windows ont été réalisé depuis Windows XP a été lancé, il reste le plus populaire parmi les individus en raison de sa grande taille dans le marché qu'il est capturé lors de sa création. Si un PC avec Windows XP se bloque, il est parfois possible de démarrer l'ordinateur et de le restaurer en utilisant un CD de restauration pour Windows XP.
2008-2010
21
Chapitre 3 : Les outils utilisés Cisco VPN Client Cisco VPN Client est un client VPN propriétaire permettant de se connecter aux concentrateurs VPN Cisco. Il est utilisé dans le cadre d'infrastructures gérant des milliers de connexions, on le retrouve donc le plus souvent dans les grandes entreprises et de nombreuses universités. Le client VPN de Cisco permet d'établir des connexions VPN en IPSec auprès des concentrateurs VPN 3000, des pare-feux PIX/ASA et des routeurs IOS. C'est un logiciel multiplateforme, compatible avec diverses versions de Windows, Mac OS X, Linux et Solaris.
Kiwi Syslog Daemon
Kiwi Syslog Daemon est un Daemon Syslog gratuit pour les plateformes Windows. Il reçoit, enregistre, affiche et transfert les messages(jaurnaux) Syslog envoyés par des serveurs tels que des routeurs, firewalls, switchs, serveurs Unix et n'importe quel autre dispositif Syslog. Une multitude d'options sont configurables.
2008-2010
22
Chapitre 3 : Les outils utilisés SolarWinds TFTP server:
Simultanément et de manière fiable le transfert de plusieurs fichiers à la fois avec Solarwinds TFTP Server Solarwinds TFTP Server est un serveur multi-thread serveur TFTP qui peut être utilisé pour télécharger / uploader des images exécutables et les configurations de commutateurs, routeurs, hubs, Pare-feu Pix, etc… Solarwinds TFTP Server est un logiciel qui aide les ingénieurs de réseau avec des projets allant de simples transferts de fichiers à un grand réseau d'audit des projets.
2008-2010
23
2008-2010
24
Chapitre 4: Taches et réalisations techniques Installation d’Active directory Sur le site de Rabat
L’installation du serveur « dns-active directory » a été faite avec le minimum requis par le système pour une installation de base . Cette installation s’est déroulée débranché de tout réseau afin d’éviter toute attaque pouvant venir de l’Internet. Nous avons décidé de créer un compte Windows active directory pour chaque utilisateur de la maquette. Nous avons choisi de nommer les comptes de la manière suivante : gesX, markX … . Par défaut, lors de la création, chaque compte est protégé par un mot de passe générique; il appartient ensuite à l’utilisateur de le changer lors de sa première connexion au système. Seul le mot de passe administrateur a été créé pour rendre plus difficile les attaques car il était composé de lettres et de chiffres sur 8 caractères. Celui ci n’a pas été changé au cours de l’exploitation. C’est ce compte qui est aussi utilisé pour administrer les machines qui appartiennent au domaine. C’est aussi le seul compte autorisé à accéder directement à ce serveur pour l’administrer ou effectuer des modifications. Nous avons aussi configurés le DNS de Rabat comme une zone principale qui va faire le mappage de l’adresse de la page web depuis l’adresse du serveur DMZ (172.16.1.20) à www.electro -house.net, et le
2008-2010
25
Chapitre 4: Taches et réalisations techniques DNS de Casablanca Comme une zone secondaire qui va faire le mappage de l’adresse de la page web depuis l’interface externe du Pix1 de Rabat (80.80.1.1) à www.electro-house.net. En ce qui concerne les postes client XP, les règles ont été les mêmes que pour les serveurs. Lors d’une première installation, le poste client n’était pas dans le domaine et ne comportait qu’un seul compte sans mot de passe. Afin d’éviter tout accès abusif sur ces postes, il a ensuite été intégré au domaine. En ce qui concerne l’installation du firewall, Les règles de filtrage appliquées ont été choisi selon la politique « tout ce qui n’ est pas autorisé est interdit ». Cette politique a pu être appliqué car le nombre de services utilisés était faible (web, ftp, mail). Pour installer Active Directory dans Windows Server 2003 : 1. Cliquez sur Démarrer, sur Exécuter, tapez dcpromo, puis cliquez sur OK.
2. Sur la première page de l'Assistant Installation d'Active Directory, cliquez sur Suivant. 3. Sur la page suivante de l'Assistant d'Installation d'Active Directory, cliquez sur Suivant. 4. Sur la page Type de contrôleur de domaine, cliquez sur Contrôleur de domaine pour un nouveau domaine, puis sur Suivant.
2008-2010
26
Chapitre 4: Taches et réalisations techniques 5. Sur la page Créer un nouveau domaine, cliquez sur Domaine dans une nouvelle forêt, puis sur Suivant.
6. Sur la page Nom du nouveau domaine, dans la zone Nom DNS complet du nouveau domaine, tapez electro-house.ma, puis cliquez sur Suivant.
7. Sur la page Dossiers de la base de données et du journal, acceptez les valeurs par défaut des zones Dossier de la base de données et Dossier du journal, puis cliquez sur Suivant. 8. Sur la page Volume système partagé, acceptez la valeur par défaut de la zone Emplacement du dossier, puis cliquez sur Suivant.
2008-2010
27
Chapitre 4: Taches et réalisations techniques 9. Sur la page Diagnostics d'inscriptions DNS, cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et configurez cet ordinateur pour qu'il utilise ce serveur DNS comme serveur DNS de prédilection, puis cliquez sur Suivant.
10. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systèmes d'exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 11. Sur la page Mot de passe administrateur de restauration des services d'annuaire, entrez un mot de passe dans la zone Mot de passe du mode de restauration, confirmez-le en le tapant une seconde fois dans la zone Confirmer le mot de passe, puis cliquez sur Suivant. 12. Sur la page Résumé, vérifiez que vos informations sont correctes et cliquez sur Suivant.
13. Lorsque vous êtes invité à redémarrer l'ordinateur, cliquez Redémarrer maintenant.
2008-2010
28
Chapitre 4: Taches et réalisations techniques Sur le site de Casablanca Nous avons les mêmes étapes de l’installation du contrôleur du domaine principale sur le site de Rabat, pour installer le contrôleur du domaine secondaire sur le site de Casablanca mais à la place de choisir Contrôleur de domaine pour un nouveau domaine on choisie Contrôleur de domaine supplémentaire pour un domaine existant.
Remarque : avant d’installer le contrôleur de domaine supplémentaire il faut d’abord configurer le VPN site à site sur le Pix1 et Pix2, pour répliquer les données de l'annuaire entre les contrôleurs de domaine.
2008-2010
29
Chapitre 4: Taches et réalisations techniques Configuration de la zone DMZ
Pour ce qui est du serveur WebFTP, l’installation a suivi les mêmes règles de base. Afin de garantir le contenu du site web, seul l’administrateur du serveur et celui du domaine ont un accès complet au serveur et à sa configuration et sont responsables des pages publiées. Le serveur FTP était configuré de base avec un compte anonyme ayant accès en lecture et écriture sans limite. Nous avons utilise pour la configuration de la zone DMZ le service IIS (Internet Information Services) qui est un ensemble de services TCP/IP dédiés à l'Internet, Son rôle est de réaliser un serveur accessible via le réseau Internet/Intranet ce qui permet d'avoir ses fichiers personnels où que vous soyez et, d'héberger votre site Internet sur votre propre PC.
2008-2010
30
Chapitre 4: Taches et réalisations techniques Configuration des routeurs
Pour le routeur1 Nous avons changé son adresse lié au Pix1 qui est passée a une Adresse publique sur le réseau 80.80.1.0/24 et sur le réseau lié au routeur2 nous avons changé l’adresse à 80.80.3.0/24 et sur le réseau lié au Pix2 nous avons changé l’adresse à 80.80.2.0/24 après Nous avons configuré le Routage effectué par du Rip V2 entre le routeur1 et le routeur2 et finalement nous avons configuré les mots de passes de mode privilège, Telnet et Console.
Configuration de Pare-feu Pix Les Interfaces : Nous avons commencé la configuration du pare-feu par créé trois interface sur le mode console du Pix : Inside : l’interface interne du Pix qui prend l’adresse IP 192.168.1.1 et niveau de sécurité par default 100 et c’est le niveau le plus sécurisé. Outside : l’interface externe du Pix qui prend l’adresse IP 80.80.1.1 et niveau de sécurité 0. DMZ : l’interface dmz du Pix qui prend l’adresse IP 172.16.1.1 et niveau de sécurité 50.
2008-2010
31
Chapitre 4: Taches et réalisations techniques ASDM : Nous avons commencé par démarrer le serveur TFTP
Puis sur la console de Pix nous avons commencé à télécharger l’image ASDM depuis le serveur TFTP.
2008-2010
32
Chapitre 4: Taches et réalisations techniques Puis sur l’ordinateur sur lequel on va installer l’ASDM on tape sur le navigateur web l’adresse IP de l’interface interne de Pix (https://192.168.1.1) et on entre le login et le mot de passe de sécurité qu’on a déjà crée pendant le téléchargement de l’image ASDM on puis on click sur install ASDM launcher and run ASDM et on suivie les étapes de l’installation.
Et finalement pour accède à ASDM On click sur l’icone Cisco ASDM Launcher et on entre l’adresse de l’interface interne du Pix (192.168.1.1) et on entre le login et le mot de passe
2008-2010
33
Chapitre 4: Taches et réalisations techniques Maintenant, après notre succès à accéder à ASDM Pix on peut configurer le Pare-feu Pix graphiquement. Par exemple on peut ajouter ou modifier les interfaces de Pix à partir de l’ASDM.
Les stratégies de sécurités (ACL) Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage. Tout paquet sans connexion justifiée est mis à la poubelle. Le trafic venant d'une interface de niveau de sécurité haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list limitent ce trafic * Le trafic entrant est interdit par défaut. * Les flux ICMP sont interdits à moins de les permettrent spécifiquement. * Il est nécessaire d'affecter les access-list aux interfaces désirées.
2008-2010
34
Chapitre 4: Taches et réalisations techniques
Dans notre maquette nous avons crée une règle qui permet le trafic entre le réseau interne et le réseau DMZ. Nous avons aussi crée des règles gui permet le trafic HTTP, HTTPS, FTP, DNS qui arrive depuis le réseau externe passant par l’interface outside de Pix (80.80.1.1) qui vas être redirigé par le NAT vers le réseau DMZ pour que les clients peut accéder au serveur Web et FTP.
2008-2010
35
Chapitre 4: Taches et réalisations techniques Translation d'adresse (NAT) La translation d'adresse (NAT) permet de garder les adresses du réseau interne celui derrière le PIX—inconnues des réseaux externes. Le NAT accomplit ceci en traduisant les adresses IP internes, qui ne sont pas globalement uniques, dans des adresses IP globales avant que les paquets soient expédiés au réseau externe. Quand un paquet IP sortant est envoyé de n'importe quel poste du réseau interne et atteint un PIX avec le NAT configuré, l'adresse de source est extraite et comparée à une table interne des traductions existantes. Si l'adresse du poste n'est pas déjà dans la table de traduction, elle est alors traduite. Il est assigné une adresse IP d'un pool d'adresses IP globales. Chaque translation d'adresses sortante est associée à une identification à un identifiant Nat. Chaque pool d'adresses globales possède un identifiant Nat correspondant. Le PIX utilise l'identifiant Nat des paquets IP sortants pour identifier quel pool d'adresses globales sélectionné pour effectuer la translation d'adresse. L'identifiant Nat id des paquets sortants doit coïncider avec le Nat id du pool d'adresse globale. Le PIX assigne les adresses à partir du pool désigné en commençant par le bas jusqu'en haut de l'ensemble spécifié avec la commande global. Dans notre maquette nous avons crée des règle qui permet de traduire le trafic HTTP, HTTPS, FTP, DNS depuis l’adresse publique de l’interface externe de Pix (80.80.1.1) vers l’adresse prive du zone DMZ (172.16.1.20)
2008-2010
36
Chapitre 4: Taches et réalisations techniques VPN site à site La mise en place d'un VPN entre 2 Sites distants. Plus particulièrement, il s'agira de créer une liaison VPN entre 2 Cisco Pix, en cumulant à la fois le partage d'accès Internet pour chacun des sites, et un routage entre les 2 sites. Le principe du tunnel VPN est simple : un des Pix fera office de serveur tandis que l’autre sera le client. L’avantage principal du tunnel VPN est que les postes clients n’auront pas besoin de se connecter individuellement en VPN au site distant. Cette configuration donnera l’impression aux clients des deux côtés d’être sur un seul et même réseau, ce qui permet de facilement partager des données.
Nous allons ici considérer que le site de Rabat est le site principal et qu’il hébergera la partie serveur du tunnel et que le réseau local est en 192.168.1.0. Le site de Casablanca sera configuré en mode client avec un réseau local en 10.10.10.0.
2008-2010
37
Chapitre 4: Taches et réalisations techniques Accès distant L’accès distant au serveur depuis l’extérieur du réseau sera possible via un tunnel VPN depuis le pare-feu. L’accès au service d’administration du serveur devra être limité exclusivement et sécurisé depuis le pare-feu par la Configuration de IKE et IPSec. Avant de commence la configuration au Pix nous avons d’abord configure un serveur radius qui vas être le responsable de l’authentification des clients VPN. Et pour cette raison qu’on a créé un groupe d’utilisateurs (clientvpn) dans Active directory qui contiendra les utilisateurs autorisés à accéder au réseau interne. Après la configuration du serveur radius il faut crée une connexion entre le Pare-feu Pix et le serveur radius.
Finalement on va passer à l’ASDM pour commencer la configuration du VPN. Nous avons ici considères le réseau interne de site de Rabat comme le serveur VPN qui recevoir les connexions Accès distant qui arriver de n’import quel réseau dans l’internet.
2008-2010
38
Chapitre 4: Taches et réalisations techniques Les journaux
En utilisant le programme ‘’Kiwi Syslog Daemon’’ tous les journaux générés par le système et les services devront être exportés sur le pare-feu (en temps réel ou par l’intermédiaire d’une tâche planifiée journalière en fonction du service). Le pare-feu devra générer un fichier de log par jour et par service ou groupe de services. Un processus d’analyse et de corrélation des journaux devra être exécuté sur le pare-feu à intervalle régulier. En cas d’anomalie (échec d’authentification par exemple), une alerte par email par l’intermédiaire du serveur de messagerie devra être déclenchée. On trouve les journaux génères en bas dans l’onglet HOME de ASDM.
2008-2010
39
2008-2010
40
Chapitre 5: Conclusion Conclusion : La sécurité a toujours été un concept important. De nos jours, les données sensibles étant toutes informatisées, il est nécessaire de bien les protéger afin d'en garantir leur confidentialité et leur intégrité. Pour cela, il faut mettre en place des protections à plusieurs niveaux, notamment une barrière au niveau du réseau. Différentes solutions existent, la plus répandue est l'utilisation d'un pare-feu, logiciel ou matériel. Un pare-feu protège un ordinateur ou un réseau en filtrant les données échangées avec d'autres réseaux. C'est un élément essentiel à mettre en place ; il n'y a pas, ou peu, de réseaux actuellement qui ne soient ainsi protégés. Nous vous avons donc présenté le pare-feu Cisco PIX qui présente l'avantage d'être fourni. Nous avons également vu comment le configurer avec les outils les plus importantes.
2008-2010
41
Annexe 1 : Webographie : Nous avons utilises pour réaliser ce projet les sources web suivant : http://www.google.fr Des Documents PDF, DOC, PPT… http://lo.st/ http://www.telecom-reseaux.net Installer ASDM sur un PIX sous GNS3 : http://www.telecom-reseaux.net/reseaux/installer-asdm-sur-un-pix-sous-gns3-151 http://www.cisco.com Most Common L2L and Remote Access IPsec VPN Troubleshooting Solutions: http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a00807e0aca.shtml #solution14 PIX/ASA 7.x and Cisco VPN Client 4.x with Windows 2003 IAS RADIUS (Against Active Directory) Authentication Configuration Example: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example 09186a00806de37e.shtml#configs PIX/ASA: Establish and Troubleshoot Connectivity through the Cisco Security Appliance: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080 09402f.shtml
2008-2010
42
Annexe 2 : Configuration du PIX1 (Rabat) : : Saved : PIX Version 7.2(2) ! hostname PixRabat domain-name default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 80.80.1.1 255.255.255.0 ! interface Ethernet1 nameif INSIDE security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet2 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted banner motd $Bienvenu dans le Pare-feu Pix ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_access_in extended 80.80.1.1 eq www access-list outside_access_in extended 80.80.1.1 eq https access-list outside_access_in extended 80.80.1.1 eq ftp
2008-2010
De Rabat$
permit
tcp
any
host
permit
tcp
any
host
permit
tcp
any
host
43
access-list outside_access_in extended permit tcp any host 80.80.1.1 eq domain access-list outside_access_in extended permit udp any host 80.80.1.1 eq domain access-list outside_access_in extended permit tcp any eq ftp host 80.80.1.1 eq ftp access-list outside_20_cryptomap extended permit ip 192.168.1.0 255.255.255.0 80.80.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl_1 standard permit 192.168.1.0 255.255.255.0 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.1.32 255.255.255.224 access-list INSIDE_nat0_outbound extended permit ip any 192.168.1.0 255.255.255.128 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list dmz_access_in extended permit ip host 172.16.1.20 192.168.1.0 255.255.255.0 access-list outside_20_cryptomap_1 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 pager lines 24 logging enable logging timestamp logging trap warnings logging asdm informational logging device-id hostname logging host INSIDE 192.168.1.4 logging debug-trace mtu outside 1500 mtu INSIDE 1500 mtu dmz 1500 ip local pool vpn2 192.168.1.40-192.168.1.60 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo-reply dmz icmp permit any unreachable dmz asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (INSIDE) 0 access-list INSIDE_nat0_outbound nat (INSIDE) 1 192.168.1.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.1.20 www netmask 255.255.255.255 static (dmz,outside) tcp interface domain 172.16.1.20 domain netmask 255.255.255.255
2008-2010
44
static (dmz,outside) udp interface domain 172.16.1.20 domain netmask 255.255.255.255 static (dmz,outside) tcp interface ftp 172.16.1.20 ftp netmask 255.255.255.255 static (INSIDE,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 80.80.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 192.168.1.3 key cisco radius-common-pw cisco group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol l2tp-ipsec group-policy vpn2 internal group-policy vpn2 attributes dns-server value 192.168.1.3 vpn-tunnel-protocol IPSec default-domain value electro-house.ma username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter java 80 80.80.1.0 255.255.255.0 172.16.1.0 255.255.255.0 http server enable http 192.168.1.4 255.255.255.255 INSIDE no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DESSHA crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.2.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des 2008-2010
45
hash sha group 2 lifetime 86400 tunnel-group 80.80.2.1 type ipsec-l2l tunnel-group 80.80.2.1 ipsec-attributes pre-shared-key * tunnel-group vpn2 type ipsec-ra tunnel-group vpn2 general-attributes address-pool vpn2 authentication-server-group vpnclient default-group-policy vpn2 tunnel-group vpn2 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect sunrpc inspect rsh inspect rtsp inspect sip inspect skinny inspect esmtp inspect sqlnet inspect tftp inspect xdmcp inspect dns ! service-policy global_policy global prompt hostname context Cryptochecksum:0fc9bb4ff02b1734c39aa2afef184328 : end
2008-2010
46
Annexe 3 : Configuration du PIX2 (Casa) : : Saved : PIX Version 7.2(2) ! hostname PixCasablanca domain-name default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 80.80.2.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted banner motd $Bienvenu dans le Pare-feu Pix De Casablanca$ ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_20_cryptomap extended permit ip 10.10.10.0 255.255.255.0 80. 80.2.0 255.255.255.0
2008-2010
47
access-list 101 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255. 255.0 access-list outside_20_cryptomap_1 extended permit ip 10.10.10.0 255.255.255.0 1 92.168.1.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 10.10.10.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 80.80.2.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 10.10.10.3 key cisco123 radius-common-pw cisco123 username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 http server enable http 10.10.10.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.1.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 2008-2010
48
lifetime 86400 tunnel-group 80.80.1.1 type ipsec-l2l tunnel-group 80.80.1.1 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! ! prompt hostname context Cryptochecksum:bae775f58f0119af4f7cfe6c3715edec : end
2008-2010
49
Annexe 4 : Configuration du Routeur1 : Current configuration : 740 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 80.80.1.2 255.255.255.0 duplex auto speed auto !
2008-2010
50
interface FastEthernet1/1 ip address 80.80.3.1 255.255.255.0 duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end
2008-2010
51
Annexe 5 : Configuration du Routeur2 : Current configuration : 927 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routeur1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip subnet-zero ! ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 80.80.2.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/1
2008-2010
52
ip address 80.80.3.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/0 ip address 90.90.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 90.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end
2008-2010
53
View more...
Comments