D

Conception et mise en place d'une

architecture de scurit des
services Intranet / Internet

Equipe Firewalling

1
A nos trs chers parents
A toutes nos familles
A tous nos amis
A La FST

2
 Avant propos

Agir dabord, rectifier ensuite

sil y a lieu, reprendre tout zro
sil le faut, mais ne jamais rester
inactif la recherche du parfait .

Jean Cocteau

3
 Remerciements
Cest une habitude saine que de rendre mrite, au dbut dun tel travail, tous ceux qui ont
contribu le rendre possible.

Le prsent message traduit mon sincre reconnaissance et gratitude mon encadrant externe
Mr. Issam collaboration, et nos saisiront loccasion pour les flicits pour son dynamismes,
sa rigueur et son ouverture desprit, faisant de lui un exemple du jeune cadre motiv, et dot
dune mobilit et disponibilit remarquable. On vous remercie pour vos judicieux conseils et
pour vos directives prcieuses qui ma t dun appui considrable dans notre dmarche.

On ne saurait oublier dans nos remerciements tout le cadre professoral de la FST, pour la
formation quil mon a prodigu.

On exprime notre gratitude tous les membres du jury pour avoir accept de juger nous
travail.

Cela va de soit, On remercie videmment nos familles pour leur irremplaable et

inconditionnel soutien. Ce travail est un peu le leur aussi.

Et merci toutes les personnes qui nous aider dune manire ou dune autre.

Rsum

4
Notre projet a pour but de nous permettre
de pratiquer nos acquis en ralisant les
taches suivantes :

Ralisation du plan dadressage pour

lensemble de linfrastructure en
minimisant le gaspillage dadresses
(adressage VLSM)

Configuration du routeur li au nuage

internet

Configuration du PIX 525

Configuration du switch pour la cration

des vlans de la partie DMZ

5
 Abstract

The purpose of our project is to enable us

to practice our assets by carrying out the
following spots:

Realization of the plan of addressing for

the whole of the infrastructure by
minimizing the wasting of addresses
(addressing VLSM)

Configuration of the router related to

cloud Internet

Configuration of the PIX 525

Configuration of the switch for the

creation of the vlans of part DMZ

6
 Sommaire
Avant propos 4
Remerciment 5
Rsum 6
abstract 7
Introduction 9
Chapitre 1 :Cadre gnral du projet 13
1. Fiche technique 14
2. Cahier des charges 15
Chapitre 2 : prsentation du projet 17
Chapitre 3 : plan dadressage 19
Chapitre 4 : Diagramme de Flux 22
Chapitre 5 : Configuration du Routeur CISCO 801 et Switch 24
Chapitre 6 : Configuration du PIX 28
Conclusion 37
Bibliographie 28
Acronymes 39
Annexe B : Juniper ssg 550 41
Annexe C : commutateur cisco catalyst 3750
46

7
 Introduction
La scurisation des systmes informatiques d'une entreprise ou d'une
administration commence avec la scurisation au niveau rseau. Le firewall est
ce sujet un outil indispensable. En effet son rle est d'assurer un primtre de
protection entre le rseau interne l'entreprise et le monde extrieur. Bas sur
des technologies d'analyse des paquets l'entre du primtre protg, le
firewall permet ou interdit l'accs de et vers ce primtre.
Compos d'quipements matriels et/ou logiciels, le firewall va raliser les tches
suivantes:
bloquer l'accs des services non autoriss,
interdire l'accs des systmes,
protger contre les attaques de type DoS (Deni de service),
etc.
Les firewall peuvent intgrer des techniques de dtection d'intrusions et peuvent
envoyer des alertes afin de prvenir les quipes de surveillance technique. Ces
quipements prennent en compte un ensemble de rgles qui doivent tre
dfinies en fonction des besoins d'une entreprise ou d'une administration.
Qu'est-ce qu'un firewall?
Un pare-feu est un outil utilis afin d'empcher tout accs non autoris entre
deux ou plusieurs rseaux. Aujourd'hui, nous avons trois types des technologies
de pare-feu:
-Accs listes
-Stateful Inspection
-Proxy
* Le PIX pouvez utiliser les deux.

8
Quest ce quun PIX?
Cisco PIX est le pare-feu, qui utilise un systme d'exploitation appel finesse.
Les quatre principaux avantages du PIX sont les systmes embarqus (qui est
trs "scurise"), l'ASA (Adaptive Security Algorithme), la cutthrough procuration
et les options
disponibles pour la redondance.
Six modles de pare-feu PIX sont disponibles: Cisco PIX
501.506.515.520.525.535

Les diffrentes catgories de firewall

Depuis leur cration, les firewalls ont grandement volu. Ils sont effectivement
la premire solution technologique utilise pour la scurisation des rseaux. De
ce fait, il existe maintenant diffrentes catgories de firewall. Chacune d'entre-
elles disposent d'avantages et d'inconvnients qui lui sont propre. Le choix du
type d'un type de firewall plutt qu'un autre dpendra de l'utilisation que l'on
souhaite en faire, mais aussi des diffrentes contraintes imposes par le rseau
devant tre protg.

Firewall sans tats (stateless)

Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils
font un contrle de chaque paquet indpendamment des autres en se basant sur
les rgles prdfinies par l'administrateur (gnralement appeles ACL, Access
Control Lists).
Ces firewalls interviennent sur les couches rseau et transport. Les rgles de
filtrages s'appliquent alors par rapport une d'adresses IP sources ou
destination, mais aussi par rapport un port source ou destination.
Les limites ( titre dexemple):
Lors de la cration des rgles de filtrage, il est d'usage de commencer spcifier
que le firewall ne doit laisser passer aucun paquet. Ensuite, il faut ajouter les
rgles permettant de choisir les flux que nous souhaitons laisser passer. Il suffit
alors d'autoriser l'ouverture des ports des serveurs devant tre accessible depuis
l'extrieur. Mais les connexions des postes vers l'extrieur poseront problmes.
Effectivement, il faudrait autoriser les ports utiliss par les postes clients lors des
connexions vers les serveurs, ceci implique donc d'ouvrir tous les ports
suprieurs 1024. Ceci pose donc un rel problme de scurit.

9
Firewall tats (stateful)

Les firewalls tats sont une volution des firewalls sans tats. La diffrence
entre ces deux types de firewall rside dans la manire dont les paquets sont
contrls. Les firewalls tats prennent en compte la validit des paquets qui
transitent par rapport aux paquets prcdemment reus. Ils gardent alors en
mmoire les diffrents attributs de chaque connexion, de leur commencement
jusqu' leur fin, c'est le mcanisme de stateful inspection. De ce fait, ils seront
capables de traiter les paquets non plus uniquement suivant les rgles dfinies
par l'administrateur, mais galement par rapport l'tat de la session
Les attributs gards en mmoires sont les adresses IP, numros de port et
numros de squence des paquets qui ont travers le firewall. Les firewalls
tats sont alors capables de dceler une anomalie protocolaire de TCP. De plus,
les connexions actives sont sauvegardes dans une table des tats de
connexions. L'application des rgles est alors possible sans lire les ACL chaque
fois, car l'ensemble des paquets appartenant une connexion active seront
accepts.
Les limites ( titre dexemple) :
La premire limite de ce type de firewall ce situe au niveau du contrle de la
validit des protocoles.
Effectivement, les protocoles maisons utilisant plusieurs flux de donnes ne
passeront pas, puisque le systme de filtrage dynamique n'aura pas
connaissance du fonctionnement de ces protocoles particuliers.
Ensuite, il existe un cot supplmentaire lors de la modification des rgles du
firewall. Il faut que les firewalls rinitialisent leurs tables tat.
Pour finir, ce type de firewall ne protge pas contre l'exploitation des failles
applicatives, qui reprsentent la part la plus importante des risques en terme de
scurit.

Firewall applicatif

Les firewall applicatif (aussi nomm pare-feu de type Proxy ou passerelle

applicative) fonctionne sur la couche 7 du modle OSI. Cela suppose que le
firewall connaisse l'ensemble des protocoles utiliss par chaque application.
Chaque protocole dispose d'un module spcifique celui-ci. C'est dire que, par
exemple, le protocole HTTP sera filtr par un processus Proxy HTTP.
Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des
informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requtes non
conformes aux spcifications du protocole. Ils sont alors capables de vrifier, par

10
exemple, que seul le protocole HTTP transite travers le port 80. Il est galement
possible d'interdire l'utilisation de tunnels TCP permettant de contourner le
filtrage par ports. De ce fait, il est possible d'interdire, par exemple, aux
utilisateurs d'utiliser certains services, mme s'ils changeant le numro de port
d'utilisation du services (comme par exemple les protocoles de peer to peer).
Les limites ( titre dexemple) :
La premire limitation de ces firewalls rside sur le fait qu'ils doivent
imprativement connatre toutes les rgles des protocoles qu'ils doivent filtrer.
Effectivement, il faut que le module permettant le filtrage de ces protocoles soit
disponible.
Ensuite, ce type de firewall est trs gourmand en ressource. Il faut donc s'assurer
d'avoir une machine suffisamment puissante pour limiter les possibles
ralentissements dans les changes.

Firewall authentifiant

Les firewall authentifiant permettent de mettre en place des rgles de filtrage

suivant les utilisateurs et non plus uniquement suivant des machines travers le
filtre IP. Il est alors possible de suivre l'activit rseau par utilisateur.
Pour que le filtrage puisse tre possible, il y a une association entre l'utilisateur
connect et l'adresse IP de la machine qu'il utilise. Il existe plusieurs mthodes
d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue
l'authentification par connexion.

Firewall personnel

Les firewalls personnels sont installs directement sur les postes de travail. Leur
principal but est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu'ils permettent de contrler les accs aux rseaux des
applications installs sur la machine. Ils sont capables en effet de reprer et
d'empcher l'ouverture de ports par des applications non autorises utiliser le
rseau.

PIX

La clbre socit Cisco, plus connu pour ses routeurs, propose des firewall
matriels nomms PIX (Private Internet eXchange).
Ces firewalls sont des plateformes compltes bases sur un
noyau propritaire de Cisco. Ce sont des firewalls tat

11
 (Stateful) utilisant l'algorithme de Cisco, l'ASA (Adaptive
Security Algorithm). Ils disposent, entre autre, d'un
Client/serveur DHCP, d'une gestion du PAT (Translation
d'Adresse par Port) et NAT (Translation d'Adresse IP), de
la prise en compte des rseaux privs virtuel (VPN) avec la
gestion d'IPSec. Plusieurs classes de PIX existe, du plus
simple pour les petites entreprise, au plus volu pour les
entreprises tel que les fournisseurs d'accs Internet

Chapitre1
Cadre gnral du projet

12
 Un projet de fin dtudes, quels que soient sa taille et
ses objectifs, peut tre compar un organisme
vivant : sa ralisation obit des Xconditions et des
contraintes susceptibles de lui permettre dvoluer,
voire de muer en interaction directe avec les
exigences sans cesse volutives. Ce qui lui impose
une mthodologie prcise et une documentation
consquente pour lui assurer un caractre ouvert et
volutif et lui garantir une certaine prennit.
La rponse ces exigences tant, en partie, la
vocation de ce document, on tentera dans ce chapitre
de prsenter au lecteur les lments lui permettant
d'apprhender de manire convenable ce projet.
Aprs une prsentation de la FST, il conviendra donc
de dcrire le projet ainsi que les diffrentes tapes de
son droulement.

1. Fiche technique :

Raison social :

13
Forme juridique :

P.D.G :

Secteur dactivit :

Date de constitution :

Investissement globale :

Capital social :

Chiffres daffaires :

Sige social :

Site Internet :

2. Cahier des charges

Cette section a pour but dtablir les spcifications du systme implmenter. A cette
fin, nous nous efforcerons de dfinir aussi prcisment que possible les besoins des futurs
utilisateurs du systme. Ce pralable nous permettra de dtailler le cahier des charges en

14
inventoriant chaque fonctionnalit du programme. Enfin, nous terminerons en dterminant le
planning des tches accomplir dans le cadre de ce stage ainsi que les fonctionnalits quil
serait souhaitable dimplmenter par la suite.

Les utilisateurs et leurs attentes :

Afin de dfinir prcisment les fonctionnalits que devra offrir loutil, une premire
analyse des besoins a t mene lors de runions au cours desquelles les diffrents utilisateurs
potentiels ont eu loccasion dvoquer leurs attentes dans le cadre de leurs missions
respectives. Les utilisateurs potentiels peuvent tre classs en fonction de leur poste de travail ;
leurs besoins tant directement lis ce dernier.

15
 Les fonctionnalits implmenter :

Typologie Description dtaille

des besoins des fonctionnalits

Zoomer, dzoomer,
Localiser
se dplacer, trouver un emplacement
des sites
rapidement (raccourci), chelle.
Offrir plusieurs modes de visualisation
Visualiser alternatives (niveau de dtail souhait, choix
des donnes afficher, etc.)
Accder Obtenir des informations techniques
aux donnes sur lquipement slectionn
Dterminer une distance, calculer
Effectuer
une surface, afficher des statistiques relatives
des mesures
la zone slectionne

Tableau 1: Liste des fonctionnalits implmenter.

Planning des tches

Semaines 1 :
Prise de contact avec lenvironnement professionnel

Semaines 2 :
Recherche documentaire sur les systmes dinformation, le plan technique de la
socit et leur architecture afin denvisager plus concrtement lintgration dun
tel outil.
Etude de lexistant applicatif corrl au sujet du stage.
Validation dun premier projet de cahier des charges avec le prof Issam.
Prparation de lenvironnement de travail (Hardware, logiciels et drivers
installer, plugins ncessaires).

Semaines 3 :
Schmatisation de larchitecture du plan du travail livrer.
Correction du pr-rapport en fonction des remarques formules par nos
encadrant.

16
 Chapitre2
Prsentation du projet
Notre projet consiste lEtude et la mise en place de la plate-forme Firewalling.
Etudes des plates-formes :
Etude du rseau
Durant cette premire phase, nous sommes amenes tudier larchitecture du rseau on
lanant son plan dadressage rseau

Contexte gnral du projet

La mise en place de la Plate Forme Firewalling. est un besoin de la socit qui permettra
la diffusion en toute scurit de linformation.
Cest dans ce contexte gnral que vient le besoin de se dbarrasser des problmes des
vieilles architectures et tendre vers des nouvelles solutions.
Ainsi ce projet est lanc pour raliser une plate forme solide volutive dont les principaux
sont :
Backbone qualit du service et scurit
Redondance accs BLR
Mise en place dune plate-forme data et migration des serveurs

Planification du projet
La planification du projet doit bien entourer toutes les tapes dtude et ralisation, Le
projet tant rparti sur plusieurs sens nous a bien pouss adopter une planification pour bien
cerner les tapes de ralisations.
Cette planification est conforme aux phases du projet ainsi que les objectifs attendus, au
cours de cette priode, un ensemble de points de contrle est mis en place pour bien tablir un
suivi du droulement des tapes de projets.

Priode : en Semaine
Phase 1

Phase 2

Phase 3
Phases

Figure 4 : Planification du projet, Diagramme de GANTT

Phase 1 :

17
 Il sagit dune premire phase, mais lune des plus importantes, elle permet de prparer un
environnement convenable pour la bonne ralisation de projet, tout en valuant la faisabilit et
les contraintes attendues.
Cette phase comporte en principe les taches suivantes :
tude de lexistant.
Ingnierie dtaill de la mise en place de la Plate Forme Firewalling.

Phase2 :
La deuxime tape est celle de lexploitation de ltude tablie en premire partie et la
ralisation technique des tapes de Projet.
Une valuation des rsultats est prvue la fin de cette tape pour visualiser les difficults
de ralisation. Cette phase comporte en principe les taches suivantes :
Adressage ip.
Installation et configuration des quipements.
Tester les configurations et les quipements.

Phase 3 :
La dernire phase a pour but lexploitation de la ralisation de la Plate Forme. Cette phase
comporte en principe les taches suivantes :
Fin de projet
Test

Conclusion
Il sagissait dans ce chapitre dune prsentation brve de lensemble des tapes du projet,
aprs avoir mis la main sur lenvironnement du travail et les caractristiques de lorganisme
daccueil.

18
 Chapitre3
Plan dadressage :
Il sagit deffectuer les oprations suivantes :
Identifier les sous rseaux de linfrastructure rseau
Distinguer les sous rseaux adresses publiques de ceux adresses prives
Dfinir la taille de chaque sous rseau concernant le nombre dadresses Ip qui lui
seront alloues, en tenant compte dune ventuelle extension future.

Remarque :

Il faut minimiser le gaspillage dadresses IP

Schma du rseau :

En analysant le plan dadressage adopt en classe on peut mettre les constatations

suivantes :
Le nombre dadresses alloues chaque sous rseau nest pas justifi : par exemple le
sous rseau PIX (DMZ priv) comporte 100 adresses alors que PIX (DMZ public)
nen compte que 6 etc.

19
 Les plages dadresses des sous rseaux publiques doivent tre contiges afin dtre
rsumes par une adresse de sous rseau publique global.

Les plages dadresses des sous rseaux privs doivent tre contiges afin dtre
rsumes par une adresse de sous rseau priv global.

Les plages des sous rseaux ntant pas contiges nous obligent utiliser un sous rseau
global anormalement grand.
On peut apporter les amliorations suivantes au plan dadressage :

Rseau Nombre Adresse sous rseau / Plage dadresses IP

dadresses max Masque
Routeur Outside 2 10.10.61.24 / 30 10.10.61.25 10.10.61.26
Routeur Inside 6 10.10.61.16 / 29 10.10.61.17 10.10.61.22
PIX Outside 6 10.10.61.16 / 29 10.10.61.17 10.10.61.22
PIX Inside 6 10.10.61.8 / 29 10.10.61.9 10.10.61.14
PIX (DMZ public) 6 10.10.61.0 / 29 10.10.61.1 10.10.61.6
PIX (DMZ priv) 100 172.16.0.0 /25 172.16.0.1 172.16.0.126
Lan (DMZ priv Local) 14 172.16.0.128 /28 172.16.0.129 172.16.0.142
Vlan_Wifi(users WIFI) 100 172.16.1.0 /25 172.16.1.1 172.16.1.126
Vlan_Utilisateurs 100 172.16.1.128 /25 172.16.1.129 172.16.1.254

Les sous rseau publique global est : 10.10.61.0 / 27. Le gaspillage dadresses est minim.
Les sous rseau priv global devient : 172.16.0.0 /23. Le gaspillage dadresses est minim.
Alors quil tait : 172.16.0.0 /13. Le gaspillage dadresses est important.
Les ports rseaux des quipements auront les adresses IP suivantes :

Routeur et PIX :

Rseau Adresse IP
Routeur (Outside) 10.10.61.26/30
Routeur(Inside) 10.10.61.22/29
Pix (Outside) 10.10.61.17/29
Pix(DMZ Public) 10.10.61.6/29
Pix(DMZ Priv) 172.16.0.126/25
Pix(Inside) 10.10.61.14/29

20
Serveurs :

Serveur Adresse IP Passerelle

MX1 10.10.61.1/29 Prix (DMZ Public)
DNS Public 10.10.61.2/29 Prix (DMZ Public)
WEB 10.10.61.3/29 Prix (DMZ Public)
FTP 10.10.61.4/29 Prix (DMZ Public)
Cache Principal 172.16.0.1/25 Prix (DMZ Priv)
DC 172.16.0.129 /28 172.16.0.142
Zimbra 172.16.0.130 /28 172.16.0.142
Portail captif (Outside) ->Lan users 172.16.1.129
Portail captif (Inside)->WIFI 172.16.1.1
FW site (Outside) 10.10.61.10/29
FW site (DMZ Priv Local) 172.16.0.129 /28

21
 Chapitre4

Diagramme de flux :

22
 vers
============ Internet Vlan DMZ Vlan Inside Vlan DMZ priv
== public
de
http ; https ; http ; https ; ftp
Internet POP3

http ; http ; https ;

Vlan DMZ POP3 ; ftp ;
public https administration

http ;dms ;icm http ; https ; ftp ;

Vlan Inside p; pop3 ;https ; administration
administration
http ; ftp ; http ;DNS ;
Vlan DMZ https POP3 ;
priv administration

Chapitre5
23
Configuration du routeur CISCO 801 et switch

Configuration du routeur CISCO 801

Caractristiques de la gamme des routeurs cisco srie 800 :

24
Initialisation du routeur via le port console :

Utiliser la fonction mulation de terminal (hyperterminal de

windows).dans notre cas on a utilise secure crt

Mettre le routeur sous tension.

le routeur a demerae avec le mode setup

II) Nommage et la scurisation du routeur :

Hostname ISRS-router

Enable password cisco

III) Dsactivation du dbogage :

Via la commande : no logging consol 0

IV) Etiquetage des interfaces :

Interface ethernet 0

Description interne

Ip addresse 10.10.61.22 255.255.255.248

No shut down

Test dinterface via le ping : russi

Interface ethernet 1

Description interne

25
Ip addresse 10.10.60.254 255.255.255.0

No shut down

Test dinterface via le ping : russi

Ip root 0.0.0.0.0.0.0.0 10.10.60.1

Ip deffault getway 10.10.60.1

PS : problme rencontr :

Erreur dadressage donne par le chef du projet bloqu le

travail pour une dure de 30 minute .

Configuration du switch :

connecte le cable console au switch

: utilisation du hyper terminal secure crt afin dy acceder

tape Conf t puis enter

: tape Int vlan 1 puis enter

: tape Ip address 10.10.60.252 255.255.255.0 puis enter

tape No shutdown puis enter

26
Cration des vlans

1- VLAN5 description outside

2- Interface fastethernet0/2 -6

3- Switchport mode access

4- VLAN4 description inside

5- Interface fastethernet0/8 12

6- Switchport mode access

7- VLAN3 description DMZ PRIV

8- Interface fastethernet0/14 - 18

9- Switchport mode access

10- VLAN2 description DMZ PUB

11- Interface fastethernet0/20 - 24

27
12- Switchport mode access

28
 Chapitre5
Configuration du Pix :

Pr-configuration:
Avant de commencer, nous devons dterminer des choses: tous les exemples vont utiliser cette
topologie de rseau:

Internet
|
DMZ Public -- Firewall -- DMZ Priv
|
Inside Network
Grce ces adresses IP:

Inside network 10.10.61.0/29 Firewall Inside IP: 10.10.61.1

DMZ Network Public 10.10.61.0/29 - Firewall DMZ Public IP: 10.10.61.14
DMZ Network Priv 172.16.2.0/25 - Firewall DMZ Priv IP: 172.16.2.1
Outside network 10.10.61.0/29 Firewall Outside IP: 10.10.61.17
Default route 10.10.61.22

Avant de commencer:

Avant de commencer, nous devons nous rappeler que sur le PIX Ethernet0 est l'interface de
l'extrieur et de la ethernet1 est L'intrieur de l'interface. L'interface l'extrieur de la scurit

niveau de zro et l'intrieur de 100. Tout le trafic partir dune interface de scurit de
niveau infrieur un niveau lev de scurit niveau est refus (sauf si autoris par une liste
d'accs ou conduit). Circulation d'un haut niveau de scurit un moindre niveau de scurit
est toujours permis ( moins que refus par un access-list).

29
Configuration du Pix :

1. Insertion de lIOS de PIX .

Premirement nous avant besoins de mettre une adresse sur linterface de PIX ,
et une autre sur le PC dans la mme plage, et relions les deux avec un cble rseau
pour quil ont puisse communiqu, aprs cette opration en fait un test de ping pour
tre sur que la communication passe entre les deux Ci-dessous la configuration
inject :
pixfirewall# SHOW ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1 inside 192.168.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1 inside 192.168.1.1 255.255.255.0 CONFIG

pixfirewall# ping 192.168.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
pixfirewall#

- Aprs en a besoin de supprimer lancien IOS et insrer la nouvel version

de lIOS ci-dessous la configuration :

30
pixfirewall# copy tftp fl
pixfirewall# copy tftp flash:
Address or name of remote host []? 192.168.1.3
Source filename []? pix723.bin
Destination filename [pix723.bin]?
Accessing
tftp://192.168.1.3/pix723.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix723.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

31
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!
8386560 bytes copied in 111.500 secs (75554 bytes/sec)
pixfirewall# sh fla
pixfirewall# sh flash:
Directory of flash:/

5 -rw- 8386560 09:08:03 Mar 22 2009 pix723.bin

16128000 bytes total (7739392 bytes free)

2. Insertion de lIOS de PIX et de lASDM.

pixfirewall# copy tftp flash:

Address or name of remote host [192.168.1.3]?
Source filename [pix723.bin]? asdm-523.bin
Destination filename [asdm-523.bin]?
Accessing tftp://192.168.1.3/asdm-
523.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

32
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
Writing current ASDM file flash:/asdm-523.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!
6287244 bytes copied in 80.710 secs (78590 bytes/sec)
pixfirewall#

33
 3. Installation de lASDM :

Les tapes dinstallation de ASDM :

3-1) Installation java JRE -6U7-Windows-I586-P.exe
3-2) Installation Mozilla firefox version 3 .0 .7r
3-3) Taper ladresse de linterface connect avec lordinateur ( https :// Adresse
interface )
3-4) Lancer linstallation de LASDM depuis limage afficher sur le navigateur web et
suivre les tapes de linstallation.
3-5) Sidentifier via ladresse ip de PC, le login et le mot de passe.
4. Configuration global :
Ci-dessous la configration global du Pix :

FW-ISRS2# sh run
: Saved
:
PIX Version 7.2(3)
!
hostname FW-ISRS2
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
description connected to internet
nameif outside
security-level 0
ip address 10.10.61.17 255.255.255.248
!
interface Ethernet1
description Vlan_interne
nameif inside
security-level 100
ip address 10.10.61.1 255.255.255.248

34
!
interface Ethernet2
description DMZ public
nameif DMZ-Publique
security-level 50
ip address 10.10.61.14 255.255.255.248
!
interface Ethernet3
description DMZ priv
nameif DMZ-priv
security-level 70
ip address 172.16.2.1 255.255.255.128
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/image.bin
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list DMZ-Publique_access_in remark Implicit rule
access-list DMZ-Publique_access_in extended permit ip any any
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in_1 extended permit tcp any any inactive
access-list outside_access_in_1 extended permit ip any any
access-list outside_access_in_1 extended permit icmp any any inactive
access-list outside_access_in_1 extended permit ip host 10.10.61.3 any inactive
access-list outside_access_in_1 extended permit icmp any any echo-reply
access-list inside_access_in_1 extended permit ip host 10.10.61.3 host 10.10.61.18
inactive
access-list inside_access_in_1 extended permit ip host 10.10.61.18 host 10.10.61.3
inactive
access-list inside_access_in_1 extended permit icmp any any
access-list inside_access_in_1 extended permit ip any any

35
access-list inside_access_in_1 extended permit icmp any any echo-reply
pager lines 24
mtu outside 1500
mtu inside 1500
mtu DMZ-Publique 1500
mtu DMZ-priv 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-523.bin
no asdm history enable
arp timeout 14400
access-group outside_access_in_1 in interface outside
access-group inside_access_in_1 in interface inside
access-group DMZ-Publique_access_in in interface DMZ-Publique
route outside 0.0.0.0 0.0.0.0 10.10.61.22 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.10.61.2 255.255.255.255 inside
http 10.10.61.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!

36
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
username cisco password 3USUcOPFUiMCO4Jk encrypted
prompt hostname context
Cryptochecksum:a92837bbbfe9a4f1294e23eb250180d6
: end

37
 Conclusion

Au terme de ce travail et en guise de conclusion, nous devons rappeler que nous avons
voulu inscrire notre tude dans un axe de recherche et dtude.

Le but de notre projet consiste lEtude et la mise en place de la plate-forme Firewalling .

Une telle tude vise diffuser en toute scurit.

Ce projet sest droul en trois grandes phases. Un premier chapitre il fallait prsenter le
projet avec les objectifs attendus, ainsi quune brve prsentation de lorganisme daccueil. Le
deuxime chapitre nous a permis de se familiariser avec le rseau attendu pour pouvoir entamer
ltude des plates-formes Firewalling. Le troisime chapitre concerne la partie de processus o
nous avions dcrit toutes les tapes du projet.

On espre, enfin, que la prsente tude serait dun quelconque intrt pour la recherche
dans le domaine des scurits rseaux dune manire gnrale, et contribuer tant soit peu
lever les zones dombre qui se dressaient et rpondre au mieux aux objectifs.

Par ailleurs, ce projet de fin dtudes a t, pour nous, une occasion intressante pour
acqurir sur le terrain de nouvelles connaissances dans le domaine de la scurit rseau, et
matriser celles que nous avions dj. Il nous a galement donn l'opportunit de nous intgrer
au sein d'une quipe travaillant.

Mais on a aim avoir plus de temps pour mieux tester notre projet et dintervenir dans
dautre cas dune panne ainsi quon souhaite que notre tude soit prise en charge pour
appliqu dans dautres socits.

38
 Bibliographie

Livres :

- Cisco Pix Firewalls: Configure, manage, & Troubleshoot (Syngress Media,U.S. (21
juin 2005)).
- Cisco ASA and PIX Firewall Handbook (David Hucaby)

Ressources WEB :

- http://en.wikipedia.org/wiki/Cisco_PIXhttp://www.ietf.org/rfc/rfc3031.txt
- http://www.amazon.fr/Cisco-Pix-Firewalls-Configure-Troubleshoot/dp/1597490040
- http://www.cisco.com/warp/public/779/servpro/solutions/vpn/site_mpls.html
- http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/
120s/120s5/mpls_te.htm
- http://portland.iu.nl/Brochures/Solarwinds/Orion_New.pdf
- http://www.naosa.com/?q=system/files/La+famille+de+produits+SSG.pdf
- http://www.cisco.com/web/CH/fr/assets/docs/C3750_DS_v3.pdf

39
 Acronymes

A
ADSL Asymetric Digital Suscriber Line
ATM Asynchronous Transfer Mode
B
BFD Bidirectional Forwarding Detection
BLR Boucle Locale Radio
BSS Business Support System
C
CE Customer Edge
CEF Cisco Express Forwarding
D
DCN Data Communication Network
DSLAM Digital Subscriber Line Access Multiplexer
E
EDGE Enhanced Data rates for Global Evolution
EGPE Exterior Gateway Protocol
ELSR Edge Label Switching Router
F
FAI Fournisseur dAccs Internet
FE Fast Ethernet
FEC Forwarding Equivalence Class
FIB Forwarding Information Base
FTP File Transfer Protocol
G
GE Gigabit Ethernet
I
IGP Interior Gateway Protocol
IP Internet Protocol
IPSEC Internet Protocol Security
ISDN Integrated Services Digital Network (RNIS)
K
Kbps Kilo Bit Par Seconde
L
L2L Lan To Lan
L2TP Layer 2 Tunneling Protocol
LSP Label Switched Path
LSR Label Switching Router
M
MGBPS Mga Bit Par Seconde

40
NAT Network Address Translation
NMS Network Management System
NVL Numro de Voie Logique
O
OSI Open Systems Interconnection
P
P Provider
PE Provider Edge
POC Point Of Control
POS Packet over SDH
PPTP Point-to-point tunneling protocol
PSTN Public Switched Telephone Network
Q
QOS Quality Of Service
R
RSVP Resource ReSerVation Protocol
S
SMS Short Message Service
STM Synchronous Transfer Mode
T
TTL Time-To-Live
V
VPN Virtual Private Network
VLSM Variable Length Subnet Mask
W
WIMAX Worldwide Interoperability for Microwave Access

Juniper SSG 550

41
 Secure Services Gateway (SSG) 500 Series, nouvelle gamme de plates-formes de
pare-feu/VPN, dotes dinterfaces LAN (rseau local) et WAN (rseau tendu) intgres. Les
nouvelles plates-formes Secure Services Gateway 550 permettent aux entreprises de rpondre
de manire aux besoins croissants des succursales et des filiales de taille moyenne en matire
de connectivit ; et ce en combinant des fonctions de scurit et de routage au sein dune
mme plate-forme.
Les plates-formes Secure Services Gateway de Juniper Networks aident les entreprises
rparties gographiquement mettre en uvre des services scuriss bass sur des LAN et
des WAN, au sein de leurs filiales, tout en offrant la possibilit de sadapter lvolution de
leurs besoins en matire de connectivit et de scurit. Les nouvelles plates-formes supportent
en outre lenvironnement Enterprise Intranet, en facilitant un contrle accru des menaces et
des modes dutilisation et de distribution, travers lensemble du rseau.

Le Secure Services Gateway de Juniper Networks a t conu ds le dpart en

considrant la scurit comme une fondation de base et en sappuyant sur le systme
dexploitation scuris de Juniper ScreenOS. La plate-forme offre un dbit routeur de 1Gb/s
et un dbit VPN de 500 Mb/s, tout en fournissant des fonctionnalits de prvention
dintrusion, de filtrage Web, dantivirus et danti spam, protgeant les entreprises contre les
menaces de scurit bases sur le LAN en interne et sur le WAN en externe.

Le Secure Services Gateway permet la fois aux pare-feux/VPN et aux fonctions de

scurit des contenus. Les zones de scurit aident en outre les utilisateurs diviser leurs
rseaux filaires et sans fil en segments scuriss, chacun deux tant dot de leur propre rgle
de scurit. Ceci permet de mieux supporter diffrents groupes dutilisateurs, qui peuvent
inclure par exemple les revendeurs, les clients et les employs.

Cette solution propose des fonctions de routage logiciel et de multiples options

hardware pour connecter les utilisateurs. Des cartes dinterface WAN optionnelles issues des
routeurs de Juniper peuvent tre intgres la plate-forme SSG et des protocoles
dencapsulation WAN inclus dans JUNOS, le systme dexploitation des routeurs de Juniper,
sont intgrs dans le moteur de scurit et de routage de ScreenOS. Le Secure Services
Gateway inclut quatre interfaces Ethernet 10/100/1000 incorpores dans le chssis et six
emplacements dextension E/S fournissant des options de connexion T1/E1, DS3, srie,
cuivre et fibre Gigabit Ethernet. Le produit offre aux entreprises la possibilit de supporter des
connexions WAN existantes et de migrer vers des connexions plus rapides de nouvelle
gnration.

42
 Figure 49 : Juniper SSG550

1. Fonctions de scurit intgres :

ScreenOS dispose de fonctions de scurit UTM (Unified Threat Management)
compltes, qui vous protgent des attaques diriges contre votre rseau et vos applications,
tout en bloquant les attaques orientes sur le contenu. Les fonctions de scurit UTM
comprennent les lments suivants :
Pare-feu assurant le contrle des personnes et des lments qui accdent au rseau ;
Systme de prvention des intrusions (pare-feu action approfondie) permettant de
bloquer les attaques au niveau de l'application ;
Antivirus (avec Anti-Phishing, Anti-Spyware, Anti-Adware) permettant de bloquer les
virus, les chevaux de Troie et d'autres logiciels malveillants ;
Anti-Spam permettant de bloquer les spammeurs et les hameonneurs connus
Filtre Web permettant de contrler l'accs vers les sites de tlchargement malveillants
ou prsentant un contenu douteux ;
VPN IPSec site--site pour une communication scurise entre les bureaux Capacit
de traitement des dnis de service (DoS) ;
Application Layer Gateways pour que H.323, SIP et MGCP puissent contrler et
protger le trafic VoIP ;
L'intgration du systme d'exploitation et des applications la plateforme matrielle
amliore la productivit de la plateforme et limine les failles de scurit prsentes
dans certains systmes de protection et de routage.

Figure 50 : Fonction de scurit intgre

2. Juniper Configuration
On peut accde au firewall soit par:
Lutilisation dune connexion de console

43
 Lutilisation de Telnet
Lutilisation de linterface utilisateur Web

On choisit laccs par linterface web, dans le cadre de lutilisation de linterface

utilisateur Web, le poste de travail partir duquel on gre lappareil doit initialement tre situ
dans le mme sous-rseau que lappareil et procder comme suit :
1. Connecter le poste de travail au port 0/2 0/6 (interface bgroup0 de la zone Trust) de
lappareil.
2. sassurer que le poste de travail est configur pour le protocole DHCP (Dynamic Host
Configuration Protocol) ou est configur de manire statique avec une adresse IP du sous-
rseau 192.168.1.0/24.
3. Lancer le navigateur, saisir ladresse IP de linterface bgroup0 (ladresse IP par dfaut est
192.168.1.1/24), puis appuyer sur Entre.
Linterface utilisateur Web affiche linvite de connexion reprsente la Figure 51.

Figure 51 : Interface utilisateur Web

1. saisir le nom et le mot de passe afin daccder.

La premire page qui apparait nous donne les informations sur Juniper

44
Configurer le firewall laide du menu gauche :

45
Par un seul click sur le menu on accde linterface de configuration.

Commutateur Cisco Catalyst 3750

La gamme Cisco Catalyst 3750 est une ligne de commutateurs innovants qui
amliorent lefficacit de lexploitation des rseaux locaux grce leur simplicit dutilisation
et leur rsilience la plus leve disponibles pour des commutateurs empilables. Cette gamme
de produits dispose de la technologie Cisco StackWise, interconnectant les commutateurs au
sein dune mme pile 32 Gbps qui permet de construire un systme unique de commutation
haute disponibilit, vu comme un simple commutateur virtuel.

Figure 52 : Commutateur Cisco Catalyst 3750G de 48

Pour les rseaux de taille moyenne et les succursales dentreprise, la gamme Cisco
Catalyst 3750 facilite le dploiement d'applications converges et s'adapte l'volution des
besoins commerciaux en offrant flexibilit de configuration, prise en charge des
fonctionnalits ncessaires aux rseaux convergs, et automatisation des configurations de
services rseau intelligents. De plus, la gamme Cisco Catalyst 3750 est optimise pour les
dploiements Gigabit Ethernet de forte densit et comprend un large ventail de
commutateurs qui rpondent aux besoins de connectivits laccs, en agrgation ou pour la
constitution de petit rseau fdrateur.

1. Technologie Cisco StackWise (un nouveau standard pour la rsilience de pile de

commutateurs) :
La technologie Cisco StackWise est une architecture d'empilement de commutateurs
optimise pour les rseaux Gigabit Ethernet. Elle a t conue pour favoriser les ajouts, les
suppressions et le redploiement de commutateurs dans une pile tout en maintenant des
performances constantes en son sein. La technologie Cisco StackWise assemble jusqu neuf
commutateurs individuels dans une simple unit logique, en utilisant des cbles spcifiques
d'empilement et un logiciel de gestion intelligente de la pile. Tous les commutateurs de la
gamme Cisco Catalyst 3750 et de la nouvelle gamme Catalyst 3750-E sont empilables
ensemble dans une mme pile. Une pile fonctionne comme une unit de commutation unique
gre par un commutateur matre, lu parmi les commutateurs membres de la pile. Le
commutateur matre cre et met jour automatiquement toutes les tables de commutation et
de routage. Une pile en fonctionnement peut accepter de nouveaux membres ou supprimer des
membres existants sans interruption de service.

2. Fonctionnalits principales et avantages :

2.1 Facilit d'utilisation : Configuration Plug-and-Play

46
 Une pile en fonctionnement se gre et se configure automatiquement. Lors de l'ajout
ou de la suppression de commutateurs, le commutateur matre charge automatiquement dans
le nouveau commutateur la version logicielle Cisco IOS utilis par la pile, charge les
paramtres de configuration globale, et met jour toute les tables de routage pour prendre en
compte les changements. Les mises jour sont appliques simultanment tous les
commutateurs de la pile.
La gamme Cisco Catalyst 3750 permet d'empiler jusqu 9 commutateurs comme
seule unit logique pour un total de 468 ports Ethernet 10/100, 10/100/1000, PoE ou non, ou 9
ports 10 Gigabit Ethernet. Les commutateurs 10/100, 10/100/1000, et 10 Gigabit Ethernet
peuvent tre regroups au sein dune mme pile dans toutes les combinaisons possible pour
voluer avec les besoins du rseau.

2.2 Retour sur investissement grce au faible cot dexploitation

Lautomatisation de la vrification de la version logicielle Cisco IOS et du
tlchargement des paramtres globaux de configuration apporte un gain de temps
oprationnel.
Une seconde conomie de temps est ralise lors dune action de maintenance. Quand
vous enlevez un commutateur dfectueux d'une pile existante et le remplacez par un nouveau
commutateur de mme modle, le commutateur matre le dtectera et rechargera
automatiquement la configuration qui tait sur le prcdent commutateur sans avoir recours
une intervention extrieure. Ceci permet aux responsables rseaux de faire accomplir des
tches de maintenance au personnel local prsent sur les sites loigns, et ainsi faire
lconomie du dplacement dun technicien qualifi sur place.

2.3 Contrleur LAN sans fil intgr

Un commutateur de la srie Catalyst 3750 intgre un contrleur de rseau sans fil pour
fournir les fonctionnalits de contrleur au rseau sans fil et y apporter une amlioration de
lefficacit oprationnelle, une scurit du rseau sans fil renforce, la mobilit, et une grande
facilit d'utilisation.
Le contrleur WLAN intgr au Catalyst 3750G fournit au rseau sans fil les
politiques centralises de scurit, la prvention dintrusion (IPS), la gestion de la radio (RF),
la qualit de service (QoS), et la mobilit (roaming) scurise et rapide travers un rseau de
niveau 2 et 3.
Comme composant essentiel dun rseau sans fil unifi Cisco, le contrleur WLAN
intgr au Catalyst 3750G apporte le contrle, la scurit, la redondance, et la fiabilit que les
administrateurs rseaux ont besoin pour contrler et faire voluer leurs rseaux sans fil aussi
facilement qu'ils le font avec leurs rseaux filaires traditionnels.

2.4 Disponibilit (Performance sans interruption de service des niveaux 2 et 3)

La gamme Cisco Catalyst 3750 amliore la disponibilit des commutateurs empilables.
Tout commutateur de la pile peut fonctionner comme matre, crant une disponibilit 1:N
pour le contrle du rseau. En cas de dfaillance d'un commutateur de la pile, toutes les autres
units continuent de transfrer le trafic et maintiennent leur tat oprationnel.

47
Gestion intelligente du trafic Multicast Un nouveau niveau d'efficacit pour les rseaux
convergs.
Avec la technologie Cisco StackWise, la gamme Cisco Catalyst 3750 offre une plus grande
efficacit pour traiter les applications multicast, telles que la vido. Chaque paquet de donnes
multicast transite une seule fois travers le fond de panier, ce qui engendre un support plus
efficace pour supporter davantage de flux multicast.

2.5 Qualit de service avance sur l'ensemble de la pile et la vitesse du mdia

La gamme Cisco Catalyst 3750 et 3750-E offre des dbits Gigabit et 10 Gigabit
Ethernet avec des services intelligents qui garantissent la fluidit dacheminement des
donnes, et ce, avec une vitesse pouvant tre jusqu' dix fois suprieure celle d'un rseau
classique. Des mcanismes uniques de marquage, de classification, de gestion des files
dattente assurent des performances de pointe pour les trafics donnes, voix et vido ; le tout
la vitesse du mdia.

2.6 Scurit du rseau (Contrle optimise l'accs du rseau)

La gamme Cisco Catalyst 3750 supporte un ensemble complet de fonctionnalits de
scurit pour contrler la connectivit et l'accs au rseau, notamment les listes de contrle
daccs (ACLs), l'authentification, la scurit au niveau des ports, et les services rseaux
bass sur l'identit via le standard 802.1x et ses extensions. Cet ensemble de fonctionnalits
aident non seulement se protger des attaques extrieures, mais galement dfendre le
rseau contre les attaques man-in-the-middle , une menace importante pour les rseaux
dentreprise aujourdhui.

2.7 Gestion simplifie (Plusieurs commutateurs, une seule adresse IP dadministration)

Chaque pile de la gamme Cisco Catalyst 3750 est gre en tant qu'objet unique avec
une seule adresse IP. La gestion IP unique est supporte pour les activits telles que la
dtection de dfaillances, la cration et la modification de rseaux locaux virtuels (VLAN), la
scurit, et la QoS.

2.8 Support IPv6

La gamme Cisco Catalyst 3750 traite en hardware le routage IPv6 pour des
performances maximales. Les commutateurs Catalyst 3750 sont dhors et dj prt faire
face la croissance des quipements rseau, la ncessit d'un adressage plus large et d'une
scurit accrue avec leur support dIPv6.

2.9 Options d'administration

La gamme Cisco Catalyst 3750 (Figure 5) offre une interface par lignes de commande
volue (CLI) pour les configurations dtailles, et le logiciel Cisco Network Assistant, outil
orient Web, pour les configurations rapides bases sur des modles prdfinis. De plus,
CiscoWorks prend en charge la gamme Cisco Catalyst 3750 pour une administration globale
du rseau.

48
Figure 53 : Empilement de commutateurs Cisco Catalyst 3750

49