La Sécurité Des Réseaux Informatique

Rpublique Algrienne Dmocratique et Populaire Ministre dEnseignement Suprieur et de la Recherche Scientifique C.F.
C de Bab Ezzouar
Mmoire Fin Dtude en vue de lobtention Du Diplme des Etudes Universitaire Appliques Filire : Organisation et Protection des Systmes dInformation dans lEntre prise
Thme
La configuration de base dun Firewall Cisco ASA 5550
Ralis par : Melle Bouchouika Nadjet Melle Belkadi Sihem
Promoteur : Mr Zeraoulia Khaled Melle Zerrouk Radia
Annes Universitaire : 2008-2009
Ddicaces
Bouchouika nadjet
A ma raison de vivre, desprer A ma source de courage, a ceux que jai de plus cher :
Mon papa, ma maman, pour leur amour, leur confiance et leur soutien
A mes frres : Omar, Mohamed et Salaheddine A mes surs : friel et Aicha
A toute ma famille Bouchouika et Boutamine
Et a toute la promotion OPSI
Ddicaces
Belkadi sihem
Je ddie ce travail :
Mes chers parents
Mes frres Et surs
Mes adorables nices
Et a toute la promotion OPSI
Remerciements
Nous tenons prsenter nos sincres remerciements Monsieur MERAKAB, chef du centre RMS , qui nous a motives grce son aide, sa comprhension et sa gentillesse. Nous remercions galement le personnel exerant au sein de lentreprise Algrie Tlcom pour leur accueil, leur attitude constructive et leur patience notre gard. Nous tenons plus particulirement exprimer reconnaissance envers notre encadreur Melle ZERROUK Radia notre
Nous remercions notre promoteur Mr ZERAOULIA Khaled. Grce son aide et sa patience. Nous remercions aussi tous ceux qui ont particip de prs ou de loin au bon droulement de ce projet de fin d'tudes
Sommaire
Introduction gnrale .................................................................................................................. 1 Chapitre : Les rseaux informatiques .1 Introduction ........................................................................................................................... 3 .2 Historique ............................................................................................................................. 3 .3 Dfinition ............................................................................................................................. 5 .3.1 Types de rseau .................................................................................................................. 5 .3.2 Les quipements dinterconnexion de rseau .................................................................... 6 .3.2.1 Les Cble......................................................................................................................... 6 .3.2.2 Concentrateurs rseaux ................................................................................................... 6 .3.3 Topologie de rseau ........................................................................................................... 7 .3.3.1 Topologie physique ........................................................................................................ 8 .3.3.2 Topologie logique .......................................................................................................... 9 .4 Protocoles de rseau ............................................................................................................. 9 .4.1 Le modle OSI et le modle TCP/IP .................................................................................. 9 .4.1.1 Les couches du modle OSI ......................................................................................... 10 .4.1.1.1 Le rle de chaque couche ........................................................................................... 11 .4.1.1.2 La communication des donnes entre les couches ..................................................... 12 .4.1.2 Les couches du modle TCP/IP.. .................................................................................. 13 .4.1.2.1 Le rle de chaque couche .......................................................................................... 13 .4.1.2.2 Les principaux protocoles de TCP/IP. ....................................................................... 14 .4.2 Dautres Protocoles ......................................................................................................... 15 .4.3 Les modes de transfert . ................................................................................................... 16 .4.3.1 Les protocoles d'application utilisant TCP ou UDP ..................................................... 16 .4.3.2 Les Ports TCP/UDP ... .................................................................................................. 16 .5 Le routage ........................................................................................................................... 17 .5.1 Ladressage IP .................................................................................................................. 17 .5.1.1 Les structure dadresse IP. ............................................................................................ 18 .5.1.2 Ladresse IP dinternet .................................................................................................. 19 .5.1.2.1 Les classe dadresse IP ............................................................................................... 19 .5.1.2.2 Le masque de rseau .................................................................................................. 20 .5.1.2.3 L'adresse de diffusion................................................................................................. 20
.5.1.3 Ladresse IP priv . ...................................................................................................... 21 .5.1.4 Plages d'adresses IP spciales ...................................................................................... 21 .5.2 Exemple............................................................................................................................ 22 .5.3 Dfinition de routage........................................................................................................ 23 .5.3.1 Table de routage ............................................................................................................ 23 .5.3.2 Protocoles de routage ................................................................................................... 24 .5.3.2.1 Protocoles de routage interne .................................................................................... 24 .5.3.2.2 Protocoles de routage externe .................................................................................. 25 .6 Conclusion........................................................................................................................... 26 Chapitre : Les menaces rseau .1 Introduction........................................................................................................................ 27 .2 Notion du risque en informatique ...................................................................................... 27 .2.1 Les causes de risque........................................................................................................ 27 .2.2 Topologie des menaces rseau........................................................................................ 28 .2.2.1 Source humains ............................................................................................................ 28 .2.2.2 Source techniques ....................................................................................................... 29 .2.3 Les faiblesses des protocoles rseau ............................................................................. 30 .2.3.1 Faiblesse du protocole TCP/IP ................................................................................... 30 .2.3.2 Faiblesse des protocoles applicatifs standards ............................................................. 30 .2.3.3 Faiblesse des protocoles rseau et transport ............................................................... 31 .2.3.4 Faiblesses des protocoles de couche basses................................................................. 31 .2.4 Les faiblesses dauthentification..................................................................................... 31 .3 Les attaque rseau .............................................................................................................. 32 .3.1 Dfinition dune attaque .. .............................................................................................. 32 .3.2 Les diffrentes tapes dune attaque .............................................................................. 32 .3.3 Classification des attaques .............................................................................................. 33 .3.4 Cest qui un attaquant ..................................................................................................... 33 .3.5 Les diffrents types dattaque ........................................................................................ 35 .4 Conclusion ........................................................................................................................ 38 Chapitre : La politique de scurit .1 Introduction ...................................................................................................................... 39 .2 Objectifs de scurit ........................................................................................................ 39 .3 Recommandations gnrales ........................................................................................... 40 .4 Les guide de scurit rseau des quipements ................................................................ 40
.5 La politique de scurit dun rseau ................................................................................. 41 .5.1 Une politique de scurit physique ............................................................................... 42 .5.2 Une politique de scurit logique .................................................................................. 43 .5.2.1 Rgles de scurit gnriques .................................................................................... 43 .5.3 Une politique de scurit administrative ....................................................................... 44 .6 La scurit de rseau ....................................................................................................... 45 .6.1 Les mots de passe ......................................................................................................... 46 .6.1.1 Les diffrents types de mots de passe ........................................................................ 46 .6.1.2 Construction dun mot de passe solide ....................................................................... 47 .6.2 Les antivirus ........ ......................................................................................................... 47 .6.2.1 Principes de fonctionnements .................................................................................... 47 .6.2.2 Composants d'un antivirus ......................................................................................... 48 .6.3 Les firewalls .................................................................................................................. 48 .6.3.1 Catgories de firewalls ............................................................................................... 49 .6.3.2 Principe de fonctionnement ........................................................................................ 49 .6.4 La mise en place dune DMZ ...................................................................................... 50 .6.4.1 LObjectif de DMZ .................................................................................................... 50 .6.4.2 Architecture de DMZ ................................................................................................ 51 .6.4.3 Mise en uvre dune DMZ ....... ................................................................................ 51 .6.5 Les rseauv priss ........................................................................................................ 52 .6.5.1 Principe de fonctionnement ....................................................................................... 53 .6.5.2 Topologies de VPN .................................................................................................... 53 .6.6 Systme de dtection dintrusion................................................................................... 54 .6.6.1 Principe de fonctionnement ........................................................................................ 54 .6.6.2 Types dIDS................................................................................................................ 55 .6.6.3 Les Mthodes de dtection ......................................................................................... 55 .6.6.3.1 Approche par scnario ............................................................................................. 55 .6.6.3.1.1 Les techniques de dtection ................................................................................. 55 .6.6.3.2 Approche Comportementale ................................................................................... 56 .6.6.3.2.1 Les techniques de dtection .................................................................................. 57 .6.7 Laudit de scurit ........................................................................................................... 58 .6.7.1 Mthodologies d'audit de la scurit .......................................................................... 58 .6.7.2 Type des Mthodologies utilise ................................................................................ 58 .6.7.3 Dmarche d'audit de scurit...................................................................................... 59
.6.7.3.1 Audit organisationnel de scurit ............................................................................ 59 I.6.7.3.2 Audit technique de scurit ..................................................................................... 60 .7 Conclusion ....................................................................................................................... 61 Chapitre IV : Conception IV.1. Introduction .................................................................................................................... 62 IV.2. Dfinition de firewall ..................................................................................................... 62 IV.3. Types de pare-feu .......................................................................................................... 63 IV.3.1 Les pare-feux bridge ..................................................................................................... 63 IV.3.2 Les pare-feux logiciels ................................................................................................. 63 IV.3.3 Les pare-feux matriels ................................................................................................ 64 IV.4. Fonction principale dun firewall ................................................................................... 64 IV.4.1 Filtrage . ........................................................................................................................ 64 IV.4.1.1 Le filtrage simple de paquets .................................................................................... 64 IV.4.1.2 Le filtrage dynamique (stateful inspection)......... ...................................................... 65 IV.4.1.3 Le filtrage applicatif .................................................................................................. 65 IV.4.2 Translation dadresse ................................................................................................... 65 IV.4.3 Contrle daccs ......................................................................................................... 66 IV.5. Etude dun cas ................................................................................................................ 66 IV.5.1 Adresse IP prives ........................................................................................................ 68 IV.5.1.1 Pourquoi avoir des adresses prives .......................................................................... 68 IV.5.2 Translation dadresses rseau (NAT) ............................................................................ 68 IV.5.2.1 Les diffrents concepts de NAT ................................................................................ 69 IV.5.2.2 Terminologie du NAT ............................................................................................... 69 IV.5.2.3 Porte du NAT....................................................... .................................................... 71 IV.5.3 Prsentation du Cisco ASA 5550 .................................................................................. 71 IV.5.3.1 Les caractristiques Matrielle de Cisco ASA 5550 .................................................. 71 IV.5.3.2 Les caractristiques fonctionnelles de Cisco ASA 5550 ............................................ 72 IV.5.3.3 Avantages de Cisco ASA ......................................................................................... 73 IV.5.3.4 Aspects du Cisco ASA 5550 ..................................................................................... 73 IV.5.3.4.1 Aspects Externe ..................................................................................................... 73 IV.5.3.4.2 Aspectes Interne .................................................................................................... 78 IV.5.3.5 quilibrage de la circulation pour maximiser le dbit .............................................. 79 IV.5.4 Modes de base pour Configurer Cisco ASA 5550 ........................................................ 81 IV.6. Conclusion ...................................................................................................................... 81
Chapitre V : Impl mentation V.1 Introduction ...................................................................................................................... 82 V.2 Contextes de scurit ....................................................................................................... 82 V.3 Problme trait .............................................................................................................. 83 V.3.1 Schma explicatif de rseau .......................................................................................... 84 V.3.2 La configuration de Cisco ASA ..................................................................................... 85 IV.3.2.1 Premire tape ........................................................................................................... 85 V.3.2.1 Deuxime tape ..................................................... ................................................... 91 V.3.3 Trait le problme......................................................................................................... 100 V.3.4 Une image partir de secureCrt ................................................................................... 102 V.4 Conclusion ....................................................................................................................... 103
Conclusion gnrale ............................................................................................................... 104 Annexe A .............................................................................................................................. 105 Bibliographie ......................................................................................................................... 108
Liste des Figures

Figure -1 : Historique de rseau ............................................................................................... 3 Figure -2 : Topologies de rseau .............................................................................................. 7 Figure -3 : rseau en bus .......................................................................................................... 8 Figure -4 : rseau en toile ....................................................................................................... 8 Figure -5 : rseau en anneau...................................................................................................... 8 Figure -6 : rseau maill ........................................................................................................... 8 Figure -7 : Le modle OSI et le modle TCP/IP .................................................................... 10 Figure -8 : la communication des donnes ............................................................................. 12 Figure -9 : les protocoles de TCP/IP ...................................................................................... 14 Figure -10 : Structure dadresse IP ......................................................................................... 18 Figure -11 : Protocoles de routage ......................................................................................... 24 Figure -12 : le routage interne IGP ........................................................................................ 24 Figure -13 : le routage externe EGP ....................................................................................... 26 Figure -1: Topologie des menaces rseau ............................................................................. 28 Figure -1 : le pare-feu dans un rseau. ................................................................................. 49 Figure -2 : larchitecture DMZ ............................................................................................ 51 Figure -3 : VPN dans un rseau ........................................................................................... 52 Figure IV-1: la mise en place de firewall ................................................................................ 62 Figure V-2 : Rseau dAlgrie Tlcom ................................................................................ 67 Figure V-3 : Terminologie du NAT ....................................................................................... 70 Figure V-4 : Cisco ASA 5550 ................................................................................................. 71 Figure V-5 : interfaces rseau au panneau arrire .................................................................. 74 Figure V-6 : les composants dASA dans le Slot 0................................................................. 74 Figure V-7 : Indicateur LED .................................................................................................. 75 Figure V-8 : Les ports et les voyants dans le Slot 1 ................................................................ 76 Figure V-9 : LED de panneau avant ...................................................................................... 77 Figure V-10 : Circulation par Gigabit Ethernet ...................................................................... 79 Figure V-11 : Circulation par Gigabit Ethernet et Fibre ......................................................... 79 Figure V-12 : Les config qui ne fournie pas la circulation .................................................... 80 Figure V-13 : La configuration par mode ASDM .................................................................. 81 Figure V-1 : Un cble console ................................................................................................. 82 Figure V-2 : Schma explicatif de rseau................................................................................. 84 Figure V-3 : dmarrage dun pare-feu ...................................................................................... 91
Liste des Tableaux

Tableau -1 : Les autres protocoles de rseau ......................................................................... 15 Tableau -2 : quelques ports logiciel utilis ............................................................................ 17 Tableau -3 : Espace dadressage ............................................................................................ 20 Tableau -4 : Exemple : adresse 192.168.100.1 ....................................................................... 21 Tableau -5 : Ladresse IP priv .............................................................................................. 21 Tableau IV-1 : Terminologie du NAT...................................................................................... 70 Tableau IV-2 : Caractristiques Matrielle de Cisco ASA 5550 ............................................. 72 Tableau IV-3 les composants dans le Slot 0............................................................................. 75 Tableau IV-4 : Indicateur LED................................................................................................. 76 Tableau IV-5 : Le voyant de LED ........................................................................................... 76 Tableau IV-6 : les composants dans le Slot 1........................................................................... 76 Tableau IV-7 : les voyants dans la fente 1 ............................................................................... 77 Tableau IV-8 : LED de panneau avant .................................................................................... 77 Tableau V-1 : donnes de rseau ............................................................................................. 83 Tableau V-2 : description pour la commande nat ................................................................... 97 Tableau V-3 : description pour la commande global .............................................................. 97 Tableau V-4 : description pour la commande route ................................................................. 98 Tableau V-5 : Dautre commande ........................................................................................... 98 Tableau V-6 : Commandes avance ........................................................................................ 99
Abrviations
ACL : Access Control List ARP : Address Resolution Protocol ARPANET : Advanced Research Project Agency Network AS : Systme Autonome ASA : Adaptive Security Appliance ASDM : Adaptive Security Device Manager ATM : Asynchronous Transfer Mode BGP : Border Gateway Protocol CLI : Commande-Line Interface DHCP : Dynamique Host Configuration Protocol DMZ : Demilitarized- Zone DNAT : Dynamic Network Address Translation DNS : Domain Name Service EGP : Externe Gateway Protocol EIGRP : Enhanced Interior Gateway Routing Protocol FDDI : Fiber Distributed Data Interface FTP : Fil Transfer Protocol HDLC : High- Level Data Link Control HIDS : Hot Intrusion Detection System HTML : Hyper Text Markup Language HTTP : Hyper Text Transfer Protocol IANA : Internet Assigned Numbers Authority IDS : Intrusion Detection System ICMP : Internet Control Message Protocol IGP : Interior Gateway Protocol IOS : Internetworking Operating System
IP : Internet Protocol ISO : International Standard Organisation LAN : Local Area Network LED : Light-Emitting Diode MAC : Medium Access Control MAN : Mtropolitain Area Network NAT : Network Address Translation NIDS : Network Intrusion Detection System NTP : Network Time Protocol OSI : Open Systme Interconnection OSPF : Open Shortest Path First PAN : Personnel Area Network POP : Post Office Protocol RIP : Routing Information Protocol SABER : Semi Automated Business Related Environnement SMTP : Simple Mail Transfer Protocol SNAT : Static Network Address Translation SNMP : Simple Network Management Protocol TCP : Transmission Control Protocol TELNET : Telecommunication Network UC : Unit Central UDP : User Datagram Protocol VPN : Virtuel Privet Network WAN : Wide Area Network
Introduction gnrale
Les rseaux et systmes information sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs professionnels : les entreprises de communication, les banques, les assurances, la mdecine ou encore le domaine militaire. Initialement isoles les uns des autres, ces rseaux sont dans le prsent interconnectes et le nombre de points daccs ne cesse de croitre. Ce dveloppement phnomnal saccompagne naturellement de l'augmentation du nombre dutilisateurs. Ces utilisateurs, connus ou non, ne sont pas forcement pleins de bonnes intentions vis a vis de ces rseaux. Ils peuvent exploiter les vulnrabilits des rseaux et systmes pour essayer daccder a des informations sensibles dans le but de les lire, les modifier ou les dtruire, pour porter atteinte au bon fonctionnement du systme ou encore tout simplement par jeu. Des lors que ces rseaux sont apparus comme des cibles dattaques potentielles, leur scurisation est devenue un enjeu incontournable. Cette scurisation va garantir la confidentialit, lintgrit, la disponibilit et la non-rpudiation. Et pour cela de nombreux outils et moyens sont disponibles, tels que les solutions matrielles, logiciels d'audits, ou les systmes de dtection d'intrusion (IDS), les antivirus, les rseaux privs (VPN) ou encore les firewalls (pare- feu) qui est un lment matrielle ou logiciel permettant de filtr les paquets de donnes qui traversent un rseau en bloquant certains et autorisant d'autres, cette mcanisme de scurit offre plusieurs fonctionnement qui aide a mettre en place une politique de scurit efficace, on trouve : Le filetage des paquets La translation dadresse IP (NAT) Le contrle daccs Dans notre projet fin dtude on va voire comment mettre en place un firewall matriel et sa configuration de base dans un rseau il sagit de Cisco ASA 5550, et aussi on va dfinir la solution de translation dadresse IP (NAT) cette dernire permet de convertir les adresses prives a des adresses publique.
Page | 1
Pou raliser cette dmarche on a partag notre projet on Cinque chapitre Le premier chapitre comporte une prsentation pour les rseaux informatique, quelle va englober une dfinition pour le rseau informatique, ces diffrents types, ces caractristique, et aussi comment garantie une connexion entre les composant de rseau, et la connexion entre un rseau et un autre Le deuxime chapitre montre les diffrentes menaces qui peuvent atteindre un systme dinformation dune entreprise ces menaces qui peut tre dune source humain ou technique Le troisime chapitre explique la politique de scurit qui contient plusieurs aspects et aussi qui dfinit plusieurs mesures de scurit pour faire face au divers menaces rseau et pour mettre le systme dinformation dune entreprise on haut scurit Le quatrime chapitre inclus la conception de notre projet au on va montrer les types des firewalls et ces diffrents fonctionnalit, on va prsenter la solution de NAT comme un cas tudier et aussi on va dfinir lquipement utilise pour raliser notre dmarche on parle de Cisco ASA 5550 on va voir ces divers composant Le cinquime chapitre comportes limplmentation pour faire configurer Cisco ASA Firewall. Cette dmarche a t labore au sein de la socit algrienne Algrie Tlcom
Page | 2
Chapitre I : Les rseaux informatiques
.1 Introduction :
Dans le monde d'aujourd'hui, la plupart des entreprises, quelle que soit leur taille et leur fonctionnalit a besoin dun systme dinformation quest un ensemble des mthodes et des moyens pour traiter et stocker les informations ncessaire, mais le problme quelle se pose comment faire chang linformation entre les diffrents services quelle appartient et pour quelle puise fournir ses partenaire l'accs ces information a distance ? laborer un rseau informatique t la seul solution pratique pour dtecter ce problme pose, lutilisation dordinateur par la plus part des entreprise a facilit la cration dun rseau interne et un autre externe. Dans ce chapitre on va donne une petite image sur la cration de rseau et lvolution des moyens de communication, aprs on va donne une prsentation pour le rseau informatique par une dfinition et des explications pour touts ces caractristique. .2 Historique:
Les annes 50 Premire rseau informatique SABER de IBM Premire Modem
Les annes 60 Rseaux militaires d'ARPANET Connexion entre 4 universit amricaines
1970-1980 Protocole TCP/IP FTP , Telnet et Ethernet
2000-2008 Commerce lectronique Word digital library Web2.0
1990-2000 Word Wide Web HTTP et le langage HTML ADSL, WI-FI
1980-1990 L'Internet Routeur, DNS
Figure -1 : Historique de rseau.
L'ordinateur est un outil trs pratique ; mais une fois en rseau, l'tendue de ses possibilits devient pratiquement infinie. Voici l'histoire des moyens de communication et des rseaux informatiques qui ont permis l'apparition d'Internet. Dans les annes 50, SABRE (Semi Automated Business Related Environment) ralis par IBM t le premier rseau informatique dans un but commercial. A la fin de cette priode La BELL (Bell Telephone Company), cre le premier Mode m permettant de transmettre des donnes binaires sur une simple ligne tlphonique.
Page | 3
A partir des annes 60 et dans un but militaire, lARPANET (Advanced Research Projects Agency Network) un dpartement amricain de la dfense cre un rseau de communication capable de rsister une attaque nuclaire, et grce au financement du ministre de la dfense une connexion des premiers ordinateurs entre 4 universits Amricaines a t tablie, il sagit de l'universit de Columbia, Californie, Utah, et l'institut de recherche de Stanford. Les annes 70, Bob Kahn et Vint Cerf laborent un protocole, permettant d'acheminer des donnes sur un rseau il sagit de TCP/IP (Transmission Control Protocol/Internet Protocol). Et Lanne 1973 a connu la cration dun protocole nomm FTP (File Transfert Protocol) qui permet de transmettre les fichiers dun ordinateur un autre. Deux annes plus tard ctait lintroduction du protocole Telnet, qui permet une meilleure Bob Metcalfe met au point
connexion entre deux ordinateurs. Dans cette mme anne l'interface rseau Ethernet).
A partir des annes 80, Vinton Cerf lance un plan d'interconnexion (inter-network connection) qui a t le point de dpart du rseau Internet. La socit Cisco Systems fabrique le premier routeur. En 1984, la mise en place du DNS (Domain Name Server) pour trouver une machine sur Internet. Les annes 90 ont vu lexplosion du protocole HTTP (Hyper Text Transfer Protocol), ainsi que le langage HTML (HyperText Markup Language) permettant de naviguer l'aide de liens hypertextes travers les rseaux. La mme priode a connu le dveloppement des rseaux haut dbit telles que lADSL, WI-FIetc. Le dveloppement de rseau informatique et ces dfrentes technologies nest t pas arrt, car dans ces 08 ans pass, le commerce mondial devenant par lutilisation dinternet un comme rce lectronique, et la bibliothque mondial devient une bibliothque numrique mondial (Word Digital Library), et la cration du Web2.0 qui renouvellent les modes dusages et dappropriation des services internet.
Page | 4
.3 Dfinition: Le mot rseau est trs souvent employ dans un sens qui le lie aux communications. Ainsi tout un chacun connat le rseau tlphonique, le rseau lectrique, le rseau routier on parlera aussi, d'un rseau d'amis. En informatique, un rseau et un ensemble dquipements relis entre eux par un quelconque moyen permettant aux informations de circuler (cble, ligne tlphonique, satellite), deux ordinateurs relis entre eux par un cble forment dj un rseau, deux rseau relis entre eux forment un nouveau rseau, et linternet cest le rseau des rseaux. Par cette dfinition on peut dire que le rseau informatique est distingu par quatre types dfirent selon leur taille. .3.1 Types de rseau : Le rseau personnel (PAN) : Le PAN (Personnel Area Network, en franais Rseau Personnel), cest le plus petite tendue de rseau, il dsigne une interconnexion dquipement informatique dans un espace de dizaine de Mtre. Il peut tre appel rseau individuel ou rseau domestique. [LIV1] Le rseau local (LAN) : Le LAN (Local Area Network, en franais Rseau Local), cest des ordinateurs qui se connectent les un trs proches des autres. Linterconnexion sera dans un mme immeuble ou deux btiments raccords par une liaison rapide (un cble). Sa longue ur varie de quelques centaines de Mtre. Le rseau mtropolitain (MAN) : Le MAN (Metropolitan Area Network, en franais rseau mtropolitain), interconnectent plusieurs LAN gographiquement proches, au maximum quelques dizaines de kilomtres des dbits importants. Le rseau tendu (WAN) : Le WAN (Wide Area Network en franais rseau tendu), cest la connexion de plusieurs ordinateurs situs des grandes distances les uns la suite des autres. Plusieurs ordinateurs connects partir de plusieurs points de globe peuvent former un rseau tendu. Un WAN peut tre form de plusieurs LAN ou MAN interconnects.
Page | 5
.3.2 Les quipements dinte rconnexion de rseau : .3.2.1 Les Cble : Les principaux vhicules de linformation entre machines relies en rseau local appartiennent trois grandes familles de cbles : Coaxial Paires torsades Fibres optiques
a. Cbles blinds coaxiaux Ils ressemblent aux cbles TV, ils sont dits BNC. Ils sont de moins en moins utiliss et laissent de plus en plus la main aux paires torsades. b. Cbles paires torsades Ils ressemblent trs fortement aux cbles tlphoniques. On notera que les torsades diminuent la sensibilit aux perturbations et lattnuation du signal tout au long du cble. c. Cbles fibres optiques ils transmettent les informations par modulation dun faisceau lumineux. .3.2.2 Concentrateurs rseaux Utiliss dans les rseaux en toile ou maills, les concentrateurs sont les nuds d'un rseau informatique. On retrouve les HUB, les Switch, les routeurs.
a. HUB (rptiteur) Est le concentrateur le plus simple. Il amplifie le signal pour le renvoyer vers tous les PC connects. Toutes les donnes transitant sur le rseau sont donc renvoyes sur tous les ports, la diffrence d'un Switch.
b. Switch (commutateur) Est un des types de concentrateur rseau utilis dans les topologies en toile, la diffrence avec un HUB vient de la mthode de renvoi des donnes vers le destinataire. Dans le cas d'un hub, les donnes sont transmises sur tous les ports. Le Switch garde en mmoire dans une table l'adresse du destinataire. Il dcode au pralable le message pour l'envoyer uniquement sur ordinateur associ.
Page | 6
c. Le routeur Est un matriel ou un logiciel install sur un ordinateur
permettant la
communication de donnes entre 2 rseaux de classes diffrentes ou mme de protocoles diffrents. Sa fonction est de dterminer la meilleure route pour atteindre le rseau suivant lors du transfert de donnes. [LIV2] d. La passerelle Ce sont des lments dinterconnexion pour des rseaux utilisant des protocoles diffrents. Elles permettent la conversion des protocoles, elles font ce travail en supprimant les couches dinformations des protocoles reues et en les remplaant par les couches dinformations requises par les nouveaux environnements. .3.3 Topologie de rseau : Il existe plusieurs organisations de rseaux, qui ont chacune des capacits et des contraintes diffrentes. On choisira donc une topologie plus qu'une autre en fonction du rseau mettre en place. Il existe deux types de topologies de rseau comme la Figure 1-2 lindique :
Topologies de rseau
Topologies physiques
Topologies logiques Token ring
bus
toile
anneau
maill
Ethernet
FDDI
ATM
Figure -2 : Topologies de rseau
Page | 7
.3.3.1 Topologie physique : La topologie qui dcrit la faon dont les quipements dun rseau sont connects elle sappelle la topologie physique qui contient plusieurs topologies telle que :
En bus : Dans cette topologie, chaque ordinateur du rseau est connect un cble continu ou segment qui connecte la totalit du rseau en une ligne droite, et La technologie utilise par cette topologie est Ethernet.
Figure -3 : rseau en bus
En toile : Cette topologie est la plus utilise, toutes les quipements sont relies un unique composant central concentrateur. La technologie utilise dans cette topologie est Ethernet.
Figure -4 : rseau en toile
En anneau : Dans cette topologie, les ordinateurs sont situs sur une boucle et communiquent chacun leur tour. Pou cette topologie la technologie utilise est Token ring.
Figure -5 : rseau en anneau
En maillage : Dans cette topologie, les quipements informatiques sont relis entre eux sans respecter une rgle spciale pour faire organiser les machines.
Figure -6 : rseau maill
Page | 8
.3.3.2 Topologie logique : La topologie peut dcrire aussi la faon dont les donnes transitent dans les lignes de communication, cest ce quon appelle la topologie logique. Ethernet : Tous les ordinateurs d'un rseau Ethernet sont relis une mme ligne de transmission. Dans ce rseau, un poste qui dsire mettre vrifie quil nexiste aucun trafic sur le rseau auquel il entame sa transmission. Dans le cas le contraire il reste jusqu' ce que le rseau redevienne libre de tout trafic. Token ring: Token ring utilise la mthode daccs par jeton. Un jeton circule autour de lanneau. La station qui a le jeton met de donnes qui font le tour de lanneau. Lorsque les donnes reviennent, la station qui les envoys les limine. FDDI: La technologie FDDI (Fiber Distributed Data Interface) est une technologie d'accs au rseau sur des lignes de type fibre optique. ATM : ATM (Asynchronous Transfer Mode, en franais Mode de Transfert Asynchrone) est une technologie de rseau rcente, que Ethernet, Token ring, et FDDI. Il a pour objectif de multiplexer diffrents flots de donnes sur un mme lien. .4 Protocoles de rseau : Un protocole est une mthode standard qui permet la communication sur un rseau, c'est--dire un ensemble des rgles et des conventions relatives respecter pour mettre et recevoir des donnes, ces rgles rgissent le contenu, le format, la synchronisation, la mis en squence et le contrle des erreurs dans messages changer entre les priphriques du rseau. .4.1 Le modle OSI et le modle TCP/IP : L'interconnexion rseau est un problme complexe, et pour rsoudre ce problme il faut le dcouper en problmes simples traiter cest--dire traitements spars par niveaux ou couches. La fonction de chaque couche est de fournir des services son homologue de niveau suprieur en occultant ses traitements propres.
Page | 9
Le modle TCP/IP comporte 4 couches, il a t cr afin de rpondre un problme pratique, et il est trs proche du modle OSI qui comporte 7 couches, ce dernier qui a t mis au point par lISO (International Standard Organisation ou en franais l'organisation internationale des standards) correspond une approche plus thorique, il aide donc a comprend le fonctionnement de TCP/IP. Sur rseau, le modle le plus utilisable est TCP/IP (Transmission Control Protocol / Internet Protocol) qui est un suit des protocoles relis entre eux, cet suit des protocoles former la pile TCP/IP. Le schma suivent dfinit les diffrant couches de ces deux modle (OSI a gauche et TCP/IP a droite):
Figure -7 : Le modle OS I et le modle TCP/IP
On remarque dans ce schma que les trois couches suprieures de modle OSI (Application, Prsentation et Session) sont considres comme une seule couche (Application) dans le modle TCP/IP, et que les deux dernires couches de modle OSI (Liaison et Physique) sont regroupes dans une seule couche (Accs rseau) dans TCP/IP .4.1.1 Les couches du modle OSI : Le modle OSI (Open Systems Interconnection en franais linterconnexion des systmes ouverts) dcrit un ensemble de spcifications pour une architecture rseau permettant la connexion d'quipements htrognes. Le modle OSI normalise la manire dont les matriels et les logiciels cooprent pour assurer la communication rseau. Le modle OSI est le modle le plus connu et le plus utilis pour dcrire et expliquer un environnement rseau.
Page | 10
Les fabricants d'quipements rseaux suivent les spcifications du modle OSI, mais aucun protocole ne s'y conforme la lettre. .4.1.1.1 Le rle de chaque couche :
La couche Physique: 1
Cette couche assure la transmission dune suite de bits sur le mdia de transmission (support physique), ces bits deviennent des signaux numriques ou analogiques.
La couche Liaison: 2
Dans cette couche on cherche savoir comment deux stations sur le mme support physique vont tre identifies. Pour ce faire, on peut par exemple assigner chaque station une adresse (cas des rseaux Ethernet,....).
La couche Rseau: 3
Le rle de cette couche est de trouver un chemin pour acheminer un paquet entre 2 machines qui ne sont pas sur le mme support physique.
La couche Transport: 4
Elle permet la machine source de communiquer directement avec la machine destinatrice. On parle de communication de bout en bout.
La couche Session: 5
Elle identifie le rle de chaque station un moment donn. Elle assure louverture et la fermeture de session entre les applications. En fait, elle contrle le dialogue et dfinit les rgles dorganisation, de synchronisation, le droit de parole
La couche Prsentation: 6
A ce niveau on doit se proccuper de la manire dont les donnes sont changes entre les applications.
La couche Application: 7
Dans cette couche on trouve normalement les applications qui communiquent ensemble. (Courrier lectronique, transfert de fichiers,...) On peut dcouper le modle OSI en deux couches selon leurs fonctionnements : Couches de Traite ment = La couche 7+La couche 6+ La couche 5. Couches de Transmission = La couche 4+ La couche 3+ La couche 2+ La couche 1.
Page | 11
.4.1.1.2 La communication des donnes entre les couches :
La machine mettrice
Traitement
La machine rceptrice
7 6 5 4
7 6 5 4
Message Message Message Segments Paquets Trames Bits Signaux
Transmission
3 2 1
3 2 1
Mdiu m de transmission
Figure -8 : la communication des donnes
Au niveau de la machine mettrice et lors denvoi, les donnes traversent les couches de modle OSI partir de la couche Application jusqu la couche Physique et dans chaque couche un En-tte est ajoute, cet en-tte est une information qui garantie la transmission. Au niveau de la machine rceptrice, les donnes traversent les couches de modle OSI partir de la couche Physique jusqu la couche Application, et dans chaque couche lEn-tte est lu puis supprim. Les donnes alors sont dans leur tat original.

Les donnes sont appeles Message au niveau des couches suprieurs. Le message est ensuite encapsul sous forme de Segment dans la couche Transport ; donc le message est dcoup en morceau avant envoi.
Le segment une fois encapsul dans la couche Rseau prend le nom de Paquet. Une fois arriv la couche session, le paquet se dcoupe en Trame. La trame se transforme en Bit dans la couche Physique. Dans les mdiums de transmission les Bits deviennent des Signaux.
Page | 12
.4.1.2 Les couches du modle TCP/IP : TCP/IP est un ensemble de protocole standard de l'industrie permettant la communication dans un environnement htrogne . Le nom de ce modle de rfrence provient de ses deux principaux protocoles (TCP et IP). Les objectifs principaux de cette modlisation sont : relier des rseaux htrognes de faon transparente. garantir les connexions quel que soit l'tat des lignes de transmission assurer le fonctionnement d'applications trs diffrentes (transfert de fichier,..) .4.1.2.1 Le rle de chaque couche :
La couche Accs rseau :
Elle a pour rle de transmettre les donnes sur le mdia physique utilis.
La couche Internet :
Elle a pour rle de transmettre les donnes travers une srie de rseaux physiques diffrents qui interconnectent un hte source avec un hte destination. Les protocoles de routage sont troitement associs ce niveau.
La couche Transport :
Elle prend en charge la gestion de connexion, le contrle de flux, la retransmission des donnes perdues et d'autres modes de gestion des flux.
La couche Application :
Elle sert l'excution des protocoles de niveau utilisateur tels que les changes de courrier lectronique, le transfert de fichiers, ou les connexions distantes.
Page | 13
.4.1.2.2 Les principaux protocoles de TCP/IP :

Application HTTP FTP POP SMTP
On remarque que chaque couche du la pile TCP/IP contient de nombreux protocoles, chacun deux son propre rle qui dfinit le fonctionnement de la couche.
Transport TCP UDP
Internet
IP ICMP
Accs rseau Ethernet

Figure -9 : les protocoles de TCP/IP
La couche Application : HTTP (Hyper Text Transfer Protocol): est un protocole de transfert de document hypertexte; il est rserv pour les pages web "document HTML". FTP (Fil Transfer Protocol): est un protocole de transfert de fichier; il permet de partager les fichiers entre les machines connectes. POP (Post Office Protocol): ce protocole permet de rcuprer les E- mail sur le serveur Internet. SMTP (Simple Mail Transfer Protocol): est le protocole standard permettant de transfrer le courrier d'un serveur un autre. La couche transport : TCP (Transmission Control Protocol): est un protocole de transport et de contrle qui fournit un flux d'octets fiable assurant l'arrive de donnes son altration et dans l'ordre avec retransmission en cas de perte, et limination des donnes dupliques. UDP (User Datagram Protocol): est un protocole qui a t conu pour tre simple et rapide il travail dans un mode non connects "son ouverture de session" et n'effectue pas de contrle d'erreur.
Page | 14
La couche Internet : IP (Internet Protocol): est un protocole parmi les protocoles les plus importants car il trait les paquets IP indpendamment les un des autres en dfinissant leur reprsentation, leur routage et leur expdition " ladressage IP ". ICMP (Internet Control Message Protocol): est un protocole qui permet de grer les informations relatives aux machines connects. Il est utilis pour vhiculer des messages de contrle et d'erreur pour les couches voisines 'la suit de protocoles'. La couche Accs rseau : Ethernet : Protocole de plus bas niveau sur le rseau, il assure la bonne gestion du mdium (dtection de collisions) et permet l'acheminement des informations entre metteur et destinataire au niveau des adresses MAC (Medium Access Control).
.4.2 Dautres Protocoles :
Tableau -1 : Les autres protocoles de rseau
Nom de Protocole
Signification
La couche concerne (modle OSI) Application
Fonctionne ment Est un systme permettant dtablir une correspondance entre une adresse IP et un nom de domaine. Il permet aux administrateurs rseau de grer les quipements de rseau et de diagnostiques les problmes de rseau distance. Il permet un ordinateur qui se connecte sur un rseau local d'obtenir dynamiquement et automatiquement sa configuration IP. Son but est de dfinir un mcanisme pour dlimiter des trames de diffrents types, en ajoutant un contrle d'erreur. Permettant de synchroniser les horloges des systmes informatiques travers un rseau de paquets, dont la latence est variable.
DNS
Domain Name System
SNMP
Simple Network Management Protocol Dynamique Host Configuration Protocol High-Level Data Link Control
Application
DHCP
Application
HDLC
Liaison
NTP
Network Time Protocol
Application
Page | 15
ARP
Address Resolution Protocol
Rseau
Est un protocole effectuant la traduction dune adresse de protocole de couche rseau (typiquement une adresse IP) en une adresse Ethernet (typiquement une adresse MAC) protocole de communication normalis par commutation de paquets en mode point point offrant de nombreux services un protocole rseau utilis sur tout rseau supportant le protocole TCP/IP. Son but est de fournir un moyen de communication trs gnraliste
X 25
X 25
Rseau
Telnet
Telecommunication Network
Application
.4.3 Les modes de transfert : .4.3.1 Les protocoles d'application utilisant TCP ou UDP : Les protocoles d'application sont des protocoles de haut niveau, adapts aux besoins d'applications spcifiques. Ils s'appuient sur UDP ou TCP pour permettre le transfert d'informations entre une application serveur et ses applications clientes. a. Le mode connect (TCP) : Cest un dialogue propos du transfert de donnes tablies entre deux machines connectes. La machine rceptrice envoie des accuss de rception lors de la communication, la machine mettrice demandes d'mission etc. qui permettent aux applications de savoir exactement o en est le processus de transfert de donnes. b. Le mode non connect (UDP) : Il s'agit d'un mode de communication dans lequel la machine mettrice envoie des donnes sans prvenir la machine rceptrice, et la machine rceptrice reoit les donnes sans envoyer d'avis de rception la premire .4.3.2 Les Ports TCP/UDP: TCP et UDP utilisent tous deux des ports pour changer leur information avec applications. La notion de port logiciel permet, lorsquun paquet dinformation arrive sur une machine, celle ci besoin de savoir quelle application de paquet est destin. Elle utilise pour cela un numro de port. Voici quelque ports logiciel dfinit par IANA (Internet Assigned Numbers Authority) [IAN]
Page | 16
Tableau -1 : quel ques ports logiciel utilis
N de port 21 23 25 53 80 110 123 161 443 546 995
Type TCP TCP TCP UDP TCP TCP TCP UDP TCP UDP TCP
Le Protocole FTP Telnet SMTP DNS HTTP POP3 NTP SNMP HTTPS DHCP POP3 scuris
Chaque donne transitant sur le rseau va associer deux numros de ports : le premier ct metteur, le second ct rcepteur. Chaque communication est donc caractrise par deux couples (adresse IP + port utilis) relatif chaque extrmit.
Par exemple : Si un ordinateur local essaye de se connecter au site web www.osstmm.org dont ladresse IP est 62.80.122.203, avec un serveur web qui sexcute sur le port 80, lordinateur local se connecterait sur lordinateur distant en utilisant ladresse : 62.80.122.203:80 .5 Le routage : Le rle fondamental de la couche rseau (niveau 3 du modle OSI) est de dterminer la route que doivent emprunter les paquets. Cette fonction de recherche de chemin ncessite une identification de tous les htes (ordinateurs, imprimantes, routeurs,) connects au rseau. On identifie un hte rseau par une adresse IP unique. .5.1 Ladressage IP : Chaque paquet de donnes transmis par le protocole Internet est tiquet avec deux adresses IP pour identifier l'expditeur et le destinataire. Le rseau utilise l'adresse de destination pour transmettre la donne. Le destinataire sait qui rpondre grce l'adresse IP de l'expditeur. Chaque composant connect au rseau doit donc possder au moins une adresse IP pour tablir des connexions.
Page | 17
.5.1.1 Les structures dadresse IP : La particularit du format d'adresse adopt avec le protocole IP est qu'il associe une partie rseau et une partie hte en une adresse unique. La partie rseau : cest une adresse rseau (Net ID) qui identifie un rseau physique. Tous les htes d'un mme rseau doivent avoir la mme adresse rseau. La partie hte : cest une adresse machine (Host ID) qui identifie une station de travail, un serveur, un routeur ou tout autre hte TCP/IP du rseau. LHost ID doit tre unique pour chaque Net ID. Deux formats permettent de faire rfrence une adresse IP : Le format binaire : Chaque adresse IP a une longueur de 32 bits et est compose de quatre (04) champs de huit (08) bits, qualifis d'octets (1 octet = 8 bits). Les 32 bit de l'adresse IP sont allous l'ID de rseau et l'ID d'hte. La notation dcimale points : Les octets sont spars par des points et reprsentent un nombre dcimal compris entre 0 et 255.
Exemple :
8 Bi ts
8 Bits
8 Bi ts
.
1 1
8 Bi ts
Format Binaire :
8 Bi ts
1 octet
1 1
Format Dcimale :
1 1
128 64 32 16 8
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1
255
Figure -10 : S tructure dadresse IP
Page | 18
.5.1.2 Ladresse IP dinternet : .5.1.2.1 Les classe dadresse IP : l'origine, plusieurs groupes d'adresses ont t dfinis dans le but d'optimiser le cheminement (ou le routage) des paquets entre les diffrents rseaux. Ces groupes ont t baptiss classes d'adresses IP.
Classe A Le premier octet a une valeur comprise entre 1 et 126 ; soit un bit de poids fort gal 0. Ce premier octet dsigne le numro de rseau et les 3 autres correspondent l'adresse de l'hte.
0 8 Bits 8 Bits 8 Bits
Partie rseau (Net ID)
Partie machine (Host ID)
Classe B Le premier octet a une valeur comprise entre 128 et 191 ; soit 2 bits de poids fort gaux 10. Les 2 premiers octets dsignent le numro de rseau et les 2 autres correspondent l'adresse de l'hte.
10
8 Bits
8 Bits
8 Bits
Part ie machine (host ID)
Classe C Le premier octet a une valeur comprise entre 192 et 223 ; soit 3 bits de poids fort gaux 110. Les 3 premiers octets dsignent le numro de rseau et le de rnier correspond l'adresse de l'hte.
110
8 Bits
8 Bits
8 Bits
Partie machine (Host ID)
Page | 19
Classe D Le premier octet a une valeur comprise entre 224 et 239 ; soit 3 bits de poids fort gaux 111. Il s'agit d'une zone d'adresses ddies aux services de multidiffusion vers des groupes d'htes (host groups).
Classe E Le premier octet a une valeur comprise entre 240 et 255. Il s'agit d'une zone d'adresses rserves aux exprimentations. Ces adresses ne doivent pas tre utilises pour adresser des htes ou des groupes d'htes. .5.1.2.2 Le mas que de rseau : Un masque de sous-rseau est une adresse 32 bits utilise pour bloquer ou "masquer" une partie de l'adresse IP afin de distinguer le Net ID partir de Host ID .Cela permet TCP/IP de dterminer si une adresse IP se trouve sur un rseau local ou un rseau distant On retrouve l'adresse du rseau en effectuant un ET logique bit bit entre une adresse complte et le masque de rseau. .
Tableau -2 : Es pace dadressage
Classe
Masque rseau 255.0.0.0 255.255.0.0 255.255.255.0 240.0.0.0
Adresses rseau
Nombre de rseaux 126 16384 2097152 adresses uniques
Nombre d'htes par rseau 16777214 65534 254 adresses uniques
B C D
1.0.0.0 128.0.0.0 192.0.0.0 224.0.0.0
126.255.255.255 191.255.255.255 223.255.255.255 239.255.255.255
.5.1.2.3 L'adresse de diffusion : Chaque rseau possde une adresse particulire dite de diffusion. Tous les htes du rseau coutent cette adresse en plus de la leur. Certaines informations telles que le routage ou les messages d'alerte sont utiles l'ensemble des htes du rseau. Il existe deux dfinitions d'adresses de diffusion : la plus petite (192.168.100.0 dans notre exemple) ou la plus grande (192.168.100.255). La convention sur l'Internet veut que l'on utilise l'adresse la plus grande comme adresse de diffusion.
Page | 20
Tableau -3 : Exemple : adresse 192.168.100.1
Adresse complte Masque de rseau Partie rseau Partie hte Adresse Rseau Adresse de diffusion
192.168.100.1 255.255.255.0 192.168.100. .1 192.168.100.0 192.168.100.255
.5.1.3 Ladresse IP priv : Pour les rseaux non connects lInternet, les administrateurs dcident de la classe et de ladresse Net ID. Cependant pour des volutions possibles, il est fortement recommand de servir des adresses non utilises sur Internet. Ce sont les adresses prives suivantes en classe A, B et C [RFC]
Tableau -4 : Ladresse IP pri v
Classe A B C
Masque rseau 255.0.0.0 255.255.0.0 255.255.255.0
Adresses rseau 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
.5.1.4 Plages d'adresses IP spciales : L'adresse 127.0.0.0 dnote l'adresse de bouclage (est utilise pour tester une adresse IP - la machine elle- mme). L'adresse 0.0.0.0 est illgale en tant qu'adresse de destination, mais elle peut tre utilise localement dans une application pour indiquer n'importe quelle interface rseau. L'adresse spciale 255.255.255.255 est utilise comme adresse de broadcast gn rale. 192.168.0.0 n'existe pas sur internet, afin d'tre rserve pour les rseaux locaux sous TCP/IP
Page | 21
.5.2 Exemple : (Q : Question ; R : Rponse). Pour configurer l'interface d'un hte qui doit se connecter un rseau existant, on nous donne l'adresse 172.16.19.40/21 :
Q : Quel est le masque rseau de cette adresse ? R : La notation condense /21 indique que le la partie rseau de l'adresse occupe 21 bits. On dcompose ces 21 bits en 8 bits. 8 bits. 5 bits ; ce qui donne : 255.255.248.0.
Q : Combien de bits ont t rservs pour les sous-rseaux privs ? R : La valeur du premier octet de l'adresse tant comprise entre 128 et 192, il s'agit d'une adresse de classe B. Le masque rseau d'une classe B tant 255.255.0.0, 5 bits ont t rservs sur le troisime octet pour constituer des sous-rseaux.
Q : Combien de sous-rseaux privs sont disponibles ? R : Le nombre de valeurs codes sur 5 bits est de 2^5 soit 32. Il y a donc 30 sous-rseaux disponibles si l'on retire le sous-rseau 0 conformment au document RFC 950 et le sous-rseau avec les 5 bits 1 qui sert la diffusion gnrale.
Q : Combien d'htes peut contenir chaque sous-rseau ? R : Les adresses des htes sont codes sur les bits 0 du masque rseau. Avec le masque /21, il reste : 32 - 21 = 11 bits. Le nombre de valeurs codes sur 11 bits est de 2^11 soit 2048. Chaque sous-rseau peut contenir 2046 htes. On a retir la valeur 0 puisqu'elle sert identifier l'adresse du rseau et non celle d'un hte ainsi que la valeur avec les 11 bits 1 qui sert la diffusion sur le sous-rseau.
Q : Quelle est l'adresse du sous-rseau de l'exemple ? R : Les deux premiers octets tant compris dans la partie rseau, ils restent inchangs. Le quatrime octet (40) tant compris dans la partie hte, il suffit de le remplacer par 0. Le troisime octet (19) est partag entre partie rseau et partie hte. Si on le convertit en binaire, on obtient : 00010011. En faisant un ET logique avec la valeur binaire correspondant 5 bits rseau (11111000) on obtient : 00010000 ; soit 16 en dcimal. L'adresse du sous-rseau est donc 172.16.16.0.
Page | 22
Q : Quelle est l'adresse de diffusion du sous-rseau de l'exemple ? R : Les deux premiers octets tant compris dans la partie rseau, ils restent inchangs. Le quatrime octet (40) tant compris dans la partie hte, il suffit de le remplacer par 255. Le troisime octet (19) est partag entre partie rseau et partie hte. Si on le convertit en binaire, on obtient : 00010011. On effectue cette fois-ci un OU logique avec la valeur binaire correspondant aux 3 bits d'htes un (00000111). On obtient : 00010111 ; soit 23 en dcimal. L'adresse de diffusion du sous-rseau est donc 172.16.23.255.
.5.3 Dfinition de routage : Le terme routage dsigne le mcanisme par lequel les donnes d'un quipement expditeur sont achemines jusqu' leur destinataire en examinant les informations situes au niveau 3 du modle OSI, mme si aucun des deux ne connat le chemin complet que les donnes devront suivre. Avoir une procdure de routage efficace est particulirement important pour les rseaux dcentraliss. La couche Internet doit connaitre la topologie de rseau et ladressage IP, pour quelle puisse choisir le meilleur chemin des paquets, ce chemin est sauvegard dans une table appele Table de routage. .5.3.1 Table de routage : La table de routage est compose de la liste des rseaux connus, chacun de ces rseaux est associ un ou plusieurs routeurs voisins qui vont acheminer les paquets vers cette destination. Dans la table de routage on trouve trois types de routes : Les routes correspondant des rseaux directement connects: Pour ces rseaux, le routeur peut acheminer le paquet directement la destination finale en faisant appel au protocole de couche Physique (Ethernet par exemple). Les routes statiques : Configures en dur sur le routeur par l'administrateur du rseau. Les routes dynamiques : Apprises d'un protocole de routage dynamique dont le rle est de diffuser les informations concernant les rseaux disponible
Page | 23
.5.3.2 Protocoles de routage : La maintenance des tables de routage des routeurs ne pouvant tre raisonnablement effectue manuellement au-del d'une certaine taille du rseau, on a dfini des protocoles permettant d'changer les informations de routage entre les routeurs.
Protocoles de routage
routage interne
routage externe
vecteur de distance
RIP
tats de lien OSPF
Hybride
EIGRP
BGP
Figure -11 : Protocoles de routage
.5.3.2.1 Protocoles de routage interne : Les protocoles de routage interne, assurent la gestion du routage entre les routeurs d'un systme autonome (AS est un ensemble de rseaux sous la mme autorit administrative). Comme le rseau dAlgrie Tlcom que la figure suivante lindique :
Alger Routeur
Serveur
Constantine
Imprimante
Annaba
Ouargla
Ordinateur
Figure -12 : le routage interne IGP
Page | 24
Les protocoles de routage interne sont des IGP (Interior Gateway Protocol), ils fonctionnent de diffrentes faons : a. Vecteur de distance : Est celui qui utilise un algorithme de routage qui additionne les distances pour trouver les meilleures routes RIP (Routing Information Protocol) : Protocole d'information de routage, Cest un protocole qui utilise un algorithme permettant de trouver le chemin Le plus court. Il supporte un maximum de 15 nuds traverss (il nest pas adapt au rseau de grande taille). Il fonctionne par envoi de messages toutes les 30 secondes. Les messages RIP permettent de dresser une table de routage.
b. tats de lien : Ils transmettent la totalit des informations de routage tous les routeurs participants et tablissent des tables de voisins directs. OSPF (Open Shortest Path First) Est un protocole beaucoup plus complexe que RIP mais ses performances et sa stabilit sont suprieures. Le protocole OSPF utilise une base de donnes distribue, qui garde en mmoire ltat des liaisons. Ces informations forment une description de la Topologie du rseau et de ltat de linfrastructure. OSPF est la meilleure facture pour les rseaux de taille importante.
c. Hybride : Protocole de routage vecteur de distance qui reprend des concepts d'tats de liens. EIGRP (Enhanced Interior Gateway Routing Protocol) Ce protocole de routage a t dvelopp par Cisco pour amliorer RIP et le rendre plus stable. Il fonctionne trs bien Mais il est bien sr uniquement compatible avec les produits Cisco.
Page | 25
5.3.2.2 Protocoles de routage externe : Les protocoles de routage externe assurent la gestion du routage entre plusieurs systmes autonomes cest--dire entre IGP est IGP. Ce sont des EGP (Externe Gateways Protocol).
Algrie Tlcom
Routeur Sonatrach
Banque
Figure -13 : le routage externe EGP
BGP (Border Gateway Protocol) Ce protocole est utilis sur Internet pour le routage entre, par exemple, les diffrents systmes autonomes OSPF. Ce protocole a t cr pour des besoins propres Internet suite la grande taille du rseau lui- mme.
.6 Conclusion :
Il est vrai que le rseau informatique a aid les entreprises de dvelopper leurs services et graniter la communication haut niveau entre ces diffrents partenaires. Mais ce rseau il ne dfinit pas les mcanismes de scurit pour lchange de ces informations. Par lutilisation dinternet un individu de lextrieur et qui na pas le droit daccs peut modifier et voler et dtruire nimport quelle informations peut tre importante pour lentreprise.
Page | 26
Chapitre II : Les menaces rseau
.1 Introduction:
Lvolution de rseau informatique a permet aux entreprise douvrir ces activit au monde externe, Lorsqu'une entreprise connecte son rseau priv l'Internet, il ne s'agit pas seulement de fournir ses employs l'accs l'information externe et les ser vices Internet, mais aussi des utilisateurs externes fournissant un moyen d'accder l'entreprise de sa propre information. Histoires d'horreur abondent dans les mdias en ce qui concerne les entreprises qui ont eu des informations de vol, de modification, ou autrement compromise par des assaillants qui ont eu accs via l'Internet. Dans ce chapitre on va dcouvrir les diffrents risques et menaces quelles peuvent atteindre un rseau et les vulnrabilits quelles peuvent tre exploit par les attaquant. .2 Notion de risque en informatique Le risque peut se rsumer par l'quation suivante : Risque = Vulnrabilit x Menace x Impact Les menaces dsignent l'ensemble des lments (gnralement externes) pouvant atteindre les ressources informatiques d'une organisation. Les vulnrabilits expriment toutes les faiblesses des ressources informatiques qui pourraient tre exploites par des menaces, dans le but de les compromettre. L'impact est le rsultat de l'exploitation d'une vulnrabilit par une menace et peut prendre diffrentes formes : perte financire, affectation de l'image de marque, perte de crdibilit...etc. .2.1 Les causes de risque : On distingue gnralement deux types de risque: Ltat actif : c'est--dire la non-connaissance par l'utilisateur des fonctionnalits du systme, dont certaines pouvant lui tre nuisibles (par exemple la non-dsactivation de services rseaux non ncessaires l'utilisateur)
Page | 27
Ltat passif : c'est--dire lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les dispositifs de scurit dont il dispose .2.2 Topologie des menaces rseau : Une menace est une cause potentielle d'incident, qui peut rsulter en un dommage au systme ou l'organisation. Les sources de menaces rseau peuvent tre humaines ou techniques. [WIKI]
Les sources de menaces
Humains - La maladresse
- L'inconscience et l'ignorance - Altrat ion de linformat ion - Divulgation de renseignements - Erreur ad ministrative - Violation dautorisation
Techniques
- Incidents lis au matriel - Incidents lis au logiciel - Incidents lis l'environnement - Redondance des matriels - Dispersion des sites
Figure -1: Topologie des menaces rseau
.2.2.1 Sources humains Les risques humains sont les plus importants, mme s'ils sont le plus souvent ignors ou minimiss. Ils concernent les utilisateurs mais galement les informaticiens eux- mmes. La maladresse : Comme en toute activit, les humains commettent des erreurs ; ils leur arrivent donc plus ou moins frquemment d'excuter un traitement non souhait, d'effacer involontairement des donnes ou des programmes, etc.
Page | 28
L'inconscience et l'ignorance : De nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Altration de linformation: linformation est cre, modifie ou efface par des personnes non autorises. Divulgation de renseignements: linformation est lue par des personnes non autorises ou leur mandataire. Erreur administrative : Des erreurs administratives de configuration dans les systmes courants si complexes qui conduisent des vulnrabilits de scurit. Par exemple, laisser des comptes dinstallation dutilisateurs par dfaut grand ouverts. Violation dautorisation : Utilisation par un attaquant de son compte autoris dutilisateur pour accomplir un travail non autoris. .2.2.2 Sources techniques Les risques techniques sont tout simplement ceux lis aux dfauts et pannes invitables que connaissent tous les systmes matriels et logiciels. Ces incidents sont videmment plus ou moins frquents selon le soin apport lors de la fabrication et des tests effectus avant que les ordinateurs et les programmes ne soient mis en service. Incidents lis au matriel : Si on peut le plus souvent ngliger la probabilit d'une erreur d'excution par un processeur. La plupart des composants lectroniques, produits en grandes sries, peuvent comporter des dfauts et bien entendu finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles dceler car intermittentes ou rares. Incidents lis au logiciel : Ils sont de trs loin les plus frquents ; la complexit croissante des systmes d'exploitation et des programmes ncessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font invitablement des
Page | 29
erreurs que les meilleures mthodes de travail et les meilleurs outils de contrle ou de test ne peuvent pas liminer en totalit. Incidents lis l'environnement : Les machines lectroniques et les rseaux de communication sont sens ibles aux variations de temprature ou d'humidit (tout particulirement en cas d'incendie ou d'inondation) ainsi qu'aux champs lectriques et magntiques. Il n'est pas rare que des ordinateurs connaissent des pannes dfinitives ou intermittentes cause de conditions climatiques inhabituelles ou par l'influence d'installations lectriques notamment industrielles. Dispersion des sites : Un accident (incendie, tempte, tremblement de terre, attentat, etc.) a trs peu de chance de se produire simultanment en plusieurs endroits distants. .2.3 Les faiblesses des protocoles rseau : Les protocoles rseau sont encore jeunes, et aucun deux na t conu pour tenir compte des problmes de scurit l'origine. Donc les faiblesses des protocoles rseau sont des points faibles pour la scurit de rseau dune entreprise. .2.3.1 Faiblesse du protocole TCP/IP : Sous sa forme initiale, ce procd est lent et peu fiable (la taille des paquets peut varier et il convient dattendre la rception de tous les paquets pour assembler un message). En plus, le mode IP sans connexion est incertain il nest pas sr que tous les paquets arrivent correctement la destination, si lon tablit une connexion en mode TCP/IP ; on ralentit encore la transmission. [LIV3] .2.3.2 Faiblesse des protocoles applicatifs standards : Les dangers rcents visent beaucoup les couches hautes. Des protocoles applicatifs standards de la suite TCP/IP, comme HTTP; FTP; SMTP; DNS.sont particulirement viss . Ils sont, en effet dusage tellement courant, que trouver une nouvelle faille, ces failles dont beaucoup sont dues leur conception.
Page | 30
.2.3.3 Faiblesse des protocoles rseau et trans port : Les protocoles de communication rseau, faillibles, peuvent tre la cible dattaque portant sur leurs spcificits, c'est--dire leurs en-ttes. De nombreuses mthodes sont connues pour cela. Beaucoup ont exploit les deux niveaux rseau et transport, qui cumulent les faiblesses. [LIV3] Par exemple : Sur Internet Protocol IP, ladressage logique peut tre usurp. Les oprations de fragmentation/dfragmentation peuvent tre exploites. Internet Control Error Message Protocol ICMP, et lusage des commandes Ping , a t la source de nombreuses attaques. La poigne de main (3-way handshake) dtablissement de connexion du protocole de Transmission Control Protocol TCP peut tre exploite pour dtourner des communications. .2.3.4 Faiblesses des protocoles de couche basses : Au niveau le plus bas, la scurisation ne doit pas tre en reste quelque soit la taille du rseau, au niveau local, lusage de commutateurs pour linterconnexion dordinateurs Ethernet va plutt dans le sens dune scurisation de ce protocole. Si la communication dpasse le cadre de lentreprise, pallies les dangers potentiels doit tre une priorit. .2.4 Les faiblesses dauthentification : Le protocole HTTP intgre un support dauthentification, appel (authentification de base), bas sur un modle simple de demande/rponse, nom dutilisateur/le mot de passe. Lauthentification de base est trs faible. Elle ne fournit ni confidentialit ni intgrit, et lauthentification est des plus basique, le problme est que les mots de passe sont transmis sur le rseau. Toute personne analysant le flot de donnes TCP/IP un accs complet et immdiat toutes les informations changes, y compris le nom dutilisateur et le mot de passe sont souvent stocks en clair sur le serveur, les sites bass uniquement sur lauthentification de base ne peuvent pas tre considrs comme vraiment srs.
Page | 31
.3 Les attaque rseau : .3.1 Dfinition dune attaque : Tout ordinateur connect un rseau informatique est potentiellement vulnrable une attaque. Ce dernier est l'exploitation d'une faille d'un systme informatique a pour consquence dutiliser le systme dune faon qui na pas t prvue par ses concepteurs: Pour accumuler des informations qui ne sont pas censes tre publiques Pour effectuer des actions auxquelles lon nest normalement pas autoris Pour empcher le dit systme de fonctionner
.3.2 Les diff rentes tapes dune attaque : [TH1] La plupart des attaques, de la plus simple la plus complexe fonctionnent suivant le mme schma : a. Identification de la cible : cette tape est indispensable toute attaque organise ; elle permet de rcolter un maximum de renseignements sur la cible en utilisant des informations publiques et sans engager dactions hostiles. On peut citer par exemple linterrogation des serveurs DNS.. b. Le scanning : lobjectif est de complter les informations runies sur une cible vise.il est ainsi possible dobtenir les adresses IP utilises, les services accessibles de mme quun grand nombre dinformations de topologie dtaille (version des services, rgle de firewall). Il faut noter que certaines techniques de scans particulirement agressives sont susceptibles de mettre mal un rseau et entraner la dfaillance de certains systmes. c. Lexploitation : cette tape permet partir des informations recueillies dexploiter les failles identifies sur les lments de la cible, que ce soit au niveau protocolaire, des services et applications ou des systmes dexploitation prsents sur le rseau. d. La progression : il est temps pour lattaquant de raliser ce pourquoi il a franchie les prcdentes tapes. Le but ultime tant dlever ses droits sur un systme afin de pouvoir y faire tout ce quil souhaite (inspection de la machine, rcupration dinformations,).
Page | 32
.3.3 Classification des attaques a. Attaques passives : elles ne modifient pas le comportement du systme, et peuvent ainsi passer inaperues, comme les attaques sur la confidentialit qui a pour objectifs dobtenir dinformations sur un systme, sur un utilisateur ou un projet. Les mthodes possibles de ce type dattaques est : Usurpation didentit, intrusion, coute. b. Attaque active : elles modifient le contenu des informations du systme ou le comportement du systme. Elles sont en gnral plus critiques que les passives comme les attaques : Attaque sur lintgrit : qui a pour objectif de modifier ou dtruire des donnes ou des configurations. Ses mthodes possibles : injection de code, action physique, et intrusion. Attaque sur lauthentification : qui a pour objectifs dutiliser des ressources de faon clandestine sur un systme. Ses mthodes possibles : intrusion Attaque sur la disponibilit : qui a pour objectifs de perturber lchange par rseau, le service ou laccs un service. Ses mthodes possibles : action physique, et intrusion .3.4 Cest qui un attaquant : Les attaques sont effectues par un sujet particulier appel attaquant (espion, pirate, ennemi, intrus) et dont lobjectif est de dtourner les mcanismes de scurit afin daccder aux informations sensibles. On peut associer un attaquant les proprits suivantes : Puissance de calcul aussi grande que les concepteurs du systme La mme connaissance du systme que les concepteurs La capacit de faire des dductions partir des rgles dinfrences et des donnes acquises. La capacit de lire et de stocker toute information non scurise explicitement. Le but des attaquants est souvent de prendre le contrle d'une machine afin de pouvoir raliser les actions qu'ils dsirent. Pour cela il existe diffrents types de moyens : l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un systme l'utilisation de la force pour casser un systme
Page | 33
Il existe plusieurs type dattaquant on peut distinguer : Hacker Le terme ' hacker ' sert dsigner des personnes mal intentionnes essayant soit de prendre possession de votre systme, soit de violer les codes de vos programmes. Les hackers tentent rgulirement de prendre possession aussi bien des ordinateurs domestiq ues que des larges rseaux. De nombreux rseaux de grandes entreprises ou institutions gouvernementales ont t un jour ou l'autre pris d'assaut par les hackers. Cracker Est une sorte de pirate informatique bien que ce terme soit parfois utilis pour dsigner des personnes cassant les protections des logiciels. Black hat hackers (Les hackers au chapeau noir), c'est--dire les experts qui utilisent leurs connaissances mauvais escient, sont aussi qualifis de pirates informatiques. Il pntre par effraction dans des systmes ou des rseaux dans un objectif personnel, souvent un gain financier. [WIKI] White hat hackers Un hacker qui pntre par effraction dans des systmes ou des rseaux dans l'objectif d'aider les propritaires du systme mieux le scuriser. [WIKI] Script kiddie Qui est pour l'opinion gnrale un hacker, souvent jeune, pntrant par effraction dans des systmes, gnralement pour se vanter auprs de ses amis, en utilisant des programmes dj prts l'emploi. Pour les communauts underground, le script kiddie n'est pas un hacker mais un lam (l'exact contraire, donc, un individu dnu de toute comptence en informatique). [WIKI]
Page | 34
.3.5 Les diff rents types dattaque : Tout ordinateur connect un rseau informatique est potentiellement vulnrable une attaque. Cette dernire est l'exploitation d'une faille d'un systme informatique des fins non connues. Il existe plusieurs telle que : Les virus Les virus sont des programmes autonomes conus pour se reproduire et se diffuser de manire autonome. Deux lments caractrisent un virus : La faon dont il se reproduit et infecte le systme informatique. Les actions dltres quil va raliser. Les vers Un ver (en anglais worm) est un programme qui se propage d'ordinateur ordinateur via un rseau comme l'Internet. Ainsi, contrairement un virus, le vers n'a pas besoin d'un programme hte pour assurer sa reproduction. Son poids est trs lger, ce qui lui permet de se propager une vitesse impressionnante sur un rseau, e t pouvant donc saturer ce dernier La bombe logique La bombe logique est constitue dune simple fonction destructrice insre dans un programme dusage gnral, son activation se dclenche lorsquune condition particulire est remplie par exemple leffacement de donnes et programmes ds quun nom ne figure plus dans la liste du personnel. Elle peut galement agir compter dun nombre donn dinstruction ou encore lors de laccs un enregistrement particulier. La fonction destructrice reste en sommeil tant que lvnement programm na pas lieu. Les chevaux de Troie Les chevaux de Troie (Trojan horses) tirent leur nom de la clbre lgende mythologique. Comme dans cette dernire, les troyens utilisent une ruse pour agir de faon invisible, le plus souvent en se greffant sur un programme anodin. Les chevaux de Troie ne reproduisent pas (en tout cas, ce n'est pas leur objectif premier). Ce sont la base de simples programmes destins tre excuts l'insu de l'utilisateur.
Page | 35
Le piratage C'est--dire laccs non autoris dun tiers tout ou partie du systme dinformation de lentreprise. Le pirate qui obtient un accs, mme de niveau utilisateur, peut alors sa guise modifier les donnes, arrter certain serveurs vitaux, voire dtruire lensemble des informations. Il sagit bien sr dun risque majeur. Les trappes Une trappe ou backdoor est un point dentre dans un systme informatique qui passe au-dessus des mesures de scurit les plus communes. Cest gnralement un programme cach ou un composant lectronique qui rend le systme de protection inefficace. Ce peut tre aussi une modification volontaire du code d'un programme, qui permet trs facilement son dveloppeur de crer son propre outil d'intrusion Password cracking Par dictionnaire : Les mots contenus dans un dictionnaire (logiciel) sont proscrire et sont trs vulnrables puisque issus dun ensemble connu de tous. En rsum le pirate va essayer de casser votre code ou mot de passe en testant tous les mots du dictionnaire (des outils informatiques trs performants peuvent raliser de telles attaques). Les attaques par force brute : Le pirate va essayer de casser le code ou mot de passe en testant toutes les possibilits inimaginables.
TCP/SYN Flooding [COM] Est une attaque rseau par saturation (dni de service) exploitant le mcanisme de poigne de main (3-way handshake), lorsqu'un client tablit une connexion un serveur : le client envoie une requte SYN le serveur rpond alors par un paquet SYN/ACK et enfin le client valide la connexion par un paquet ACK (acknowledgement, qui signifie accord ou remerciement). Une connexion TCP ne peut s'tablir que lorsque ces 3 tapes ont t franchies. L'attaque SYN consiste envoyer un grand nombre de requtes SYN un hte avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la machine cible reoive
Page | 36
un paquet ACK. Les machines vulnrables aux attaques SYN mettent en file d'attente, dans une structure de donnes en mmoire, les connexions ainsi ouvertes, et attendent de recevoir un paquet ACK. Il existe un mcanisme d'expiration permettant de rejeter les paquets au bout d'un certain dlai. Nanmoins, avec un nombre de paquets SYN trs important, si les ressources utilises par la machine ciblent po ur stocker les requtes en attente sont puises, elle risque d'entrer dans un tat instable pouvant conduire un plantage ou un redmarrage. Les dnis de service Les attaques par dni de service (DOS) est diffrent des autres types dattaque en cela quelles noccasionnent pas de dommages irrversibles sur le rseau. Au lieu de cela, elles tentent de mettre le rseau hors service en bombardant un ordinateur particulier (un serveur ou un dispositif du rseau) ou en ralentissant le dbit des liaisons rseau jusqu ce que les performances soient suffisamment mdiocres pour irrites les clients et occasionner un manque gagner pour lentreprise. IP spoofing Usurpation dadresse IP, on fait croire que la requte provient dune machine autorise. Une bonne configuration du routeur dentre permet dviter quune machine extrieure puisse se faire passer pour une machine interne. Ingnierie sociale Le social engineering est l'art de manipuler les personnes. Il s'agit ainsi d'une technique permettant d'obtenir des informations d'une personne, qu'elle ne devrait pas donner en temps normal, en lui donnant des bonnes raisons de le faire. Cette technique peut se faire par tlphone, par courrier lectronique, par lettre crite, ... Cette attaque est souvent sous estime puisqu'elle n'est pas d'ordre informatique. Pourtant, une attaque par social engineering bien mene peut se rvler trs efficace. Elle n'est donc pas prendre la lgre. Scanning Le scanning consiste balayer tous les ports sur une machine en utilisant un outil appel Scanner. Ce dernier envoie des paquets sur plusieurs ports de la machine. En fonction de leurs ractions, le scanner va en dduire si les ports sont ouverts. C'est un outil trs utile pour les hackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par
Page | 37
o ils peuvent attaquer. D'autant plus que les scanners ont volu. Aujourd'hui, ils peuvent dterminer le systme d'exploitation et les applications associes aux ports. coute du rseau (sniffer) Il existe des logiciels qui, limage des analyseurs de rseau, permettent dintercepter certaines informations qui transitent sur un rseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). Cest lune des raisons qui font que la topologie en toile autour d'un hub nest pas la plus scurise, puisque les trames qui sont mises en broadcast sur le rseau local peuvent tre interceptes. De plus, lutilisateur na aucun moyen de savoir quun pirate a mis son rseau en coute. Lutilisation de Switch rduit les possibilits dcoute mais en inondant le commutateur, celui-ci peut se mettre en mode HUB par scurit . La meilleure parade est lutilisation de mot de passe non-rejouable, de carte puce ou de calculette mot de passe.
Intrusion L'intrusion dans un systme informatique a gnralement pour but la ralisation dune menace et est donc une attaque. Les consquences peuvent tre catastrophiques : vol, fraude, incident diplomatique, chantage Le principal moyen pour prvenir les intrusions est le coupe- feu (firewall). Il est efficace contre les frquentes attaques de pirates amateurs, mais dune efficacit toute relative contre des pirates expriments et bien informs. Une politique de gestion efficace des accs, des mots de passe et ltude des fichiers log (traces) est complmentaire.
.4 Conclusion :
Ces menaces jour par jour caugmente, et si une entreprise ne mette pas une politique de scurit pour protger ces information depuis lextrieure, et rduire les risque interne quelles peut atteindre son systme dinformation, elle ne sera pas une entreprise de confiance, et elle peut perdre ces clients facilement.
Page | 38
Chapitre II : La politique de scurit
.1 Introduction :
Une politique de scurit est un ensemble de rgles qui fixent les actions autorises et interdites dans le domaine de la scurit. Chaque entreprise vaudra dfinir une politique de scurit, elle va tre oblige de respecter ses rgles et les amliorer pour quelle soit bien protge contre les diffrents types de menace. Dans ce chapitre on va prsenter une dfinition pour les objectifs dune scurit, et les diffrents aspects dune politique de scurit et les besoins ncessaire pour quelle soit labore. .2 Objectifs de scurit : Lexpression dobjectif de scurit est ralise pour lensemble des flux dinformations sensibles transitant sur le rseau, suivant les critres de : Lintgrit : garantir que les donnes changes sont bien celles que lon croit avoir changes. 04 proprits doivent tre vrifies : non - modification non - suppression non - rajout non cration
La confidentialit : assur que seules les personnes en communication ont accs aux donnes changes, les autres personnes ne doivent pas pouvoir comprendre les informations transmises. La disponibilit : maintenir le bon fonctionnement du systme dinformation, laccs au service ne doit pas tre interrompu. Le non rpudiation : garantir quune transaction ne peut tre nie, pouvoir montrer une trace de laction effectue. Lauthentification : assurer que seules les personnes autorises ont accs aux ressources et que chaque personne est certaine de lidentit des autres partenaires de lchange dinformation.
Page | 39
.3 Recommandations gnrales : Dans une entreprise, il faut recenser de manier exhaustive les lments suivantes : Les serveurs dploys dans lentreprise Les systmes dexploitation et leurs versions Les applications installes, quelles soient rellement utilises ou non Les diffrents types de configuration. La mme application paramtre dune autre manire peut donner un usage et un impact sur la scurit trs diffrents. Il faut galement : [LIV4] Dfinir la topologie du rseau local Recenser tout les routeurs, les commutateurs et touts les hubs simples Connatre la liste des protocoles utilise Connatre les classes IP attribues chaque partie de rseau Connatre la liste des postes utilisateurs ainsi que leur adresse MAC et IP. Connatre le nom de chaque utilisateur et son emplacement physique. Recenser tous les points dinterconnexion possibles de rseau avec lextrieur de lentreprise, (connexion internet permanente, liaison avec une entreprise partenaire, modem installs sur des postes utilisateurs) tablir la liste des mots de passe utilise dans tous les applications, il faut inclure dans cette liste les mots de passe utilisateurs mais galement les mots de passe des applications, et ceux des appareils autonomes qui peut tre utilise telle que les mots de passe de pare- feu, Hub, modems, imprimantes rseau, etc. Sur chaque serveur et chaque poste utilisateur, vous devez savoir quels rpertoires sont partags. Quels sont les systmes de scurit dj en place. Recensez les moyens dintroduction de virus potentiel : y-t- il des lecteurs de disquette, un lecteur de CD-ROM ou un port USB sur les postes utilisateur. .4 Les guide de scurit rseau des quipe ments : Les nombreux problmes ou faiblesses de scurit des quipements rseau ont forc les quipementiers considrer la scurit comme une composante du dveloppement des produits. CISCO, qui est le principal fournisseur mondial d'quipement rseau, met la disposition sur son site Internet de nombreux guides sur les mcanismes de scurit proposs dans ces quipements.
Page | 40
Applications [CIS] Les applications de scurit proposes par Cisco couvrent le contrle des accs et la dtection des intrusions. Autant de facettes ne pas ngliger et qui viennent parfaitement complter la partie hardware, pour garantir un rseau parfaitement scuris. Le serveur de contrle daccs Cisco Secure ACS La gamme de produits Cisco Secure IDS se compose de capteurs (serveurs ddis capables de raliser grande vitesse des analyses de scurit) et des modules de carte.
VPN et Firewalls Les firewalls dvelopps par Cisco, ainsi que tous les quipements de scurit (VPN, concentrateurs) Cisco, sont conu pour ne pas ralentir le trafic de rseau. Leurs capacits leur permettent de traiter les paquets de donnes le plus rapidement possible. Exemple de ses produits : [CIS] Les pare-feux de la gamme Cisco PIX et la gamme ASA 5000 Le pare- feu embarqu dans lIOS La gamme de concentrateurs Cisco VPN 3000
Administration de la solution de scurit Cisco Security Management Solution, solution dadministration conue pour rpondre lensemble des problmatiques poses par le dploiement de politiques de scurit sur des rseaux de moyennes et grandes tailles. Ces produit a t conu dans lobjectif de maximiser la robustesse et dvolutivit du rseau en matire de scurit en fournissant aux quipes scurit un puissant outil dadministration de bout en bout, capable de dmultiplier chaque action au sein des quipes. .5 La politique de scurit dun rseau La politique de scurit est conue pour appliquer des mesures de scurit destines rduire les risques et les dommages. La politique de scurit est cre pour protger le personnel, prserver la confidentialit, la disponibilit et l'intgrit des biens. Il existe trois (03) types de scurit :
Page | 41
a. Une politique de scurit physique : Elle dtaille par exemple les objectifs et rgles de scurit des quipements rseau afin de faire face aux menaces comme le feu, les catastrophes naturelles, etc., b. Une politique de scurit logique : Elle dtaille par exemple les objectifs et rgles de scurit de configuration des accs des quipements rseau afin de faire face aux accs non autoriss, attaques, etc. c. Une politique de scurit administrative : Elle dtaille par exemple les objectifs et rgles de scurit des procdures de gestion du rseau afin de faire face aux vnements de congestion du rseau, etc., Nous dtaillons brivement ces trois politiques de scurit dans les paragraphes suivants. .5.1 Une politique de scurit physique : Elle consiste essentiellement se protger contre les vols, fuites deau, incendies, coupures dlectricit, etc. Les rgles gnriques considrer sont les suivantes : Une salle contenant des quipements rseau ne doit pas tre vue de lextrieur afin de ne pas attirer ou susciter des ides de vol ou de vandalisme. Une salle d'quipements rseau ne doit jamais tre installe au rez-de-chausse ou au dernier tage d'un btiment afin de ne pas tre vulnrable une inondation. Limitez la circulation d'eau dans la salle informatique (placez le groupe de conditionnement d'air en dehors de la salle informatique...). Choisissez les chemins de tuyauterie, en vitant de traverser ou de surplomber la salle informatique. Mettez en place des systmes de dtection de fuites. vitez le stockage de produits inflammables dans, ou proximit des salles informatiques. vitez les chapelets de blocs multiprises. tudiez les chemins de propagation du feu et mettez en place des quipements de compartimentage (sas, parois anti- feu...). Choisissez judicieusement les sorties de secours. Faites respecter l'interdiction de fumer. tablissez et mettez l'preuve un plan catastrophe, incluant un repli de l'informatique vers un centre spcifique. Installez un systme de ventilation redondant, dimensionn correctement pouvoir suffire aux besoins actuels et futurs.
Page | 42
Mettez en place une solution de contrle de la temprature quipe d'un module d'alerte.
Protgez les quipements de communication (antennes...) contre la foudre. Mettez en place un contrle d'accs (badge, biomtrie...) permettant de contrler et de tracer les accs aux locaux critiques.
Mettez en place une politique d'identification des visiteurs. Utilisez des mcanismes antivol pour les priphriques et les ordinateurs personnels ou portables.
Des primtres de scurit physique accs restreint doivent tre dfinis, et quips de camras de surveillance.
Les ressources critiques doivent tre places dans le primtre le plus scuris. Toute modification physique dinfrastructure doit tre identifie, reporte et valide. Des procdures doivent autoriser et rvoquer laccs aux primtres de scurit. Le site ne doit pas se trouver pas sur un lieu connu pour des catastrophes naturelles comme la foudre, tremblement de terre, inondation, etc. Des quipements de protection contre le feu, leau, lhumidit, les pannes de courant, le survoltage, etc., doivent tre installs.
Des procdures de supervision des lments de protection doivent tre mises en place.
.5.2 La politique de scurit logique : La politique de scurit rseau logique porte sur les configurations des quipements rseau. Les configurations dtiennent toute l'information permettant de construire le rseau et ses services. La politique de scurit rseau logique peut se dcliner en un ensemble de rgles de scurit gnriques suivantes garantissant la disponibilit et lintgrit du rseau et de ses services. .5.2.1 Rgles de scurit gnriques : [TH2] Consistance du plan dadressage : Il sagit des rgles qui garantissent la consistance du plan dadressage des quipements rseau. De manire gnrique, il ne doit exister de doublons dans le plan dadressage global du rseau. Consistance des Configurations : Il sagit des rgles qui garantissent la consistance des configurations des quipements rseau. De manire gnrique, tout lment de configuration dfini doit tre appliqu, et tout lment de configuration appliqu doit tre
Page | 43
dfini. Ces rgles peuvent tre complexes comme la vrification de la grammaire associe au langage de configuration. Consistance des filtrages : Il sagit des rgles qui garantissent la consistance des filtrages utiliss pour contrler par exemple les flux de donnes ou de routage. De manire gnrique, les lments constituant un filtrage ne doivent tre ni redondants, ni contradictoires entre eux. Ces rgles peuvent tre complexes comme la vrification des rgles inutiles. Routage : Il sagit des rgles de configuration relatives la protection du routage rseau. Ces rgles sappliquent la fois au routage interne du rseau ainsi quaux interconnexions de routage du rseau avec lextrieur. Ces rgles peuvent tre complexes comme la vrification de la topologie du routage interne et externe du rseau, la consistance de la politique de routage, etc. Service : Il sagit des rgles de configuration relatives la protection des services du rseau. Ces rgles peuvent tre complexes comme la vrification des primtres de scurit dun VPN. Partenaires : Il sagit des rgles de configuration relatives la protection des interconnexions avec les services rseau dun partenaire. Administration : Il sagit des rgles de configuration relatives la protection des quipements rseau. .5.3 Une politique de scurit administrative : Lexploitation du rseau et de ses services associs doit suivre un ensemble de procdures dites oprationnelles afin den assurer lintgrit et la scurit moyen terme. Les rgles gnriques considrer sont les suivantes : Les procdures oprationnelles doivent tre dfinies et mises jour. Des procdures oprationnelles doivent exister pour la supervision des lments critiques. Des procdures de maintenance prventive doivent exister pour les lments critiques de telle sorte que toute anomalie soit vrifie et corrige. Des sauvegardes des informations critiques doivent tre effectues dans un lieu physique distinct de la source. Cela couvre en premier lieu les configurations des quipements. Tout problme dtect doit tre identifi et rsolu.
Page | 44
Des contre- mesures doivent permettre de vrifier que des problmes ne restent pas sans solution.
Tout problme ou incident de scurit doit tre remont par les procdures oprationnelles aux responsables des domaines viss. Les procdures dincident de scurit doivent tre connues de tout le personnel. Analyser lorigine des pannes, dcider des interventions, suivre les oprations de dpannage et informer lutilisateur Faire voluer larchitecture en tenant compte des besoins des clients internes ou externes. Prparer les cahiers des charges pour lvolution dune application. Rceptionner, tester et adapter les matriels informatiques et de tlcommunications dans le rseau en fonctionnement et effectuer le suivi du parc de matriels.
Analyser les baisses de performance et des dysfonctionnements rencontrs et proposer des amliorations souhaitables. Informer, assister et former les utilisateurs lutilisation des performances des matriels et logiciels en leur servant de guide en cas de difficults.
Veiller une gestion conomique des moyens de communication : allger la facture tlcoms en optimisant la structure des rseaux.
.6 La scurit de rseau : Les rseaux sont de plus en plus difficiles contrler. Les dangers, menaces d'intrusion et actes de malveillance croissent de manire proportionnelle avec celle de ces nouveaux moyens de communication. De ce fait, les besoins en scurit, se dveloppent de la mme manire. Les mesures de scurit de rseau reprsentent toute la partie technique et matrielle de la scurit. Telle que : lutilisation des mots de passe. linstallation de lantivirus. la mise en place dun firewall. DMZ VPN Les systmes de dtection dintrusion LAudit de systme.
Page | 45
.6.1 Les mots de passe : Ce sont des cls qui grent les accs, qui vous les autorisent alors quelles les refusent dautres, qui permettent de contrler les accs aux informations (documents protgs par des mots de passe) ou les autres accs (des pages web protges par mots de passe), ou encore qui grent les authentifications .6.1.1 Les diffrents types de mots de passe : Il y 03 types principaux de mots de passe:
a. Chanes de caractres Les mots de passe les plus simples sont constitus de chanes de caractres alphanumriques et de symboles qui sont fournis partir dun clavier. Ils vont du simple code 3 chiffres utilis pour ouvrir les portes de certains garages aux combinaisons complexe de caractres alphanumriques et de symboles recommands pour protger des applications hautement sensibles.
b. Chanes de caractres avec un jeton En passant la vitesse suprieure, nous avons des mots de passe composs de notre chane de caractres prcdente laquelle on rajoute un jeton. Un bon exemple est lATM, qui ncessite la fois une carte (notre jeton).
c. Mots de passe biomtriques Plus complexe encore, nous avons les mots de passe biomtriques. Ils utilisent des empreintes biologiques de certaines parties de notre corps, comme nos empreintes digitales afin de nous authentifier. Un autre exemple est lempreinte rtinienne o cest la rtine (cest la partie qui est larrire de lil, cot interne) qui est photographie. Cette rtine est constitue dun rseau unique de vaisseaux sanguins et cest ce rseau qui va tre utilis. Cette catgorie de mots de passe est considre comme la plus sure, mais en ralit un mot de passe que vous portez sur vous nest pas plus scuris quun mot de passe complexe que vous avez en tte, en assumant que le logiciel utilis pour vrifier ce mot de passe est scuris
Page | 46
.6.1.2 Construction dun mot de passe solide : [BAS] Les meilleurs mots de passe: ne figurent pas dans les dictionnaires. contiennent des nombres, des lettres et de symboles. contiennent des majuscules et minuscules. plus ils sont longs, plus ils sont scuriss (en gnral). .6.2 Les antivirus : Est un logiciel ayant pour objectif principal de protger une machine contre diffrents types dinfections informatiques telles que des virus. Cependant, des diffrences peuvent exister entre ces types de logiciels. Elles se situent principalement dans le nombre de fonctionnalits, leur mise en place ainsi que les mthodes utilises pour la dtection d'anomalies. .6.2.1 Principe de ces fonctionnements : Afin de protger une machine, les logiciels antivirus utilisent plusieurs techniques savoir : Analyse en temps rel du contenu des oprations sur la machine tel que des ouvertures/fermetures de fichiers, des lancements de logiciels et tout type de tlchargements effectus sur la machine depuis Internet ou un autre rseau. Balayage des disques et autres priphriques de stockage et de la configuration systme de la machine des intervalles dfinis pralablement. Analyse du contenu ainsi que des volumes de courriers lectroniques entrants et sortants afin de protger contre des virus qui possdent un processus oprationnel de propagation par messagerie. En cas de dtection d'anomalie ou de tentative d'infection informatique, dans la majorit des cas et selon la configuration choisie par l'utilisateur, l'anti-virus affichera une alerte l'utilisateur permettant de : Bloquer la tentative d'infection informatique. Rparer le contenu infect ou malicieux en effaant toute trace du virus. Supprimer dfinitivement le contenu infect. Mise sous quarantaine du contenu infect ou malicieux.
Page | 47
.6.2.2 Composants d'un antivirus
a. Scanner Il examine (scan) lordinateur la demande : un fichier, un dossier ou tous les fichiers de votre disque. Un scan complet consomme beaucoup de ressources matrielles et de temps, mais il est conseill de le faire de temps en temps.
b. Moniteur Il analyse en temps rel les fichiers auxquels vous accdez au cours de votre utilisation normale et stoppe immdiatement une excution virale. Il est compos de plusieurs modules dont le nom change suivant les logiciels. Par exemple McAfee VirusScan en a quatre, chacun ddi une tche : email, Web, tlchargement, systme. En fonction de sa configuration et de la puissance de votre ordinateur, il ralentit plus ou moins vos applications.
c. Base de signatures de virus Une signature est un bout de code permettant d'identifier un virus, un peu comme une empreinte digitale humaine. La base de signatures rfrence des dizaines de milliers de virus, troyens et variantes. Elle doit tre mise jour frquemment pour reconnatre les nouveaux spcimens. .6.3 Les firewalls : Un firewall ou pare-feu est un dispositif physique (matriel) ou logique (logiciel) servant de systme de protection pour les ordinateurs domestiques. Il peut galement servir d'interface entre un ou plusieurs rseaux dentreprise afin de contrler et ventuellement bloquer la circulation des donnes en analysant les informations contenues dans les flux de donnes (cloisonnement rseau). Cest -dire il interdit ou il autorise divers flux rentrants et sortants.
Page | 48
Accs autorise depuis lextrieur DMZ
Internet
Pare-feu LAN Accs refuse depuis lextrieur
Figure -1 : le pare-feu dans un rseau
.6.3.1 Catgories de fire walls : Il existe principalement 2 catgories de firewalls :
1- Les firewalls personnels protgeant uniquement les stations de travail ou ordinateurs personnels. Ils sont installs directement sur lordinateur de lutilisateur. 2- Les firewalls dentreprise installs sur des machines ddies. Ce type de firewall est souvent plac entre Internet et un rseau dentreprise afin de protger ce dernier des diffrentes menaces dInternet. .6.3.2 Principe de fonctionne ment
Un firewall agit sur un ensemble de rgles dfinies correctement par un utilisateur se basant gnralement sur le principe suivant : Tout ce qui n'est pas explicitement autoris est interdit. [LIV5]
Cela signifie que les rgles constituant une partie de la configuration du firewall doivent explicitement autoriser une action ou un flux de donnes pour que la connexion puisse stablir.
Page | 49
a. Filtrage de paquets Internet et les rseaux fonctionnent par envoi/rception de blocs de donnes appeles paquets . Un firewall analyse chacun de ces paquets sur base dun certain nombre de caractristiques dfinies dans les rgles. Un firewall fonctionnant sur le principe du filtrage de paquets analyse les en-ttes des paquets changs entre deux ordinateurs en considrant les lments suivants : L'adresse IP de la machine mettrice L'adresse IP de la machine rceptrice Le type de paquet TCP, UDP, ICMP ou IP Le service ou port demand.
b. Filtrage de contenu Certains firewalls permettent en plus du filtrage de paquets danalyser et de filtrer les donnes contenues dans les paquets. Cela permet dans certains cas de : Empcher la consultation de sites web Internet interdits Empcher le tlchargement de fichiers ou logiciels malicieux Empcher lenvoi et la rception par e-mail de fichiers potentiellement dangereux
En plus, certains firewalls vrifient mme que le contenu applicatif du trafic traversant le firewall (protocole applicatif utilis, effectivement au protocole applicatif attendu. .6.4 La mise en place dune DMZ : instructions, codification, ) correspond
DMZ (De-Militarized Zone, ou en franais Zone Dmilitarise) est une partie du rseau local dont l'objectif est d'tre accessible depuis l'extrieur du rseau local, avec ou sans authentification pralable. En effet, pour des raisons la fois techniques et stratgiques, les rseaux locaux (LAN) sont devenus des zones inaccessibles depuis internet. .6.4.1 LObjectif de DMZ : Les lments suspects (les flux transitant vers le rseau interne et depuis le rseau interne), dcouverts par les quipements filtrants (firewalls, outils de dtection et de filtrage de contenu), seront redirigs dans la DMZ quarantaine pour analyse.
Page | 50
.6.4.2 Architecture de DMZ : Les serveurs installs sur la DMZ permettent de fournir des services au rseau externe, tout en protgeant le rseau interne contre des intrusions possibles sur ces serveurs : Serveurs Web (HTTP) Serveurs de fichiers (FTP) Serveurs de- mails (SMTP) Serveurs de noms (DNS) services offerts par lentreprise au monde Internet.
Les serveurs relais permettant dassurer une communication indirecte entre le rseau local et le monde Internet (proxies, relais SMTP, anti virus,)
Internet
LAN
Pare-feu Switch
HTTP
SMTP
DMZ
FTP
DNS
Figure -2 : larchitecture DMZ
.6.4.3 Mise en uvre dune DMZ : La DMZ est gnralement cre par lemploi dun pare- feu, compos de trois interfaces rseau (Internet, rseau interne, DMZ).Trois solutions :
a. Pas de DMZ Les serveurs sont placs entre le routeur et le pare- feu. Chaque serveur doit tre parfaitement scuris ; tous les services et ports inutiles doivent tre ferms ; la mise jour des trous de scurit dtects sur les logiciels et systmes dexploitation doit tre trs frquente.
Page | 51
b. DMZ pour flux entrants uniquement. Pour une protection du systme dinformation des services, aucun flux ne doit aller dInternet au rseau interne sans passer par la DMZ. Les serveurs sont sur la DMZ. Ils sont protgs par le pare feu et lexploitation se rvle moins lourde. Les flux dans le sens Internet vers le rseau interne passent par la DMZ. Les flux dans le sens rseau interne vers Internet ne passent pas par la DMZ. Cette configuration est trs rpandue, et concilie linvestissement et un bon niveau de scurit. En employant un relais de messagerie ou un service antivirus de messagerie, ce dernier sur la DMZ permet au serveur de messagerie dtre dans le rseau local. Les mails des utilisateurs stocks sur le serveur sont protgs.
c. DMZ pour flux entrants et sortants Les serveurs sont sur la DMZ. Ils sont protgs par le pare-feu. Des serveurs relais (mail ou antivirus mail, Proxy FTP, HTTP, ) sont placs sur la DMZ, et permettent aux flux du rseau interne vers Internet de passer par la DMZ. Les flux dans le sens Internet vers le rseau interne passent par la DMZ. Cette configuration est trs scurise. .6.5 Les rseaux privs :
VPN (Virtual Private Network ou en franais Rseau Priv Virtuel) est un moyen de communication assurant la scurit des transferts de donnes sur des rseaux publics ou partags. Cest le concept dun tunnel (route) scuris entre deux points, les donnes qui rentre dun bout ressortant dun autre.
LAN 1
Internet
VPN
LAN 2
Figure -3 : VPN dans un rseau
Page | 52
.6.5.1 Principe de fonctionne ment: Un VPN utilise la cryptographie pour assurer la confidentialit, lintgrit et lauthentification des donnes, mme si celles-ci sont envoyes sur lInternet.
a. Confidentialit des donnes Le chiffrement assure que le contenu des donnes transmises nest connu que des parties qui changent linformation. De ce fait, un tiers interceptant le trafic du VPN naura pas la possibilit den dterminer la teneur. b. Intgrit des donnes Le chiffrement et le hachage assurent, que les donnes reues au travers du VPN par le destinataire sont identiques celles envoyes par lexpditeur : il ny aura ainsi aucune possibilit, pour une tierce partie, de changer les donnes en transit dans le VPN. c. Authentification des utilisateurs du VPN Pour certains VPN, (dans le cas du tltravail par exemple), il est important de savoir quels sont ceux qui participent au processus afin dviter les problmes de scurit lis lusurpation didentit et par la mme laccs illicite aux rseaux privs.
.6.5.2 Topologies de VPN : Il existe 3 grandes catgories de VPN 1. VPN pour laccs distance : Ce type de VPN peut tre utilis pour accder certaines ressources Prdfinies dune entreprise sans y tre physiquement prsent. Cette opportunit peut ainsi tre trs utile au commercial ou au cadre qui souhaite se connecter au rseau de son entreprise lors dun dplacement. En gnral, lutilisateur de ce type de VPN possde un accs Internet chez un fournisseur daccs standard.
2. VPN Intranet : Ce type de VPN lie plusieurs rseaux internes dune mme entreprise (par exemple les rseaux de plusieurs filiales). Sans VPN, les entreprises seraient forces dutiliser des lignes ddies lignes loues entre leurs filiales ; procd trs onreux, surtout lo rsquil sagit de lignes internationales. Avec les VPN, ces mmes communications peuvent passer
Page | 53
par lInternet sans souci de confidentialit ou dintgrit des transferts, et ce, pour un cot bien moindre.
3. VPN Extranet : Cette catgorie de VPN est utilise pour permettre aux clients, fournisseurs, partenaires ou autres interlocuteurs daccder certaines donnes dune entreprise. Presque tous les sites e-commerce ainsi que les banques offrent ce type de connexion scurise leurs clients. .6.6 Systme de dtection dintrusion : IDS (Intrusion Detection System, ou en franais Systme de dtection dintrusion) est un ensemble de composants logiciels et/ou matriels, permettant de dtecter et analyser tout comportement qui n'est pas normal au sein dun rseau, qu'il soit volontaire ou non. .6.6.1 Principe de fonctionne ment : Un IDS est plac en gnral derrire le firewall, il fournit des informations sur les donnes circulant lintrieur du rseau aprs avoir t filtres. Une alerte sera dclenche si ces donnes prsentent un danger, notamment une tentative dintrusion. De manire gnrale, un systme de dtection des intrusions assure les tches suivantes: Dtection des techniques de scan des ports, prise d'empreintes des OS, etc. Dtection de paquets non-conformes aux RFCs (Paquets de taille anormale, etc.) Dtection des manipulations suspectes internes un rseau (par exemple, les actions juges dangereuses d'un salari connect au rseau interne d'une entreprise) Dtection de la prsence de virus dans le rseau interne. Analyse des fichiers de journaux (les fichiers Logs) gnrs par les firewalls, les routeurs, etc.
Corrlation de multiples sources d'vnements de scurit.
Page | 54
.6.6.2 Types dIDS Un IDS peut exister sous deux formes diffrentes, chacune est ddie une tche particulire et les deux sont complmentaires :
HIDS Un HIDS (Host based Intrusion Detection System) se comporte comme un logiciel standard sur un systme, sa tche se limite surveiller la machine sur laquelle il sexcute. Il examine les nouvelles entres dans les journaux dvnements, si une entre correspond une des rgles prconfigures, une alerte est gnre.
NIDS Un NIDS (Network based Intrusion Detection System) se comporte comme un processus logiciel sur un matriel ddi. Il capture le trafic rseau et lanalyse suivant des rgles et des signatures quil possde. Si ce trafic est digne dintrt, le NIDS gnre une alerte pour attirer lattention de ladministrateur du rseau. .6.6.3 Les Mthodes de dtection Les IDS actuels dtectent les intrusions en se fondant sur deux approches principales : .6.6.3.1 Approche par scnario: Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire des scnarios typiques. Elle ne tient pas compte des actions passes de lutilisateur et utilise des signatures dattaques (ensemble de caractristiques permettant didentifier une activit intrusive : une chane alphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ). .6.6.3.1.1 Les techniques de dtection : L'approche par scnario est base sur plusieurs techniques, telle-que :
1. Recherche de motif (Pattern Matching) La mthode la plus connue et la plus facile comprendre. Elle se base sur la recherche de motifs (chanes de caractres ou suite doctets) au sein du flux de donnes. LIDS comporte une base de signatures o chaque signature contient les protocoles et port utiliss par lattaque ainsi que le motif qui permettra de reconnatre les paquets suspects.
Page | 55
Le principal inconvnient de cette mthode est que seules les attaques reconnues par les signatures seront dtectes. Il est donc ncessaire de mettre jour rgulirement la base de signatures.
2. Recherche de motifs dynamiques Le principe de cette mthode est le mme que prcdemment mais les signatures des attaques voluent dynamiquement. LIDS est de ce fait dot de fonctionnalits dadaptation et dapprentissage.
3. Analyse de protocoles Cette technique analyse des donnes et vrifie leur conformit avec les RFC des protocoles utilises. Lavantage de cette technique est quelle permet de dtecter des attaques inconnues, simplement parce que le trafic nest pas conforme aux RFC. Le principal inconvnient est la gnration de faux positifs (fausses alertes) due au non respect des RFC par de nombreux constructeurs et diteurs (Cisco et Microsoft en tte). En effets, ces derniers ont souvent tendance modifier les fonctionnalits des RFC afin de mieux les adapter leur offre. .6.6.3.2 Approche Comportementale: Cette technique consiste dtecter une intrusion en fonction du comportement anormal passe de lutilisateur. Pour cela, il faut pralablement dresser un profil utilisateur partir de ses habitudes et dclencher une alerte lorsque des vnements hors profil se produisent. Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications et services. Plusieurs mtriques sont possibles : le volume de donnes changes. le temps de connexion sur des ressources. la rpartition statistique des protocoles et applications utiliss. les heures de connexion,
Cependant elle possde quelques inconvnients : peu fiable : tout changement dans les habitudes de lutilisateur provoque une alerte. ncessite une priode de non fonctionnement pour mettre en uvre les mcanismes dauto-apprentissage : si un pirate attaque pendant ce moment, ses actions seront
Page | 56
assimiles un profil utilisateur, et donc passeront inaperues lorsque le systme de dtection sera compltement mis en place. Ltablissement du profil doit tre souple afin quil ny ait pas trop de fausses alertes : le pirate peut discrtement intervenir pour modifier le profil de lutilisateur afin dobtenir .6.6.3.2.1 Les techniques de dtection L'approche comportementale est base sur plusieurs techniques, on citera dans ce qui suit quelques-unes : [TH3]
1. Observation de seuils : Il s'agit de l'utilisation de la mthode de classification de BAYE (observation du seuil). Cette mthode permet de fixer le comportement normal d'un utilisateur par la donne de seuils certaines mesures (par exemple le nombre maximum de mots de passe errons). Si le comportement d'un utilisateur dvie sur la valeur du seuil, le model de dtection gnre une alarme.
2. Profilage des utilisateurs : L'ide est d'tablir des profils individuels de chacun des usagers du systme. Au fur et mesure que l'utilisateur change ses activits, son profil de travail attendu se met jour. Il reste cependant difficile de dterminer un profil pour un utilisateur irrgulier ou trs dynamique.
3. Profilage des groupes : Pour rduire le nombre de profil grer, on classe les utilisateurs par groupes. Le profil d'un groupe est par la suite calcule en fonction de l'historique de ses activits. On vrifie que les individus du groupe travaillent d'une manire uniforme et ne devient pas par rapport a ce qu'a t dfini comme profil du groupe. Cependant, il n'est pas vident de trouver le groupe le plus approprie a une personne. D'ailleurs, il est parfois ncessaire de crer un groupe un seul individu.
4. Profilage d'utilisation de ressources : Il s'agit d'observer l'utilisation de certaines ressources (comme les CPU, les ports de communication, les comptes, les applications, la mmoire) sur de longues priodes et de comparer les activits courantes par rapport a ce qui a t observe dans le passe. On peut aussi observer les changements dans l'utilisation des protocoles rseau et rechercher les ports qui
Page | 57
voient leur trafic augmenter anormalement. Les expriences ont montre, cependant, qu'il est difficile d'interprter les carts par rapport au profil normal.
5. Profilage de programmes excutables : Certains virus, chevaux de Troie et d'autres programmes malveillants peuvent tre dtectes en profilant la faon dont les objets du systme comme les fichiers ou les imprimantes sont utilises par les programmes de confiance. En d'autres termes, le profilage de programmes excutables consiste observer l'utilisation des ressources du systme par certains programmes excutables dans le but de dtecter des dviations par rapport a ces comportements. On peut par exemple dtecter le fait qu'un serveur se met couter sur des ports autres que ceux qu'il utilise d'habitude.
.6.7 Laudit de scurit Un audit de scurit a pour seul but de mettre en vidence les points forts et les points faibles dune politique de scurit. Laudit vrifiera la cohrence de celle-ci. Des audits sont ncessaires suite la mise en place initiale d'une politique de sc urit, puis rgulirement pour s'assurer que les mesures de scurit sont mises niveau et que les usages restent conformes aux procdures. .6.7.1 Mthodologies d'audit de la scurit La mission d'audit de la scurit est une opration qui englobe divers volets ayant des relations directes avec le systme d'information touchant les facteurs humains,
organisationnel, technique, physique, environnemental et voir mme des facteurs de qualit, ce qui rend l'opration d'audit assez complexe et assez vaste. Cet aspect a oblig les auditeurs dvelopper des dmarches claires et exhaustives pour couvrir toute l'opration d'audit. Ces dmarches sont traduites sous forme de mthodologies dfinissant des mthodes claires et efficaces pour la mission. .6.7.2 Type des Mthodologies utilise : Les mthodologies se sont gnralises pour offrir une sorte de standard pouvant tre un support aux auditeurs. Les mthodes d'audit de la scurit informatique sont la base d'une politique efficace et, bien souvent, des choix actionnels de gestion des risques.
Page | 58
Il existe en ce moment plusieurs mthodologies d'audit prives et publiques dont : Mthodologies issues d'institutions gouvernementales EBIOS ( Expression des Besoins et Identification des Objectifs de Scurit) ITIL (IT Infrastructure Library) CRAMM MARION (Mthodologie dAnalyse de Risque Informatique Oriente par Niveaux) MEHARI ( Mthode Harmonise dAnalyse de Risque) COBIT ( Control Objectives for Information and Technology)
Mthodologies issues d'associations de scurit -
Mthodologies issues de boites prives CALLIO SCORE COBRA ( Consultative, Objective and Bi- functional Risk Analysis)
.6.7.3 Dmarche d'audit de scurit Un audit de scurit consiste valider les moyens de protection mis en uvre sur les plans organisationnels, procduraux et techniques, au regard de la politique de scurit en faisant appel un tiers de confiance experte en audit scurit informatique. .6.7.3.1 Audit organisationnel de scurit L'objectif d'un audit organisationnel de scurit est d'tablir un tat des lieux complet et objectif du niveau de scurit de l'ensemble du systme d'information sur les plans organisationnels, procduraux et technologiques. Cette phase peut couvrir l'organisation gnrale de la scurit : Rglementation, procdures, personnel la scurit physique des locaux (lutte anti- incendie, contrle des accs, sauvegarde et archivage des documents), l'exploitation et administration (sauvegarde et archivage des donnes, continuit du service, journalisation) les rseaux et tlcoms (matriel (routeurs, modems, autocommutateur..), contrle des accs logiques (lignes et transmission)
Page | 59
les systmes (poste de travail, serveur, logiciels de base, solution antivirale) et les applications (mthodes de dveloppement, procdures de tests et de maintenance,..)
.6.7.3.2 Audit technique de scurit : L'audit technique s'effectue en trois phases : a. Phase dapproche Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Au cours de cette phase, lauditeur effectue : Des tests de sondage rseau et systme pour dterminer les services rseau, les types dapplications associes et de leur mises jour, les partage rseau et les mesures de scurit mises en uvre. Les outils de scan les plus utiliss : Nmap, Nsat, Knocker Des tests de sondage des flux rseau pour analyser le trafic, identifier les protocoles et les services prdominant au niveau du rseau audit, le taux dutilisation ainsi que les flux inter-station. Les outils utiliss sont : Ntop, Iptraf et Network Probe. b. Phase danalyse des vulnrabilits Au cours de cette phase, lauditeur dtermine, laide des rsultats obtenus ltape prcdente, les vulnrabilits potentielle et des outils ncessaire a leur exploitation. En pratique, lauditeur teste la rsistance du systme face aux failles connues, via une analyse automatise des vulnrabilits, ainsi il tablit pour chacune le type des applications et des services concerns. Les outils de test automatique : Nessus, Sara, Whisker,Webserver,. c. Phase de tests intrusifs Lobjectif des tests intrusifs est dexpertiser larchitecteur technique dploye et de mesurer la conformit des configurations rseaux (firewall, commutateurs, sondes, etc.) avec la politique de scurit dfinie et les rgles de lart en la matire. Les tests dintrusion commencent par une phase de collecte des informations disponibles publiquement, sans interagir avec lenvironnement cible puis il sagit de localiser et caractriser les composants cibles ( systmes dexploitation et services applicatifs, positionnement des quipements les uns par rapport aux autres, types de dispositifs de scurit mis en uvre, etc.), cest la phase de cartographie de lenvironnement cible et enfin
Page | 60
il sagit dexploiter les vulnrabilits mises en vidence pendant les phases prcdentes de faon obtenir un accs non autoris aux ressources. . .7 Conclusion : Ltablissement dune politique de scurit par les entreprises qui offre des services de systme dinformation, elle leur oblige dtre lpanouir des nouvelles mcanismes et mesures de scurit qui ncessite une amlioration et un renouvellement a sa politique de scurit, et aussi elle leur oblige de respect certains normes mondiales dans le domaine de scurit de systme dinformation comme la norme ISO 27001 [Annexe], et ca pour quelle obtenir une certification par la quelle lentreprise est identifier comme entreprise de confiance.
Page | 61
Chapitre IV : Conception
IV.1 Introduction :
De nos jours, toutes les entreprises possdant un rseau local qui ont aussi un accs Internet, afin d'accder la manne d'information disponible sur le rseau des rseaux, et de pouvoir communiquer avec l'extrieur. Cette ouverture vers l'extrieur est indispensable, et dangereuse en mme temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux trangers pour essayer de pntrer le rseau local de l'entreprise. Et pour parer ces attaques, une architecture scurise est ncessaire. Pour cela, le cur d'une telle architecture est bas sur un firewall et de mieux un firewall matriel qui propose un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu et sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes. Dans ce chapitre on va dfinir la conception de notre projet q ui va tudier la configuration de base dun firewall dans un rseau dentreprise, et pour cela notre premire tape elle va prsenter le firewall et ces principaux caractristiques, aprs en va tudier un cas prsenter par lorganisme daccueille o on va laborer une solution de scurit.
IV.2 Dfinition de fire wall : Le Firewall est un systme physique (matriel) ou logique (logiciel) qui permet une organisation de mettre en place un primtre de scurit entre Internet et son rseau informatique interne, afin de contrler et ventuellement bloquer la circulation des paquets de donnes, en analysant les informations contenues dans les couches 3, 4 et 7 du modle OSI. Il dtermine : Les services internes pouvant accder lextrieur (Internet). Les services externes pouvant accder au rseau Interne.
Internet
Rseau Externe
DMZ
Rseau Interne
Pare-feu LAN
Figure IV-1: la mise en place de firewall
Page | 62
Le firewall doit donc contrler tout le trafic Internet quil soit entrant ou sortant. Une fois le trafic autoris entrer, il nest plus possible de revenir en arrire. Toute action est donc irrversible. Le firewall contient un ensemble des rgles prdfinies permettant : Dautoriser la connexion De bloquer la connexion De rejeter la demande de connexion sans avertir lmetteur
IV.3 Types de pare-feu : On va distinguer par la suite trois diffrents types de firewall : les firewalls bridge les firewalls logiciels les firewalls matriels
IV.3.1 Les pare-feux bridge Ces derniers sont assez rpandus. Ils agissent comme de vrais cbles rseau avec la fonction de filtrage en plus, d'o leur appellation de firewall. Ils ne disposent pas d'adresse IP sur leurs interfaces, et ne font que transfrer les paquets d'une interface a une autre en leur appliquant les rgles prdfinies. Cette absence dadresse IP est particulirement utile, car cela signifie que le firewall est indtectable sur le rseau. Ces firewalls se trouvent typiquement sur les Switch.
IV.3.2 Les pare-feux logiciels Prsents la fois dans les serveurs et les machines, on peut les classer en plusieurs catgories : Les fire walls personnels Ils sont pour la plupart commerciaux et ont pour but de scuriser un ordinateur particulier, souvent payants, ils peuvent tre contraignants et quelque fois trs peu scuriss. En effet, pour rester accessible l'utilisateur final, ils s'orientent plus vers la simplicit d'utilisation, et donc mettent de ct laspect technique. Les fire walls plus sre Ils se trouvent gnralement sous Linux, car ce systme dexploitation offre une scurit rseau plus leve et aussi un contrle plus prcis.
Page | 63
IV.3.3 Les pare-feux matriels Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intgrs directement dans la machine, ils font office de boite noire , et ont une intgration parfaite avec le matriel. Leur configuration est souvent relativement difficile, mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de par leur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnrables aux attaques, car prsent dans la boite noire qu'est le routeur. IV.4 Fonction principale dun fire wall : Un firewall implmente trois fonctions basiques : Le filtrage Translation dadresse Contrle daccs
IV.4.1 Filtrage : Les types de filtrage les plus courants sont :
IV.4.1.1 Le filtrage simple de paquets Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donne change transitent par le pare- feu et possdent les en-ttes suivants, systmatiquement analyss par le firewall : adresse IP de la machine mettrice adresse IP de la machine rceptrice type de paquet (TCP, UDP, etc.) numro de port. Les adresses IP contenues dans les paquets permettent didentifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis.
Page | 64
IV.4.1.2 Le filtrage dynamique (stateful inspection) Le systme de filtrage dynamique de paquets (stateful inspection ou stateful packet filtering, en franais filtrage de paquets avec tat) est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Il est ainsi capable d'assurer un suivi des changes, c'est--dire : de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment o une machine autorise initie une connexion une machine situe de l'autre ct du pare- feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu.
IV.4.1.3 Le filtrage applicatif Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utiliss par chaque application. Et des applications prsentes sur le rseau, et notamment de la manire dont elle structure les donnes changes (ports, etc.). IV.4.2 Translation dadresse : Le firewall est souvent l'endroit o l'on implmente un NAT (Network Address Translation, ou en franais, Translation dadresse rseau). Ceci permet d'viter l'obligation de fournir une adresse IP officielle chaque machine du rseau interne. A partir de ce point on en vient au concept de scurit priphrique. La traduction d'adresse qui consiste rcrire les champs adresse IP source et/ou destination pour permettre le routage d'adresses prives, rpondre la pnurie d'adresses IPv4, tenter de dissimuler le plan d'adressage interne. Et cette technique et dfinis par la solution NAT.
Page | 65
IV.4.3 Contrle daccs : Le firewall dfini un contrle daccs par une liste qui contiens des adresses IP ou des numros de ports autoriss ou interdits par le dispositif de filtrage. Les ACL (Access Control List, ou en franais, liste de contrle d'accs) sont diviss en deux grandes catgories : [WIKI]
ACL standard : Ne peut contrler que deux ensembles, l'adresse IP source et une partie de l'adresse IP source, au moyen de masque gnrique.
ACL tendue : Peut contrler l'adresse IP de destination, la partie de l'adresse de destination (masque gnrique), le type de protocole (TCP, UDP, ICMP, etc.), le port source et de destination.
IV.5 Etude dun cas : Notre projet a t labor au sein de la socit Algrie Tlcom, cette dernire est ne de la restructuration de secteur de tlcommunication sous lancrage juridique de la loi 2000-03 du 05 aot 2000 fixant les rgles gnrales relatives la poste et aux tlcommunications. Les activits dAlgrie Tlcom sarticulent principalement autour de la fourniture des services de tlcommunication permettant le transport de la voix, de messages crits, de donne numrique, dinformation audiovisuelle, et du dveloppement de lexploitation et de la gestion des rseaux publique et prives de la tlcommunication, et elle tablir de lexploitation et de gestion des interconnexions avec tous les oprateurs de rseau de tlcommunications. Dans notre projet, on va mettre en place un firewall matriel dans une partie darchitecture de rseau interne propos parmi larchitecture globale d Algrie Tlcom, et la figure suivante lindique :
Page | 66
Internet
DMZ
Ethernet
Routeur Cisco ASA
Ethernet
Figure V-2 : Rseau dAlgrie Tlcom
Dans cette architecture la solution de scurit propose est de faire cacher le rseau interne (dAlgrie Tlcom) depuis lextrieur (Internet).
Et pour cela on va utiliser : Des adresses prives pour permettre aux htes de rseau interne (Algrie Tlcom) de communiquer entre eux. La solution de NAT (Translation dadresse IP) pour permet au machines de rseau interne de communiquer a lInternet. Lquipement Cisco ASA 5550 pour dvelopp notre dmarche.
Page | 67
IV.5.1 Adresse IP prives :
Espace d'adressage public : (Voire le Chapitre I) L'espace des adresses gres par l'IANA. Ces adresses sont globalement uniques, elles sont routes sur l'Internet.
Espace d'adressage priv : (Voire le Chapitre I) L'espace des adresses utilises en interne par un site NAT. Ces adresses sont gnralement celles dfinies par le RFC 1918, ils ne sont pas routables.
IV.5.1.1 Pourquoi avoir des adresses prives ? Grer la pnurie dadresses au sein dun rseau Masquer lintrieur du rseau par rapport lextrieur (le rseau peut tre vu comme une seule et mme machine) Amliorer la scurit pour le rseau interne Assouplir la gestion des adresses du rseau interne Faciliter la modification de larchitecture du rseau interne
IV.5.2 Translation dadresses rseau (NAT) NAT (Network Address Translation, ou en franais Translation dadresse rseau) est un mcanisme permettant de conserver les adresses IP enregistres dans des rseaux de grande taille et de simplifier la gestion de ladressage IP. Lorsquun paquet est rout par un quipement de rseau, gnralement un pare-feu ou routeur, ladresse IP prive (rseau interne), est traduite en une adresse IP publique routable. Cela permet de transporter le paquet sur des rseaux externes publics, tels quInternet. Ladresse IP publique de la rponse est ensuite retraduite en une adresse IP prive pour tre livre sur le rseau interne.
Donc le NAT permet de masquer les adresses prives des rseaux locaux derrire une adresse publique.
Page | 68
IV.5.2.1 Les diffrents concepts de NAT :
1. NAT statique (SNAT) SNAT (Static Network Address Translation), est l'association d'une adresse IP interne. Cette association est effectue par le pare- feu en remplaant dans les paquets l'adresse IP interne par l'adresse externe. Ainsi, le pare- feu va faire cette modification dans l'entte IP du paquet. Le NAT statique, en associant une adresse IP publique une adresse IP priv, permet seulement un ordinateur dans le rseau priv d'accder Internet. Par contre, avec cette stratgie il faut possder une adresse publique par ordinateur qui ncessite l'accs Internet.
2. NAT dynamique (DNAT) Le NAT dynamique est l'association d'une adresse publique plusieurs adresses IP priv. Cette stratgie, souvent appele en anglais "IP masquerading", permet plusieurs ordinateurs d'un rseau local d'accder Internet via une seule adresse IP publique. Le fonctionnement du NAT dynamique est diffrent de celui du NAT statique. En effet, le firewall qui gre cette stratgie doit la fois faire une association d'adresse IP et un changement de ports TCP/UDP.
IV.5.2.2 Te rminologie du NAT : On fera la distinction entre interne et externe. Les adresses internes : sont celles qui sont matrises par l'administrateur du rseau d'extrmit. Les adresses externes : sont celles dont on na pas la matrise et qui font partie d'un rseau public tel que l'Internet.
On fera aussi la distinction entre adresses locales et globales. Les adresses locales : sont celles qui ne sont pas ncessairement des adresses lgitimes Les adresses globales : sont celles qui sont routables, qui ont une signification porte globale.
Page | 69
Concrtement, Cisco dfinit les termes suivant pour la configuration du NAT

Tableau IV-1 : Terminologie du NAT
Terminologie
Traduction
Description Ladresse IP attribue un hte du rseau interne. Cette adresse est probablement une adresse prive RFC 1918. Une adresse IP lgitime attribue par le fournisseur daccs, et qui reprsente une ou plusieurs adresses IP locales internes pour le monde extrieur. Ladresse IP dun hte externe telle que la connaissent les htes du rseau interne. Ladresse IP attribue un hte du rseau externe. Cest le propritaire de lhte qui attribue cette adresse.
Inside local address
Adresse locale interne
Inside global address
Adresse globale interne
Outside local address
Adresse locale externe
Outside global address
Adresse globale externe
Le schma suivant explique cette Terminologie
202.6.3.2 Internet 179.9.8.80
10.0.0.3
126.23.0.1
Externe
10.0.0.2 Interne
Inside local address

10.0.0.2 10.0.0.3
Inside global address

179.9.8.80 179.9.8.80
Outside local address

202.6.3.2 126.23.0.1
Outside global address

202.6.3.2 126.23.0.1
Figure V-3 : Terminologie du NAT
Page | 70
IV.5.2.3 Porte du NAT : On peut utiliser le NAT dans diffrents cas :
On dispose d'une multitude d'htes adresss de manire prive et on a une seule ou quelques adresses IP globales (publiques).
On doit changer des adresses internes. Au lieu de les changer, on les traduit par du NAT. Il contribue amliorer la scurit des rseaux internes puisqu'il les cache.
IV.5.3 Prsentation du Cisco ASA 5550 : Une entreprise qui dpend de son rseau a besoin d'une scurit sans faille. Les Appareils de Scurit Adaptative de la Gamme Cisco ASA 5500 garantissent une scurit optimale suffisamment souple pour s'adapter la croissance et l'volution de lentreprise. Le Cisco ASA 5550 (Adaptive Security Appliance ou en franais Appareils de Scurit Adaptative) est un Serveur de scurit multifonctions de nouvelle gnration fais parti de la Gamme Cisco ASA 5500, il protge les rseaux de grand tailles contre les attaques de rseau, les menaces applicatives, et scurise les changes inter-sites et nomade--site. La trs haute performance de lASA est particulirement indique pour les rseaux qui transportent de la voix et de la vido. [CIS]
Figure V-4 : Cisco AS A 5550
IV.5.3.1 Les caract ristiques Matrielle de Cisco ASA 5550 : Le Serveur Cisco ASA 5550 permet la normalisation sur une unique plate-forme afin de rduire les frais oprationnels associs la scurit. Lenvironnement commun de configuration simplifie la gestion et rduit les cots de formation du personnel tandis q ue la
Page | 71
plate- forme matrielle commune de lASA permet de raliser des conomies sur les pices de rechange. Il rpond aux besoins spcifiques dun environnement du rseau de lentreprise :
Tableau IV-2 : Caractristi ques Matrielle de Cisco ASA 5550
Caractristiques Utilisateur type Rsum des performances Dbit maximal du firewall Dbit maximal du VPN Nombre maximal du VPN site site et distance Nombre maximal de connexions VPN SSL 1 Nombre maximal de Connexions Nombre maximal de connexion par second Paquets par seconde (64 octets) Rcapitulatif technique Mmoire (Mo) Mmoire Flash systme (Mo) Interfaces virtuelles (VLAN) Fonctionnalit Protection de la couche applicative Pare-feu de couche 2 transparent Contextes de scurit (intgrs / maximum) 2 quilibrage de charge et mise en grappe des VPN Haute disponibilit
Description Entreprise de grande taille
1200 Mbits/s 425 Mbits/s 5 000 5 000 650 000 28 000 600 000
4096 64 250
Oui Oui 2/50 Oui Actif/actif, actif/veille
IV.5.3.2 Les caract ristiques fonctionnelles de Cisco ASA 5550 : LASA 5550 est un pare-feu a inspection dtat, pour assurer le suivi des changes et utilise lASA Adaptive Security Algorithme pour ce filtrage dynamique. Il peut contrler laccs de diffrent application, services, et protocoles et protge le rseau contre les attaques connues et courantes.
Page | 72
IV.5.3.3 Avantages de Cisco ASA : [CIS] Lappareil de scurit adaptative Cisco ASA 5550 offre de nombreux avantages : Personnalisation : personnaliser le systme de scurit en fonction des besoins d'accs et de la politique de l'entreprise. Flexibilit : on peut facilement ajouter des fonctionnalits ou mettre jour un appareil au fur et mesure que lentreprise se dveloppe et que les besoins voluent. Scurit avance : lentreprise peut profiter des dernires technologies en matire de scurit de contenu, de chiffrement, d'authentification, d'autorisation et de prvention des intrusions. Simplicit : lutilisation dun seul priphrique facile installer, grer et contrler. Mise en rseau avance : lentreprise peut configurer des rseaux privs virtuels (VPN) offrant aux utilisateurs nomades et distants un accs parfaitement scuris aux ressources de l'entreprise. Elle peut galement crer des rseaux VPN avec d'autres bureaux ou entre ces partenaires ou employs selon leur fonction. IV.5.3.4 As pects du Cisco ASA 5550 : La plate- forme Cisco ASA 5550 comporte des composants physiques externes et dautre interne rpondre a des besoins spciaux pour la gestion de rseau : IV.5.3.4.1 As pects Externe : Dans la suite on va voir les principaux composants externes de la plate- forme Cisco ASA 5550 1. Panneau arrire : Interface rseau : L'adaptation de scurit interne de l'appareil dispose de deux bus fournissant cuivre et fibre Gigabit Ethernet, Gigabit Ethernet:
Page | 73
Figure V-5 : interfaces rseau au panneau arrire
Slot 0 (correspondant Bus 0) a embarqu quatre ports Gigabit Ethernet en cuivre Slot 1 (correspondant Bus 1) a embarqu quatre ports cuivre Gigabit Ethernet et quatre l'appui intgr SFP fibre Gigabit Ethernet
Dans le Slot 0 On trouve dans le Slot 0 les LED et les ports et dautre composant la figure suivante lindique : LED (Light-Emitting Diode): est un composant lectronique capable dmettre de la lumire lorsquil est parcouru par un courant lectrique
Ports : sont des lments matriels permettant au systme de communiquer avec des lments extrieurs, c'est--dire d'changer des donnes, ou on peut lappel port d'entresortie (note parfois interface d'E/S).
Figure V-6 : les composants dAS A dans le Slot 0
Page | 74
Tableau IV-3 les composants dans le Slot 0
N Description 1 2 Gestion de Port 1 Slot Compact Flash extrieures 3 Serial Port console 2
N Description 6 7 USB 2.0 3 Interfaces de rseau 4
N Description 11 12 VPN LED Flash LED AUX port 5
Indicateur de puissance LED
13
Power Switch
LED indicateur de l'tat
14
Connecteur d'alimentation
Indicateur de puissance LED
10
Active LED
La gestion de 0 / 0 est une interface Fast Ethernet interface conue pour la gestion du trafic
seulement.
2
Est une interface en ligne de commande qui est une interface homme- machine sert
configurer lASA via un cble console

3
Rserv pour utilisation future. Gigabit Ethernet interfaces (de droite gauche) :
Gigabit Ethernet 0 / 0, Gigabit Ethernet 0 / 1, Gigabit Ethernet 0 / 2, et Gigabit Ethernet 0 / 3.

5
Port AUX sert administrer lASA distance.
Indicateur LED On remarque dans cette figure quil y a deux indicateur LED dans chaque interface un dans le ct gauche et lautre dans le ct droit : Le ct gauche indique le lien physique Le ct droit indique la vitesse de connexion
Figure V-7 : In dicateur LED
Page | 75
Tableau IV-4 : Indicateur LED
N 1
Description MGMT indicateur LED
N 2
Description Interface rseau LED
Tableau IV-5 : Le voyant de LED
Indicateur Ct gauche
Couleur Vert Vert clignotant Pas allum Vert Amber (orange)
Description Lien physique L'activit du rseau 10 Mbps 100 Mbps 1000 Mbps
Ct droit
Dans le Slot 1 : Dans le Slot 1 des Ports Ethernet et des Fibre de port Ethernet et dautres composants la figure suivante lindique
Figure V-8 : Les ports et les voyants dans le Slot 1
Tableau IV-6 : les composants dans le Slot 1
N 1 2 3 4
Description Ports Ethernet Cuivre RJ-45 LED Lien RJ-45 LED de vitesse Power LED
N 5 6 7 8
Description LED d'tat Fibre de ports Ethernet SFP Link LED SFP Speed LED
Page | 76
Tableau IV-7 les voyants dans la fente 1
N 2, 7
LED LINK VITESSE
Couleur Vert Hors tension
tat Solide Clignotant 10 Mo 100 Mo 1000 Mo Solide Clignotant Solide Solide
Description Il existe un lien Ethernet. Il ya activit Ethernet. Il n'y a pas de rseau. Il est l'activit du rseau 100 Mbps. Il est l'activit de rseau 1000 Mbps. Le systme a le pouvoir. Le systme dmarre. Le systme dmarre correctement. Le systme de diagnostic a chou.
3, 8 4 POWER
Vert Amber Vert Vert
STATU
Vert Amber
2. Panneau avant LED de panneau avant Dans cette partie, on montre les LED sur le panneau frontal de l'Appliance de scurit adaptative.
Figure V-9 : LED de panneau avant
Tableau IV-8 : LED de panneau avant
N 1
LED Puissance
Couleur Vert Vert Amber
tat Solide Clignotant Solide Solide Clignotant Solide Solide
Description Le systme a le pouvoir. Le systme de dmarrage de diagnostic est en cours d'excution Le systme a russi la mise sous tension de diagnostic. Le power-up de diagnostic a chou. l'activit de rseau est en cours. Tunnel VPN est tabli. Le compact flash est accessible
tat
3 4 5
Active VPN Flash
Vert Vert Vert
Page | 77
IV.5.3.4.2 As pects Interne : Dans la suite on va distinguer les principaux composants internes de la plate-forme Cisco ASA 5550 : UC : LUnit Central, ou microprocesseur excute les instructions du systme dexploitation dun pare- feu. Ses principales fonctions sont, entre autres, linitialisation du systme, le contrle de linterface rseauetc. RAM : Une mmoire vivre est utilise pour stocker les informations de table de routage, la mmoire cache commutation rapide, la configuration courante et les files dattente de paquets. ROM : La mmoire morte sert stocker de faon permanente le code de diagnostic de dmarrage (ROM Monitor) Logiciel (SOFT) : Systme dexploitation appel IOS (Internetworking Operating System) rpondre au besoin dutilit pour les quipements Cisco. Mmoire flash : Est reprsente une sorte de ROM effaable et programmable. Sur beaucoup de pare-feu, le flash est utilis pour stock une image complte de systme dexploitation IOS.
NVRAM : La mmoire vive rmanente sert stocker la configuration de dmarrage. Dans certains quipements, reprogrammables. Inte rfaces : Les interfaces permettent lASA de se connecter avec lextrieur. Il possde 04 types dinterfaces: Gigabit Ethernet, Fibre, Console et AUX. Alime ntation : Lalimentation fournit lnergie ncessaire au fonctio nnement des composants internes la mmoire NVRAM est constitue de mmoires mortes
Page | 78
IV.5.3.5 quilibrage de la circulation pour maximiser le dbit : Afin de maximiser le dbit de circulation il faut configurer l'appareil de scurit d'adaptation pour que le trafic soit rparti galement entre les deux autobus (Slot 0 et Slot 1) dans le dispositif. Et pour atteindre cet objectif, la mise en rseau de lquipement va respecter lidentification dun bus dentrer et un autre de sortie, afin que tous les flux de trafic la fois par bus 0 (Slot 0) et le bus 1 (Slot 1). Dans la Figure IV-10 et la Figure IV-11, le trafic sur le rseau est distribu entre les deux bus celle la permettant l'appareil de scurit d'adaptation doffrir un dbit maximal. C'est--dire : La configuration entre les interfaces de Slot 0 et les interfaces de Slot 1 fournie une circulation de flux, soit : 1- Entre les interfaces Gigabit Ethernet de Slot 0 et les interfaces Gigabit Ethernet de Slot1
Figure V-10 : Circulation par Gigabit Ethernet
2- Entre les interfaces Gigabit Ethernet de Slot 0 et les interfaces Fibre Gigabit Ethernet de Slot 1
Figure V-11 : Circulation par Gigabit Ethernet et Fibre
Page | 79
La Figure IV-12, illustre plusieurs configurations qui ne permettent pas l'Appliance de scurit adaptative de fournir un dbit maximum, car les flux de trafic rseau par un seul taxi sur le priphrique. C'est--dire La configuration entre les interfaces de mme bus (slot) il ne fournie pas une circulation de flux, soit : 1- Entre les interfaces Gigabit Ethernet de Slot 0 2- Entre les interfaces Fibre Gigabit Ethernet de Slot 1 3- Entre les interfaces Gigabit Ethernet de Slot 1 4- Entre les interfaces Gigabit Ethernet et les interfaces Fibre Gigabit Ethernet de Slot 1
Figure V-12 : Les config qui ne fournie pas la circulation
Page | 80
IV.5.4 Modes de base pour configurer Cisco ASA 5550 : Pour configurer les Appareils de Scurit Adaptative, Cisco a dfini deux modes de base, le premier cest le mode graphique appel ASDM (Adaptive Security Device Manager) et le deuxime par invite de commande CLI (Commande-Line Interface). Le mode ASDM (Adaptive Security Device Manager): Les Cisco ASA Firewall sont livrs avec un logiciel dadministration graphique ASDM, il est charg de l'Appliance de scurit, puis utilis pour configurer, surveiller et grer l'appareil. Il permet de rcuprer, modifier et administrer les politiques de scurit ainsi que de faire du monitoring.
Figure V-13 : La configuration par mode AS DM
Le mode CLI (Commande-Line Interface) : Un interprteur de commande et cest un programme gnralement fait partie des composantes de base dun systme dexploitation. Son rle est de traiter les commandes tapes au clavier par l'utilisateur. Ces commandes, une fois interprte auront pour effet de raliser telle ou telle tche d'administration, ou bien de lancer l'excution d'un logiciel.
IV.6 Conclusion :
Pou que notre firewall ASA soit bien configurer il faut suivre une mthode de configuration bien organis qui va nous aider par la suite de savoir les failles de la configuration plus rapidement. Et bien sur le branchement des cbles dans lquipement ASA soit bien fait et bien organise avec le respect de bien identifier le Slot dentrer et le Slot de sortie.
Page | 81
Chapitre V : Implmentation
V.1 Introduction :
La solution de NAT permet dlabor un rseau dentreprise a laide dutilisation des adresse priv et de convertir ces adresses qui non pas routable a des adresses routable pour pouvoir connect linternet, et donc cette solution faire face contre les menaces lie a lutilisation dinternet telle le Ping qui est une mthodes trs utilise par les attaquant ( lutilisation de la commande Ping depuis plusieurs machine pour ralentir un serveur) Dans notre implmentation en va voire les diffrents contextes pour faire configurer Cisco ASA, et on va traiter notre solution par la prsentation de touts les tapes ncessaires qui rpondre aux besoins de la socit.
V.2 Contextes de scurit : Pour faire laborer notre projet nous a vont besoin du : Un cble console Terminal Securecrt
Un cble console Est cble gnralement Blue paires inverses RJ-45 ( droite du la figure) et un adaptateur RJ-45 DB-9 ( gauche de la figure) il est utiliss pour connecter le port console un PC. Un cble console est ncessaire pour tablir une session en mode console (le mode CLI) afin de pouvoir vrifier ou modifier la configuration du firewall.
Figure V-1 : Un cble console
Pour ralise le cblage de firewall au rseau : 1- Branchez le cble paires inverses au port console du firewall- un connecteur RJ 45. 2- Branchez lautre extrmit du cble (ladaptateur RJ-45 DB-9) l'ordinateur, en le connectant sur un port srie de type DB-9 ou DB-25, selon les cas.
Page | 82
Le Terminal Securecrt v5.0 Un terminal de console est un terminal ASCII ou un PC excutant un logiciel dmulation de terminal tel que Securecret (o HyperTerminal quon peut le trouve sous Windows). SecureCRT combine les capacits de transferts de donnes avec l'enregistrement scuris de Secure Shell avec la fiabilit d'un mulateur de terminal Windows approuv.
V.3 Problme trait : Le rseau interne dAlgrie Tlcom va connecter linternet par lutilisation dun ASA firewall. Les deux rseaux locale et la DMZ sont dfinit comme des rseaux interne prenant des adresses IP prives, dans se cas l on va brancher cest deux rseau ou interfaces de mme Slot (Bus) de lASA. Le routeur va dfini le chemin de communication de rseau interne (qui va prendre des adresse IP publique) vers lextrieur (lInternet) ; alors on va faire brancher le routeur a une interface dun autre Slot (Bus). (Voire le Chapitre).
Pour raliser notre projet on va suivre les donnes suivantes :
Tableau V-1 : donnes de rseau
Nom LAN 1 LAN 2 DMZ group_secu group_admin dmz
@IP interne 192.168.1.2 172.16.4.4 10.3.0.0 172.16.16.0
Masque interne
@IP externe
Masque externe 255.255.255.0 255.255.255.0 255.255.255.0 Masque par dfaut
255.255.255.240 196.16.20.113 255.255.255.240 196.80.13.96 255.255.255.0 255.255.255.0 200.2.126.12 Route par dfaut
Routeur Outside
Le schma suivant explique se tableau
Page | 83
V.3.1 Sch ma explicatif de rseau
Internet
10.3.0.0 / 24
20 19 0.2 19 6.1 .12 6. 6. 6. 80 20 12 .1 .1 / 3. 13 24 96 / / 2 24 4
dmz
172.16.16.0 / 24 192.168.1.2 / 28
Routeur Cisco ASA
group_secu
172.16.4.4 / 28
group_admin
Figure V-2 : S chma explicatif de rseau
Page | 84
V.3.2 La configuration de Cisco ASA Aprs le branchement de cble console, on va maintenant configurer Cisco ASA on respectant les donnes prcdentes et le faire on va suivre les tapes suivantes :
V.3.2.1 Pre mi re tape : Connexion des interfaces en mode console (mode CLI)
Le port console est un port de gestion qui fournit un accs hors bande ASA 5550. Il est utilis pour la configuration initiale dun pare- feu, pour la surveillance, et pour les procdures de reprise aprs sinistre. (Voire le Chapitre)
a) Ouvrir une session avec Terminal SecureCrt Pour configurer les pare-feux Cisco, il faut accder leur interface utilisateur laide dun terminal ou via un accs distance. Dans notre projet on va configurer le pare-feu laide dun terminal, et pour ce la il faut installer le terminal Securecrt :
1- On clique sur Dmarre r puis Securecrt.
Page | 85
2- Une fois le Terminal fentre ouverte, on clique sur Connect
3- Sur la fentre Connect, on clique sur licne New session pour tablir une nouvelle session
Page | 86
4- Elle nous affiche la fentre dune nouvelle session, dans cette dernire on va choisi quelle type de connexion on vu la faire laborer
Elle nous offre plusieurs possibilits mais dans notre tude on va faire une connexion serial, c'est--dire lquipement est proche aux ladministrateur rseau
Page | 87
Puis on clique sur Suivant
5- Dans cette fentre on va entre les paramtres ncessaires pour faire laborer la connexion en mode serial. Les paramtres par dfaut du port console dfinit par Cisco sont : 9600 bauds 8 bits de donnes Aucune parit 1 bit darrt
Sous la rubrique Port on va slectionner Com2 (Il dfinit le type de port utilis).
Aprs, on va cliquer sur suivant
Page | 88
6- Dan cette fentre on va spcifier un nom pour la session laborer.
Notre session labore elle va prendre le nom ASA
Puis on clique sur Terminer
Page | 89
7- La session labore (ASA) elle va safficher
Aprs linstallation de Securecrt et louverture dune connexion on peut configurer notre firewall par lutilisation des commandes ncessaire pour le faire activ.
Page | 90
V.3.2.1 Deuxime tape : Dmarrage dun pare feu
1. Connexion au pare-feu Lors de laccs, lutilisateur doit se connecter au pare- feu avant de pouvoir entrer dautres commandes. Pour des raisons de scurit, le pare-feu offre trois niveaux daccs aux commandes :
mode utilisateur
ciscoasa >
mode privilgi
ciscoasa #
mode de configuration globale
ciscoasa (config)#
Figure V-3 : dmarrage dun pare-feu
Mode utilisateur : Mode par dfaut, on peut consulter certaines informations sur le pare- feu mais sans pouvoir effectuer de modification. Cest--dire que ce mode ne permet pas de modifier la configuration du pare-feu.
En mode utilisateur, on aura
ciscoasa>
Mode privilgi : Linvite du mode utilisateur saffiche lors de la connexion au pare- feu. Les commandes disponibles ce niveau sont un sous-ensemble des commandes disponibles en mode privilgi. La plupart de ces commandes permettent dafficher des donnes sans changer les paramtres de configuration du pare-feu.
En mode privilgi, on aura
ciscoasa #
Page | 91
Mode de configuration globale Il nest possible daccder au mode de configuration globale qu partir du mode privilgi. Ce mode permette de configurer le pare- feu c'est--dire quon peut inviter les commande et on peut changer les paramtres de pare-feu. Il est possible, partir du mode de configuration globale, daccder aux modes spcifiques suivants: Interface Ligne Pare-feu Routeur
En mode de configuration globale, on aura
ciscoasa (config) #
2. Configuration de base du Cisco ASA Firewall :
Pour pouvoir accder l'ensemble des commandes, il faut activer le mode privilgi. linvite ciscoasa>
Tapez enable (pour activer le mode privilgi)
ciscoasa> enable Linvite de password entrez le mot de passe qui a t dfini
password:********** Une fois les tapes de connexion termines, linvite devient ciscoasa #
Ce qui indique que le mode privilgi est actif.
Page | 92
Pour retourner au mode utilisateur partir du mode privilgi, il faut entrer la commande ciscoasa # disable.
Pour accder au mode de configuration globale partir de mode privilgi
ciscoasa# configure terminal
Elle devient ciscoasa (config) #
Pour retourner au mode privilgi partir du mode de configuration globale, tapez : ciscoasa (config) # exit
Pour configurer le mot de passe du firewall ciscoasa (config) # enable passeword {mot de passe} encrypted Mot de passe du mode privilgi. Sans le paramtre [encrypted], le mot de passe est crit en clair dans le fichier de configuration. Exemple: Firewall (config) # enable password supersecurepwd encrypted
Pour spcifie le nom d'hte du pare- feu
ciscoasa (config) # hostname {nom} Exemple : le nom dhte est : Firewall
ciscoasa (config) # hostname Firewall
Page | 93
Elle devient Fire wall (config) # Pour spcifie le nom de domaine auquel appartient le pare- feu. Fire wall (config) # domain-name {nom de domaine} Exemple : le nom de domaine est : securemanager.dz Firewall (config) # domain-name securemanager.dz
Pour Configure l'horloge et la date du pare-feu Fire wall (config) # clock set hh:mm:ss {mois jour | jour mois} anne
hh = heur,
mm = minute
ss = seconde
Exemple : Lhorloge est 20:54:00 et la date est 1 janvier 2009 Firewall (config) # clock set 20:54:00 janvier 1 2009 Ou : Firewall (config) # clock set 20:54:00 1 janvier 2009
Pour configurer une interface En premire tape on spcifier linterface concern de la connexion pour la configuration Fire wall (config) # interface Gigabitethernet N Slot / N interface Elle devienne Fire wall (config-if) #
Page | 94
N Slot = numro de slot (bus) concern par la connexion soit 0 ou 1 N interface= numro de linterface concern par la connexion soit 0 ou 1 ou 2 ou 3
Exemple : on prend linterface 1 de slot 0
Firewall (config) # interface Gigabitethernet 0/1
En deuxime tape on donne un nom pour linterface spcifie
Firewall (config-if) # nameif {nom}
Exemple : on prend linterface 1 de slot 0 par le nom Inside Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside
En troisime tape on spcifie le niveau de scurit de linterface Fire wall (config-if) # security-level {0100} Le niveau de scurit est varie entre 0 et 100, (0 dsigne le bas niveau et 100 dsigne le haut niveau de scurit, gnralement le 0 dfinit le rseau externe mais le 100 exprime le rseau interne) Exemple : on prend linterface Inside avec haut niveau de scurit Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside Firewall (config- if) # security-level 100
Page | 95
En quatrime tape on configure l'adresse IP et le masque pour l'interface. Fire wall (config-if) # IP address {ladresse IP} {masque} Exemple : on donne ladresse IP 10.2.1.1 par le masque 255.255.255.0 linterface Inside Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside Firewall (config- if) # security-level 100 Firewall (config- if) # IP address 10.2.1.1 255.255.255.0
En cinquime tape on va activer linterface.
Fire wall (config-if) # no s hutdown Et pour dsactiv linterface, on doit utiliser la commande suivante
Fire wall (config-if) # s hutdown
3. Configuration avance du Cisco ASA Firewall: NAT : La translation d'adresse rseau Est un mcanisme permettant, entre autre, de connecter plusieurs quipements rseau Internet via une seule adresse IP publique, leurs adresses internes restant ainsi inconnues de l'extrieur. Pour le configurer sur lASA, il faut utiliser les commandes suivantes. Ceci est ncessaire afin de faire communiquer les htes avec un haut niveau de scurit vers ceux ayant un niveau plus bas.
Page | 96
Activation de translation dadresse IP : et pour cela on va utiliser la commande suivante : Firewall (config) # nat {nom_interface} {nat_id} {IP} {masque}
Tableau V-2 : description pour la commande nat
Fire wall (config) # nat {nom_inte rface}
NAT est configur dans le mode de configuration globale. Active le NAT sur l'interface nomme, pour le rseau ou l'hte spcifi
nat_id
Est un chiffre unique, suprieur zro. Un id gale zro dsactive le NAT
IP masque
Adresse IP de rseau ou de lhte interne Le masque de rseau ou de lhte interne
Remarque : Une IP et un masque 0 autorise tous les htes dmarrer des connexions. Exemple : nat (inside) 1 0 0
La commande NAT est lie la commande globale qui spcifie les adresses utiliser pour la translation. Firewall (config) # global {nom_interface} {nat_id} {IP} {masque}
Tableau V-3 : description pour l a commande global
Fire wall (config) # {nom_interface}
Mode de configuration globale. Le nom dinterface spcifie la sortie Spcifie l'adresse IP utiliser sur l'interface spcifie la sortie pour les htes dmarrant une connexion depuis l'interface lie la nat_id. Ladresse IP de sortie et son masque rseau
nat_id {IP} {masque}
Page | 97
La route Pour dfinir le chemin de communication entre les rseaux soit une route statique ou par dfaut, Cisco ASA a dfinit la commande suivant : Firewall (config) # route {nom_interface} {IP} {masque} {IP_gateway} {metric}
Tableau V-4 : description pour la commande route
{nom_interface} {IP}{masque}
Le nom dinterface spcifie la route spcifie ladresse IP de chemin soit interne ou externe et son masque rseau
{IP_gateway} {metric}
Spcifier ladresse IP de routeur Spcifier le nombre de hops (saute) all au routeur spcifi. Si vous nt pas sur de nombre entrez 1 quest un nombre par dfaut
4. Dautre commande de la configuration de base :

Tableau V-5 : Dautre commande
Mode de config
Commande
Utilit Copie la configuration courante dans la mmoire Flash. (Cette configuration sera utilise au prochain
Firewall # Firewall # Firewall (config) # Firewall (config) # Firewall (config) #
write memory reload show running config show inte rface show IP
dmarrage). Redmarre lASA Affiche le fichier de configuration actif. Affiche les informations dtailles de l'interface Affiche la configuration IP des interfaces Affiche la configuration NAT : les interfaces
Firewall (config) #
show Nat
autorises initier des connexions vers des interfaces moins scurises.
Firewall (config) # Firewall (config) #
show global show route
Affiche les adresses utiliser pour les translations. Affiche les routes configures.
Page | 98
5. Commandes ddition avance L'interface utilisateur offre un mode d'dition avance nous permettant de modifier une ligne de commande au cours de la frappe. Utilisez les squences de touches illustres la figure pour placer le curseur sur la ligne de commande afin d'apporter des corrections ou des modifications. Le mode d'dition avance est automatiquement activ dans la version actuelle du logiciel.
Tableau V-6 : Commandes avance
Commande Ctrl-A Esc-B
Description Permet de revenir au dbut de la ligne de commande Permet de reculer dun mot
Ctrl-B (ou flche gauche) Permet de reculer dun caractre Ctrl-E Ctrl-F (ou flche droit) Esc-F Tab Permet datteindre la fin de la ligne de commande Permet davancer dun caractre Permet davancer dun mot Complte lentre
Pour gagner du temps lorsque on vous tapez des commandes, on peut entrer les caractres uniques de la commande. Appuyez sur la touche Tab, et linterface compltera lentre. Lorsque les lettres tapes identifient la commande de faon unique, la touche de tabulation ne fait que confirmer visuellement que lASA a compris de quelle commande il sagissait. Exemple : Firewall # conf Firewall # configure Appuyez sur la touche Tab
Page | 99
V.3.3 Trait le probl me :
1. Configur les interfaces de rseau interne Firewall # configure terminal LAN 1 Firewall (config) # interface GigabitEthernet0/1 Firewall (config- if) # nameif group_secu Firewall (config- if) # security-level 100 Firewall (config- if) # ip address 192.168.1.2 255.255.255.240
LAN 2 Firewall (config) # interface GigabitEthernet0/2 Firewall (config- if) # nameif group_admin Firewall (config- if) # security-level 100 Firewall (config- if) # ip address 172.16.4.4 255.255.255.240
DMZ Firewall (config) # interface GigabitEthernet0/3 Firewall (config- if) # nameif dmz Firewall (config- if) # security-level 50 Firewall (config- if) # ip address 10.3.0.0 255.255.255.0
Page | 100
2. Configur les interfaces de rseau externe
Routeur Firewall (config) # interface GigabitEthernet1/0 Firewall (config- if) # nameif Outside Firewall (config- if) # security-level 0 Firewall (config- if) # ip address 172.16.16.0 255.255.255.0
3. Configur le NAT
LAN 1
Firewall (config) # nat (group_secu) 4 192.168.1.2 255.255.255.240 Firewall (config) # global (Outside) 4 196.20.126.113 255.255.255.0
LAN 2
Firewall (config) # nat (group_admin) 3 172.16.4.4 255.255.255.240 Firewall (config) # global (Outside) 3 196.80.13.96 255.255.255.0
DMZ
Firewall (config) # nat (dmz) 6 10.3.0.0 255.255.255.0 Firewall (config) # global (Outside) 6 200.2.126.12 255.255.255.0
4. Configur la route
Firewall (config) # route Outside 0.0.0.0 0.0.0.0 172.16.16.0 255.255.255.0 1
Page | 101
V.3.4 Une image partir de SecureCrt : Par lutilisation de la commande show running config ASA Version 7.1(2) <context> ! hostname Firewall domain-name securemanager.dz enable password supersecurepwd encrypted names ! interface GigabitEthernet0/0 no nameif no security-level no ip address ! interface GigabitEthernet0/1 nameif group_secu security-level 100 ip address 192.168.1.2 255.255.255.240 ! interface GigabitEthernet0/2 nameif group_admin security-level 100 ip address 172.16.4.4 255.255.255.240 ! interface GigabitEthernet0/3 nameif dmz security-level 50 ip address 10.3.0.0 255.255.255.0 ! interface GigabitEthernet1/0 nameif Outside security-level 0 ip address 172.16.16.0 255.255.255.0 ! nat (group_secu) 4 192.168.1.2 255.255.255.240 nat (group_admin) 3 172.16.4.4 255.255.255.240 nat (dmz) 6 10.3.0.0 255.255.255.0 global (Outside) 4 196.20.126.113 255.255.255.0 global (Outside) 3 196.80.13.96 255.255.255.0 global (Outside) 6 200.2.126.12 255.255.255.0 route Outside 0.0.0.0 0.0.0.0 172.16.16.0 255.255.255.0 1
Page | 102
V.4 Conclusion:
Cisco ASA est un quipement qui peut fournir plusieurs mcanismes de scurit dans une seule plate-forme, le firewall un des ces mcanismes qui offre plusieurs fonctionnalit non seulement la translation des adresses rseau, le filtrage de trafic rseau daprs ou vers le rseau interne dentreprise est la principale fonction pour les adresses privs par dautre publique ou le contraire. un firewall, car il offre une
inspection pour touts les paquets transite sur le rseau, mais la NAT elle ne fait que convertir
Page | 103
Conclusion gnrale :
Dan cette mmoire on a tudi un mcanisme de scurit pour laborer une politique de scurit au sein dun rseau, il sagit de Firewall qui offre plusieurs solution pour faire face au menace qui peut atteindre un rseau dentreprise depuis lextrieur, ou on a parler sur les principaux fonctionnement comme le filtrage des paquet et aussi sur la translation des adresses IP (NAT). Cette dernire elle peut cacher le rseau dentreprise derrire un rseau publique cela il accompagnera de protger son rseau de plusieurs attaque qui ont dune source externe. Cependant ces menaces qui peut atteindre un rseau est aussi de so urce interne, un employer ou un utilisateur de rseau depuis lintrieur de lentreprise peut exploiter les faille de la politique de scurit, par une simple connaissance de rseau il peut accder a nimport quelle source dinformation dans des domaines et des taches quelle ne concerne pas, il peut voler, dtruire, et aussi modifier ces information. Et pour ces raisons la mise en place des mesures de scurit qui peuvent rduire les risques internes est trs ncessaire, une solution telle que les VLAN (Virtuel Local Area Network) est trs rpandu pour faire sparer les diffrent tache dune entreprise.
Page | 104
Annexe A : ISO 27001
La scurit selon la norme ISO 27001 1. Dfinition de la normalisation ISO : Au niveau mondial, lISO (International Organization for Standardization, ou en franais Organisation Internationale de Normalisation) a pour missions dlaboration de normes applicables, la promotion du dveloppement de la standardisation et activits annexes, ainsi que le dveloppement des cooprations dans les sphres dactivits intellectuelles, scientifiques, technologiques et conomiques. La cration de lISO remonte 1947 et il se compose actuellement de 156 membres (organismes nationaux de normalisation). Les rsultats principaux de ses travaux se formalisent travers la publication des standards internationaux : les normes ISO. A ce jour, face la mondialisation des changes, lvolution des besoins mtiers et la diversification des menaces, lISO demeure un des organismes de normalisation les plus avancs dans le domaine de la scurit de linformation au elle est prsent la famille de norme ISO 27000 cette norme qui dfinit la mise en uvre dun SMSI (Systme de Management de la Scurit dInformation) efficace. 2. La norme ISO 27001 : Cette norme qui a t publie en Octobre 2005, est la premire norme de la famille ISO 27000; elle port sur la dfinition dune politique de scurit de linformation et sa mise en uvre. Cest une formalisation en matire dapproche de la scurit, une prise de conscience des risques et une mise en place des procdures pour la gestion de la scurit. 2.1 Mise en uvre de lISO 27001 : Elle permet aux entreprises et aux administrations d'obtenir une certification qui atteste de la mise en place effective d'un systme de management de la scurit de l'information (SMSI). La certification de systmes de scurit de linformation engendre : la mise excution systmatique de la politique de scurit de linformation. une gestion des risques en rapport avec la scurit de linformation et les systmes correspondants lchelle de lentreprise. la surveillance efficace et lamlioration permanente de la scurit de linformation.
Page | 105
le dveloppement de relations de confiance avec la clientle, les organismes publics, partenairesetc. la garantie adquate et permanente de la disponibilit, la confidentialit et lintgrit. la protection de lensemble des informations, indpendamment de la manire dont elles sont reprsentes et/ou sauvegardes.
2.2 Les exigences de la certification : Une entreprise qui souhaite atteindre la conformit la norme ISO 27001 doit entre autres satisfaire aux exigences suivantes : tablissement et maintien dun SMSI document. dfinition dune politique en matire de scurit de linformation. ralisation dune analyse des risques systmatique et identification de mme que surveillance des domaines exposs des risques. spcification et concrtisation dobjectifs en matire de scurit adquats et de mesures appropries. 2.3 Les processus dun SMSI selon ISO 275001 : La norme prconise en effet que toutes les activits lies au SMSI soient conues et formalises sous la forme de processus. Les porteurs et acteurs des diffrentes actions contribuant la scurit doivent donc tre identifis tout comme lenchanement des actions mener pour chaque processus de scurit.
Je dis ce que je fais Plan Do
Ce cycle vise une amlioration continue reposant sur une logique simple : 1- Dire ce que lon fait, et faire ce que lon a dit 2- puis contrler et corriger ce qui ne va pas.
Je fais ce que je dis
Act
Je corrige et j'amliore
Check Je contrle
Figure A-1 : les processus dun S MS I
Page | 106
a. Planifier : (Plan = tablissement du SMSI) Etablir la politique, les objectifs, les processus et les procdures du SMSI relatives la gestion du risque et l'amlioration de la scurit de l'information de manire fournir des rsultats conformment aux politiques et aux objectifs globaux de l'organisme. b. Dployer : (Do = mise en uvre et fonctionnement du SMSI) Mettre en uvre et exploiter la politique, les mesures, les processus et les procdures du SMSI.
c. Contrler : (Check = surveillance et rexamen du SMSI) Evaluer et, le cas chant, mesurer les performances des processus par rapport la politique, aux objectifs et l'exprience pratique et rendre compte des rsultats la direction pour rexamen.
d. Agir : (Act = mise jour et amlioration du SMSI) Entreprendre les actions correctives et prventives, sur la base des rsultats de l'audit interne du SMSI et de la revue de direction, ou d'autres informations pertinentes, pour une amlioration continue dudit systme.
Page | 107
Bibliographie
[BAS] : www.bases-hacking.org [CIS] : www.cisco.com [COM] : www.commentcamarche.net [IAN] : www.iana.org [LIV1] : Livre Wi-Fi: Rseaux sans fil 802.11, Technologie, Dploiement, Scurit raliser par Philippe Atelin 2006 - [LIV2] : RESUME THEORIQUE & GUIDE DE TRAVAUX PRATIQUES Module : Dpannage de premier niveau d'un rseau local [LIV3] : Livre Communication audiovisuelle raliser par douard Rivier 2006 [LIV4] : Livre Scuriser l'informatique de l'entreprise: Enjeux, menaces, prvention et parades de Jean-Marc Royer 2006 - [LIV5] : Livre ISA Server 2004 raliser par Philippe Mathon, Frdric Esnouf 2006 [RFC] : RFC 1918 [TH1] : Thse dingnieur dtat en informatique universit Houari Boumediene : Conception et ralisation dun systme de dtection dintrusion ralis par RARRBO Fatiha et ZERROUK Radia promotion 2005-2006 [TH 2] : Thse de doctorat en informatique et rseau de l'Ecole Nationale Suprieure des Tlcommunicationsen France : Mesure de la scurit "logique" dun rseau d'un oprateur de tlcommunications ralis par Cdric Llorens Soutenu le 7 novembre 2005 [TH3] : Mmoire de DEA en informatique applique a la gestion universit de Tunis : Vers un IDS Intelligent base dAgents Mobiles ralis par Farah Abdel Majid BARIKA Anne Universitaire 2002/2003 [WIKI] : www.wikipedia.org
Page | 108

La Sécurité Des Réseaux Informatique

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

La Sécurité Des Réseaux Informatique

Uploaded by

Copyright:

Rpublique Algrienne Dmocratique et Populaire Ministre dEnseignement Suprieur et de la Recherche Scientifique C.F.

La configuration de base dun Firewall Cisco ASA 5550

Ralis par : Melle Bouchouika Nadjet Melle Belkadi Sihem

Promoteur : Mr Zeraoulia Khaled Melle Zerrouk Radia

Annes Universitaire : 2008-2009

A mes frres : Omar, Mohamed et Salaheddine A mes surs : friel et Aicha

A toute ma famille Bouchouika et Boutamine

Et a toute la promotion OPSI

Mes chers parents

Mes frres Et surs

Mes adorables nices

Et a toute la promotion OPSI

Liste des Figures

Liste des Tableaux

Chapitre I : Les rseaux informatiques

Les annes 60 Rseaux militaires d'ARPANET Connexion entre 4 universit amricaines

1970-1980 Protocole TCP/IP FTP , Telnet et Ethernet

2000-2008 Commerce lectronique Word digital library Web2.0

1990-2000 Word Wide Web HTTP et le langage HTML ADSL, WI-FI

1980-1990 L'Internet Routeur, DNS

Figure -1 : Historique de rseau.

Chapitre I : Les rseaux informatiques

Chapitre I : Les rseaux informatiques

Chapitre I : Les rseaux informatiques

Chapitre I : Les rseaux informatiques

c. Le routeur Est un matriel ou un logiciel install sur un ordinateur

Topologies logiques Token ring

Figure -2 : Topologies de rseau

Chapitre I : Les rseaux informatiques

Figure -6 : rseau maill

Chapitre I : Les rseaux informatiques

Chapitre I : Les rseaux informatiques

Figure -7 : Le modle OS I et le modle TCP/IP

Chapitre I : Les rseaux informatiques

Chapitre I : Les rseaux informatiques

.4.1.1.2 La communication des donnes entre les couches :

Message Message Message Segments Paquets Trames Bits Signaux

Chapitre I : Les rseaux informatiques

La couche Accs rseau :

Chapitre I : Les rseaux informatiques

.4.1.2.2 Les principaux protocoles de TCP/IP :

Transport TCP UDP

Accs rseau Ethernet

Chapitre I : Les rseaux informatiques

.4.2 Dautres Protocoles :

Tableau -1 : Les autres protocoles de rseau

La couche concerne (modle OSI) Application

Domain Name System

Network Time Protocol

Chapitre I : Les rseaux informatiques

Address Resolution Protocol

Chapitre I : Les rseaux informatiques

Tableau -1 : quel ques ports logiciel utilis

N de port 21 23 25 53 80 110 123 161 443 546 995

Chapitre I : Les rseaux informatiques

Figure -10 : S tructure dadresse IP

Chapitre I : Les rseaux informatiques

Partie rseau (Net ID)

Partie machine (Host ID)

Partie rseau (Net ID)

Part ie machine (host ID)

Partie rseau (Net ID)

Partie machine (Host ID)

Chapitre I : Les rseaux informatiques

Masque rseau 255.0.0.0 255.255.0.0 255.255.255.0 240.0.0.0

Nombre de rseaux 126 16384 2097152 adresses uniques