MAUREY SIMON PICARD FABIEN LP SARI



Documents pareils
Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

TAGREROUT Seyf Allah TMRIM

MISE EN PLACE DU FIREWALL SHOREWALL

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

acpro SEN TR firewall IPTABLES

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

But de cette présentation

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Assistance à distance sous Windows

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Installation d'un serveur DHCP sous Windows 2000 Serveur

Présentation du modèle OSI(Open Systems Interconnection)

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

Configurer ma Livebox Pro pour utiliser un serveur VPN

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Live box et Nas Synology

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

1/ Introduction. 2/ Schéma du réseau

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

TCP/IP, NAT/PAT et Firewall

Travaux pratiques Configuration d un pare-feu sous Windows XP

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

UltraVNC, UltraVNC SC réglages et configurations

Créer son réseau personnel

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Configurez votre Neufbox Evolution

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

L3 informatique Réseaux : Configuration d une interface réseau

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

SQUID Configuration et administration d un proxy

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Sécurité des réseaux Firewalls

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

RX3041. Guide d'installation rapide

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Les réseaux /24 et x0.0/29 sont considérés comme publics

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Transmission de données

Unité de stockage NAS

Augmenter la portée de votre WiFi avec un répéteur

Le routeur de la Freebox explications et configuration

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Activité 1 : Création et Clonage d'une première machine virtuelle Linux OpenSuSE.

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Formation Iptables : Correction TP

Etape 1 : Connexion de l antenne WiFi et mise en route

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

NOTE D'APPLICATION CONCERNANT LA MISE EN SERVICE DE MATERIELS SUR RESEAU IP

MANUEL D'INSTALLATION

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

ETI/Domo. Français. ETI-Domo Config FR

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

JetClouding Installation

Réseau local entre Windows Xp et 7

Installation des caméras IP

Serveur FTP. 20 décembre. Windows Server 2008R2

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Le filtrage de niveau IP

FreeNAS Shere. Par THOREZ Nicolas

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Installation du point d'accès Wi-Fi au réseau

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Sécurisation du réseau

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

FILTRAGE de PAQUETS NetFilter

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

Sécurité GNU/Linux. Iptables : passerelle

Figure 1a. Réseau intranet avec pare feu et NAT.


Discussion autour d un réseau local

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Tutoriel réalisé par luo. Version du 22/02/14

Transcription:

MAUREY SIMON PICARD FABIEN LP SARI FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE TRAVAUX PRATIQUES 4 TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 1

SOMMAIRE 1. INTRODUCTION 2. MATERIEL REQUIS 3. ARCHITECTURE PHYSIQUE DU RESEAU MISE EN ŒUVRE 4. FIREWALL 4.1. QU'EST CE QU'UN FIREWALL? 4.2. LE PIX 515 E CISCO 5. MISE EN PLACE DE REGLES DE FILTRAGE PROTOCOLAIRE 6. MISE EN ŒUVRE DE LA TRANSLATION D'ADRESSE 7. CONCLUSION 1. INTRODUCTION L'ouverture des réseaux privés au monde Internet engendre de nombreux problèmes concernant l'accès au réseau privé mais aussi en terme de sécurité. Il est important de bien isoler le réseau privé car il peut contenir de nombreuses informations confidentielles et subir l'assaut de nombreuses attaques par des pirates en quêtes de reconnaissance mais aussi dans des cas d'espionnage industriel. Dans le but de sécuriser un réseau d'entreprise, un moyen matériel ou logiciel est à mettre en place, le firewall ou pare-feu en français. La connaissance et la maîtrise de ce type de matériel est très importante et est une notion fondamentale à connaître. L'objectif de ce TP est de découvrir un matériel tout nouveau afin de le configurer et de le mettre en place dans un réseau d'entreprise avec comme documentation, celle fournie par le constructeur et Internet. Nous verrons plus loin dans le rapport qu'est ce qu'un firewall et quelle est son utilité. Nous parlerons aussi du firewall matériel Pix 515 E de chez Cisco sur lequel nous avons travaillé. Nous traiterons aussi de la mise en place des règles de filtrage protocolaire des flux entre les différentes interfaces du firewall, ainsi que de l'utilisation de la translation d'adresse NAT et PAT. 2. MATERIEL REQUIS 3 x PC sous Windows ou Linux avec couche TCP/IP installée 1 x Logiciel d'émulation de terminal pour le management "OUTBAND" 1 x Câble de console Cisco 1 x Firewall Cisco PIX 515 E 1 x Commutateur Cisco C2950-12 1 x Logiciel d'analyse Ethernet Divers : Câbles Ethernet droits et croisés de Cat. 5 TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 2

3. ARCHITECTURE PHYSIQUE DU RESEAU MISE EN ŒUVRE Schéma du réseau mise en place Le réseau mise en œuvre pour notre découverte du Firewall est constitué de trois PC branchés chacun sur une interface du PIX 515 E simulant un PC sur le réseau MilitariZed ou réseau local dit "protégé", un sur le réseau "DeMilitariZed" correspondant à un réseau local "non protégé" et un dernier sur le réseau externe qui pourrait être Internet par exemple. Nom Interface Zone Adresse IP/Masque PC1 MZ 192.168.1.2/24 PC2 DMZ 192.168.2.2/24 PC3 External 192.168.3.2/24 Ethernet1 MZ 192.168.1.1/24 Ethernet0 External 192.168.3.1/24 Ethernet2 DMZ 192.168.2.1/24 MZ : MilitariZed DMZ : DeMilitariZed Tableau récapitulatif de la configuration mise en place PC1 et PC2 fonctionnaient sous MS Windows 2000 tandis que PC3 était sous MS Windows XP. De plus chaque machine était équipée d'un serveur Web Apache avec une page d'index codée en HTML et PHP. On interrogeait cette page sur un client Internet Explorer en tapant l'adresse IP de l'ordinateur. Cela nous permettait de savoir si l'on pouvait interroger l'ordinateur sur le port 80 (http) en TCP. L'affichage de la date et de l'heure nous permettait de TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 3

s'assurer que la page affichée n'était pas celle présente en cache. L'affichage de l'adresse IP du visiteur servait à la mise en place de la translation d'adresse. Index.php <HTML> <TITLE>Page de Test</TITLE> <BODY> Vous êtes sur un serveur Web <B>Militarized</B><BR> <?php echo date("d/m/y H:i:s"); // Affichage de la date et de l'heure du // serveur echo "<BR>"; echo $_SERVER["REMOTE_ADDR"]; // Affichage de l'ip du visiteur?> </BODY> </HTML> 4. FIREWALL 4.1. QU'EST CE QU'UN FIREWALL? Un Firewall est un dispositif software ou hardware qui va analyser les flux entrants et sortants d'un réseau afin de ne laisser passer que les flux autorisés. Son emplacement se situe principalement entre le réseau d'entreprise et Internet. TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 4

Sa principale fonction est de ne laisser ouvert que les ports utiles à la navigation sur Internet et à l'utilisation d'applications particulières à l'entreprise. Le reste est fermé et évite ainsi les tentatives d'attaques des Hackers sur le réseau et protéger les données confidentielles de l'entreprise ainsi que les tentatives de "Black Out" du réseau. 4.2. PIX 515 E CISCO 4.2.1. DESCRIPTION Cisco propose de nombreux matériels d'interconnexions de réseau, des routeurs, des commutateurs mais aussi des Firewalls matériels. Nous avons travaillé sur le PIX 515 E qui est une solution milieu de gamme chez Cisco puisque qu'avant nous trouvons le PIX 501 et PIX 506 E et après le PIX 525 et PIX 535. Fiche Technique Processeur Intel Celeron 433Mhz Ram (Mo) 32 ou 64 Mémoire Flash (Mo) 16 Emplacements PCI 2 Interfaces Fixes 2 FastEthernet 10/100 Nombre maximal d'interfaces 6 FastEthernet Dimensions 1 Unité de Rack Le PIX 515 E possède des fonctions de niveau 4 par rapport aux couches OSI, c'est-àdire la couche Transport. Cela est dû au fait qu'il va analyser le protocole transporté (TCP, UDP, ICMP, ) pour chaque datagramme entrant et sortant. De plus il va aussi regarder quels sont les ports sources et destinataires. Le PIX 515 E est aussi de niveau 3 car il peut effectuer de la translation d'adresse (NAT : Network Adress Translation et PAT : Port Adress Translation) et possède aussi des fonctions de routage. Trois ports FastEthernet 10/100 sont disponibles sur le PIX 515E qui peuvent être configurés de manière à ce que chaque port représente une zone (MZ, DMZ, External). Un emplacement PCI reste libre pour éventuellement ajouter une nouvelle carte réseau et ainsi ajouter un quatrième port. La configuration pourrait être alors une zone MZ, deux zones DMZ et une External. 4.2.2. CONNEXION AU PIX 515 E La configuration du PIX 515 E peut s'effectuer de deux manières différentes : En utilisant le CLI (Command Line Interface) en reliant l'ordinateur au port Console du PIX 515 E et en utilisant un logiciel d'émulation de terminal. Cette méthode est la plus efficace car c'est nous qui saisissons les commandes et modifions la configuration. Au moyen de l'interface Web conçu par Cisco. Il suffit de relier l'ordinateur au port Ethernet1, qui correspond au port MZ, du PIX 515 E, d'ouvrir un client Internet et de se rendre à l'adresse https://192.168.1.1/ qui est sécurisée. Ce moyen de configuration est graphique donc plus intuitif pour l'utilisateur mais nous ne savons pas exactement TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 5

ce qui est modifié dans la configuration du PIX 515 E. C'est cette méthode que nous avons choisi pour découvrir le Firewall. Fenêtre principale de l'interface Web 4.2.3. REMISE EN CONFIGURATION INITIALE La remise en configuration initiale du PIX 515 E ne s'effectue pas de la même manière que les routeurs et commutateurs de chez CISCO. Elle ne peut s'effectuer qu'en n'étant connecté en mode Console et disposer des droits privilégiés. Voici la démarche à effectuer pour cela : Firewall# configure terminal Firewall(config)# clear configuration all Firewall(config)# interface ethernet1 auto Firewall(config-if)# ip address 192.168.1.1 255.255.255.0 Firewall(config-if)# nameif MZ Firewall(config-if)# exit Firewall(config)# http 192.168.1.0 255.255.255.0 inside Firewall(config)# http server enable Firewall(config)# pdm history enable Firewall(config)# pdm logging informational 100 Firewall(config)# write memory Firewall(config)# exit TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 6

Toute la configuration a été effacée et l'interface de management Ethernet1 a été remise en place avec l'adresse IP par défaut (192.168.1.1/24). Il est très important de remettre le nameif avec pour valeur MZ car cela affecte l'interface à un niveau de sécurité indispensable pour pouvoir se connecter au PIX 515 E. Cet oubli faisait que l'interface Ethernet1 était bien activée mais par sécurité, le Firewall bloquait tous les datagrammes entrant, donc ne nous pouvions pas nous connecter à l'interface Web. Maintenant, il faut régler les deux interfaces restantes au moyen de l'interface Web. Pour cela, il faut se rendre dans l'onglet Configuration et cliquez sur Interfaces. On arrive sur la page suivante : Fenêtre de configuration des interfaces du PIX 515 E Cette fenêtre présente sous forme de tableau, les différentes interfaces disponibles sur le PIX 515 E. Au départ, il n'existe que l'interface Ethernet1 correspondant à celle que nous avons configuré lors de la remise en configuration initiale. Pour ajouter une nouvelle interface, il suffit de cliquer sur le bouton Add situé sur la droite et juste en dessous, le bouton Edit permet de modifier une configuration déjà existante. TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 7

Fenêtre d'ajout d'une interface Une nouvelle fenêtre apparaît pour insérer une nouvelle interface. On commence tout d'abord par sélectionner le port physique que l'on souhaite ajouter. Il est possible d'activer ou pas l'interface lors de l'insertion, tout comme il est possible de le dédier uniquement à la configuration, cela dans un but purement sécuritaire. Les champs VLAN ID et Subinterface ID ne nous ont pas intéressé pour le moment mais nous pouvons dire que le port peut faire partie d'un VLAN et qu'il est aussi possible de créer des sous interfaces à partir d'une interface physique. Il est possible de donner un nom à l'interface plus explicite que EthernetX. Le champ Security Level est lui très important à remplir, sinon il arrivera le même problème que lorsque nous n'avions pas mis de nom à l'interface Ethernet1 lors de la remise en configuration initiale. La valeur que nous avons mise est 0. Nous n'avons pas pu exploiter plus largement cette caractéristique. Nous avons utilisé des adresses IP statiques de classe C sans faire appel aux fonctionnalités du DHCP supportées par le PIX 515 E. Il est enfin possible de régler le MTU, que nous avons laissé par défaut et aussi d'insérer un commentaire. Une fois cette fenêtre complétée, on clique sur OK et l'interface est rajoutée à la configuration du Firewall. Il est très important de cocher la phrase " Enable traffic between two or more interfaces " sinon les datagrammes ne passeront pas. Une fois que toutes les interfaces utiles ont été ajoutées à la configuration du PIX 515 E, il est possible de passer à la configuration des règles de filtrage protocolaire. TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 8

5. MISE EN PLACE DES REGLES DE FILTRAGE PROTOCOLAIRE Chaque paquet entrant ou sortant du Firewall est examiné et une décision de rejet ou d'acceptation est prise selon différents critères : L'adresse source et destinataire le port source et destinataire le protocole transporté la valeur de certains flag (ACK, SYN, ) Dans notre cas, nous avons établi deux règles s'appuyant sur l'analyse du port source et sur l'analyse du protocole transporté. Nous n'avons mis aucunes règles concernant l'analyse de l'adresse source ou destinataire, ni sur la valeur de certains flag. Le Firewall utilise la règle générale du "Tout ce qui n'est pas autorisé est interdit". La configuration des règles d'accès s'effectue dans la partie Configuration > Security Policy. Fenêtre de configuration des règles d'accès Ensuite pour ajouter une règle d'accès, il suffit de cliquer sur le bouton Add pour obtenir la fenêtre suivante : TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 9

Fenêtre permettant d'ajouter ou d'éditer une règle d'accès 5.1. PREMIERE REGLE : CONTROLE DU PING La façon la plus simple de savoir si une machine est bien derrière une adresse IP est d'effectuer un ping sur cette adresse et de voir si l'on obtient une réponse. Pour cela, nous avons mis en place une règle permettant à la MZ d'effectuer des pings à destination de la DMZ et de l'external mais qu'elle ne puisse pas recevoir des pings. Il faut permettre aux paquets contenant une réponse au ping de rentrer sur la MZ. Ce qui donne selon les termes utilisés par la fenêtre : Select an action Apply to traffic Source Host/Network Permit Outgoing IP adresse Destination Host/Network IP address Interface External MZ Address IP 0.0.0.0 0.0.0.0 Mask 0.0.0.0 0.0.0.0 Protocol & Service ICMP Source Port Destination Port Service =echo-reply = any TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 10

La règle dit que l'on permet tous les paquets avec n'importe quelle adresse IP provenant de l'interface External et à destination de n'importe quelle adresse IP de l'interface MZ, dont le protocole est ICMP et le contenu une réponse au ping. 5.2. DEUXIEME REGLE : ACCES PAGES WEB Un réseau d'entreprise relié à Internet permet aux utilisateurs de se rendre sur des pages Web mais aussi de consulter ses Emails et avoir accès à certains services. Pour cela, il faut configurer correctement le Firewall pour ne laisser passer que les flux autorisés. Dans notre cas, nous voulons que la MZ puisse avoir accès aux pages Internet de la DMZ et de l'external mais nous ne voulons pas que la DMZ, ni l'external n'est accès en TCP à la MZ. Par contre, nous voulons garder l'accès entre la DMZ et l'external. Nous avons mise en place la configuration suivante : Select an action Apply to traffic Source Host/Network Deny Outgoing IP adresse Destination Host/Network IP address Interface External MZ Address IP 0.0.0.0 0.0.0.0 Mask 0.0.0.0 0.0.0.0 Protocol & Service TCP Source Port Destination Port Service = http/tcp = any 6. MISE EN ŒUVRE DE LA TRANSLATION D'ADRESSE La translation d'adresse est un moyen de contourner la pénurie d'adresses publiques mais aussi de masquer le plan d'adressage de l'entreprise. Le PIX 515 E est capable de faire du NAT statique et dynamique ainsi que du PAT. La différence est que le NAT (Network Address Translation) va faire correspondre une adresse IP privée à une adresse IP publique ou globale. Quand il n'y a plus d'adresse publique disponible car prise par d'autres adresses privées, il n'est plus possible d'accéder au réseau public tant qu'une adresse publique ne s'est pas libérée. Dans le cas du PAT (Port Address Translation), une seule adresse publique est nécessaire pour autoriser plusieurs milliers de connexion puisque c'est les ports qui vont être translatés en plus des adresses. 6.1. METHODE DE CONFIGURATION Pour configurer le NAT, il faut commencer par régler les adresses IP publiques en se rendant dans l'interface Web : Configuration > NAT. TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 11

Fenêtre de gestion du NAT Cette fenêtre permet de configurer le NAT. En cliquant sur le bouton Add, on ajoute une règle de translation. Il est ensuite possible de les éditer au moyen du bouton Edit et de les supprimer grâce au bouton Delete. Mais avant cela, il faut ajouter les adresses globales qui seront utilisées pour effectuer le NAT. Il suffit pour cela de cliquer sur le bouton Manage Pools. Une nouvelle fenêtre apparaît alors. 6.1.1. AJOUT D'UNE ADRESSE GLOBALE Fenêtre de Gestion des adresses globales TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 12

Dans cette fenêtre, nous retrouvons les adresses globales utilisées pour les fonctions de translations d'adresses. Il est possible d'en ajouter, d'en éditer et d'en effacer en utilisant les boutons prévus à cet effet sur la droite de la fenêtre. En cliquant sur le bouton Add, la fenêtre d'ajout d'adresse globale s'ouvre : Fenêtre d'ajout d'adresse globale Tout d'abord, il faut commencer par sélectionner l'interface de sortie du NAT et ensuite lui affecter une valeur. le Pool ID correspond à une hiérarchie lorsqu'il y a plusieurs adresses disponibles. Ensuite, il faut sélectionner quel type de NAT on veut faire. Puis remplir le cadre suivant où les champs se grisent selon le type sélectionné. Une fois les champs remplis, il suffit de faire OK pour valider. Il est possible de mettre plusieurs configurations de NAT, chacune étant sélectionnée ensuite lors de l'ajout d'une règle de translation. Une fois que les configurations ont été faites, il est possible d'ajouter des règles de translation. 6.1.2. CREATION D'UNE REGLE DE TRANSLATION La définition d'une règle de translation va permettre à une adresse IP privée d'aller sur un réseau public en utilisant une adresse IP publique. Pour cela, il faut cliquer sur le bouton Add. Une nouvelle fenêtre s'affiche : TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 13

Fenêtre d'ajout de règle de translation Cette fenêtre permet l'ajout d'une règle de translation. La première partie sert à renseigner la source du NAT qui peut très bien être un ordinateur en particulier ou un réseau. Le bouton Browse permet de sélectionner directement un ordinateur ou un réseau. La deuxième partie permet de sélectionner l'interface vers laquelle la translation sera effectuée. Il est possible alors de choisie entre une translation statique et dynamique. Une fois configurée, il suffit de cliquer sur OK pour que la règle soit créée. Nous avons mise en œuvre le PAT et le PAT avec utilisation de l'adresse IP de l'interface entre la MZ et l'external. 6.2. PORT ADDRESS TRANSLATION (PAT) Le PAT est une translation d'adresse et de port. Cette technique permet de gérer plusieurs milliers de connexions puisqu'une interface possède plus de 65.000 ports disponibles. Une table de correspondance est présente à l'intérieur du Firewall entre les différentes adresses du réseau privé et les adresses globales suivies du port. Pour la mise en place, nous avons tout d'abord ajouté l'adresse globale suivante : Interface External Pool ID 200 PAT Adresse IP 192.168.3.3 Mask 255.255.255.0 TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 14

Ensuite, il a fallu créer la règle de translation avec les paramètres suivants : Original Host/Network Interface MZ IP Address 192.168.1.2 Mask 255.255.255.255 Translate Address on interface External Dynamic Address Pool 200 Address 192.168.3.3 Tous les paquets qui doivent aller sur le réseau External provenant du réseau MZ vont transiter par l'interface External et leurs adresses vont être modifiées pour devenir 192.168.3.3. Nous avons pu constater la translation d'adresse en interrogeant le serveur web présent sur le PC3 qui indiquait effectivement en adresse source celle donnée par le Firewall. 6.3. PAT AVEC UTILISATION DE L'ADRESSE IP DE L'INTERFACE Cette fonction est la même que la PAT normale sauf que l'adresse IP utilisée sera celle de l'interface. La configuration a été la suivante : Interface External Pool ID 200 PAT using the IP address of the interface La règle de translation a été la suivante : Original Host/Network Interface MZ IP Address 192.168.1.2 Mask 255.255.255.255 Translate Address on interface External Dynamic Address Pool 200 Address 192.168.3.1 En interrogeant le serveur Web, on constate effectivement que l'adresse a été translatée en 192.168.3.1. 7. CONCLUSION La mise en place d'un Firewall est indispensable pour sécuriser un réseau d'entreprise des assauts externes et tentatives de piratages. De plus, il permet aussi de contrôler les accès de l'intérieur du réseau vers l'extérieur du réseau. En plus des fonctions de Firewall, le PIX 515 E possède aussi des fonctions de routage et de translation d'adresses. Au travers des 9h que nous avons pu consacrer au TP, nous avons eu quelques difficultés à paramétrer le PIX 515 E. La documentation n'est pas très explicite. Mais en y consacrant quelques heures supplémentaires nous auraient permis de pousser un peu plus les recherches et tests sur quelques points. TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back