**********************************************
Rapport de stage 4éme Années Ingénierie des systèmes et Réseaux informatique
Firewalls Réalisé par : ANEJJAR Hassan
Encadré par :
Suivi par :
M. Mourad GOUAZIZ
M. Samir ACHAHOD
Année Universitaire : 2014/2015
IGA Marrakech
Page 2
2014/2015
REMERCIEMENTS Avant d’accéder au vif du sujet, Je tiens à remercier dans un premier temps, mon maître de stage, Mr Mourad GOUAZIZ, Gérant de la société PRO-TECHNO. C’est avec un réel plaisir que j’ai effectué ce stage sous votre direction. Enfin, mes vifs remerciements pour tout le corps professoral et administratif de l’institut Supérieur du Génie Appliqué, IGA, qui ne cessent pas de nous encourager à faire toujours de notre mieux.
IGA Marrakech
Page 3
2014/2015
DEDICACE
Je dédie ce rapport de stage: a mes très chers parents qui ont toujours été là pour moi tout au long de mes études et qui m’ont donné un magnifique modèle de labeur et de persévérance. J’espère qu’ils trouveront dans ce travail toute ma reconnaissance et tout IGA Marrakech
Page 4
2014/2015
mon amour. a mes chers frères: pour leurs soutiens qu’ils n’ont cessés d’apporter au cours de ma formation.
IGA Marrakech
Page 5
2014/2015
Résumé Les systèmes d’information sont aujourd’hui de plus en plus ouverts sur internet. Cette ouverture, a priori bénéfique, pose néanmoins un problème majeur : il en découle un nombre croissant d’attaque. La mise en place d’une politique de sécurité autour de ces systèmes est donc primordiale. Outre que la mise en place des stratégies de sécurité (GPO, authentification par login et mot de passe…), il est nécessaire pour compléter notre politique de sécurité de mettre en place un pare-feu. Ce rapport présente le travail effectué lors du stage, du 3 aout 2015 au 2 octobre 2015 au sein de PRO-TECHNO. Mon projet consiste à mettre en place une étude comparative sur les différents pare-feu existé. L’objectif du stage est de mettre en conditions les étudiants à une insertion rapide dans le domaine professionnel. Ce stage à été intéressant du point vu humain car j’ai l’occasion de voir l’atmosphère du monde du travail et mettre en pratique tous ce que j’ai appris pendant ma formation ainsi que de nouvelles notions.
IGA Marrakech
Page 6
2014/2015
Abstract Information systems are nowadays more open to internet. This opening, is priori beneficial, made a major problem, it follows a growing number of attacks. The implementation of a security policy around these systems is paramount. Besides the implementation of security policies (GPO, authentication by login and password…), it is necessary to complete our security policy by implementing a firewall. This report presents the work done during the training of 3 August 2015 to 2 October 2015 in PRO-TECHNO. My project is to develop a comparative study on the different firewalls exist. The objective of the training is to guarantee to the students a rapid insertion in the professional field. This training has been interesting from a point seen human because I could see the atmosphere of the workplace and put into practice everything I learned during my formation as well a learning new concepts.
IGA Marrakech
Page 7
2014/2015
Liste des figures
Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure
1: 2: 3: 4: 5: 6: 7: 8: 9: 10 11 12 13 14 15 16 17 18 19 20
logo de PRO-TECHNO.........................................................................13 organigramme de l'entreprise PRO-TECHNO.....................................14 Diagramme de GANT.........................................................................17 Diagramme de GANT (Deroulement de stage)..................................18 Câblage..............................................................................................18 Câble droit.........................................................................................19 Câble croisé.......................................................................................19 panneau de brassage........................................................................20 Emulation putty.................................................................................20 : Fonctionnement de pare-feu............................................................25 : interface de Comodo Firewall..........................................................31 : interace de Jetico Personal Firewall..................................................32 : interface de Online Armor Free........................................................34 : interface de PC Tools Firewall...........................................................35 : Pare-feu ASA 5505...........................................................................42 : schéma de travail............................................................................42 : Configuration de l'adresse IP...........................................................46 : Configuration au niveau de sécurité................................................47 : inetrface web de Pare-feu ASA........................................................49 : interface web de Switch..................................................................51
IGA Marrakech
Page 8
2014/2015
Liste des tableaux
Tableau Tableau Tableau Tableau Tableau
1 2 3 4 5
: : : : :
Les Les Les Les Les
règles de pare-feu.....................................................................26 plus et les moins de Comodo Firewall.......................................32 plus et les moins de Jetico Personal Firewall.............................33 plus et les moins de Online Armor Free....................................34 plus et les moins de PC Tools Firewall.......................................36
IGA Marrakech
Page 9
2014/2015
Table des matières REMERCIEMENTS.............................................................................................3 DEDICACE.........................................................................................................4 Résumé.............................................................................................................5 Abstract.............................................................................................................6 Liste des figures..............................................................................................7 Liste des tableaux...........................................................................................8 Introduction Générale..................................................................................11 PREMIERE PARTIE : Présentation d’établissement d’accueil...............12 1 - Introduction :.............................................................................................13 2 - Fiche identificatrice de PRO TECHNO :......................................................13 3 - Présentation de la société :.......................................................................13 4 - Services de la société...............................................................................13 5 - Organisation de l’entreprise :....................................................................14
DEUXIEME PARTIE : Présentation de cahier de charge et le planning de stage..........................................................................................................15 1 - Introduction...............................................................................................16 2 - Cahier des charges....................................................................................16 3 - Planification du stage................................................................................16 4 - Déroulement du stage..............................................................................17 5 - Les tâches réalisées :................................................................................18 A - Le câblage.............................................................................................18 B - Panneau de brassage.............................................................................19 C - Interface web d’un Switch.....................................................................20 D - Caméra de surveillance.........................................................................21
TROISIEME PARTIE : Mise en place du projet..........................................23 1 - Pourquoi un firewall ?................................................................................24 2 - Qu'est-ce qu'un pare-feu?.........................................................................24 3 - Fonctionnement d'un système pare-feu....................................................25 A - Le filtrage simple de paquets................................................................26 B - Le filtrage dynamique............................................................................27 4 - Les différentes catégories de firewall........................................................28 IGA Marrakech
Page 10
2014/2015
A - Pare-feu sans état..................................................................................28 B - Pare-feu avec état..................................................................................28 C - Pare-feu applicatif..................................................................................29 5 - Catégories secondaires de pare-feu..........................................................29 A - Pare-feu identifiant................................................................................29 B - Pare-feu personnel.................................................................................29 6 - Les limites des firewalls............................................................................30 7 - Comparatif de 4 firewalls gratuit...............................................................30 A - Comodo Firewall.....................................................................................31 B - Jetico Personal Firewall...........................................................................32 C - Online Armor Free..................................................................................33 D - PC Tools Firewall....................................................................................35 8 - Le Pare-feu ASA.........................................................................................36 A - Principales caractéristiques...................................................................36 B - Cinq raisons de choisir la gamme Cisco ASA 5500................................37
Conclusion......................................................................................................39 BIBLIOGRAPHIE ET WEBOGRAPHIE...........................................................40 ANNEXE...........................................................................................................41 1 - Configuration de base d'un firewall ASA 5505..........................................42 2 - Interface Web d’un switch.........................................................................49
IGA Marrakech
Page 11
2014/2015
Introduction Générale Dans le cadre de mes études à l’institut supérieur de Génie Appliqué de Marrakech, la quatrième année se termine par un stage en entreprise d’une durée minimum de 2 mois, afin d’établir un lien entre les théories apprises sur le banc de l’école et la pratique. De ce fait, j’ai l’occasion d’effectuer un stage au sein d’entreprise PRO-TECHNO. Ce stage permet d’appliquer et d’approfondir les connaissances acquises au cours de la formation, et d’en découvrir d’autre. Il permet aussi de s’impliquer dans la vie d’une société ou tout au moins dans l’un de ses services. Le projet que j’ai choisi consiste à mettre en place une étude comparative sur les différents pare-feu existé, c’est un sujet pédagogique qui ma donner une idée claire sur le fonctionnement du pare-feu. Dans la première partie de ce rapport je vais présenter l’entreprise d’accueil PRO-TECHNO, ses différents services et son organigramme. Au niveau de la deuxième partie, je vais présenter le planning de mon stage ainsi que les différentes tâches réalisées. Au niveau de la troisième partie, je vais présenter mon sujet de stage et sa mise en place. Et pour terminer vous prendrez compte des tests accomplis et des différents problème rencontrés lors de la réalisation du projet.
IGA Marrakech
Page 12
2014/2015
PREMIERE PARTIE Présentation d’établissement d’accueil
IGA Marrakech
Page 13
2014/2015
1 - Introduction : L’objectif de cette partie est de fournir une présentation générale du contexte du projet à savoir, tout d’abord l’organisme d’accueil PRO TECHNO en décrivant ses activités principales et son organisation.
2 - Fiche identificatrice de PRO TECHNO :
Figure 1 : logo de PRO-TECHNO
Adresse d'entreprise : DOUAR LAHBICHATE N°407 TASENTANTE MARRAKECH-MéDINA (AR) Région : MARRAKECH-MéDINA (AR) Rc : 47615 (TRIBUNAL DE MARRAKECH) Forme juridique : Société à Responsabilité Limitée à Associé Unique Capital : 100 000 DHS Téléphone : +212664773585 Email :
[email protected] Dirigeants : Mourad Gouaziz Activité : négoce et installation -vidéo surveillance, détection d'incendie et extinction, détection de vol et contrôle d'accès –système d'alarme vidéo phonie la clim industrielle
3 - Présentation de la société : PRO-TECHNO est une récente société, créé par Mr. Mourad GOUAZIZ. Elle est spécialisée dans le domaine de l’informatique. Cette société est créative et indépendante, qui maîtrise en interne l’ensemble des médias et prend en charge, pour les professionnels : Installation -vidéo surveillance, détection d'incendie et extinction, détection de vol et contrôle d'accès -système d'alarme vidéo phonie
4 - Services de la société : PRO TECHNO propose une gamme complète de services et de prestations visant à permettre aux petites structures de communiquer plus efficacement auprès de leurs clients et prospects. Ces services complémentaires à
IGA Marrakech
Page 14
2014/2015
l’installation-vidéo surveillance avec une supervision complète, détection d'incendie et extinction… Ils peuvent également prendre la forme de la création et du graphisme avec la mise en place de logos, cartes de visites, plaquettes de présentation. Service d’installation vidéo surveillance Service du système d’alarme vidéo phonie Service de conception graphique Le service de conception graphique offre la possibilité de créer tous types de supports créatifs, pour élaborer une communication graphique performante et lisible. Le service « Graphisme » analyse et traduit la stratégie commerciale et marketing des clients, dans des environnements de communication variés : Cartes de visite Invitations, papier à lettres, affiches, logo… Plaquette, catalogue, guide…
5 - Organisation de l’entreprise : L’architecture de la société PRO TECHNO peut être représentée par l’organigramme suivant :
IGA Marrakech
Page 15
2014/2015
Figure 2 : organigramme de l'entreprise PRO-TECHNO
IGA Marrakech
Page 16
2014/2015
DEUXIEME PARTIE Présentation de cahier de charge et le planning de stage
IGA Marrakech
Page 17
2014/2015
1 - Introduction : L’objectif de cette partie est de fournir une présentation générale sur le travail demandé, ainsi que le planning du stage (digramme de gant), aussi de fournir une présentation sur les différents tâches que j’ai pu réalisé au sein de PRO-TECHNO
2 - Cahier des charges : Titre du projet : Mettre en place une étude comparative sur les différents pare-feu existé. Travail demandé: Recherche, Implémentation et configuration d'un firewall Entreprise d’accueil : PRO TECHNO Plan du travail : Le but principal du projet est de pouvoir établir ou choisir et installer un pare-feu qui remplit les conditions suivantes :
Qui protège le réseau des intrusions provenant d'un réseau tiers Coûts financiers les plus réduits possibles. Qui respecte la politique de sécurité du réseau
3 - Planification du stage : Voici un diagramme de Gantt permettant de visualiser l’enchainement et la durée des différentes tâches durant le stage.
IGA Marrakech
Page 18
2014/2015
Figure 3 : Diagramme de GANT
4 - Déroulement du stage : La première partie du stage où l’on voit plusieurs petites tâches est la découverte de la société, ce qui comprend l’observation et la réalisation des tâches, ainsi que documentation et l’apprentissage, La deuxième phase importante a été la spécification et analyse des besoins ce qui comprend la description du projet et la recherche, ainsi que élaboration de cahier de charge. Après avoir avec sucée spécifier et analyser les besoins, la 3éme partie c’est de conception ce qui comprend définition de la plateforme de travail ainsi que la conception de la maquette, en dernier étape a été pour réaliser la simulation avec le test.
IGA Marrakech
Page 19
2014/2015
Figure 4 : Diagramme de GANT (Deroulement de stage)
5 - Les tâches réalisées : A - Le câblage : Parmi les techniques que j’ai apprises dans cette période de stage (le câblage) les types de câblages, comment sertir un câble que ça soit droit/croisé. Le câble contient 8 conducteurs, répartis en paires torsadées, pour améliorer la réjection du bruit. Les couleurs des gaines sont normalisées : orange - orange/blanc vert - vert/blanc bleu - bleu/blanc marron - marron/blanc
IGA Marrakech
Page 20
2014/2015
Figure 5 : Câblage
A-1 Câble droit : Pour faire un câble droit Il faut que les embouts soient sertis de la même façon à chaque extrémité et en respectant la répartition des paires torsadées sur le connecteur. En général, le code employé est : 1) orange-blanc 2) orange 3) vert-blanc 4) bleu 5) bleu-blanc
Figure 6 : Câble droit
6) vert 7) marron-blanc 8) marron
A-2 Câble croisé : Pour un câble croisé Il faut intervertir les parties 1/2 et 3/6, donc on a d'un côté le même câblage que ci-dessus, et de l'autre, le câblage suivant : 1) vert-blanc 2) vert 3) orange-blanc 4) bleu 5) bleu-blanc 6) orange
IGA Marrakech
Page 21
2014/2015
7) marron-blanc 8) marron
B - Panneau de brassage : Parmi les techniques que j’ai appris aussi dans cette période de stage le brassage, comment monter un câble dans le panneau de brassage. Le panneau de brassage est le point ou se concentrent tous les câbles de chaque prise murale Rj45 d’un
Figure 7 : Câble croisé
bâtiment. Il sert à relier ces prises à un Switch grâce à un cordon de brassage.
Figure 8 : panneau de brassage
C - Interface web d’un Switch : J’ai aussi configuré un Switch (cisco catalyst 2960), avec l émulation putty :
IGA Marrakech
Page 22
2014/2015
Figure 9 : Emulation putty
J’ai travaillé sur les configurations de base (hostname, vlan, vtp …), ce que je trouve nouveau pour moi c’est comment créer une interface web au Switch. (Voire l’annexe)
IGA Marrakech
Page 23
2014/2015
D - Caméra de surveillance : Aujourd'hui, la vidéo surveillance n'est plus un dispositif réservé aux entreprises de sécurité. Chacun peut chez soi, avec quelques compétences techniques, installer une caméra de surveillance. Mais fonctionne comment ce type de matériel ? Deux principaux types de caméras de surveillance Caméras analogiques : ces caméras sont reliées par un câble coaxial à un
téléviseur/un moniteur, où les images s'affichent. Elles envoient des flux continus de données (balayage) à un dispositif de stockage (enregistreur numérique). Caméras IP : les caméras IP permettent une connexion à un réseau
informatique (relié à internet) soit par câble Ethernet soit par WiFi (sans fil). Les images filmées peuvent être enregistrées et consultées en temps réel sur un PC, ou un smartphone via Internet.
D-1 Utiliser une caméra IP : L'installation et l'utilisation de ces caméras se déroulent en quatre étapes :
Connecter la caméra de surveillance au routeur (box internet) : l'utilisation
d'un câble est nécessaire à cette étape Trouver et attribuer l'adresse IP de la caméra (cette démarche nécessite
un mot de passe, disponible sur l'équipement vendu) Positionner (fixer) la caméra Une fois que la box internet est synchronisée avec la caméra : Le flux d'image est accessible en ligne, via une page web (accès protégé par mot de passe).
D-2 Les éléments techniques d'une caméra de surveillance :
Qualité de l'image : pour les caméras IP, la qualité de l'image est déterminée par la résolution d'affichage (1600 x 1200 pixels = très haute
résolution). Le capteur : l'élément essentiel, positionné derrière l'objectif, qui permet de
capter la lumière La luminosité (LUX) : la luminosité est exprimée en LUX (comprise entre 0, l'obscurité totale et 50 000 lux).
L'objectif : il varie selon l'angle de vision souhaité.
D-3 Les différentes catégories de caméra de surveillance :
Caméras infrarouges : la nuit, elles utilisent les diodes électroluminescentes placées autour de leur lentille pour repérer les rayonnements infrarouges
(ondes de chaleur) et retransmettre les images en noir et blanc. Caméras jour/nuit : elles basculent automatiquement en mode jour ou en
mode nuit selon le niveau de luminosité Mini dôme (caméra discrète en forme de dôme), dômes motorisés (rotations possibles) , caméras espion (qui se fondent dans le décor).
TROISIEME PARTIE Mise en place du projet
1 - Pourquoi un firewall ? De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire internet. En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de tel actions sont nombreux et variés : attaque visant le vol de données, passe-temps, ... Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données.
2 - Qu'est-ce qu'un pare-feu? Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :
Une interface pour le réseau à protéger (réseau interne) Une interface pour le réseau externe.
Figure 10 : Fonctionnement de pare-feu
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :
La machine soit suffisamment puissante pour traiter le traffic ; Le système soit sécurisé ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme « Appliance ».
2 - Fonctionnement d'un système pare-feu : Un système pare-feu contient un ensemble de règles prédéfinies permettant :
D'autoriser la connexion (allow). De bloquer la connexion (deny). De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :
soit d'autoriser uniquement les communications ayant été explicitement
autorisées : soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.
3 - Le filtrage simple de paquets : Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :
adresse IP de la machine émettrice ; adresse IP de la machine réceptrice ; type de paquet (TCP, UDP, etc.) ; numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Le tableau ci-dessous donne des exemples des règles de pare-feu :
Règl e
Actio n
IP source
1
Accep 192.168.10.20 t
194.154.192. 3
Tcp
any
25
2
Accep any t
192.168.10.3
Tcp
any
80
3
Accep 192.168.10.0/2 t 4
any
Tcp
any
80
4
Deny
any
Any
any
any
any
IP dest
Protoco l
Port source
Port dest
Tableau 1 : Les règles de pare-feu
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.
4 - Le filtrage dynamique :
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-àdire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ». Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en termes de sécurité.
5 - Les différentes catégories de firewall : Depuis leur création, les firewalls ont grandement évolué. Ils sont effectivement la première solution technologique utilisée pour la
sécurisation des réseaux. De ce fait, il existe maintenant différentes catégories de firewall. Chacune d'entre-elles disposent d'avantages et d'inconvénients qui lui sont propre. Le choix du type d'un type de firewall plutôt qu'un autre dépendra de l'utilisation que l'on souhaite en faire, mais aussi des différentes contraintes imposées par le réseau devant être protégé. A - Pare-feu sans état : C’est un filtre statique de paquet (au niveau de la couche 3 du modèle OSI) selon des critères qui se base sur les adresses IP source ou destination, le protocole encapsulé (ICMP, IP, TCP, OSPF …), ou les numéros de ports source ou de destination, ses caractéristiques sont les suivantes : Sa mise en place est aisée à l’aide de règle simple.
Il Il Il Il
est performant si les règles sont limitées et bien optimisés. ne prend pas en charge les états des sessions établies (statique). ne prend pas en charge les applications ne prend pas en charge l’authentification des utilisateurs
B - Pare-feu avec état : C’est un filtre dynamique de paquet (au niveau des couches 3 ou 4 du modèle OSI) selon des critères qui se base sur les états des sessions TCP (NEW, ESTABLISHED, RELATED, INVALID), les ports sources TCP/UDP, le séquençage des paquets, les interfaces associées aux sessions en cours … Ses caractéristiques sont les suivantes :
Il Il Il Il
prend en compte les sessions (dynamique). présente de bonnes performances. gère la translation d’adresse NAT et PAT. ne prend pas en compte les protocoles des couches supérieures à la
couche transport (Telnet, FTP…).
C - Pare-feu applicatif : C’est un filtre applicatif (couche 7 du modèle OSI), chaque connexion correspond à deux connexions : la première entre l’utilisateur et le pare-
feu, et la deuxième entre le pare-feu et le système visé avec un agent qui agit comme relais pour chaque application (SMTP, http …). Ses caractéristiques sont :
Il filtre les protocoles applicatifs en profondeur. Il cache le plan d’adresse interne. Il effectue une journalisation des évènements très détaillé Ile présente une forte puissance de traitement qui n’impacte pas le trafic. Il ne prend pas en compte ni les trafics UDP ni les protocoles applicatifs RPC
6 - Catégories secondaires de pare-feu : A - Pare-feu identifiant : Il se base sur l’identification des connexions passant à travers le filtre IP. L’administrateur peut ainsi définir des règles de filtrage par utilisateurs et non plus par IP, et suivre l’activité réseau par utilisateur. B - Pare-feu personnel : Appelé aussi pare-feu embarqué, il se base sur la notion de sécurité réduits au système local et à ses applications. Ses caractéristiques sont les suivantes :
Il peut être un pare-feu sans-état, avec état, ou un proxy. Il contrôle le trafic entre deux systèmes d’un même réseau local. Le pare-feu en soit est une application ce qui rend difficile de désolidariser
la gestion de la sécurité de celle de ses applications. Il rend la gestion fastidieuse même pour un parc de taille moyenne.
7 - Les limites des firewalls : Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale. Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
8 - Comparatif de 4 firewalls gratuit : Les différents pare-feu que j’ai retenus sont totalement gratuits, sans limite d’utilisation, pour 99% d’entre eux en français, et destinés à un usage personnel pour les environnements Windows XP, Vista et bien entendu Seven et tout aussi bien à destination du PC de bureau que du portable. Il s’agit pour la plupart de solutions simples d’emploi pour lequel l’utilisateur néophyte s’appuiera sur les règles automatiques et idéalement élaborera une stratégie de défense au cas par cas en créant des règles manuelles fondées et bien réfléchies, dans la mesure du possible. Dans ce comparatif, je vais passer en revue les meilleurs firewalls gratuits, Les six logiciels retenus sont:
Comodo Firewall Jetico Personal Firewall Online Armor Free PC Tools Firewal A - Comodo Firewall :
Avec Comodo, l'utilisateur a le choix d'installer le firewall seul ou avec sa protection supplémentaire contre les logiciels malveillants. Dans la seconde optique, le module intégré, "Malware Scan" vérifie avant toute installation s'il y a traces de virus ou de logiciel espion connus sur le système.
Comodo fonctionne indifféremment sous Windows XP et Vista 32/64 bits et fait donc office de pare-feu et de protection contre les hackers, spywares, Trojans et autres usurpations d'identité. Des règles génériques sont prédéfinies pour le navigateur Web, le client de courrier électronique, le FTP, les applications de confiance et celles à bloquer. Le pare-feu dispose de cinq paliers de comportements (tout bloquer, personnalisé, mode sécurité, mode entraînement, et désactivé) et de cinq autres niveaux d'alertes (de très basse à très haute). Avec le degré d'alerte maximal, la lisibilité est parfaite puisque l'on sait le nom de l'application, les ports réclamés, l'adresse IP et les protocoles TCP et UDP concernés.
Figure 11 : interface de Comodo Firewall
Le pare-feu Comodo Firewall Professional détecte automatiquement le réseau local, recense clairement dans "Port Sets" tous les ports ouverts, affiche les connexions actives, permet de définir ses propres règles de défense pour des exécutables, des services ou des processus, détecte les
attaques TCP, UDP et ICMP Flood, et synthétise même tous les événements clés dans son journal.
Les plus Firewall très complet Ports non utilisés masqués et invisibles Défense contre les
Les moins En version anglaise uniquement Prise en main peu évidente pour un néophyte
malwares, virus, spywares Possibilité d'importer et d'exporter ses règles Fonctionne sous XP et Vista 32/64 bits Tableau 2 : Les plus et les moins de Comodo Firewall
B - Jetico Personal Firewall : Est un pare-feu très convivial et peu sophistiqué fonctionnant sous Windows 98 / Me / NT / 2000 et XP. Le logiciel est en anglais mais des patchs de traduction sont disponibles. Il existe trois politiques de réglage au choix, la protection optimale, tout autoriser ou tout bloquer. Dans la configuration de la protection optimale, des règles courantes sont définies pour les ports connus tels que la navigation http (80) et https sécurisée (443), le FTP (21), les ports emails POP3 (110), SMTP (25) et IMAP (143).
Figure 12 : interace de Jetico Personal Firewall
Le moniteur d'activité (" Traffic monitor ") affiche les histogrammes des flux entrants et sortants. Le journal (onglet " log ") est en temps réel et ce sont des pages d'actions qui y sont détaillées (heure, protocole, politique appliquée, port de destination, adresse locale, adresse distante, attaquant…) et qui serviront plus à l'amateur éclairé qu'au novice. Il est possible de créer des règles personnalisées mais cette fonction n'est guère mise en valeur et trop peu évidente pour un grand débutant (onglet configuration, bouton contextuel, new, application rule…).
Les plus
Les moins
Un pare-feu gratuit qui fait le
Aide à la création de règles
minimum
personnalisées
Règles d'ouverture des ports
Pas de jeux de règles pour la
traditionnelles Moniteur d'activité
messagerie instantanée
graphique
Absence du mode apprentissage
Tableau 3 : Les plus et les moins de Jetico Personal Firewall
C - Online Armor Free : Est un pare-feu gratuit très " actif " qui scanne tout d'abord toutes vos applications situées dans le menu ‘Démarrer’, dans le démarrage Windows et les fichiers système et qui crée ensuite les règles les mieux adaptées, notamment pour les programmes qu'il reconnaît. Pour les programmes qui ne sont pas d'emblée recensés dans sa base, c'est à vous qu'il incombera d'agir en les autorisant ou non. Le réseau local, la box Internet en mode routeur et le serveur de stockage de fichiers, si vous en disposez, sont identifiés sans aucun problème. Le firewall ne dispose pas de degrés de paramétrage, autrement dit il est soit actif soit désactivé. En revanche, il y présente un mode entraînement qui analyse et propose des règles "intelligentes" pour vos programmes.
Figure 13 : interface de Online Armor Free
Seul l'administrateur peut paramétrer le pare-feu via un mot de passe qu'il aura pris soin de saisir, ce qui constitue une barrière sécuritaire de plus. Grâce au "Firewall status", l'utilisateur dispose d'une vue globale sur les programmes en cours d'utilisation avec des courbes graphiques sur les flux entrants et sortants (y compris pour les clients P2P), les adresses IP requérantes. Dans l'interface du firewall, on peut très rapidement savoir quels sont les programmes autorisés, éditer et modifier des règles en cours ou de nouvelles règles spécifiques et stopper en un tournemain des applications menaçantes qui se lancent au démarrage de session. Avec Online Armor Free vous pouvez à tout moment ordonner une analyse des fichiers système sensibles, une fonction qui s'avère plutôt utile si vous installez régulièrement beaucoup de nouveaux logiciels et qui se chargera de réadapter de nouvelles règles pour vos ports ouverts ou inutilisés.
Les plus
Les moins
Scanne et détecte les programmes
Pas de degrés de réglages du
connus Contrôle des fichiers de
firewall (on ou off) En version
démarrage et fichiers système,
anglaise uniquement
hosts...
Mise à jour manuelle
Spectre graphique des activités
Pour Windows XP uniquement
entrantes et sortantes
Tableau 4 : Les plus et les moins de Online Armor Free
D - PC Tools Firewall : Malgré une interface plus que sympathique, cette version de PC Tools Firewall Plus qui a l'avantage d'être en français, est moins complète et moins puissante que Comodo Free Firewall et sa fonction HIPS, par exemple. Vous n'avez que deux possibilités de réglage, à savoir l'activer ou non pour lutter contre les attaques en temps réel. L'onglet ‘Applications’ réunit les programmes autorisés et bloqués ainsi que leurs types de permissions (connectivité complète, accès complet, droits de connexions non déterminés…). Il suffit de double-cliquer sur un programme pour voir en détails les règles en vigueur et le cas échéant peaufiner les règles avancées.
Figure 14 : interface de PC Tools Firewall
En matière de monitoring, il est possible de surveiller les applications actives, leurs activités (paquets envoyés et reçus), visualiser les points de connexion et consulter en détails l'écoute (adresse IP locale, port local). Les autres fonctions de ce firewall sont le mode furtif, la protection contre
l'injection de code, la journalisation des événements, l'importation / exportation des jeux de règles (*.RLS) et l'exportation de l'historique (*.CSV).
Les plus
Les moins
Firewall convivial en mode
Peu accessible aux néophytes
automatique
Pas de paliers de réglage du firewall
Mode furtif pour le masquage des
Une règle manuelle doit être crée
ports non utilisés
pour le réseau local
Trafic réseau et activité du pare-feu détaillés Interface réussie sous XP et Vista Tableau 5 : Les plus et les moins de PC Tools Firewall
9 - Le Pare-feu ASA : Une entreprise qui dépend de son réseau a besoin d'une sécurité sans faille. Les appareils de sécurité adaptative Cisco ASA gamme 5500 garantissent une sécurité optimale suffisamment souple pour s'adapter à la croissance et à l'évolution de votre entreprise. A - Principales caractéristiques : Les appareils de sécurité adaptative Cisco ASA offrent de nombreux avantages:
Personnalisation : personnalisez votre système de sécurité en fonction de
vos besoins d’accès et de la politique de votre ‘entreprise. Flexibilité : vous pouvez facilement ajouter des fonctionnalités ou mettre à jour un appareil au fur et à mesure que votre entreprise se développe et que vos besoins évoluent.
Sécurité avancée : profitez des dernières technologies en matière de sécurité de contenu, de chiffrement, d’authentification, d’autorisation et de
prévention des intrusions. Simplicité : utilisez un seul périphérique facile à installer, à gérer et à
contrôler. Mise en réseau avancée : configurez des réseaux privés virtuels (VPN) offrant aux utilisateurs nomades et distants un accès parfaitement sécurisé aux ressources de l’entreprise. Vous pouvez également créer des réseaux VPN avec d’autres bureaux ou entre vos partenaires ou employés selon leur fonction.
En offrant à votre réseau la meilleure sécurité, vos employés peuvent toujours compter sur sa disponibilité. Les appareils de sécurité adaptative Cisco ASA gamme 5500 sont votre première ligne de défense et de loin la meilleure.
La gamme Cisco ASA (Adaptive Security Appliance) assure en profondeur la protection des réseaux des petites, moyennes et grandes entreprises tout en réduisant les frais de déploiement et d’exploitation. Le Cisco ASA succède au célèbre PIX, le boîtier firewall et VPN le plus vendu au monde et réunit sur une même plateforme une combinaison de technologies éprouvées. Pour suivre l’évolution des menaces, il offre plus de puissance et des services de sécurité de nouvelle génération comme la Prévention d’Intrusion (IPS), le Filtrage de Contenu (AntiX – technologie en provenance de Trend Micro) ou le VPN SSL. L’ASA est administré à l’aide d’un puissant logiciel graphique d’utilisation facile et conviviale, ASDM (Adaptive Security Device Manager). ASDM permet d’accélérer la création de politiques de sécurité, de réduire la charge d’administration et les erreurs de configuration grâce à des assistants graphiques d’installation, des outils de débogage, et de surveillance.
B - Cinq raisons de choisir la gamme Cisco ASA :
Technologie de pare-feu sécurisé et de protection des VPN contre les menaces Développée autour de la même technologie éprouvée qui a fait le succès du serveur de sécurité Cisco PIX et de la gamme des concentrateurs Cisco VPN, la gamme Cisco ASA est la première solution à proposer des services VPN SSL et IPSec protégés par la
première technologie de pare-feu du marché. Services de protection des contenus à la pointe de l’industrie Réunit la maîtrise de Trend Micro en matière de protection contre les menaces et de contrôle des contenus à la périphérie Internet et les solutions éprouvées de Cisco pour fournir des services anti-X complets – protection contre les virus, les logiciels espions, le courrier indésirable et le phishing, ainsi que le blocage de fichiers, le blocage et le filtrage
des URL et le filtrage des contenus. Services évolués de prévention des intrusions Les services proactifs de prévention des intrusions offrent toutes les fonctionnalités qui permettent de bloquer un large éventail de menaces – vers, attaques sur la couche applicative ou au niveau du système d'exploitation, rootkits, logiciels espions, partages de fichiers en « peer-to-peer » et
messagerie instantanée. Services multifonctions de gestion et de surveillance Sur une même plate-forme, la gamme Cisco ASA fournit des services de gestion et de surveillance utilisables de manière intuitive grâce au gestionnaire Cisco ASDM (Adaptive Security Device Manager) ainsi que des services de
gestion de catégorie entreprise avec Cisco Security Management Suite. Réduction des frais de déploiement et d’exploitation Développée autour d’un concept et d’une interface analogues à ceux des solutions de sécurité existantes de Cisco, la gamme Cisco ASA permet de réduire considérablement le coût d’acquisition que ce soit dans le cadre d’un premier déploiement d’une solution de sécurité ou d’une gestion au jour le jour.
Conclusion Lors de ce stage de deux mois, j’ai pu mettre en pratique mes connaissances théoriques acquises durant ma formation, de plus, j’ai confronté les difficultés réelles du monde su travail et du management d’équipes. Après l’intégration rapide dans l’équipe, j’ai eu l’occasion de réaliser plusieurs tâches qui ont constitué une mission de stage globale. Je pense que cette expérience en entreprise n m’a offert une bonne préparation à mon insertion professionnelle car elle fut pour moi une expérience enrichissante et complète qui conforte mon désire d’exercer mon futur métier d’ingénieur dans le domaine de système et sécurité informatique. Durant la réalisation de mon projet, j’ai confronté différentes difficultés surtout au niveau du pare-feu ASA Enfin, il me reste plus qu’à remercier mon encadrant M. GOUAZIZ pour sa disponibilité, son soutien et sa mise en disposition le matériel nécessaire pour la réalisation de mon projet ainsi que M. ACHAHOD pour sec encouragements et conseils tout au long de la période de stage. Je tiens aussi à
exprimer mon satisfaction d’avoir pu travaillé dans les bonnes conditions matérielles et un environnement agréable.
BIBLIOGRAPHIE ET WEBOGRAPHIE Bibliographies Building Internet Firewalls, (2nd Edition)[Paperback] D. Brent Chapman (author) Cisco ASA Configuration (Networking Professional’s library) [Paperback] David Hucaby (author)
Webographies
https://fr.wikipedia.org www.commentcamarche.net www.generation-nt.com/s/comparatif+firewall/ www.zonealarm.com www.cisco.com
ANNEXE Configuration de base d’un pare-feu ASA Interface Web d’un Switch
1 - Configuration de base d'un firewall ASA 5505 :
Figure 15 : Pare-feu ASA 5505
A - Schéma de travail :
Figure 16 : schéma de travail
Je dois réinitialiser le firewall Je Saisi la commande « Config factory-default »
Je redémarre le firewall
B - Configuration du firewall après le redémarrage :
C - Modification en mode terminale serie : Je dois désactiver le DHCP afin d'attribuer une adresse IP au VLAN1:
D - Configuration du VLAN inside (LAN) : Je saisi les commandes suivantes :
E - Configuration de l'ordinateur (LAN) : Je dois mettre mon ordinateur dans le même réseau que l'ASA et je lui brancher sur le port 1 du firewall
Figure 17 : Configuration de l'adresse IP
Dans le panneau de configuration Je sélectionne Java /onglet sécurité, je baisse le niveau de sécurité. Cette partie me permet de connecter mon ordinateur à l'interface graphique du firewall (ASDM) sans avoir d'erreur à la connexion.
Figure 18 : Configuration au niveau de sécurité
F - Configuration du VLAN outside (WAN) L'interface outside (VLAN2) est configuré par défaut sur le port eth0/0 ; le DHCP de l'entreprise Erenet lui attribue une adresse la configuration est : 192.168.2.254 255.255.255.0
J - Configuration du VLAN3 (DMZ) : Je dois saisir les configurations suivantes : J’attribue une adresse IP au vlan3
Lorsque je veux donner un nom il y a l'erreur suivante car la licence dont je dispose ne me permet de configurer que 2 VLAN ; je dois donc saisir la commande suivante.
Je souhaite assigner le port 6 et 7 au VLAN « DMZ »
J’ai maintenant la configuration suivante :
J’autorise l’accès en mode graphique pour les adresses 192.168.2.254 (adresse Inside) et 192.168.3.254 (adresse DMZ) :
JE lance un navigateur : https://192.168.2.254
Figure 19 : interface web de Pare-feu ASA
2 - Interface Web d’un Switch : La fonction Web Server ou HTTP Server sur un router est désactiver par défaut pour des raisons de sécurité. Premièrement, il faut vérifier si IOS Web Server n'est pas activer, alors je tape la commande : Switch# show running-config
Si l'IOS Web server est désactivé, le command no ip http server doit être dans les résultats de la commande show running-config. Alors pour l'activer je tape le command suivant : Switch (config)#ip http server Pour sécurisé l'accès par HTTPS: Switch (config)#ip http secure server Pour changer le port d'application, le port 80 par défaut pour le http : Switch (config)#ip http port 1 – 65535 Une chose qu’il ne faut pas oublier. L'accès doit être protégé par un login et un Mot de Passe alors il faut créer une base de données d'authentification Local. Pour ce fait: Switch (config)#username "username" privilege 15 secret "password" J’applique cette base de données à l'accès http par: switch (config)#ip http authentication local Création des ACL Standard à cet effet: Switch (config)#access-list "1 - 99" permit "source ip address" "source wildcard mask" Example switch (config)#access-list 1 permit host 10.10.10.1 Pour appliquer cette ACL à l'Access http Switch (config)# ip http access-class 1
Figure 20 : interface web de Switch