SlideShare une entreprise Scribd logo

Mise en place d'un reseau securise par Cisco ASA

Ousmane BADJI
Ousmane BADJI

De nos jours, avec le développement exponentiel des réseaux et télécommunications, chaque ordinateur connecté à internet (ou à un réseau) est susceptible d’être victime d’une intrusion (risque d’altérer l’intégrité du système et des données). Les pirates informatiques ayant l’intention de s’introduire dans les systèmes recherchent des failles dans les protocoles, les systèmes d’exploitations et les applications. Ils examinent donc le réseau avec soins dans le cadre de la recherche d’une machine connectée puis ils cherchent une faille de sécurité afin de l’exploiter et d’accéder aux données.

Technologie
1  sur  38
Télécharger pour lire hors ligne
CCNA: MISE EN PLACE D’UN RESEAU D’ENTREPRISE SECURISE PAR UN FIREWALLASA Réalisé par : Professeur : M. Ousmane BADJI M. Massamba LÔ m
PLAN INTRODUCTION DEFINITION DE CISCO ASA FONCTIONNALITES ACCOMPLIES PAR ASA INTEGRATION DE ASA SOUS GNS3 CONFIGURATION DU Firewall TEST DE LA CONFIGURATION CONCLUSION 2
INTRODUCTION De nos jours, avec le développement exponentiel des réseaux et télécommunications, chaque ordinateur connecté à internet (ou à un réseau) est susceptible d’être victime d’une intrusion (risque d’altérer l’intégrité du système et des données). Les pirates informatiques ayant l’intention de s’introduire dans les systèmes recherchent des failles dans les protocoles, les systèmes d’exploitations et les applications. Ils examinent donc le réseau avec soins dans le cadre de la recherche d’une machine connectée puis ils cherchent une faille de sécurité afin de l’exploiter et d’accéder aux données. 3
Les outils requis pour la mettre en place un Firewall Cisco ASA Pour mettre en place un réseau virtuel comportant un pare- feu tel que Cisco ASA, il vous faut les éléments suivants : Un ordinateur fonctionnant de préférence sous un système 64bits (en effet la virtualisation est plus facile avec ce type d’architecture), Le logiciel GNS3 Le fichier de boot de l’ASA appelé "initrd.gz", Une image d’un IOS d’un Firewall ASA appelé "wmlinuz", la configuration suivante pour Qemu : 4
Les outils requis pour la mettre en place un Firewall Cisco ASA Cette commande permet de créer et configurer une machine virtuelle dans Qemu. On y retrouve, notamment, la configuration de la mémoire. Cette machine supportera le fichier « initrd.gz » ainsi que, et surtout, l’image de notre ASA. Cette commande permet de donner des instructions lors du démarrage de notre pare-feu. 5
DEFINITION DE ASA  Cisco ASA est l’abréviation de Adaptive Security Appliance, c’est une gamme de pare feu produite par Cisco.  ASA peut être définit principalement comme pare feu de réseau.  Il faut bien distinguer le pare feu réseau et le pare feu au niveau de la machine hôte.  Le pare feu réseau est généralement un pare feu matériel et le pare feu au niveau de la machine hôte est un pare feu logiciel.  La portée du pare feu réseau s’étale généralement pour contrôler le réseau entier. Il est généralement situé entre le réseau interne et internet.  Ce pendant l’autorité du pare feu de la machine hôte est limitée au niveau de la machine même et ne pas au-delà de cette dernière. 6
FONCTIONNALITE ACCOMPLIES PAR ASA  En plus de la fonctionnalité principale de pare feu ASA, d’autres fonctionnalités sont aussi offertes selon : - la version du pare feu ASA utilisé - les licences adéquates acquise et installées au niveau du pare feu ASA  Parmi les fonctionnalités supplémentaires: - des services IPS (Système de prévision d’intrusions) - un service VPN sécurisé avec équilibrage de charges - des services IPSec - des interfaces VLANs (100-200) 7
FIREWALL ASA 8
INTEGRATION DE ASA SOUS GNS3  L’émulation de ASA sous GNS3 s’effectue à travers une image QEMU  Trois fichiers doivent être présents pour rendre possible l’émulation de ASA sous GNS3: 1) le fichier d’initialisation de la RAM dont le nom est sous la forme ***-initrd.gz (pour notre cas on a utilisé « asa842-initrd.gz ») 2) le fichier image du noyau ASA dont le nom est sous la forme ***-vmlinuz (pour notre cas on a utilisé « asa842-vmlinuz ») 3) le fichier image de ASDM (Adatative Security Device Manager) dont le nom est la forme asdm-***.bin (qu’on n’a pas utilisé pour cette configuration).  N.B.: Ce fichier est optionnel, sa principale fonction est d’offrir un environnement graphique qui facilite les tâches de configuration ASA complexes en mode commande. 9
INTEGRATION DE ASA SOUS GNS3 Etape 1 : Création du fichier Flash 10
INTEGRATION DE ASA SOUS GNS3 Création du fichier Flash 11 1 2 3
INTEGRATION DE ASA SOUS GNS3 Pour configurer ASA dans GNS3, voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...] puis « news » et suivre les instructions ci-dessous sous forme d’images. 12 1
INTEGRATION DE ASA SOUS GNS3 13 2 3
INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz). 14 4
INTEGRATION DE ASA SOUS GNS3 Après avoir cliquer sur « Finish », voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...]. 15
INTEGRATION DE ASA SOUS GNS3  Ensuite aller dans l’onglet [Qemu](à gauche), puis sélectionnez l’icone de [ASA](au milieu) et cliquez sur [Edit]  configurer la mémoire à 1024MB 16
INTEGRATION DE ASA SOUS GNS3  Parcourir le fichier de la mémoire FLASH que vous avez créez précédemment. 17
INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz),  Champ « Kernel commande line » : Copier la commande kernel,  Décohez « Activate CPU throtting »  Champ « Options » tout a fait en bas : Copier la commande option, Voici ce que vous devez obtenir (voir la page qui suive) 18
INTEGRATION DE ASA SOUS GNS3  Sauvegarder votre configuration en cliquant sur « OK » puis sur « Apply » et en fin sur « OK » 19
TOPOLOGIE 20
CONFIGURATION DU Firewall Configurations de base des routeurs Configurez les routeurs R1et R2 selon les instructions suivantes :  Configurez le nom d’hôte des périphériques.  Désactivez la recherche DNS.  Configurez un mot de passe de mode d’exécution privilégié.  Configurez une bannière du message du jour.  Configurez un mot de passe pour les connexions de consoles.  Configurez un mot de passe pour les connexions de terminaux virtuels (vty).  Configurez des adresses IP sur tous les routeurs et les PC.  Activez le protocole de routage (OSPF pour notre cas) sur R1 et R2. 21
CONFIGURATION DU Firewall Configuration de PPP sur R1 22
CONFIGURATION DU Firewall Configuration de PPP sur R2 23
CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité Le firewall ASA a trois interfaces connectées à trois segments du réseau: 1) Le segment de réseau connecté à l'interface gigaEthernet0 est étiqueté à l'extérieur avec un niveau de sécurité de 0. 2) Le segment de réseau connecté à l’interface gigaEthernet1 est étiqueté à l’intérieur avec un niveau de sécurité de 100. 3) Le segment de réseau connecté à l’interface gigaEthernet2 et étiqueté comme DMZ (Zone démilitarisée), où réside le serveur web, avec un niveau de sécurité de 50. 24
CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité 25
CONFIGURATION DU Firewall Configuration des règles NAT On configurer est les règles NAT qui permettent aux hôtes des segments internes et DMZ de se connecter à Internet. On crée un objet réseau qui représente le sous-réseau interne ainsi qu'un autre qui représente le sous-réseau DMZ. 26
CONFIGURATION DU Firewall Configuration des règles NAT 27
CONFIGURATION DU Firewall Configuration des ACLs Rappelons que le trafic provenant d'une interface de sécurité supérieure est autorisé lorsqu'il passe à une interface de sécurité inférieure et que le trafic provenant d'une interface de sécurité inférieure est refusé lorsqu'il passe à une interface de sécurité supérieure. Donc les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). Les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes sur la zone démilitarisée (niveau de sécurité 50). Les hôtes de la zone démilitarisée (niveau de sécurité 50) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). D’où l’ajout des ACLs. 28
CONFIGURATION DU Firewall Configuration des ACLs Le trafic de l'extérieur vers le réseau DMZ est refusé par le firewall avec sa configuration actuelle, les utilisateurs sur Internet ne peuvent pas accéder au serveur Web. Vous devez autoriser explicitement ce trafic. 29
CONFIGURATION DU Firewall Configuration des ACLs Ici aussi le trafic du réseau DMZ vers le réseau interne est refusé par le firewall avec sa configuration actuelle. Vous devez autoriser explicitement ce trafic. 30
CONFIGURATION DU Firewall Configuration de la route par défaut vers l’extérieur : 31
TEST DE LA CONFIGURATION DU Firewall Après avoir bien configuré notre Firewall (ASA), il est nécessaire de tester celui-ci pour bien assurer la fiabilité de ce dernier. 32
TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE: Win7) vers DMZ (Serveur 2012) et inversement. INSIDE vers DMZ DMZ vers INSIDE 33
TEST DE LA CONFIGURATION DU Firewall Du DMZ vers internet (OUTSIDE: PC3) et inversement DMZ vers OUTSIDE OUTSIDE vers DMZ Ici on utilise l’adresse publique pour se connecter au serveur Web. 34
TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE) vers internet (OUTSIDE). 35
TEST DE LA CONFIGURATION DU Firewall Du l’internet (OUTSIDE) vers l’intérieur (INSIDE). Ici à partir de l’internet il est impossible de joindre l’intranet (INSIDE) à cause de notre Firewall qui bloque tous les accès. Les hôts au niveau de l’internet ne peuvent plus joindre notre intranet. En testant de joindre le LAN nous avons comme résultat indiqué sur le figure ci-dessous : On a comme message: « Centre serveur de destination inaccessible ». 36
CONCLUSION A l’issu de notre travail nous avons pu mettre en place un Firewall ASA. Ceci nous a permis de nous familiariser avec l’environnement du GNS3. Notre recherche revêt d’une importance capitale car nous avons pu consolider nos connaissances sur des programmes qui interagissent avec la gestion de la sécurité d’une entreprise. 37
Webographie https://www.cisco.com https://www.configurationdebase.com/ https://www.configurationdebase.com/ https://fr.scribd.com/  Emails: ousmanebadji1986@yahoo.fr 38

Recommandé

Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASAThomas Moegli
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Support formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSupport formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSmartnSkilled
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 

Recommandé

Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASAThomas Moegli
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Support formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSupport formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSmartnSkilled
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIPDimitri LEMBOKOLO
 
Tp voip
Tp voipTp voip
Tp voipamalouwarda
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASupport cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
Rapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPRapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPBalla Moussa Doumbouya
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
ToIP
ToIPToIP
ToIPir. Carmelo Zaccone
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEYSbastienGuritey
 
Exposéréseau
ExposéréseauExposéréseau
ExposéréseauNoura Mohamed
 

Contenu connexe

Tendances

Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASupport cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
Rapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPRapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPBalla Moussa Doumbouya
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 

Tendances (20)

Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Tp voip
Tp voipTp voip
Tp voip
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASupport cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASA
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Rapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPRapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAP
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
ToIP
ToIPToIP
ToIP
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 

Similaire à Mise en place d'un reseau securise par Cisco ASA

Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEYSbastienGuritey
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)EL AMRI El Hassan
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaPape Moussa SONKO
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxinformatiquehageryah
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 

Similaire à Mise en place d'un reseau securise par Cisco ASA (20)

Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 
Rapport sur juniper
Rapport sur juniperRapport sur juniper
Rapport sur juniper
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Sagem
SagemSagem
Sagem
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
isa serveur
isa serveurisa serveur
isa serveur
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Vpn
VpnVpn
Vpn
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptx
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 

Mise en place d'un reseau securise par Cisco ASA

  • 1. CCNA: MISE EN PLACE D’UN RESEAU D’ENTREPRISE SECURISE PAR UN FIREWALLASA Réalisé par : Professeur : M. Ousmane BADJI M. Massamba LÔ m
  • 2. PLAN INTRODUCTION DEFINITION DE CISCO ASA FONCTIONNALITES ACCOMPLIES PAR ASA INTEGRATION DE ASA SOUS GNS3 CONFIGURATION DU Firewall TEST DE LA CONFIGURATION CONCLUSION 2
  • 3. INTRODUCTION De nos jours, avec le développement exponentiel des réseaux et télécommunications, chaque ordinateur connecté à internet (ou à un réseau) est susceptible d’être victime d’une intrusion (risque d’altérer l’intégrité du système et des données). Les pirates informatiques ayant l’intention de s’introduire dans les systèmes recherchent des failles dans les protocoles, les systèmes d’exploitations et les applications. Ils examinent donc le réseau avec soins dans le cadre de la recherche d’une machine connectée puis ils cherchent une faille de sécurité afin de l’exploiter et d’accéder aux données. 3
  • 4. Les outils requis pour la mettre en place un Firewall Cisco ASA Pour mettre en place un réseau virtuel comportant un pare- feu tel que Cisco ASA, il vous faut les éléments suivants : Un ordinateur fonctionnant de préférence sous un système 64bits (en effet la virtualisation est plus facile avec ce type d’architecture), Le logiciel GNS3 Le fichier de boot de l’ASA appelé "initrd.gz", Une image d’un IOS d’un Firewall ASA appelé "wmlinuz", la configuration suivante pour Qemu : 4
  • 5. Les outils requis pour la mettre en place un Firewall Cisco ASA Cette commande permet de créer et configurer une machine virtuelle dans Qemu. On y retrouve, notamment, la configuration de la mémoire. Cette machine supportera le fichier « initrd.gz » ainsi que, et surtout, l’image de notre ASA. Cette commande permet de donner des instructions lors du démarrage de notre pare-feu. 5
  • 6. DEFINITION DE ASA  Cisco ASA est l’abréviation de Adaptive Security Appliance, c’est une gamme de pare feu produite par Cisco.  ASA peut être définit principalement comme pare feu de réseau.  Il faut bien distinguer le pare feu réseau et le pare feu au niveau de la machine hôte.  Le pare feu réseau est généralement un pare feu matériel et le pare feu au niveau de la machine hôte est un pare feu logiciel.  La portée du pare feu réseau s’étale généralement pour contrôler le réseau entier. Il est généralement situé entre le réseau interne et internet.  Ce pendant l’autorité du pare feu de la machine hôte est limitée au niveau de la machine même et ne pas au-delà de cette dernière. 6
  • 7. FONCTIONNALITE ACCOMPLIES PAR ASA  En plus de la fonctionnalité principale de pare feu ASA, d’autres fonctionnalités sont aussi offertes selon : - la version du pare feu ASA utilisé - les licences adéquates acquise et installées au niveau du pare feu ASA  Parmi les fonctionnalités supplémentaires: - des services IPS (Système de prévision d’intrusions) - un service VPN sécurisé avec équilibrage de charges - des services IPSec - des interfaces VLANs (100-200) 7
  • 9. INTEGRATION DE ASA SOUS GNS3  L’émulation de ASA sous GNS3 s’effectue à travers une image QEMU  Trois fichiers doivent être présents pour rendre possible l’émulation de ASA sous GNS3: 1) le fichier d’initialisation de la RAM dont le nom est sous la forme ***-initrd.gz (pour notre cas on a utilisé « asa842-initrd.gz ») 2) le fichier image du noyau ASA dont le nom est sous la forme ***-vmlinuz (pour notre cas on a utilisé « asa842-vmlinuz ») 3) le fichier image de ASDM (Adatative Security Device Manager) dont le nom est la forme asdm-***.bin (qu’on n’a pas utilisé pour cette configuration).  N.B.: Ce fichier est optionnel, sa principale fonction est d’offrir un environnement graphique qui facilite les tâches de configuration ASA complexes en mode commande. 9
  • 10. INTEGRATION DE ASA SOUS GNS3 Etape 1 : Création du fichier Flash 10
  • 11. INTEGRATION DE ASA SOUS GNS3 Création du fichier Flash 11 1 2 3
  • 12. INTEGRATION DE ASA SOUS GNS3 Pour configurer ASA dans GNS3, voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...] puis « news » et suivre les instructions ci-dessous sous forme d’images. 12 1
  • 13. INTEGRATION DE ASA SOUS GNS3 13 2 3
  • 14. INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz). 14 4
  • 15. INTEGRATION DE ASA SOUS GNS3 Après avoir cliquer sur « Finish », voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...]. 15
  • 16. INTEGRATION DE ASA SOUS GNS3  Ensuite aller dans l’onglet [Qemu](à gauche), puis sélectionnez l’icone de [ASA](au milieu) et cliquez sur [Edit]  configurer la mémoire à 1024MB 16
  • 17. INTEGRATION DE ASA SOUS GNS3  Parcourir le fichier de la mémoire FLASH que vous avez créez précédemment. 17
  • 18. INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz),  Champ « Kernel commande line » : Copier la commande kernel,  Décohez « Activate CPU throtting »  Champ « Options » tout a fait en bas : Copier la commande option, Voici ce que vous devez obtenir (voir la page qui suive) 18
  • 19. INTEGRATION DE ASA SOUS GNS3  Sauvegarder votre configuration en cliquant sur « OK » puis sur « Apply » et en fin sur « OK » 19
  • 21. CONFIGURATION DU Firewall Configurations de base des routeurs Configurez les routeurs R1et R2 selon les instructions suivantes :  Configurez le nom d’hôte des périphériques.  Désactivez la recherche DNS.  Configurez un mot de passe de mode d’exécution privilégié.  Configurez une bannière du message du jour.  Configurez un mot de passe pour les connexions de consoles.  Configurez un mot de passe pour les connexions de terminaux virtuels (vty).  Configurez des adresses IP sur tous les routeurs et les PC.  Activez le protocole de routage (OSPF pour notre cas) sur R1 et R2. 21
  • 24. CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité Le firewall ASA a trois interfaces connectées à trois segments du réseau: 1) Le segment de réseau connecté à l'interface gigaEthernet0 est étiqueté à l'extérieur avec un niveau de sécurité de 0. 2) Le segment de réseau connecté à l’interface gigaEthernet1 est étiqueté à l’intérieur avec un niveau de sécurité de 100. 3) Le segment de réseau connecté à l’interface gigaEthernet2 et étiqueté comme DMZ (Zone démilitarisée), où réside le serveur web, avec un niveau de sécurité de 50. 24
  • 25. CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité 25
  • 26. CONFIGURATION DU Firewall Configuration des règles NAT On configurer est les règles NAT qui permettent aux hôtes des segments internes et DMZ de se connecter à Internet. On crée un objet réseau qui représente le sous-réseau interne ainsi qu'un autre qui représente le sous-réseau DMZ. 26
  • 28. CONFIGURATION DU Firewall Configuration des ACLs Rappelons que le trafic provenant d'une interface de sécurité supérieure est autorisé lorsqu'il passe à une interface de sécurité inférieure et que le trafic provenant d'une interface de sécurité inférieure est refusé lorsqu'il passe à une interface de sécurité supérieure. Donc les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). Les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes sur la zone démilitarisée (niveau de sécurité 50). Les hôtes de la zone démilitarisée (niveau de sécurité 50) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). D’où l’ajout des ACLs. 28
  • 29. CONFIGURATION DU Firewall Configuration des ACLs Le trafic de l'extérieur vers le réseau DMZ est refusé par le firewall avec sa configuration actuelle, les utilisateurs sur Internet ne peuvent pas accéder au serveur Web. Vous devez autoriser explicitement ce trafic. 29
  • 30. CONFIGURATION DU Firewall Configuration des ACLs Ici aussi le trafic du réseau DMZ vers le réseau interne est refusé par le firewall avec sa configuration actuelle. Vous devez autoriser explicitement ce trafic. 30
  • 31. CONFIGURATION DU Firewall Configuration de la route par défaut vers l’extérieur : 31
  • 32. TEST DE LA CONFIGURATION DU Firewall Après avoir bien configuré notre Firewall (ASA), il est nécessaire de tester celui-ci pour bien assurer la fiabilité de ce dernier. 32
  • 33. TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE: Win7) vers DMZ (Serveur 2012) et inversement. INSIDE vers DMZ DMZ vers INSIDE 33
  • 34. TEST DE LA CONFIGURATION DU Firewall Du DMZ vers internet (OUTSIDE: PC3) et inversement DMZ vers OUTSIDE OUTSIDE vers DMZ Ici on utilise l’adresse publique pour se connecter au serveur Web. 34
  • 35. TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE) vers internet (OUTSIDE). 35
  • 36. TEST DE LA CONFIGURATION DU Firewall Du l’internet (OUTSIDE) vers l’intérieur (INSIDE). Ici à partir de l’internet il est impossible de joindre l’intranet (INSIDE) à cause de notre Firewall qui bloque tous les accès. Les hôts au niveau de l’internet ne peuvent plus joindre notre intranet. En testant de joindre le LAN nous avons comme résultat indiqué sur le figure ci-dessous : On a comme message: « Centre serveur de destination inaccessible ». 36
  • 37. CONCLUSION A l’issu de notre travail nous avons pu mettre en place un Firewall ASA. Ceci nous a permis de nous familiariser avec l’environnement du GNS3. Notre recherche revêt d’une importance capitale car nous avons pu consolider nos connaissances sur des programmes qui interagissent avec la gestion de la sécurité d’une entreprise. 37