De nos jours, avec le développement exponentiel des
réseaux et télécommunications, chaque ordinateur
connecté à internet (ou à un réseau) est susceptible d’être
victime d’une intrusion (risque d’altérer l’intégrité du
système et des données).
Les pirates informatiques ayant l’intention de s’introduire
dans les systèmes recherchent des failles dans les
protocoles, les systèmes d’exploitations et les
applications. Ils examinent donc le réseau avec soins dans
le cadre de la recherche d’une machine connectée puis ils
cherchent une faille de sécurité afin de l’exploiter et
d’accéder aux données.
1. CCNA:
MISE EN PLACE D’UN RESEAU
D’ENTREPRISE SECURISE PAR UN
FIREWALLASA
Réalisé par : Professeur :
M. Ousmane BADJI M. Massamba LÔ
m
2. PLAN
INTRODUCTION
DEFINITION DE CISCO ASA
FONCTIONNALITES ACCOMPLIES PAR ASA
INTEGRATION DE ASA SOUS GNS3
CONFIGURATION DU Firewall
TEST DE LA CONFIGURATION
CONCLUSION
2
3. INTRODUCTION
De nos jours, avec le développement exponentiel des
réseaux et télécommunications, chaque ordinateur
connecté à internet (ou à un réseau) est susceptible d’être
victime d’une intrusion (risque d’altérer l’intégrité du
système et des données).
Les pirates informatiques ayant l’intention de s’introduire
dans les systèmes recherchent des failles dans les
protocoles, les systèmes d’exploitations et les
applications. Ils examinent donc le réseau avec soins dans
le cadre de la recherche d’une machine connectée puis ils
cherchent une faille de sécurité afin de l’exploiter et
d’accéder aux données.
3
4. Les outils requis pour la mettre en
place un Firewall Cisco ASA
Pour mettre en place un réseau virtuel comportant un pare-
feu tel que Cisco ASA, il vous faut les éléments suivants :
Un ordinateur fonctionnant de préférence sous un
système 64bits (en effet la virtualisation est plus facile
avec ce type d’architecture),
Le logiciel GNS3
Le fichier de boot de l’ASA appelé "initrd.gz",
Une image d’un IOS d’un Firewall ASA appelé
"wmlinuz",
la configuration suivante pour Qemu :
4
5. Les outils requis pour la mettre en
place un Firewall Cisco ASA
Cette commande permet de créer et configurer une machine
virtuelle dans Qemu. On y retrouve, notamment, la
configuration de la mémoire. Cette machine supportera le
fichier « initrd.gz » ainsi que, et surtout, l’image de notre
ASA.
Cette commande permet de donner des instructions lors du
démarrage de notre pare-feu.
5
6. DEFINITION DE ASA
Cisco ASA est l’abréviation de Adaptive Security Appliance, c’est une
gamme de pare feu produite par Cisco.
ASA peut être définit principalement comme pare feu de réseau.
Il faut bien distinguer le pare feu réseau et le pare feu au niveau de la
machine hôte.
Le pare feu réseau est généralement un pare feu matériel et le pare feu au
niveau de la machine hôte est un pare feu logiciel.
La portée du pare feu réseau s’étale généralement pour contrôler le réseau
entier. Il est généralement situé entre le réseau interne et internet.
Ce pendant l’autorité du pare feu de la machine hôte est limitée au niveau
de la machine même et ne pas au-delà de cette dernière.
6
7. FONCTIONNALITE ACCOMPLIES PAR
ASA
En plus de la fonctionnalité principale de pare feu ASA, d’autres
fonctionnalités sont aussi offertes selon :
- la version du pare feu ASA utilisé
- les licences adéquates acquise et installées au niveau du pare feu ASA
Parmi les fonctionnalités supplémentaires:
- des services IPS (Système de prévision d’intrusions)
- un service VPN sécurisé avec équilibrage de charges
- des services IPSec
- des interfaces VLANs (100-200)
7
9. INTEGRATION DE ASA SOUS
GNS3
L’émulation de ASA sous GNS3 s’effectue à travers une image QEMU
Trois fichiers doivent être présents pour rendre possible l’émulation de ASA
sous GNS3:
1) le fichier d’initialisation de la RAM dont le nom est sous la forme
***-initrd.gz (pour notre cas on a utilisé « asa842-initrd.gz »)
2) le fichier image du noyau ASA dont le nom est sous la forme
***-vmlinuz (pour notre cas on a utilisé « asa842-vmlinuz »)
3) le fichier image de ASDM (Adatative Security Device Manager)
dont le nom est la forme asdm-***.bin (qu’on n’a pas utilisé pour
cette configuration).
N.B.: Ce fichier est optionnel, sa principale fonction est d’offrir un
environnement graphique qui facilite les tâches de configuration ASA
complexes en mode commande.
9
12. INTEGRATION DE ASA SOUS GNS3
Pour configurer ASA dans GNS3, voici comment le faire:
Il faut tout simplement aller dans [Edit], sélectionner [préférences ...] puis
« news » et suivre les instructions ci-dessous sous forme d’images.
12
1
14. INTEGRATION DE ASA SOUS GNS3
Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier
initrd dans le répertoire où vous l’avez téléchargé,
Champ « Kernel image » : Faire de même en prenant le fichier image
IOS (wmlinuz).
14
4
15. INTEGRATION DE ASA SOUS GNS3
Après avoir cliquer sur « Finish », voici comment le faire:
Il faut tout simplement aller dans [Edit], sélectionner [préférences ...].
15
16. INTEGRATION DE ASA SOUS GNS3
Ensuite aller dans l’onglet [Qemu](à gauche), puis sélectionnez l’icone de
[ASA](au milieu) et cliquez sur [Edit]
configurer la mémoire à 1024MB
16
17. INTEGRATION DE ASA SOUS GNS3
Parcourir le fichier de la mémoire FLASH que vous avez créez
précédemment.
17
18. INTEGRATION DE ASA SOUS GNS3
Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier
initrd dans le répertoire où vous l’avez téléchargé,
Champ « Kernel image » : Faire de même en prenant le fichier image
IOS (wmlinuz),
Champ « Kernel commande line » : Copier la commande kernel,
Décohez « Activate CPU throtting »
Champ « Options » tout a fait en bas : Copier la commande option,
Voici ce que vous devez obtenir (voir la page qui suive)
18
19. INTEGRATION DE ASA SOUS GNS3
Sauvegarder votre configuration en cliquant sur « OK » puis sur
« Apply » et en fin sur « OK »
19
21. CONFIGURATION DU Firewall
Configurations de base des routeurs
Configurez les routeurs R1et R2 selon les instructions suivantes :
Configurez le nom d’hôte des périphériques.
Désactivez la recherche DNS.
Configurez un mot de passe de mode d’exécution privilégié.
Configurez une bannière du message du jour.
Configurez un mot de passe pour les connexions de consoles.
Configurez un mot de passe pour les connexions de terminaux virtuels
(vty).
Configurez des adresses IP sur tous les routeurs et les PC.
Activez le protocole de routage (OSPF pour notre cas) sur R1 et R2.
21
24. CONFIGURATION DU Firewall
Configuration des noms des interfaces et leurs niveaux de
sécurité
Le firewall ASA a trois interfaces connectées à trois segments du réseau:
1) Le segment de réseau connecté à l'interface gigaEthernet0 est étiqueté à
l'extérieur avec un niveau de sécurité de 0.
2) Le segment de réseau connecté à l’interface gigaEthernet1 est étiqueté à
l’intérieur avec un niveau de sécurité de 100.
3) Le segment de réseau connecté à l’interface gigaEthernet2 et étiqueté
comme DMZ (Zone démilitarisée), où réside le serveur web, avec un
niveau de sécurité de 50.
24
26. CONFIGURATION DU Firewall
Configuration des règles NAT
On configurer est les règles NAT qui permettent aux hôtes des segments
internes et DMZ de se connecter à Internet. On crée un objet réseau qui
représente le sous-réseau interne ainsi qu'un autre qui représente le sous-réseau
DMZ.
26
28. CONFIGURATION DU Firewall
Configuration des ACLs
Rappelons que le trafic provenant d'une interface de sécurité supérieure est
autorisé lorsqu'il passe à une interface de sécurité inférieure et que le trafic
provenant d'une interface de sécurité inférieure est refusé lorsqu'il passe à
une interface de sécurité supérieure. Donc les hôtes à l' extérieur (niveau de
sécurité 0) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de
sécurité 100). Les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas
se connecter aux hôtes sur la zone démilitarisée (niveau de sécurité 50). Les
hôtes de la zone démilitarisée (niveau de sécurité 50) ne peuvent pas se
connecter aux hôtes à l' intérieur (niveau de sécurité 100). D’où l’ajout des
ACLs.
28
29. CONFIGURATION DU Firewall
Configuration des ACLs
Le trafic de l'extérieur vers le réseau DMZ est refusé par le firewall avec sa
configuration actuelle, les utilisateurs sur Internet ne peuvent pas accéder au
serveur Web. Vous devez autoriser explicitement ce trafic.
29
30. CONFIGURATION DU Firewall
Configuration des ACLs
Ici aussi le trafic du réseau DMZ vers le réseau interne est refusé par le
firewall avec sa configuration actuelle. Vous devez autoriser explicitement
ce trafic.
30
32. TEST DE LA CONFIGURATION DU
Firewall
Après avoir bien configuré notre Firewall (ASA), il est nécessaire de tester
celui-ci pour bien assurer la fiabilité de ce dernier.
32
33. TEST DE LA CONFIGURATION DU
Firewall
De l’intérieur (INSIDE: Win7) vers DMZ (Serveur 2012) et inversement.
INSIDE vers DMZ
DMZ vers INSIDE
33
34. TEST DE LA CONFIGURATION DU
Firewall
Du DMZ vers internet (OUTSIDE: PC3) et inversement
DMZ vers OUTSIDE
OUTSIDE vers DMZ
Ici on utilise l’adresse publique
pour se connecter au serveur
Web.
34
35. TEST DE LA CONFIGURATION DU
Firewall
De l’intérieur (INSIDE) vers internet (OUTSIDE).
35
36. TEST DE LA CONFIGURATION DU
Firewall
Du l’internet (OUTSIDE) vers l’intérieur (INSIDE).
Ici à partir de l’internet il est impossible de joindre l’intranet (INSIDE) à cause
de notre Firewall qui bloque tous les accès. Les hôts au niveau de l’internet ne
peuvent plus joindre notre intranet. En testant de joindre le LAN nous avons
comme résultat indiqué sur le figure ci-dessous :
On a comme message: « Centre serveur de destination inaccessible ».
36
37. CONCLUSION
A l’issu de notre travail nous avons pu mettre en
place un Firewall ASA. Ceci nous a permis de
nous familiariser avec l’environnement du
GNS3. Notre recherche revêt d’une importance
capitale car nous avons pu consolider nos
connaissances sur des programmes qui
interagissent avec la gestion de la sécurité d’une
entreprise.
37