SlideShare une entreprise Scribd logo
CCNA:
MISE EN PLACE D’UN RESEAU
D’ENTREPRISE SECURISE PAR UN
FIREWALLASA
Réalisé par : Professeur :
M. Ousmane BADJI M. Massamba LÔ
m
PLAN
INTRODUCTION
DEFINITION DE CISCO ASA
FONCTIONNALITES ACCOMPLIES PAR ASA
INTEGRATION DE ASA SOUS GNS3
CONFIGURATION DU Firewall
TEST DE LA CONFIGURATION
CONCLUSION
2
INTRODUCTION
De nos jours, avec le développement exponentiel des
réseaux et télécommunications, chaque ordinateur
connecté à internet (ou à un réseau) est susceptible d’être
victime d’une intrusion (risque d’altérer l’intégrité du
système et des données).
Les pirates informatiques ayant l’intention de s’introduire
dans les systèmes recherchent des failles dans les
protocoles, les systèmes d’exploitations et les
applications. Ils examinent donc le réseau avec soins dans
le cadre de la recherche d’une machine connectée puis ils
cherchent une faille de sécurité afin de l’exploiter et
d’accéder aux données.
3
Les outils requis pour la mettre en
place un Firewall Cisco ASA
Pour mettre en place un réseau virtuel comportant un pare-
feu tel que Cisco ASA, il vous faut les éléments suivants :
Un ordinateur fonctionnant de préférence sous un
système 64bits (en effet la virtualisation est plus facile
avec ce type d’architecture),
Le logiciel GNS3
Le fichier de boot de l’ASA appelé "initrd.gz",
Une image d’un IOS d’un Firewall ASA appelé
"wmlinuz",
la configuration suivante pour Qemu :
4
Les outils requis pour la mettre en
place un Firewall Cisco ASA
Cette commande permet de créer et configurer une machine
virtuelle dans Qemu. On y retrouve, notamment, la
configuration de la mémoire. Cette machine supportera le
fichier « initrd.gz » ainsi que, et surtout, l’image de notre
ASA.
Cette commande permet de donner des instructions lors du
démarrage de notre pare-feu.
5
DEFINITION DE ASA
 Cisco ASA est l’abréviation de Adaptive Security Appliance, c’est une
gamme de pare feu produite par Cisco.
 ASA peut être définit principalement comme pare feu de réseau.
 Il faut bien distinguer le pare feu réseau et le pare feu au niveau de la
machine hôte.
 Le pare feu réseau est généralement un pare feu matériel et le pare feu au
niveau de la machine hôte est un pare feu logiciel.
 La portée du pare feu réseau s’étale généralement pour contrôler le réseau
entier. Il est généralement situé entre le réseau interne et internet.
 Ce pendant l’autorité du pare feu de la machine hôte est limitée au niveau
de la machine même et ne pas au-delà de cette dernière.
6
FONCTIONNALITE ACCOMPLIES PAR
ASA
 En plus de la fonctionnalité principale de pare feu ASA, d’autres
fonctionnalités sont aussi offertes selon :
- la version du pare feu ASA utilisé
- les licences adéquates acquise et installées au niveau du pare feu ASA
 Parmi les fonctionnalités supplémentaires:
- des services IPS (Système de prévision d’intrusions)
- un service VPN sécurisé avec équilibrage de charges
- des services IPSec
- des interfaces VLANs (100-200)
7
FIREWALL ASA
8
INTEGRATION DE ASA SOUS
GNS3
 L’émulation de ASA sous GNS3 s’effectue à travers une image QEMU
 Trois fichiers doivent être présents pour rendre possible l’émulation de ASA
sous GNS3:
1) le fichier d’initialisation de la RAM dont le nom est sous la forme
***-initrd.gz (pour notre cas on a utilisé « asa842-initrd.gz »)
2) le fichier image du noyau ASA dont le nom est sous la forme
***-vmlinuz (pour notre cas on a utilisé « asa842-vmlinuz »)
3) le fichier image de ASDM (Adatative Security Device Manager)
dont le nom est la forme asdm-***.bin (qu’on n’a pas utilisé pour
cette configuration).
 N.B.: Ce fichier est optionnel, sa principale fonction est d’offrir un
environnement graphique qui facilite les tâches de configuration ASA
complexes en mode commande.
9
INTEGRATION DE ASA SOUS
GNS3
Etape 1 : Création du fichier Flash
10
INTEGRATION DE ASA SOUS GNS3
Création du fichier Flash
11
1
2
3
INTEGRATION DE ASA SOUS GNS3
Pour configurer ASA dans GNS3, voici comment le faire:
 Il faut tout simplement aller dans [Edit], sélectionner [préférences ...] puis
« news » et suivre les instructions ci-dessous sous forme d’images.
12
1
INTEGRATION DE ASA SOUS GNS3
13
2 3
INTEGRATION DE ASA SOUS GNS3
 Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier
initrd dans le répertoire où vous l’avez téléchargé,
 Champ « Kernel image » : Faire de même en prenant le fichier image
IOS (wmlinuz).
14
4
INTEGRATION DE ASA SOUS GNS3
Après avoir cliquer sur « Finish », voici comment le faire:
 Il faut tout simplement aller dans [Edit], sélectionner [préférences ...].
15
INTEGRATION DE ASA SOUS GNS3
 Ensuite aller dans l’onglet [Qemu](à gauche), puis sélectionnez l’icone de
[ASA](au milieu) et cliquez sur [Edit]
 configurer la mémoire à 1024MB
16
INTEGRATION DE ASA SOUS GNS3
 Parcourir le fichier de la mémoire FLASH que vous avez créez
précédemment.
17
INTEGRATION DE ASA SOUS GNS3
 Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier
initrd dans le répertoire où vous l’avez téléchargé,
 Champ « Kernel image » : Faire de même en prenant le fichier image
IOS (wmlinuz),
 Champ « Kernel commande line » : Copier la commande kernel,
 Décohez « Activate CPU throtting »
 Champ « Options » tout a fait en bas : Copier la commande option,
Voici ce que vous devez obtenir (voir la page qui suive)
18
INTEGRATION DE ASA SOUS GNS3
 Sauvegarder votre configuration en cliquant sur « OK » puis sur
« Apply » et en fin sur « OK »
19
TOPOLOGIE
20
CONFIGURATION DU Firewall
Configurations de base des routeurs
Configurez les routeurs R1et R2 selon les instructions suivantes :
 Configurez le nom d’hôte des périphériques.
 Désactivez la recherche DNS.
 Configurez un mot de passe de mode d’exécution privilégié.
 Configurez une bannière du message du jour.
 Configurez un mot de passe pour les connexions de consoles.
 Configurez un mot de passe pour les connexions de terminaux virtuels
(vty).
 Configurez des adresses IP sur tous les routeurs et les PC.
 Activez le protocole de routage (OSPF pour notre cas) sur R1 et R2.
21
CONFIGURATION DU Firewall
Configuration de PPP sur R1
22
CONFIGURATION DU Firewall
Configuration de PPP sur R2
23
CONFIGURATION DU Firewall
Configuration des noms des interfaces et leurs niveaux de
sécurité
Le firewall ASA a trois interfaces connectées à trois segments du réseau:
1) Le segment de réseau connecté à l'interface gigaEthernet0 est étiqueté à
l'extérieur avec un niveau de sécurité de 0.
2) Le segment de réseau connecté à l’interface gigaEthernet1 est étiqueté à
l’intérieur avec un niveau de sécurité de 100.
3) Le segment de réseau connecté à l’interface gigaEthernet2 et étiqueté
comme DMZ (Zone démilitarisée), où réside le serveur web, avec un
niveau de sécurité de 50.
24
CONFIGURATION DU Firewall
Configuration des noms des interfaces et leurs niveaux de sécurité
25
CONFIGURATION DU Firewall
Configuration des règles NAT
On configurer est les règles NAT qui permettent aux hôtes des segments
internes et DMZ de se connecter à Internet. On crée un objet réseau qui
représente le sous-réseau interne ainsi qu'un autre qui représente le sous-réseau
DMZ.
26
CONFIGURATION DU Firewall
Configuration des règles NAT
27
CONFIGURATION DU Firewall
Configuration des ACLs
Rappelons que le trafic provenant d'une interface de sécurité supérieure est
autorisé lorsqu'il passe à une interface de sécurité inférieure et que le trafic
provenant d'une interface de sécurité inférieure est refusé lorsqu'il passe à
une interface de sécurité supérieure. Donc les hôtes à l' extérieur (niveau de
sécurité 0) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de
sécurité 100). Les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas
se connecter aux hôtes sur la zone démilitarisée (niveau de sécurité 50). Les
hôtes de la zone démilitarisée (niveau de sécurité 50) ne peuvent pas se
connecter aux hôtes à l' intérieur (niveau de sécurité 100). D’où l’ajout des
ACLs.
28
CONFIGURATION DU Firewall
Configuration des ACLs
Le trafic de l'extérieur vers le réseau DMZ est refusé par le firewall avec sa
configuration actuelle, les utilisateurs sur Internet ne peuvent pas accéder au
serveur Web. Vous devez autoriser explicitement ce trafic.
29
CONFIGURATION DU Firewall
Configuration des ACLs
Ici aussi le trafic du réseau DMZ vers le réseau interne est refusé par le
firewall avec sa configuration actuelle. Vous devez autoriser explicitement
ce trafic.
30
CONFIGURATION DU Firewall
Configuration de la route par défaut vers l’extérieur :
31
TEST DE LA CONFIGURATION DU
Firewall
Après avoir bien configuré notre Firewall (ASA), il est nécessaire de tester
celui-ci pour bien assurer la fiabilité de ce dernier.
32
TEST DE LA CONFIGURATION DU
Firewall
De l’intérieur (INSIDE: Win7) vers DMZ (Serveur 2012) et inversement.
INSIDE vers DMZ
DMZ vers INSIDE
33
TEST DE LA CONFIGURATION DU
Firewall
Du DMZ vers internet (OUTSIDE: PC3) et inversement
DMZ vers OUTSIDE
OUTSIDE vers DMZ
Ici on utilise l’adresse publique
pour se connecter au serveur
Web.
34
TEST DE LA CONFIGURATION DU
Firewall
De l’intérieur (INSIDE) vers internet (OUTSIDE).
35
TEST DE LA CONFIGURATION DU
Firewall
Du l’internet (OUTSIDE) vers l’intérieur (INSIDE).
Ici à partir de l’internet il est impossible de joindre l’intranet (INSIDE) à cause
de notre Firewall qui bloque tous les accès. Les hôts au niveau de l’internet ne
peuvent plus joindre notre intranet. En testant de joindre le LAN nous avons
comme résultat indiqué sur le figure ci-dessous :
On a comme message: « Centre serveur de destination inaccessible ».
36
CONCLUSION
A l’issu de notre travail nous avons pu mettre en
place un Firewall ASA. Ceci nous a permis de
nous familiariser avec l’environnement du
GNS3. Notre recherche revêt d’une importance
capitale car nous avons pu consolider nos
connaissances sur des programmes qui
interagissent avec la gestion de la sécurité d’une
entreprise.
37
Webographie
https://www.cisco.com
https://www.configurationdebase.com/
https://www.configurationdebase.com/
https://fr.scribd.com/
 Emails: ousmanebadji1986@yahoo.fr
38

Contenu connexe

Tendances

Support formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSupport formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configuration
SmartnSkilled
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Rapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPRapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAP
Balla Moussa Doumbouya
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
SamiMessaoudi4
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire :  Cloud iaas Slim HannachiMémoire :  Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachi
slim Hannachi
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
Boubaker KHERFALLAH
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
Ayoub Rouzi
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
Yaya N'Tyeni Sanogo
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
Zakariyaa AIT ELMOUDEN
 
Connexion point à point (ppp, hdlc)
Connexion point à point (ppp, hdlc)Connexion point à point (ppp, hdlc)
Connexion point à point (ppp, hdlc)
EL AMRI El Hassan
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
OlivierMawourkagosse
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
Ayoub Rouzi
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
Manassé Achim kpaya
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
BayeOusseynouFall
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 

Tendances (20)

Support formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configurationSupport formation vidéo : Cisco ASA, configuration
Support formation vidéo : Cisco ASA, configuration
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Rapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAPRapport d’installation et configuration du serveur OpenLDAP
Rapport d’installation et configuration du serveur OpenLDAP
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire :  Cloud iaas Slim HannachiMémoire :  Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachi
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
Connexion point à point (ppp, hdlc)
Connexion point à point (ppp, hdlc)Connexion point à point (ppp, hdlc)
Connexion point à point (ppp, hdlc)
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Zabbix
ZabbixZabbix
Zabbix
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 

Similaire à Mise en place d'un reseau securise par Cisco ASA

Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
SbastienGuritey
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
mia884611
 
Rapport sur juniper
Rapport sur juniperRapport sur juniper
Rapport sur juniper
Yaya N'Tyeni Sanogo
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Regis VPN
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
Mohammed Zaoui
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
Fabian Vandendyck
 
configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
JULIOR MIKALA
 
isa serveur
isa serveurisa serveur
isa serveur
YoussefAddi2
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
Hermann GBILIMAKO
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
Camara Assane
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
Manassé Achim kpaya
 

Similaire à Mise en place d'un reseau securise par Cisco ASA (20)

Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 
Rapport sur juniper
Rapport sur juniperRapport sur juniper
Rapport sur juniper
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Sagem
SagemSagem
Sagem
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
isa serveur
isa serveurisa serveur
isa serveur
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Vpn
VpnVpn
Vpn
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 

Mise en place d'un reseau securise par Cisco ASA

  • 1. CCNA: MISE EN PLACE D’UN RESEAU D’ENTREPRISE SECURISE PAR UN FIREWALLASA Réalisé par : Professeur : M. Ousmane BADJI M. Massamba LÔ m
  • 2. PLAN INTRODUCTION DEFINITION DE CISCO ASA FONCTIONNALITES ACCOMPLIES PAR ASA INTEGRATION DE ASA SOUS GNS3 CONFIGURATION DU Firewall TEST DE LA CONFIGURATION CONCLUSION 2
  • 3. INTRODUCTION De nos jours, avec le développement exponentiel des réseaux et télécommunications, chaque ordinateur connecté à internet (ou à un réseau) est susceptible d’être victime d’une intrusion (risque d’altérer l’intégrité du système et des données). Les pirates informatiques ayant l’intention de s’introduire dans les systèmes recherchent des failles dans les protocoles, les systèmes d’exploitations et les applications. Ils examinent donc le réseau avec soins dans le cadre de la recherche d’une machine connectée puis ils cherchent une faille de sécurité afin de l’exploiter et d’accéder aux données. 3
  • 4. Les outils requis pour la mettre en place un Firewall Cisco ASA Pour mettre en place un réseau virtuel comportant un pare- feu tel que Cisco ASA, il vous faut les éléments suivants : Un ordinateur fonctionnant de préférence sous un système 64bits (en effet la virtualisation est plus facile avec ce type d’architecture), Le logiciel GNS3 Le fichier de boot de l’ASA appelé "initrd.gz", Une image d’un IOS d’un Firewall ASA appelé "wmlinuz", la configuration suivante pour Qemu : 4
  • 5. Les outils requis pour la mettre en place un Firewall Cisco ASA Cette commande permet de créer et configurer une machine virtuelle dans Qemu. On y retrouve, notamment, la configuration de la mémoire. Cette machine supportera le fichier « initrd.gz » ainsi que, et surtout, l’image de notre ASA. Cette commande permet de donner des instructions lors du démarrage de notre pare-feu. 5
  • 6. DEFINITION DE ASA  Cisco ASA est l’abréviation de Adaptive Security Appliance, c’est une gamme de pare feu produite par Cisco.  ASA peut être définit principalement comme pare feu de réseau.  Il faut bien distinguer le pare feu réseau et le pare feu au niveau de la machine hôte.  Le pare feu réseau est généralement un pare feu matériel et le pare feu au niveau de la machine hôte est un pare feu logiciel.  La portée du pare feu réseau s’étale généralement pour contrôler le réseau entier. Il est généralement situé entre le réseau interne et internet.  Ce pendant l’autorité du pare feu de la machine hôte est limitée au niveau de la machine même et ne pas au-delà de cette dernière. 6
  • 7. FONCTIONNALITE ACCOMPLIES PAR ASA  En plus de la fonctionnalité principale de pare feu ASA, d’autres fonctionnalités sont aussi offertes selon : - la version du pare feu ASA utilisé - les licences adéquates acquise et installées au niveau du pare feu ASA  Parmi les fonctionnalités supplémentaires: - des services IPS (Système de prévision d’intrusions) - un service VPN sécurisé avec équilibrage de charges - des services IPSec - des interfaces VLANs (100-200) 7
  • 9. INTEGRATION DE ASA SOUS GNS3  L’émulation de ASA sous GNS3 s’effectue à travers une image QEMU  Trois fichiers doivent être présents pour rendre possible l’émulation de ASA sous GNS3: 1) le fichier d’initialisation de la RAM dont le nom est sous la forme ***-initrd.gz (pour notre cas on a utilisé « asa842-initrd.gz ») 2) le fichier image du noyau ASA dont le nom est sous la forme ***-vmlinuz (pour notre cas on a utilisé « asa842-vmlinuz ») 3) le fichier image de ASDM (Adatative Security Device Manager) dont le nom est la forme asdm-***.bin (qu’on n’a pas utilisé pour cette configuration).  N.B.: Ce fichier est optionnel, sa principale fonction est d’offrir un environnement graphique qui facilite les tâches de configuration ASA complexes en mode commande. 9
  • 10. INTEGRATION DE ASA SOUS GNS3 Etape 1 : Création du fichier Flash 10
  • 11. INTEGRATION DE ASA SOUS GNS3 Création du fichier Flash 11 1 2 3
  • 12. INTEGRATION DE ASA SOUS GNS3 Pour configurer ASA dans GNS3, voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...] puis « news » et suivre les instructions ci-dessous sous forme d’images. 12 1
  • 13. INTEGRATION DE ASA SOUS GNS3 13 2 3
  • 14. INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz). 14 4
  • 15. INTEGRATION DE ASA SOUS GNS3 Après avoir cliquer sur « Finish », voici comment le faire:  Il faut tout simplement aller dans [Edit], sélectionner [préférences ...]. 15
  • 16. INTEGRATION DE ASA SOUS GNS3  Ensuite aller dans l’onglet [Qemu](à gauche), puis sélectionnez l’icone de [ASA](au milieu) et cliquez sur [Edit]  configurer la mémoire à 1024MB 16
  • 17. INTEGRATION DE ASA SOUS GNS3  Parcourir le fichier de la mémoire FLASH que vous avez créez précédemment. 17
  • 18. INTEGRATION DE ASA SOUS GNS3  Champ « Initial RAM disk (Initrd) » : Aller chercher dans le fichier initrd dans le répertoire où vous l’avez téléchargé,  Champ « Kernel image » : Faire de même en prenant le fichier image IOS (wmlinuz),  Champ « Kernel commande line » : Copier la commande kernel,  Décohez « Activate CPU throtting »  Champ « Options » tout a fait en bas : Copier la commande option, Voici ce que vous devez obtenir (voir la page qui suive) 18
  • 19. INTEGRATION DE ASA SOUS GNS3  Sauvegarder votre configuration en cliquant sur « OK » puis sur « Apply » et en fin sur « OK » 19
  • 21. CONFIGURATION DU Firewall Configurations de base des routeurs Configurez les routeurs R1et R2 selon les instructions suivantes :  Configurez le nom d’hôte des périphériques.  Désactivez la recherche DNS.  Configurez un mot de passe de mode d’exécution privilégié.  Configurez une bannière du message du jour.  Configurez un mot de passe pour les connexions de consoles.  Configurez un mot de passe pour les connexions de terminaux virtuels (vty).  Configurez des adresses IP sur tous les routeurs et les PC.  Activez le protocole de routage (OSPF pour notre cas) sur R1 et R2. 21
  • 24. CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité Le firewall ASA a trois interfaces connectées à trois segments du réseau: 1) Le segment de réseau connecté à l'interface gigaEthernet0 est étiqueté à l'extérieur avec un niveau de sécurité de 0. 2) Le segment de réseau connecté à l’interface gigaEthernet1 est étiqueté à l’intérieur avec un niveau de sécurité de 100. 3) Le segment de réseau connecté à l’interface gigaEthernet2 et étiqueté comme DMZ (Zone démilitarisée), où réside le serveur web, avec un niveau de sécurité de 50. 24
  • 25. CONFIGURATION DU Firewall Configuration des noms des interfaces et leurs niveaux de sécurité 25
  • 26. CONFIGURATION DU Firewall Configuration des règles NAT On configurer est les règles NAT qui permettent aux hôtes des segments internes et DMZ de se connecter à Internet. On crée un objet réseau qui représente le sous-réseau interne ainsi qu'un autre qui représente le sous-réseau DMZ. 26
  • 28. CONFIGURATION DU Firewall Configuration des ACLs Rappelons que le trafic provenant d'une interface de sécurité supérieure est autorisé lorsqu'il passe à une interface de sécurité inférieure et que le trafic provenant d'une interface de sécurité inférieure est refusé lorsqu'il passe à une interface de sécurité supérieure. Donc les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). Les hôtes à l' extérieur (niveau de sécurité 0) ne peuvent pas se connecter aux hôtes sur la zone démilitarisée (niveau de sécurité 50). Les hôtes de la zone démilitarisée (niveau de sécurité 50) ne peuvent pas se connecter aux hôtes à l' intérieur (niveau de sécurité 100). D’où l’ajout des ACLs. 28
  • 29. CONFIGURATION DU Firewall Configuration des ACLs Le trafic de l'extérieur vers le réseau DMZ est refusé par le firewall avec sa configuration actuelle, les utilisateurs sur Internet ne peuvent pas accéder au serveur Web. Vous devez autoriser explicitement ce trafic. 29
  • 30. CONFIGURATION DU Firewall Configuration des ACLs Ici aussi le trafic du réseau DMZ vers le réseau interne est refusé par le firewall avec sa configuration actuelle. Vous devez autoriser explicitement ce trafic. 30
  • 31. CONFIGURATION DU Firewall Configuration de la route par défaut vers l’extérieur : 31
  • 32. TEST DE LA CONFIGURATION DU Firewall Après avoir bien configuré notre Firewall (ASA), il est nécessaire de tester celui-ci pour bien assurer la fiabilité de ce dernier. 32
  • 33. TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE: Win7) vers DMZ (Serveur 2012) et inversement. INSIDE vers DMZ DMZ vers INSIDE 33
  • 34. TEST DE LA CONFIGURATION DU Firewall Du DMZ vers internet (OUTSIDE: PC3) et inversement DMZ vers OUTSIDE OUTSIDE vers DMZ Ici on utilise l’adresse publique pour se connecter au serveur Web. 34
  • 35. TEST DE LA CONFIGURATION DU Firewall De l’intérieur (INSIDE) vers internet (OUTSIDE). 35
  • 36. TEST DE LA CONFIGURATION DU Firewall Du l’internet (OUTSIDE) vers l’intérieur (INSIDE). Ici à partir de l’internet il est impossible de joindre l’intranet (INSIDE) à cause de notre Firewall qui bloque tous les accès. Les hôts au niveau de l’internet ne peuvent plus joindre notre intranet. En testant de joindre le LAN nous avons comme résultat indiqué sur le figure ci-dessous : On a comme message: « Centre serveur de destination inaccessible ». 36
  • 37. CONCLUSION A l’issu de notre travail nous avons pu mettre en place un Firewall ASA. Ceci nous a permis de nous familiariser avec l’environnement du GNS3. Notre recherche revêt d’une importance capitale car nous avons pu consolider nos connaissances sur des programmes qui interagissent avec la gestion de la sécurité d’une entreprise. 37