SlideShare une entreprise Scribd logo
Réaliser par :
Ibtihaj mohammed
Proposé par :
Prof N. Idboufker
Année universitaire :
2011/2012
ENSA MARRAKECH
2
De nos jours la sécurité des réseaux est un enjeu majeur ; les administrateurs
réseau doivent donc trouver le moyen d’interdire l’accès au réseau à certains
utilisateurs tout en l’accordant à d’autres.
Les outils ‘classiques’ de gestion de la sécurité, tels que les mots de passe,
l’équipement de rappel et les dispositifs de sécurité physiques, se révèlent utiles mais
dans la plupart des cas, ils n’offrent pas la souplesse que procure le filtrage de trafic
réseau.
Le filtrage du trafic permet à un administrateur réseau d’accorder l’accès à
internet aux utilisateurs tout en interdisant, par exemple, à des utilisateurs externes
l’accès au réseau local (LAN) via Telnet.
Après avoir analysé le sujet, nous étudierons la plate forme GNS3. Ensuite,
nous étudierons les listes de contrôle d’accès (ACL) et NBAR. Enfin, nous
présenterons les résultats obtenus.
ENSA MARRAKECH
3
GNS3 (Graphical Network Simulator)
1. C’est Quoi GNS3 ?
GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique
qui permet l'émulation des réseaux complexes. VMWare ou Virtual Box se sont des
programmes utilisées pour émuler les différents systèmes d'exploitation dans un
environnement virtuel. Ces programmes vous permettent d'exécuter plusieurs
systèmes d'exploitation tels que Windows ou Linux dans un environnement virtuel.
GNS3 permet le même type de d'émulation à l'aide de Cisco Internetwork Operating
Systems. Il vous permet d’exécuter un IOS Cisco dans un environnement virtuel sur
votre ordinateur. GNS3 est une interface graphique pour un produit appelé
Dynagen. Dynamips est le programme de base qui permet l'émulation d'IOS.
Dynagen s'exécute au-dessus de Dynamips pour créer un environnement plus
convivial, basé sur le texte environnement. Un utilisateur peut créer des topologies
de réseau de Windows en utilisant de simples fichiers de type ini.
Les laboratoires réseaux ou les personnes désireuses de s'entraîner avant de
passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de s'en
servir pour tester les fonctionnalités des IOS Cisco ou de tester les configurations
devant être déployées sur des routeurs réels. Ce projet est évidemment OpenSource
et multi-plates-formes.
2. Installation et configuration de GNS3
Cette section vous guidera à travers des étapes pour commencer avec GNS3
dans un environnement Windows. Toutes les critiques et les choses les plus
importantes à savoir seront couvertes.
 Etape1 : Téléchargement de GNS3
Utilisé le lien http://www.gns3.net. Pour accéder au page de téléchargement et
cliquer sur le bouton vert
ENSA MARRAKECH
4
( Download )
Le moyen le plus facile à installer GNS3 dans un environnement Windows est
d'utiliser le 2éme:
GNS3 v0.8.2 standalone 32-bit
 Etape 2 : Installation de GNS3
Autorisé GNS3 pour créer un dossier
Menu Démarrer avec le nom par
défaut GNS3 en cliquant sur le
bouton Suivant.
ENSA MARRAKECH
5
GNS3 dépend de plusieurs autres
programmes pour fonctionner. Ceux
Dépendances comprennent
WinPCAP, Dynamips et
Pemuwrapper. Ces
Composants ainsi que GNS3 sont
tous choisis par défaut pour les
L’installation, si juste cliquez sur le
bouton Suivant pour continuer.
Un emplacement par défaut est
choisi pour GNS3. Cliquez sur le
bouton Installer pour accepter
l'emplacement par défaut et pour
commencer l'installation proprement
dite des fichiers.
ENSA MARRAKECH
6
La première dépendance pour GNS3
est WinPcap. Cliquez sur le bouton
Suivant pour lancer l'assistant
d'installation WinPcap.
Cliquez sur J'accepte pour accepter
l'accord de licence pour WinPcap.
L'installation de WinPcap va
commencer. Toutefois, si vous avez un
version précédente de WinPcap sur votre
ordinateur, l'assistant vous demandera
pour supprimer l'ancienne version et
ensuite installer la nouvelle version.
ENSA MARRAKECH
7
Après WinPcap est installé, l'Assistant
de configuration GNS3 revient à installer
GNS3.
Lorsque l'Assistant a terminé, vous
pouvez décocher Afficher Lisezmoi,
puis cliquez sur le bouton Terminer
ENSA MARRAKECH
8
 Etape 3 : définition des fichiers Cisco IOS.
Comme mentionné précédemment, vous devez fournir votre propre Cisco IOS
à utiliser avec GNS3 en raison de problèmes de licences. GNS3 est destiné à être
utilisé dans un environnement de laboratoire pour tester et apprendre. Une fois que
vous avez obtenu votre propre copie d'un logiciel IOS de Cisco pour l'un des les
plates-formes supportées, vous êtes prêt à continuer. Plates-formes actuelles pris en
charge incluent:
Vous avez maintenant terminé
l'installation de GNS3. Cliquez sur le
bouton Démarrer, Tous les programmes,
GNS3, puis choisissez GNS3 sur la liste des
applications installées. Vous verrez la
fenêtre principale de GNS3.
ENSA MARRAKECH
9
Dans le menu Edition,
choisissez se IOS image and
hypervisors
Sous l'onglet IOS Images, cliquez
sur puis trouver votre
logiciel IOS de Cisco déposer et
cliquez sur Ouvrir. Le fichier
apparaît sous la forme de votre
fichier image.
ENSA MARRAKECH
10
Les Access-Lists
Les routeurs Cisco offrent une facilité très importante avec les access-lists, celle
d’imiter les Firewalls. En effet, ces listes peuvent filtrer les paquets entrant ou sortant
des interfaces d’un routeur selon quelques critères :
- l’adresse source pour les access-lists standards.
- l’adresse source, l’adresse de destination, le protocole ou le numéro de port
pour les access-lists étendues.
Ces listes peuvent être utilisées dans de très nombreux cas, dès qu’une notion
de filtrage de flux apparaît.
1. Les access-lists de façon générale:
On déclare l’access-list et on met les conditions que l’on souhaite :
access-list numéro_access_list permit/deny conditions
cela se fait en mode configuration globale conf
Ensuite on affecte l’access-list à une interface :
access-group numéro_access_list
Cela se fait en mode conf-if
o Permit et deny pour permettre ou rejeter les conditions mentionnées.
o Par défaut, une access-list interdit tout (elle interdit tout ce qui n’a pas
été autorisé ou interdit)
o Parmi les conditions figurent des adresses sources ou adresses de
destination.
o Un masque permet d’indiquer sur quels bits de l’adresse on souhaite un
contrôle.
o Un 0 signifie que le bit correspondant est vérifié, tandis qu’un 1 signifie
qu’il est ignoré (même type et même rôle que les masques d’adresse IP,
mais la signification des 0 et 1 se trouve inversée).
ENSA MARRAKECH
11
o On peut remplacer 0.0.0.0 en adresse par le mot any et 0.0.0.0 en
masque par host.
o Pour retirer les access-lists on réécrit les mêmes commandes précédées
d’un no.
2. principe de fonctionnement
Comme indiqué par le schéma ci-dessus, un paquet peut être traité lorsqu’il
entre dans le routeur ou lorsqu’il sort.
Il existe deux types d’ACL : Les ACLs simples et les ACLs étendues
a. ACL standard
Avec ces règles simples, le routeur ne regarde que l’IP Source.
Router(config) # access-list {1-99} {permit | deny} [source address] [source
mask]
{1-99} → numéro de l'access-list, toujours entre 1 et 99 pour une liste standard.
{permit | deny} → autorise ou interdit le paquet.
[source address] → adresse ip du réseau (ou de la machine) concernée.
[source mask] → masque générique : C’est l’inverse d’un masque de
sous-réseau habituel
ENSA MARRAKECH
12
Lorsque tous les bits d'une @IP doivent être comparés, on peut utiliser le mot
clé host.
Pour qu'une instruction deny ou permit s'applique à toutes les @IP qui ne sont
pas indiquées dans les instructions de la liste, il est possible d'utiliser le mot clé any.
Ensuite, on affecte cette access-list à l’une des interfaces du routeur
o Mode de configuration : conf-if
o Syntaxe : access-group numéro_access_list in/out
In/out selon que l’access-list va être appliquée en entrée ou en sortie de
l’interface choisie. (par défaut out)
b. ACL étendue.
Une ACL étendue s’intéresse à l’IP source mais aussi l’IP de destination ainsi
que les ports (source et dest) et le protocole (IP, ICMP, TCP, UDP).
Router(config) # access-list {100-199} {permit | deny} [protocol] [source address]
[source mask] [destination address] [destination mask] [operator operand]
Ensuite, on affecte cette access-list à l’une des interfaces du routeur
o Mode de configuration : conf-if
o Syntaxe : access-group numéro_access_list in/out
3. Règles d’utilisation des ACL
o Chaque liste d'accès est définie pour un protocole particulier.
ENSA MARRAKECH
13
o Il existe deux types principaux de listes d'accès : les listes d'accès
STANDARDS (contrôle des @IP sources) ; les listes d'accès ETENDUES
(contrôle des @IP source et destination, des protocoles, des N° de ports UDP et
TCP, etc.).
o Chaque interface ne peut utiliser qu'une liste d'accès par protocole.
o Chaque liste d'accès peut être utilisée par plusieurs interfaces.
o Une liste d'accès peut être utilisée en entrée pour une interface, et en sortie
pour une autre interface.
o Les listes d'accès utilisent les instructions "permit" (autorisation de
transmission) et "deny" (interdiction de transmission).
o Pour être valide, une liste d'accès doit contenir au moins une instruction
"permit".
o Les listes d'accès sont parcourues par le routeur, dans l'ordre où elles sont
écrites.
o Dès qu'un paquet correspond à une règle, cette règle est appliquée et le
filtrage est terminé pour le paquet, pour cette interface.
o Si un paquet ne correspond pas à la première règle, le routeur examine la règle
suivante, etc.
o Un paquet retransmis par l'interface d'entrée, peut être interdit par l'interface
de sortie.
o Les paquets interdits par une liste d'accès sont annulés par le routeur.
o A la fin de chaque liste d'accès, existe une instruction implicite "Deny All" : si
un paquet ne correspond à aucune des instructions de la liste d'accès, il est
obligatoirement bloqué.
o Il n'est pas possible de modifier une liste d'accès, par exemple en changeant
l'ordre des instructions existantes : il faut l'effacer totalement et la retaper.
o Le filtrage s'effectue au niveau des interfaces, en entrée ou en sortie :
 Si la liste d'accès est appliquée en entrée (in) : lorsqu'un routeur reçoit un
paquet sur une interface, l'IOS le compare aux différentes instructions de la
liste d'accès et regarde s'il correspond à l'une d'entre elles. S'il est autorisé
(permit), l'IOS continue à traiter le paquet. S'il est interdit (deny), l'IOS le
rejette et renvoie un message ICMP "Host Unreachable".
ENSA MARRAKECH
14
 Si la liste d'accès est appliquée en sortie (out) : après avoir reçu et aiguillé
le paquet vers l'interface de sortie, l'IOS le compare aux différentes
instructions de la liste d'accès et regarde s'il correspond à l'une d'entre
elles. S'il est autorisé (permit), l'IOS continue à traiter le paquet. S'il est
interdit (deny), l'IOS le rejette et renvoie un message ICMP "Host
Unreachable".
o Deux Stratégies de filtrage :
 TOUT CE QUI N'EST PAS AUTORISE EST INTERDIT : utiliser des
instructions "permit" pour autoriser les paquets désirés, sachant que
toutes les autres requêtes seront interdites par défaut.
 TOUT CE QUI N'EST PAS INTERDIT EST AUTORISE : utiliser des
instructions "deny" pour interdire les paquets désirés et terminer la
liste d'accès par "permit any" ou "permit all" pour autoriser toutes
les autres requêtes.
NBAR
Cisco NBAR (Network Based Application Recognition) est une fonctionnalité
embarquée sur les routeurs Cisco récents permettant la reconnaissance des
applications à partir de signatures et non plus uniquement sur des ports TCP/UDP.
En l'activant, on peut construire le boitier QoS du "pauvre" en ce sens
qu'aucun équipement ou coût suplémentaire n'est nécessaire : l'expert réseau
démontre sa plus-value !
Evidemment, l'architecture doit être routée (ce qui élimine certaines topologies
: les LANs étendus au moyen de liens Ethernet 802.1Q, qu'ils soient fournis par des
opérateurs ou bien des fibres noires) et sous contrôle (les routeurs ne doivent pas être
gérés par un tiers, typiquement un opérateur ou un hébergeur). NBAR permet
d'identifier les flux, à l'instar des ACLs, mais en utilisant des signatures pour détecter
les applications utilisant des ports mouvants (par nature tels skype, h.323, ou par
"accident"HTTP, Citrix,etc..) ou bien se camouflant (canaux cachés avec stunnel,
protocoles P2P : kazaa, emule, winMX , etc..). Ces signatures, nommées PDLM, sont
mises à jour régulièrement et téléchargeables sous forme de mises à jour sur le site
web de Cisco (nécessite un accès CCO).
ENSA MARRAKECH
15
Certains flux utilisant des ports statiques généralement inchangés ou non
modifiables (typiquement DNS, Exchange ou bien Netbios) sont définis comme tels
dans NBAR (i.e sans signature applicative).
Malheureusement, la plupart de ces signatures sont très orientées P2P (on
trouve le même biais dans les boitiers de QoS des constructeurs Allot ou Packeteers)
ou bien VoIP /ToIP. On peut imaginer que le marché entrevu par le filtrage à grande
échelle des flux P2P par les FAIs a justifié ce positionnement.
Certaines signatures demandes à être testées : nous avons découvert début
2007 que la signature TFTP d'un des constructeurs majeurs de boitiers de QoS ne
fonctionnait pas (TFTP utilise des ports UDP dynamiques négociés lors de la session
de contrôle) : c'est très problématique surtout lorsqu'on sait que la plupart des IP
Phones bootent en chargeant leur logiciel par TFTP. Comment ce trafic pourrait-il
être protégé si il n'est pas reconnu correctement ?
Revenons aux commandes Cisco : une fois le flux identifié, on applique les
mécanismes de queueing classiques :
1. Activer la découverte de protocol sur l’interface où l’on veut appliquer le filtrage
Si on ne l’active pas, le filtrage n’aura pas lieu, simplement parce que le
routeur n’ira pas inspecter les flux de données.
Router> enable
Router# configure terminal
Router(config)# interface fastethernet 0/1
Router(config-if)# ip nbar protocol-discovery
Router(config-if)# exit
Router(config)#
2. Créer une « class-map » de sorte à identifier le traffic généré par les applications P2P
On va ici faire en sorte que le traffic identifié comme provenant d’applications
utilisant les protocoles Bittorrent, eDonkey, Gnutella ou encore Fasttrack soient
catégorisés.
Router(config)# class-map match-any P2P
Router(config-cmap)# match protocol bittorrent
Router(config-cmap)# match protocol edonkey
ENSA MARRAKECH
16
Router(config-cmap)# match protocol gnutella
Router(config-cmap)# match protocol fasttrack
Router(config-cmap)# exit
Router(config)#
Attention à bien créer une class-map « match-any » … celà signifie que dès
qu’une des conditions (ici un des protocoles) est remplie, le traffic est mis dans la
classe « P2P ». Par défaut la commande class-map crée une classe « match-all » qui
demande que tous les « match » soient vérifiés pour que le traffic soit associé à la
classe.
3. Définition de la police à appliquer sur l’interface
Avant de configurer, ayez bien en tête qu’une police s’applique sur une
interface, soit en entrée, soit en sortie ou les deux. Mais qu’une interface ne peut
avoir qu’une seule police applique par interface et par sens du traffic.
On va ici créer une police qui filtrera tous les traffic de la classe P2P. Le traffic
reconnu par la classe « P2P » sera purement et simplement jeté.
Router(config)# policy-map DROP-P2P
Router(config-pmap)# class P2P
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)#
4. Appliquer la police à l’interface
L’interface utilisée ici est l’interface côté LAN, on va donc filtrer le traffic qui
entre sur cette interface
Router(config)# interface fastethernet 0/1
Router(config-if)# service-policy input DROP-P2P
Router(config-if)# ^Z
Router#
ENSA MARRAKECH
17
Préambule de sujet
Ci-dessous la topologie expliquant notre travail :
Cette topologie englobe 3 routeurs connectés entre eux, Toutes les adresses IP
ont été configurées pour tous les routeurs. Voir le schéma pour les adresses IP.
OSPF a été configuré pour une connectivité complète. Pour mieux vous expliquer et de
bien cibler l’objectif de notre projet, on va mettre les points sur la configuration des
ACL ,en revanche on va pas focaliser sur la configuration des adresses IP ainsi la
configuration du protocole de routage OSPF.
1. les ALC standard
a) Objectif
on va produire un scénario afin d’appliquer les ACL , ci-dessous les étapes à
suivre pour la création de ce scénario :
ENSA MARRAKECH
18
o les trafics issus de l’interface L0 du routeur CIA n’aient pas le droit d’accéder
aux aucuns réseaux connectés au routeur FBI
o Subséquemment, on va étendre ACL qu’on vient de créer afin d’inclure les
interfaces L1, L2 du routeur CIA.
o Finalement le trafic issu des interfaces L0, L1 du routeur FBI L0 ne peut pas
accéder au réseau du routeur NSA.
b) Implémentation du scénario 1
 ACL N°1 :
On commence par la 1ere condition on doit interdire le trafic en provenance
de l’interface L0 du routeur CIA pour qu’il ne puisse pas accéder aux aucuns
réseaux connecté au routeur FBI
L’adresse du L0 selon le schéma est 1.1.1.1/25 cela veut dire qu’il appartient au
réseau 1.1.1.0 et le masque est 255.255.255.128 alors que le masque générique qu’on
va utiliser dans ACL est 0.0.0.127
On va appliquer cette ACL sur le routeur FBI
Pour pouvoir utiliser ACL, il faut l’activer sur chaque interface du routeur FBI
Pour autoriser les autres
trafics
ENSA MARRAKECH
19
On tape la commande show interface f0/0 pour vérifier ACL
Pour voir les ACL qu’on a crée
Teste de l’ACL
ENSA MARRAKECH
20
D’après l’image on constate que l’ACL fonctionne très bien puisque on n’a pas
pu pinger 2.2.2.2 a partir de l’interface L0 et que les autre interfaces du routeur CIA
peuvent pinger 2.2.2.2 sans problème
 ACL N°2
On va refaire la même chose avec les interfaces L1, L2 du routeur CIA (c.à.d
nous interdisons le trafic en provenance des interfaces L1 et L2 vers le routeur FBI)
L1 : @ ip 11.11.11.11/26 @ réseau 11.11.11.0 masque réseau 255.255.255.192
masque générique 0.0.0.63
ENSA MARRAKECH
21
Le problème qu’on a rencontré c’est que la commande ‘permit (ligne 20) il va
autoriser tous le trafic sauf celui de la ligne 10 et qu’on ne peut pas parvenir la ligne
30 ‘deny’ pour résoudre ce problème on doit supprimer et recréer l’ACL N°1
L1 : @ip 111.111.111.111 @réseau 111.111.111.96 masque réseau 255.255.255.224
Masque générique 0.0.0.32
Le teste effectué
ENSA MARRAKECH
22
On ne peut pas pinger le routeur FBI à partir des interfaces L0 et L1 et L2
 ACL N°3
On va créer une ACL dans le routeur NSA pour interdire le trafic parvenant
des interfaces L0 et L1 vers routeur FBI routeur NSA
L0 : @ip 2.2.2.2/23 @réseau 2.2.2.0 masque 255.255.254.0 masque générique
0.0.1.255
L1 :@ip 22.22.22.22/30 @réseau 22.22.22.20 masque 255.255.255.252
Masque générique 0.0.0.3
On doit activer l’ACL sur les interfaces f0/0 et 0/1 du routeur NSA
ENSA MARRAKECH
23
Teste de ping
2. Les ACL étendus
Dans ce deuxième scénario on a gardé la même topologie avec les mêmes
adresses IP, cette fois si, pour appliquer les ACL étendus, idem, nous vous
développons les repères cruciaux de ce second scénario :
o Tous les routeurs fonctionnent avec les protocoles HTTP, HTTPS, Telnet et
SSH.
o les paquets en provenance de l’interface L0 du routeur CIA vers le
serveur HTTP sur 3.3.3.3 ne sont pas autorisés.
o Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit
d’accéder uniquement au serveur HTTPS sur l’adresse 33.33.33.33.
o Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont
le droit d’accéder en Telnet sur le routeur CIA
a) Implémentation du scénario 2
 ACL 1
Nous désirons maintenant interdire le protocole http aux paquets en
provenance de l’interface L0 du routeur CIA 3.3.3.3
ENSA MARRAKECH
24
http est un protocole utilisant TCP via les ports 80 ou bien on peut mettre
www nous effectuerons donc le filtrage selon ces critères
On a déjà vu le masque générique de L0 sur CIA
Pour l’adresse 3.3.3.3/28 : @réseau 3.3.3.0 et masque générique : 0.0.0.15
Finalement, nous obtenons les instructions de contrôle d’accès suivantes qu’on
va les activer les interfaces du routeur NSA
Et voici une capture qui présente tous ACL qu’on a crée
Pour tester ACL 100 on va faire un telnet sur l’adresse 3.3.3.3 à partir du routeur
CIA
ENSA MARRAKECH
25
et à partir de l’interface loopback 0
 ACL 2
Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit d’accéder
seulement au serveur HTTPS sur l’adresse 33.33.33.33.
Nous voulons autoriser le protocole HTTPS à l’interface L1 du routeur FBI et
interdire les autres protocoles
Le protocole HTTPS utilise le port 443 et le protocole TCP. Il faut donc
permettre l’utilisation du port 80 en TCP.
On a pour L1 du FBI : adresse source
@ip 22.22.22.22/30 @réseau 22.22.22.20 masque générique 0.0.0.3
Adresse de destination sera une adresse de machine
Pour répondre à ces besoins on va ajouter d’autre lignes dans l’ACL qu’on a
déjà crée
Ici on a accordé à L1 l’autorisation d’accéder au HTTPS de
33.33.33.33 mais il garde toujours l’autorisation d’accès aux
autres services (instruction 20)
ENSA MARRAKECH
26
Pour résoudre ce problème on va ajouter une autre instruction N°12
NSA(config-ext-nacl)#12 deny ip 22.22.22.20 0.0.0.3 any
Pour tester cette ACL on va essayer d’accéder au service https sur l’adresse
3.3.3.3 à partir du routeur et réessayer la même chose à partir de L1 de FBI
Comme vous voyez l’’ACL fonctionne tés bien
 ACL 3
Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont le
droit d’accéder en Telnet sur le routeur CIA
Seuls les utilisateurs connectés à l’interface L1 du NSA pouvant se connecter
au Telnet du routeur CIA cela veut dire qu’on va accorder une permission d’accès
Telnet au réseau 33.33.33.0 et interdire les autres
Et pour sécuriser le Telnet
ENSA MARRAKECH
27
Et voici les testes effectué pour vérifier l’ACL qu’on a crée
3. NBAR :
Pour appliquer le NBAR on va utiliser une autre topologie dans laquelle on va
utiliser 3 routeurs 3640 (ios : c3640-jk9s-mz.124.16.bin)
ENSA MARRAKECH
28
a) le scénario
On suppose qu’on travail dans une petite entreprise et qu’on veut contrôler le
trafic allant vers internet c-à-d on veut interdire les employés d’accéder aux sites web
comme youtube facebook et twitter aussi le protéger contre les Verus
b) Les buts :
o configurer le routeur Sluggish pour que tout le trafic issu de twitter et
de youtube soit supprimé sur l’interface fastethernet 1/0
o configurer le routeur Sluggish pour qu’il puisse détecter les vers
NIMDA et supprimer le trafic sur l’interface fastethetnet 1/0
b) Solution
On va créer une classe map que l’on va appeler TWITTER
Ici on peut mettre twitter.com comme on peut spécifier une partie de twitter
‘twitter.com /mbc’
Pour youtube on va créer une classe map youtube
ENSA MARRAKECH
29
Pour le verus NIMDA on créer une nouvelle classe map appelé NIMDA
Et voila les classe map qu’on a crée
Création d’une policy map
L’étape suivante est de créer une police qui filtrera tous les traffic des classe qu’on
a crée. Le traffic reconnu par ces classes sera purement et simplement jeté.
Et voici les policy-map qu’on a crée
ENSA MARRAKECH
30
Et maintenant on doit l’activer sur l’interface f1/0 du routeur sluggish
ENSA MARRAKECH
31
Ce projet constitue notre expérience pseudo-professionnelle et à vraiment été
très enrichissant. Le sujet sur lequel nous avons travaillé concerne la sécurité des
réseaux, milieu en expansion à l’heure actuelle, car c’est une composante
indispensable des systèmes de communication. Nous avons pu, grâce à ce projet,
bénéficier d’autonomie dans notre travail ; nous avons appris à résoudre seuls les
problèmes auxquels nous avons été confrontés. Le fait de travailler en trinôme nous a
permis d’acquérir des compétences relationnelles et une méthode de travail en
équipe.
La variété des taches que nous avons eu à accomplir nous à permis
d’appréhender de nombreux domaines différents, tels que la recherche
documentaire, la programmation des listes de contrôle d’accès et les NBAR aussi la
manipulation de GNS3.
Nous avons pu ainsi utiliser les connaissances de base que nous avons
acquises au sein de L’ENSA et de les appliquer de façon concrète.
Au niveau professionnel, internet est un outil indispensable pour
les entreprises qui souhaitent effectuer des opérations tels que des
transferts de données, ou bien réaliser du commerce électronique. Or
internet est un large réseau ouvert accessible à tous le monde, y
compris à des personnes malveillantes. Il faut donc mettre au point des
systèmes de sécurité pour empêcher les utilisateurs externes d’accéder
aux réseaux internes. Une solution consiste à implémenter des listes de
contrôle d’accès ACL sur les interfaces d’un routeur pour filtrer les
flux entrants et sortants. Ce rapport explique le fonctionnement des
ACL et des NBAR et leur intégration dans une politique de sécurité.
Mais ce mécanisme de contrôle du réseau sera-t-il suffisant pour
déjouer toutes les tentatives d’intrusions ?

Contenu connexe

Tendances

Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
HibaFarhat3
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
Med Amine El Abed
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
Rabeb Boumaiza
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
Cynapsys It Hotspot
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
bamaemmanuel
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
MPLS
MPLSMPLS
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Charif Khrichfa
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
Pape Moussa SONKO
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
Université de Sherbrooke
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
Laouali Ibrahim bassirou Been Makao
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
OlivierMawourkagosse
 

Tendances (20)

Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
MPLS
MPLSMPLS
MPLS
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 

En vedette

Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Mohamed Keita
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0
EL AMRI El Hassan
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
Thomas Moegli
 
Services IP
Services IPServices IP
Services IP
Thomas Moegli
 
Virtuals LAN
Virtuals LANVirtuals LAN
Virtuals LAN
Thomas Moegli
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
Camara Assane
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Configuration et mise en œuvre d'un réseau WAN (World Area Network)
Configuration et mise en œuvre  d'un réseau  WAN (World Area Network)Configuration et mise en œuvre  d'un réseau  WAN (World Area Network)
Configuration et mise en œuvre d'un réseau WAN (World Area Network)
Abderrahmane Benyoub
 
EtherChannel
EtherChannelEtherChannel
EtherChannel
Thomas Moegli
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
Thomas Moegli
 
JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - Fondamentaux
Thomas Moegli
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
belhadj_rached
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Maintenance et dépannage d'un ordinateur
Maintenance et dépannage d'un ordinateurMaintenance et dépannage d'un ordinateur
Maintenance et dépannage d'un ordinateur
haniachraf
 
Soutenance Finale
Soutenance FinaleSoutenance Finale
Soutenance Finale
Slim Bejaoui
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
Hermann GBILIMAKO
 
Rapport simo issam
Rapport simo issamRapport simo issam
Rapport simo issam
simomans
 

En vedette (20)

Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidr
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
Services IP
Services IPServices IP
Services IP
 
Virtuals LAN
Virtuals LANVirtuals LAN
Virtuals LAN
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Configuration et mise en œuvre d'un réseau WAN (World Area Network)
Configuration et mise en œuvre  d'un réseau  WAN (World Area Network)Configuration et mise en œuvre  d'un réseau  WAN (World Area Network)
Configuration et mise en œuvre d'un réseau WAN (World Area Network)
 
EtherChannel
EtherChannelEtherChannel
EtherChannel
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - Fondamentaux
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Maintenance et dépannage d'un ordinateur
Maintenance et dépannage d'un ordinateurMaintenance et dépannage d'un ordinateur
Maintenance et dépannage d'un ordinateur
 
Soutenance Finale
Soutenance FinaleSoutenance Finale
Soutenance Finale
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
Rapport simo issam
Rapport simo issamRapport simo issam
Rapport simo issam
 

Similaire à Rapport projet

Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
Mohamed Ben Bouzid
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromise
Tarek MOHAMED
 
Projet IPTable
Projet  IPTableProjet  IPTable
Projet IPTable
Olga Ambani
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
Fathi Ben Nasr
 
Ensemble complet-eon
Ensemble complet-eonEnsemble complet-eon
Ensemble complet-eon
hayet nasri
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
Thierry Gayet
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
Johan Moreau
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
formation-administration-reseau-linux.pdf
formation-administration-reseau-linux.pdfformation-administration-reseau-linux.pdf
formation-administration-reseau-linux.pdf
ssusere8c939
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
Riri687487
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
AbdellahELMAMOUN
 
Cours informatique
Cours informatiqueCours informatique
Cours informatique
badiene
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
ninanoursan
 
Les listes de contrôles d'accès, technique de filtrage de paquets
Les listes de contrôles d'accès, technique de filtrage de paquetsLes listes de contrôles d'accès, technique de filtrage de paquets
Les listes de contrôles d'accès, technique de filtrage de paquets
Nanchi6
 
Cours Diagnostic et Maintenance réseau1.pptx
Cours Diagnostic et Maintenance réseau1.pptxCours Diagnostic et Maintenance réseau1.pptx
Cours Diagnostic et Maintenance réseau1.pptx
bocardiop2
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
Joeongala
 
Installation open erp-sous-windows1
Installation open erp-sous-windows1Installation open erp-sous-windows1
Installation open erp-sous-windows1
ابو محمدوعبدالرحمن عبد الملك
 

Similaire à Rapport projet (20)

Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromise
 
Projet IPTable
Projet  IPTableProjet  IPTable
Projet IPTable
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Ensemble complet-eon
Ensemble complet-eonEnsemble complet-eon
Ensemble complet-eon
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
formation-administration-reseau-linux.pdf
formation-administration-reseau-linux.pdfformation-administration-reseau-linux.pdf
formation-administration-reseau-linux.pdf
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Cours informatique
Cours informatiqueCours informatique
Cours informatique
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
 
Securite winxp
Securite winxpSecurite winxp
Securite winxp
 
Les listes de contrôles d'accès, technique de filtrage de paquets
Les listes de contrôles d'accès, technique de filtrage de paquetsLes listes de contrôles d'accès, technique de filtrage de paquets
Les listes de contrôles d'accès, technique de filtrage de paquets
 
Cours Diagnostic et Maintenance réseau1.pptx
Cours Diagnostic et Maintenance réseau1.pptxCours Diagnostic et Maintenance réseau1.pptx
Cours Diagnostic et Maintenance réseau1.pptx
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
 
Installation open erp-sous-windows1
Installation open erp-sous-windows1Installation open erp-sous-windows1
Installation open erp-sous-windows1
 

Rapport projet

  • 1. Réaliser par : Ibtihaj mohammed Proposé par : Prof N. Idboufker Année universitaire : 2011/2012
  • 2. ENSA MARRAKECH 2 De nos jours la sécurité des réseaux est un enjeu majeur ; les administrateurs réseau doivent donc trouver le moyen d’interdire l’accès au réseau à certains utilisateurs tout en l’accordant à d’autres. Les outils ‘classiques’ de gestion de la sécurité, tels que les mots de passe, l’équipement de rappel et les dispositifs de sécurité physiques, se révèlent utiles mais dans la plupart des cas, ils n’offrent pas la souplesse que procure le filtrage de trafic réseau. Le filtrage du trafic permet à un administrateur réseau d’accorder l’accès à internet aux utilisateurs tout en interdisant, par exemple, à des utilisateurs externes l’accès au réseau local (LAN) via Telnet. Après avoir analysé le sujet, nous étudierons la plate forme GNS3. Ensuite, nous étudierons les listes de contrôle d’accès (ACL) et NBAR. Enfin, nous présenterons les résultats obtenus.
  • 3. ENSA MARRAKECH 3 GNS3 (Graphical Network Simulator) 1. C’est Quoi GNS3 ? GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique qui permet l'émulation des réseaux complexes. VMWare ou Virtual Box se sont des programmes utilisées pour émuler les différents systèmes d'exploitation dans un environnement virtuel. Ces programmes vous permettent d'exécuter plusieurs systèmes d'exploitation tels que Windows ou Linux dans un environnement virtuel. GNS3 permet le même type de d'émulation à l'aide de Cisco Internetwork Operating Systems. Il vous permet d’exécuter un IOS Cisco dans un environnement virtuel sur votre ordinateur. GNS3 est une interface graphique pour un produit appelé Dynagen. Dynamips est le programme de base qui permet l'émulation d'IOS. Dynagen s'exécute au-dessus de Dynamips pour créer un environnement plus convivial, basé sur le texte environnement. Un utilisateur peut créer des topologies de réseau de Windows en utilisant de simples fichiers de type ini. Les laboratoires réseaux ou les personnes désireuses de s'entraîner avant de passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de s'en servir pour tester les fonctionnalités des IOS Cisco ou de tester les configurations devant être déployées sur des routeurs réels. Ce projet est évidemment OpenSource et multi-plates-formes. 2. Installation et configuration de GNS3 Cette section vous guidera à travers des étapes pour commencer avec GNS3 dans un environnement Windows. Toutes les critiques et les choses les plus importantes à savoir seront couvertes.  Etape1 : Téléchargement de GNS3 Utilisé le lien http://www.gns3.net. Pour accéder au page de téléchargement et cliquer sur le bouton vert
  • 4. ENSA MARRAKECH 4 ( Download ) Le moyen le plus facile à installer GNS3 dans un environnement Windows est d'utiliser le 2éme: GNS3 v0.8.2 standalone 32-bit  Etape 2 : Installation de GNS3 Autorisé GNS3 pour créer un dossier Menu Démarrer avec le nom par défaut GNS3 en cliquant sur le bouton Suivant.
  • 5. ENSA MARRAKECH 5 GNS3 dépend de plusieurs autres programmes pour fonctionner. Ceux Dépendances comprennent WinPCAP, Dynamips et Pemuwrapper. Ces Composants ainsi que GNS3 sont tous choisis par défaut pour les L’installation, si juste cliquez sur le bouton Suivant pour continuer. Un emplacement par défaut est choisi pour GNS3. Cliquez sur le bouton Installer pour accepter l'emplacement par défaut et pour commencer l'installation proprement dite des fichiers.
  • 6. ENSA MARRAKECH 6 La première dépendance pour GNS3 est WinPcap. Cliquez sur le bouton Suivant pour lancer l'assistant d'installation WinPcap. Cliquez sur J'accepte pour accepter l'accord de licence pour WinPcap. L'installation de WinPcap va commencer. Toutefois, si vous avez un version précédente de WinPcap sur votre ordinateur, l'assistant vous demandera pour supprimer l'ancienne version et ensuite installer la nouvelle version.
  • 7. ENSA MARRAKECH 7 Après WinPcap est installé, l'Assistant de configuration GNS3 revient à installer GNS3. Lorsque l'Assistant a terminé, vous pouvez décocher Afficher Lisezmoi, puis cliquez sur le bouton Terminer
  • 8. ENSA MARRAKECH 8  Etape 3 : définition des fichiers Cisco IOS. Comme mentionné précédemment, vous devez fournir votre propre Cisco IOS à utiliser avec GNS3 en raison de problèmes de licences. GNS3 est destiné à être utilisé dans un environnement de laboratoire pour tester et apprendre. Une fois que vous avez obtenu votre propre copie d'un logiciel IOS de Cisco pour l'un des les plates-formes supportées, vous êtes prêt à continuer. Plates-formes actuelles pris en charge incluent: Vous avez maintenant terminé l'installation de GNS3. Cliquez sur le bouton Démarrer, Tous les programmes, GNS3, puis choisissez GNS3 sur la liste des applications installées. Vous verrez la fenêtre principale de GNS3.
  • 9. ENSA MARRAKECH 9 Dans le menu Edition, choisissez se IOS image and hypervisors Sous l'onglet IOS Images, cliquez sur puis trouver votre logiciel IOS de Cisco déposer et cliquez sur Ouvrir. Le fichier apparaît sous la forme de votre fichier image.
  • 10. ENSA MARRAKECH 10 Les Access-Lists Les routeurs Cisco offrent une facilité très importante avec les access-lists, celle d’imiter les Firewalls. En effet, ces listes peuvent filtrer les paquets entrant ou sortant des interfaces d’un routeur selon quelques critères : - l’adresse source pour les access-lists standards. - l’adresse source, l’adresse de destination, le protocole ou le numéro de port pour les access-lists étendues. Ces listes peuvent être utilisées dans de très nombreux cas, dès qu’une notion de filtrage de flux apparaît. 1. Les access-lists de façon générale: On déclare l’access-list et on met les conditions que l’on souhaite : access-list numéro_access_list permit/deny conditions cela se fait en mode configuration globale conf Ensuite on affecte l’access-list à une interface : access-group numéro_access_list Cela se fait en mode conf-if o Permit et deny pour permettre ou rejeter les conditions mentionnées. o Par défaut, une access-list interdit tout (elle interdit tout ce qui n’a pas été autorisé ou interdit) o Parmi les conditions figurent des adresses sources ou adresses de destination. o Un masque permet d’indiquer sur quels bits de l’adresse on souhaite un contrôle. o Un 0 signifie que le bit correspondant est vérifié, tandis qu’un 1 signifie qu’il est ignoré (même type et même rôle que les masques d’adresse IP, mais la signification des 0 et 1 se trouve inversée).
  • 11. ENSA MARRAKECH 11 o On peut remplacer 0.0.0.0 en adresse par le mot any et 0.0.0.0 en masque par host. o Pour retirer les access-lists on réécrit les mêmes commandes précédées d’un no. 2. principe de fonctionnement Comme indiqué par le schéma ci-dessus, un paquet peut être traité lorsqu’il entre dans le routeur ou lorsqu’il sort. Il existe deux types d’ACL : Les ACLs simples et les ACLs étendues a. ACL standard Avec ces règles simples, le routeur ne regarde que l’IP Source. Router(config) # access-list {1-99} {permit | deny} [source address] [source mask] {1-99} → numéro de l'access-list, toujours entre 1 et 99 pour une liste standard. {permit | deny} → autorise ou interdit le paquet. [source address] → adresse ip du réseau (ou de la machine) concernée. [source mask] → masque générique : C’est l’inverse d’un masque de sous-réseau habituel
  • 12. ENSA MARRAKECH 12 Lorsque tous les bits d'une @IP doivent être comparés, on peut utiliser le mot clé host. Pour qu'une instruction deny ou permit s'applique à toutes les @IP qui ne sont pas indiquées dans les instructions de la liste, il est possible d'utiliser le mot clé any. Ensuite, on affecte cette access-list à l’une des interfaces du routeur o Mode de configuration : conf-if o Syntaxe : access-group numéro_access_list in/out In/out selon que l’access-list va être appliquée en entrée ou en sortie de l’interface choisie. (par défaut out) b. ACL étendue. Une ACL étendue s’intéresse à l’IP source mais aussi l’IP de destination ainsi que les ports (source et dest) et le protocole (IP, ICMP, TCP, UDP). Router(config) # access-list {100-199} {permit | deny} [protocol] [source address] [source mask] [destination address] [destination mask] [operator operand] Ensuite, on affecte cette access-list à l’une des interfaces du routeur o Mode de configuration : conf-if o Syntaxe : access-group numéro_access_list in/out 3. Règles d’utilisation des ACL o Chaque liste d'accès est définie pour un protocole particulier.
  • 13. ENSA MARRAKECH 13 o Il existe deux types principaux de listes d'accès : les listes d'accès STANDARDS (contrôle des @IP sources) ; les listes d'accès ETENDUES (contrôle des @IP source et destination, des protocoles, des N° de ports UDP et TCP, etc.). o Chaque interface ne peut utiliser qu'une liste d'accès par protocole. o Chaque liste d'accès peut être utilisée par plusieurs interfaces. o Une liste d'accès peut être utilisée en entrée pour une interface, et en sortie pour une autre interface. o Les listes d'accès utilisent les instructions "permit" (autorisation de transmission) et "deny" (interdiction de transmission). o Pour être valide, une liste d'accès doit contenir au moins une instruction "permit". o Les listes d'accès sont parcourues par le routeur, dans l'ordre où elles sont écrites. o Dès qu'un paquet correspond à une règle, cette règle est appliquée et le filtrage est terminé pour le paquet, pour cette interface. o Si un paquet ne correspond pas à la première règle, le routeur examine la règle suivante, etc. o Un paquet retransmis par l'interface d'entrée, peut être interdit par l'interface de sortie. o Les paquets interdits par une liste d'accès sont annulés par le routeur. o A la fin de chaque liste d'accès, existe une instruction implicite "Deny All" : si un paquet ne correspond à aucune des instructions de la liste d'accès, il est obligatoirement bloqué. o Il n'est pas possible de modifier une liste d'accès, par exemple en changeant l'ordre des instructions existantes : il faut l'effacer totalement et la retaper. o Le filtrage s'effectue au niveau des interfaces, en entrée ou en sortie :  Si la liste d'accès est appliquée en entrée (in) : lorsqu'un routeur reçoit un paquet sur une interface, l'IOS le compare aux différentes instructions de la liste d'accès et regarde s'il correspond à l'une d'entre elles. S'il est autorisé (permit), l'IOS continue à traiter le paquet. S'il est interdit (deny), l'IOS le rejette et renvoie un message ICMP "Host Unreachable".
  • 14. ENSA MARRAKECH 14  Si la liste d'accès est appliquée en sortie (out) : après avoir reçu et aiguillé le paquet vers l'interface de sortie, l'IOS le compare aux différentes instructions de la liste d'accès et regarde s'il correspond à l'une d'entre elles. S'il est autorisé (permit), l'IOS continue à traiter le paquet. S'il est interdit (deny), l'IOS le rejette et renvoie un message ICMP "Host Unreachable". o Deux Stratégies de filtrage :  TOUT CE QUI N'EST PAS AUTORISE EST INTERDIT : utiliser des instructions "permit" pour autoriser les paquets désirés, sachant que toutes les autres requêtes seront interdites par défaut.  TOUT CE QUI N'EST PAS INTERDIT EST AUTORISE : utiliser des instructions "deny" pour interdire les paquets désirés et terminer la liste d'accès par "permit any" ou "permit all" pour autoriser toutes les autres requêtes. NBAR Cisco NBAR (Network Based Application Recognition) est une fonctionnalité embarquée sur les routeurs Cisco récents permettant la reconnaissance des applications à partir de signatures et non plus uniquement sur des ports TCP/UDP. En l'activant, on peut construire le boitier QoS du "pauvre" en ce sens qu'aucun équipement ou coût suplémentaire n'est nécessaire : l'expert réseau démontre sa plus-value ! Evidemment, l'architecture doit être routée (ce qui élimine certaines topologies : les LANs étendus au moyen de liens Ethernet 802.1Q, qu'ils soient fournis par des opérateurs ou bien des fibres noires) et sous contrôle (les routeurs ne doivent pas être gérés par un tiers, typiquement un opérateur ou un hébergeur). NBAR permet d'identifier les flux, à l'instar des ACLs, mais en utilisant des signatures pour détecter les applications utilisant des ports mouvants (par nature tels skype, h.323, ou par "accident"HTTP, Citrix,etc..) ou bien se camouflant (canaux cachés avec stunnel, protocoles P2P : kazaa, emule, winMX , etc..). Ces signatures, nommées PDLM, sont mises à jour régulièrement et téléchargeables sous forme de mises à jour sur le site web de Cisco (nécessite un accès CCO).
  • 15. ENSA MARRAKECH 15 Certains flux utilisant des ports statiques généralement inchangés ou non modifiables (typiquement DNS, Exchange ou bien Netbios) sont définis comme tels dans NBAR (i.e sans signature applicative). Malheureusement, la plupart de ces signatures sont très orientées P2P (on trouve le même biais dans les boitiers de QoS des constructeurs Allot ou Packeteers) ou bien VoIP /ToIP. On peut imaginer que le marché entrevu par le filtrage à grande échelle des flux P2P par les FAIs a justifié ce positionnement. Certaines signatures demandes à être testées : nous avons découvert début 2007 que la signature TFTP d'un des constructeurs majeurs de boitiers de QoS ne fonctionnait pas (TFTP utilise des ports UDP dynamiques négociés lors de la session de contrôle) : c'est très problématique surtout lorsqu'on sait que la plupart des IP Phones bootent en chargeant leur logiciel par TFTP. Comment ce trafic pourrait-il être protégé si il n'est pas reconnu correctement ? Revenons aux commandes Cisco : une fois le flux identifié, on applique les mécanismes de queueing classiques : 1. Activer la découverte de protocol sur l’interface où l’on veut appliquer le filtrage Si on ne l’active pas, le filtrage n’aura pas lieu, simplement parce que le routeur n’ira pas inspecter les flux de données. Router> enable Router# configure terminal Router(config)# interface fastethernet 0/1 Router(config-if)# ip nbar protocol-discovery Router(config-if)# exit Router(config)# 2. Créer une « class-map » de sorte à identifier le traffic généré par les applications P2P On va ici faire en sorte que le traffic identifié comme provenant d’applications utilisant les protocoles Bittorrent, eDonkey, Gnutella ou encore Fasttrack soient catégorisés. Router(config)# class-map match-any P2P Router(config-cmap)# match protocol bittorrent Router(config-cmap)# match protocol edonkey
  • 16. ENSA MARRAKECH 16 Router(config-cmap)# match protocol gnutella Router(config-cmap)# match protocol fasttrack Router(config-cmap)# exit Router(config)# Attention à bien créer une class-map « match-any » … celà signifie que dès qu’une des conditions (ici un des protocoles) est remplie, le traffic est mis dans la classe « P2P ». Par défaut la commande class-map crée une classe « match-all » qui demande que tous les « match » soient vérifiés pour que le traffic soit associé à la classe. 3. Définition de la police à appliquer sur l’interface Avant de configurer, ayez bien en tête qu’une police s’applique sur une interface, soit en entrée, soit en sortie ou les deux. Mais qu’une interface ne peut avoir qu’une seule police applique par interface et par sens du traffic. On va ici créer une police qui filtrera tous les traffic de la classe P2P. Le traffic reconnu par la classe « P2P » sera purement et simplement jeté. Router(config)# policy-map DROP-P2P Router(config-pmap)# class P2P Router(config-pmap-c)# drop Router(config-pmap-c)# exit Router(config-pmap)# exit Router(config)# 4. Appliquer la police à l’interface L’interface utilisée ici est l’interface côté LAN, on va donc filtrer le traffic qui entre sur cette interface Router(config)# interface fastethernet 0/1 Router(config-if)# service-policy input DROP-P2P Router(config-if)# ^Z Router#
  • 17. ENSA MARRAKECH 17 Préambule de sujet Ci-dessous la topologie expliquant notre travail : Cette topologie englobe 3 routeurs connectés entre eux, Toutes les adresses IP ont été configurées pour tous les routeurs. Voir le schéma pour les adresses IP. OSPF a été configuré pour une connectivité complète. Pour mieux vous expliquer et de bien cibler l’objectif de notre projet, on va mettre les points sur la configuration des ACL ,en revanche on va pas focaliser sur la configuration des adresses IP ainsi la configuration du protocole de routage OSPF. 1. les ALC standard a) Objectif on va produire un scénario afin d’appliquer les ACL , ci-dessous les étapes à suivre pour la création de ce scénario :
  • 18. ENSA MARRAKECH 18 o les trafics issus de l’interface L0 du routeur CIA n’aient pas le droit d’accéder aux aucuns réseaux connectés au routeur FBI o Subséquemment, on va étendre ACL qu’on vient de créer afin d’inclure les interfaces L1, L2 du routeur CIA. o Finalement le trafic issu des interfaces L0, L1 du routeur FBI L0 ne peut pas accéder au réseau du routeur NSA. b) Implémentation du scénario 1  ACL N°1 : On commence par la 1ere condition on doit interdire le trafic en provenance de l’interface L0 du routeur CIA pour qu’il ne puisse pas accéder aux aucuns réseaux connecté au routeur FBI L’adresse du L0 selon le schéma est 1.1.1.1/25 cela veut dire qu’il appartient au réseau 1.1.1.0 et le masque est 255.255.255.128 alors que le masque générique qu’on va utiliser dans ACL est 0.0.0.127 On va appliquer cette ACL sur le routeur FBI Pour pouvoir utiliser ACL, il faut l’activer sur chaque interface du routeur FBI Pour autoriser les autres trafics
  • 19. ENSA MARRAKECH 19 On tape la commande show interface f0/0 pour vérifier ACL Pour voir les ACL qu’on a crée Teste de l’ACL
  • 20. ENSA MARRAKECH 20 D’après l’image on constate que l’ACL fonctionne très bien puisque on n’a pas pu pinger 2.2.2.2 a partir de l’interface L0 et que les autre interfaces du routeur CIA peuvent pinger 2.2.2.2 sans problème  ACL N°2 On va refaire la même chose avec les interfaces L1, L2 du routeur CIA (c.à.d nous interdisons le trafic en provenance des interfaces L1 et L2 vers le routeur FBI) L1 : @ ip 11.11.11.11/26 @ réseau 11.11.11.0 masque réseau 255.255.255.192 masque générique 0.0.0.63
  • 21. ENSA MARRAKECH 21 Le problème qu’on a rencontré c’est que la commande ‘permit (ligne 20) il va autoriser tous le trafic sauf celui de la ligne 10 et qu’on ne peut pas parvenir la ligne 30 ‘deny’ pour résoudre ce problème on doit supprimer et recréer l’ACL N°1 L1 : @ip 111.111.111.111 @réseau 111.111.111.96 masque réseau 255.255.255.224 Masque générique 0.0.0.32 Le teste effectué
  • 22. ENSA MARRAKECH 22 On ne peut pas pinger le routeur FBI à partir des interfaces L0 et L1 et L2  ACL N°3 On va créer une ACL dans le routeur NSA pour interdire le trafic parvenant des interfaces L0 et L1 vers routeur FBI routeur NSA L0 : @ip 2.2.2.2/23 @réseau 2.2.2.0 masque 255.255.254.0 masque générique 0.0.1.255 L1 :@ip 22.22.22.22/30 @réseau 22.22.22.20 masque 255.255.255.252 Masque générique 0.0.0.3 On doit activer l’ACL sur les interfaces f0/0 et 0/1 du routeur NSA
  • 23. ENSA MARRAKECH 23 Teste de ping 2. Les ACL étendus Dans ce deuxième scénario on a gardé la même topologie avec les mêmes adresses IP, cette fois si, pour appliquer les ACL étendus, idem, nous vous développons les repères cruciaux de ce second scénario : o Tous les routeurs fonctionnent avec les protocoles HTTP, HTTPS, Telnet et SSH. o les paquets en provenance de l’interface L0 du routeur CIA vers le serveur HTTP sur 3.3.3.3 ne sont pas autorisés. o Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit d’accéder uniquement au serveur HTTPS sur l’adresse 33.33.33.33. o Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont le droit d’accéder en Telnet sur le routeur CIA a) Implémentation du scénario 2  ACL 1 Nous désirons maintenant interdire le protocole http aux paquets en provenance de l’interface L0 du routeur CIA 3.3.3.3
  • 24. ENSA MARRAKECH 24 http est un protocole utilisant TCP via les ports 80 ou bien on peut mettre www nous effectuerons donc le filtrage selon ces critères On a déjà vu le masque générique de L0 sur CIA Pour l’adresse 3.3.3.3/28 : @réseau 3.3.3.0 et masque générique : 0.0.0.15 Finalement, nous obtenons les instructions de contrôle d’accès suivantes qu’on va les activer les interfaces du routeur NSA Et voici une capture qui présente tous ACL qu’on a crée Pour tester ACL 100 on va faire un telnet sur l’adresse 3.3.3.3 à partir du routeur CIA
  • 25. ENSA MARRAKECH 25 et à partir de l’interface loopback 0  ACL 2 Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit d’accéder seulement au serveur HTTPS sur l’adresse 33.33.33.33. Nous voulons autoriser le protocole HTTPS à l’interface L1 du routeur FBI et interdire les autres protocoles Le protocole HTTPS utilise le port 443 et le protocole TCP. Il faut donc permettre l’utilisation du port 80 en TCP. On a pour L1 du FBI : adresse source @ip 22.22.22.22/30 @réseau 22.22.22.20 masque générique 0.0.0.3 Adresse de destination sera une adresse de machine Pour répondre à ces besoins on va ajouter d’autre lignes dans l’ACL qu’on a déjà crée Ici on a accordé à L1 l’autorisation d’accéder au HTTPS de 33.33.33.33 mais il garde toujours l’autorisation d’accès aux autres services (instruction 20)
  • 26. ENSA MARRAKECH 26 Pour résoudre ce problème on va ajouter une autre instruction N°12 NSA(config-ext-nacl)#12 deny ip 22.22.22.20 0.0.0.3 any Pour tester cette ACL on va essayer d’accéder au service https sur l’adresse 3.3.3.3 à partir du routeur et réessayer la même chose à partir de L1 de FBI Comme vous voyez l’’ACL fonctionne tés bien  ACL 3 Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont le droit d’accéder en Telnet sur le routeur CIA Seuls les utilisateurs connectés à l’interface L1 du NSA pouvant se connecter au Telnet du routeur CIA cela veut dire qu’on va accorder une permission d’accès Telnet au réseau 33.33.33.0 et interdire les autres Et pour sécuriser le Telnet
  • 27. ENSA MARRAKECH 27 Et voici les testes effectué pour vérifier l’ACL qu’on a crée 3. NBAR : Pour appliquer le NBAR on va utiliser une autre topologie dans laquelle on va utiliser 3 routeurs 3640 (ios : c3640-jk9s-mz.124.16.bin)
  • 28. ENSA MARRAKECH 28 a) le scénario On suppose qu’on travail dans une petite entreprise et qu’on veut contrôler le trafic allant vers internet c-à-d on veut interdire les employés d’accéder aux sites web comme youtube facebook et twitter aussi le protéger contre les Verus b) Les buts : o configurer le routeur Sluggish pour que tout le trafic issu de twitter et de youtube soit supprimé sur l’interface fastethernet 1/0 o configurer le routeur Sluggish pour qu’il puisse détecter les vers NIMDA et supprimer le trafic sur l’interface fastethetnet 1/0 b) Solution On va créer une classe map que l’on va appeler TWITTER Ici on peut mettre twitter.com comme on peut spécifier une partie de twitter ‘twitter.com /mbc’ Pour youtube on va créer une classe map youtube
  • 29. ENSA MARRAKECH 29 Pour le verus NIMDA on créer une nouvelle classe map appelé NIMDA Et voila les classe map qu’on a crée Création d’une policy map L’étape suivante est de créer une police qui filtrera tous les traffic des classe qu’on a crée. Le traffic reconnu par ces classes sera purement et simplement jeté. Et voici les policy-map qu’on a crée
  • 30. ENSA MARRAKECH 30 Et maintenant on doit l’activer sur l’interface f1/0 du routeur sluggish
  • 31. ENSA MARRAKECH 31 Ce projet constitue notre expérience pseudo-professionnelle et à vraiment été très enrichissant. Le sujet sur lequel nous avons travaillé concerne la sécurité des réseaux, milieu en expansion à l’heure actuelle, car c’est une composante indispensable des systèmes de communication. Nous avons pu, grâce à ce projet, bénéficier d’autonomie dans notre travail ; nous avons appris à résoudre seuls les problèmes auxquels nous avons été confrontés. Le fait de travailler en trinôme nous a permis d’acquérir des compétences relationnelles et une méthode de travail en équipe. La variété des taches que nous avons eu à accomplir nous à permis d’appréhender de nombreux domaines différents, tels que la recherche documentaire, la programmation des listes de contrôle d’accès et les NBAR aussi la manipulation de GNS3. Nous avons pu ainsi utiliser les connaissances de base que nous avons acquises au sein de L’ENSA et de les appliquer de façon concrète. Au niveau professionnel, internet est un outil indispensable pour les entreprises qui souhaitent effectuer des opérations tels que des transferts de données, ou bien réaliser du commerce électronique. Or internet est un large réseau ouvert accessible à tous le monde, y compris à des personnes malveillantes. Il faut donc mettre au point des systèmes de sécurité pour empêcher les utilisateurs externes d’accéder aux réseaux internes. Une solution consiste à implémenter des listes de contrôle d’accès ACL sur les interfaces d’un routeur pour filtrer les flux entrants et sortants. Ce rapport explique le fonctionnement des ACL et des NBAR et leur intégration dans une politique de sécurité. Mais ce mécanisme de contrôle du réseau sera-t-il suffisant pour déjouer toutes les tentatives d’intrusions ?