**********************************************Rapport de stage 4éme Années Ingénierie des systèmes et Réseaux informatique Firewalls Réalisé par : ANEJJAR Hassan Encadré par : Suivi par : M. Mourad GOUAZIZ M. Samir ACHAHOD Année Universitaire : 2014/2015 IGA Marrakech Page 2 2014/2015 REMERCIEMENTS Avant d’accéder au vif du sujet, Je tiens à remercier dans un premier temps, mon maître de stage, Mr Mourad GOUAZIZ, Gérant de la société PRO-TECHNO. C’est avec un réel plaisir que j’ai effectué ce stage sous votre direction. Enfin, mes vifs remerciements pour tout le corps professoral et administratif de l’institut Supérieur du Génie Appliqué, IGA, qui ne cessent pas de nous encourager à faire toujours de notre mieux. IGA Marrakech Page 3 2014/2015 DEDICACE Je dédie ce rapport de stage: a mes très chers parents qui ont toujours été là pour moi tout au long de mes études et qui m’ont donné un magnifique modèle de labeur et de persévérance. J’espère qu’ils trouveront dans ce travail toute ma reconnaissance et tout IGA Marrakech Page 4 2014/2015 mon amour. a mes chers frères: pour leurs soutiens qu’ils n’ont cessés d’apporter au cours de ma formation. IGA Marrakech Page 5 2014/2015 il est nécessaire pour compléter notre politique de sécurité de mettre en place un pare-feu. du 3 aout 2015 au 2 octobre 2015 au sein de PRO-TECHNO. a priori bénéfique. Ce rapport présente le travail effectué lors du stage. authentification par login et mot de passe…). Ce stage à été intéressant du point vu humain car j’ai l’occasion de voir l’atmosphère du monde du travail et mettre en pratique tous ce que j’ai appris pendant ma formation ainsi que de nouvelles notions. L’objectif du stage est de mettre en conditions les étudiants à une insertion rapide dans le domaine professionnel. Outre que la mise en place des stratégies de sécurité (GPO. La mise en place d’une politique de sécurité autour de ces systèmes est donc primordiale. pose néanmoins un problème majeur : il en découle un nombre croissant d’attaque. Cette ouverture. Mon projet consiste à mettre en place une étude comparative sur les différents pare-feu existé.Résumé Les systèmes d’information sont aujourd’hui de plus en plus ouverts sur internet. IGA Marrakech Page 6 2014/2015 . This opening. it is necessary to complete our security policy by implementing a firewall. This report presents the work done during the training of 3 August 2015 to 2 October 2015 in PRO-TECHNO. This training has been interesting from a point seen human because I could see the atmosphere of the workplace and put into practice everything I learned during my formation as well a learning new concepts. is priori beneficial. The objective of the training is to guarantee to the students a rapid insertion in the professional field. My project is to develop a comparative study on the different firewalls exist. it follows a growing number of attacks. IGA Marrakech Page 7 2014/2015 . The implementation of a security policy around these systems is paramount. authentication by login and password…). Besides the implementation of security policies (GPO. made a major problem.Abstract Information systems are nowadays more open to internet. ......25 : interface de Comodo Firewall..14 Diagramme de GANT.......34 : interface de PC Tools Firewall...............................................................................................................................................................................18 Câble droit.............................................................................................................................................................................................................20 : Fonctionnement de pare-feu.............................................19 panneau de brassage....................................................46 : Configuration au niveau de sécurité.....................................................35 : Pare-feu ASA 5505.............................................................................................................................................31 : interace de Jetico Personal Firewall..................................................................................................Liste des figures Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure 1: 2: 3: 4: 5: 6: 7: 8: 9: 10 11 12 13 14 15 16 17 18 19 20 logo de PRO-TECHNO................................................51 IGA Marrakech Page 8 2014/2015 ........................................................................42 : schéma de travail..................18 Câblage....................................17 Diagramme de GANT (Deroulement de stage).........................................................................20 Emulation putty.......49 : interface web de Switch...................42 : Configuration de l'adresse IP.........................................................................................................................32 : interface de Online Armor Free............................................................47 : inetrface web de Pare-feu ASA.........................................13 organigramme de l'entreprise PRO-TECHNO...................19 Câble croisé...... ...............................32 plus et les moins de Jetico Personal Firewall....................Liste des tableaux Tableau Tableau Tableau Tableau Tableau 1 2 3 4 5 : : : : : Les Les Les Les Les règles de pare-feu.....................34 plus et les moins de PC Tools Firewall..............36 IGA Marrakech Page 9 2014/2015 ..................33 plus et les moins de Online Armor Free...............26 plus et les moins de Comodo Firewall.............................................................................................. .....................................................................................................................................Interface web d’un Switch........................................................................................................................................................................................................Pourquoi un firewall ?...........................18 B .Le câblage..................................................12 1 ....................................3 DEDICACE..........................................17 5 ...........Panneau de brassage...Services de la société............26 B ......................................................................................................................................................23 1 ..................................6 Liste des figures......................13 5 .13 2 ..........21 TROISIEME PARTIE : Mise en place du projet....................................................................................................................................................................................................................................27 4 ......Introduction :....................20 D ..................................................................................16 2 ...................................13 4 ..................................................5 Abstract...............................Qu'est-ce qu'un pare-feu?.................14 DEUXIEME PARTIE : Présentation de cahier de charge et le planning de stage..................Déroulement du stage.................Présentation de la société :...............................................................................................................................................................Le filtrage simple de paquets...............7 Liste des tableaux..........24 2 ......................16 4 ..........................................................................................19 C .....................................................................Les différentes catégories de firewall............................25 A ............16 3 ....Le filtrage dynamique................Introduction..................................8 Introduction Générale..18 A ....................24 3 .............................Caméra de surveillance............................Table des matières REMERCIEMENTS..................................................................................................................................................................................11 PREMIERE PARTIE : Présentation d’établissement d’accueil.....................................................................................................Les tâches réalisées :.....Fiche identificatrice de PRO TECHNO :.....................Cahier des charges...Planification du stage.......................28 IGA Marrakech Page 10 2014/2015 ...............................................................13 3 .................................................................Fonctionnement d'un système pare-feu..Organisation de l’entreprise :...................................................15 1 .......4 Résumé..................................................................... ........................................................................A ........................Pare-feu sans état.............................30 A ....29 A ..............42 2 ..............................Interface Web d’un switch.37 Conclusion.....................................................................................Catégories secondaires de pare-feu..................................Configuration de base d'un firewall ASA 5505...............................Pare-feu identifiant.............Comparatif de 4 firewalls gratuit..............Pare-feu personnel.....28 C ...............................................................................39 BIBLIOGRAPHIE ET WEBOGRAPHIE...36 A .....................29 5 ..............Pare-feu applicatif........36 B .................................................Le Pare-feu ASA.........Principales caractéristiques.................................................................35 8 .............................................................Pare-feu avec état..........................................32 C .............................................49 IGA Marrakech Page 11 2014/2015 ..........................................................................PC Tools Firewall...Online Armor Free....................33 D .............31 B .........Cinq raisons de choisir la gamme Cisco ASA 5500...............................................................41 1 .......................................28 B .29 B ..........................................................................................................................................30 7 ......................................Les limites des firewalls.......Comodo Firewall..................................29 6 ............................................................................................................................................................Jetico Personal Firewall............................................................................................................................................40 ANNEXE................................ Le projet que j’ai choisi consiste à mettre en place une étude comparative sur les différents pare-feu existé. Il permet aussi de s’impliquer dans la vie d’une société ou tout au moins dans l’un de ses services. et d’en découvrir d’autre. Dans la première partie de ce rapport je vais présenter l’entreprise d’accueil PRO-TECHNO. De ce fait. Et pour terminer vous prendrez compte des tests accomplis et des différents problème rencontrés lors de la réalisation du projet. j’ai l’occasion d’effectuer un stage au sein d’entreprise PRO-TECHNO. afin d’établir un lien entre les théories apprises sur le banc de l’école et la pratique. IGA Marrakech Page 12 2014/2015 . je vais présenter mon sujet de stage et sa mise en place. Au niveau de la deuxième partie. ses différents services et son organigramme. la quatrième année se termine par un stage en entreprise d’une durée minimum de 2 mois. c’est un sujet pédagogique qui ma donner une idée claire sur le fonctionnement du pare-feu.Introduction Générale Dans le cadre de mes études à l’institut supérieur de Génie Appliqué de Marrakech. Ce stage permet d’appliquer et d’approfondir les connaissances acquises au cours de la formation. Au niveau de la troisième partie. je vais présenter le planning de mon stage ainsi que les différentes tâches réalisées. PREMIERE PARTIE Présentation d’établissement d’accueil IGA Marrakech Page 13 2014/2015 . Mourad GOUAZIZ. qui maîtrise en interne l’ensemble des médias et prend en charge. 2 .Services de la société : PRO TECHNO propose une gamme complète de services et de prestations visant à permettre aux petites structures de communiquer plus efficacement auprès de leurs clients et prospects. détection de vol et contrôle d'accès –système d'alarme vidéo phonie la clim industrielle 3 .Introduction : L’objectif de cette partie est de fournir une présentation générale du contexte du projet à savoir.Présentation de la société : PRO-TECHNO est une récente société.1 . tout d’abord l’organisme d’accueil PRO TECHNO en décrivant ses activités principales et son organisation. Ces services complémentaires à IGA Marrakech Page 14 2014/2015 .com Dirigeants : Mourad Gouaziz Activité : négoce et installation -vidéo surveillance.Fiche identificatrice de PRO TECHNO : Figure 1 : logo de PRO-TECHNO Adresse d'entreprise : DOUAR LAHBICHATE N°407 TASENTANTE MARRAKECH-MéDINA (AR) Région : MARRAKECH-MéDINA (AR) Rc : 47615 (TRIBUNAL DE MARRAKECH) Forme juridique : Société à Responsabilité Limitée à Associé Unique Capital : 100 000 DHS Téléphone : +212664773585 Email : protechnomaroc@gmail. pour les professionnels : Installation -vidéo surveillance. détection d'incendie et extinction. détection de vol et contrôle d'accès -système d'alarme vidéo phonie 4 . Cette société est créative et indépendante. Elle est spécialisée dans le domaine de l’informatique. créé par Mr. détection d'incendie et extinction. Service d’installation vidéo surveillance Service du système d’alarme vidéo phonie Service de conception graphique Le service de conception graphique offre la possibilité de créer tous types de supports créatifs. détection d'incendie et extinction… Ils peuvent également prendre la forme de la création et du graphisme avec la mise en place de logos. Le service « Graphisme » analyse et traduit la stratégie commerciale et marketing des clients. guide… 5 . plaquettes de présentation. papier à lettres. dans des environnements de communication variés : Cartes de visite Invitations.l’installation-vidéo surveillance avec une supervision complète. catalogue. logo… Plaquette. affiches. cartes de visites.Organisation de l’entreprise : L’architecture de la société PRO TECHNO peut être représentée par l’organigramme suivant : IGA Marrakech Page 15 2014/2015 . pour élaborer une communication graphique performante et lisible. Figure 2 : organigramme de l'entreprise PRO-TECHNO IGA Marrakech Page 16 2014/2015 . DEUXIEME PARTIE Présentation de cahier de charge et le planning de stage IGA Marrakech Page 17 2014/2015 . 1 .Cahier des charges : Titre du projet : Mettre en place une étude comparative sur les différents pare-feu existé. aussi de fournir une présentation sur les différents tâches que j’ai pu réalisé au sein de PRO-TECHNO 2 . Qui respecte la politique de sécurité du réseau 3 . IGA Marrakech Page 18 2014/2015 .Planification du stage : Voici un diagramme de Gantt permettant de visualiser l’enchainement et la durée des différentes tâches durant le stage.Introduction : L’objectif de cette partie est de fournir une présentation générale sur le travail demandé. ainsi que le planning du stage (digramme de gant). Travail demandé: Recherche. Implémentation et configuration d'un firewall Entreprise d’accueil : PRO TECHNO Plan du travail : Le but principal du projet est de pouvoir établir ou choisir et installer un pare-feu qui remplit les conditions suivantes : Qui protège le réseau des intrusions provenant d'un réseau tiers Coûts financiers les plus réduits possibles. en dernier étape a été pour réaliser la simulation avec le test. ainsi que documentation et l’apprentissage. ce qui comprend l’observation et la réalisation des tâches. Après avoir avec sucée spécifier et analyser les besoins. IGA Marrakech Page 19 2014/2015 .Déroulement du stage : La première partie du stage où l’on voit plusieurs petites tâches est la découverte de la société.Figure 3 : Diagramme de GANT 4 . La deuxième phase importante a été la spécification et analyse des besoins ce qui comprend la description du projet et la recherche. la 3éme partie c’est de conception ce qui comprend définition de la plateforme de travail ainsi que la conception de la maquette. ainsi que élaboration de cahier de charge. Le câble contient 8 conducteurs. Les couleurs des gaines sont normalisées : orange .marron/blanc IGA Marrakech Page 20 2014/2015 . comment sertir un câble que ça soit droit/croisé. répartis en paires torsadées.vert/blanc bleu .orange/blanc vert .Les tâches réalisées : A .Figure 4 : Diagramme de GANT (Deroulement de stage) 5 .Le câblage : Parmi les techniques que j’ai apprises dans cette période de stage (le câblage) les types de câblages.bleu/blanc marron . pour améliorer la réjection du bruit. Figure 5 : Câblage A-1 Câble droit : Pour faire un câble droit Il faut que les embouts soient sertis de la même façon à chaque extrémité et en respectant la répartition des paires torsadées sur le connecteur. En général. et de l'autre. le câblage suivant : 1) vert-blanc 2) vert 3) orange-blanc 4) bleu 5) bleu-blanc 6) orange IGA Marrakech Page 21 2014/2015 . le code employé est : 1) orange-blanc 2) orange 3) vert-blanc 4) bleu 5) bleu-blanc Figure 6 : Câble droit 6) vert 7) marron-blanc 8) marron A-2 Câble croisé : Pour un câble croisé Il faut intervertir les parties 1/2 et 3/6. donc on a d'un côté le même câblage que ci-dessus. Interface web d’un Switch : J’ai aussi configuré un Switch (cisco catalyst 2960). Figure 8 : panneau de brassage C .7) marron-blanc 8) marron B . comment monter un câble dans le panneau de brassage. Il sert à relier ces prises à un Switch grâce à un cordon de brassage. Le panneau de brassage est le point ou se concentrent tous les câbles de chaque prise murale Rj45 d’un Figure 7 : Câble croisé bâtiment.Panneau de brassage : Parmi les techniques que j’ai appris aussi dans cette période de stage le brassage. avec l émulation putty : IGA Marrakech Page 22 2014/2015 . ce que je trouve nouveau pour moi c’est comment créer une interface web au Switch. vtp …). vlan.Figure 9 : Emulation putty J’ai travaillé sur les configurations de base (hostname. (Voire l’annexe) IGA Marrakech Page 23 2014/2015 . qui permet de capter la lumière La luminosité (LUX) : la luminosité est exprimée en LUX (comprise entre 0. positionné derrière l'objectif. ou un smartphone via Internet. l'obscurité totale et 50 000 lux). installer une caméra de surveillance. Les images filmées peuvent être enregistrées et consultées en temps réel sur un PC. la vidéo surveillance n'est plus un dispositif réservé aux entreprises de sécurité.Caméra de surveillance : Aujourd'hui. D-2 Les éléments techniques d'une caméra de surveillance : Qualité de l'image : pour les caméras IP. Le capteur : l'élément essentiel. disponible sur l'équipement vendu) Positionner (fixer) la caméra Une fois que la box internet est synchronisée avec la caméra : Le flux d'image est accessible en ligne. Chacun peut chez soi. . D-1 Utiliser une caméra IP : L'installation et l'utilisation de ces caméras se déroulent en quatre étapes : Connecter la caméra de surveillance au routeur (box internet) : l'utilisation d'un câble est nécessaire à cette étape Trouver et attribuer l'adresse IP de la caméra (cette démarche nécessite un mot de passe. où les images s'affichent. via une page web (accès protégé par mot de passe). Caméras IP : les caméras IP permettent une connexion à un réseau informatique (relié à internet) soit par câble Ethernet soit par WiFi (sans fil).D . Mais fonctionne comment ce type de matériel ? Deux principaux types de caméras de surveillance Caméras analogiques : ces caméras sont reliées par un câble coaxial à un téléviseur/un moniteur. avec quelques compétences techniques. la qualité de l'image est déterminée par la résolution d'affichage (1600 x 1200 pixels = très haute résolution). Elles envoient des flux continus de données (balayage) à un dispositif de stockage (enregistreur numérique). dômes motorisés (rotations possibles) . L'objectif : il varie selon l'angle de vision souhaité. caméras espion (qui se fondent dans le décor). . Caméras jour/nuit : elles basculent automatiquement en mode jour ou en mode nuit selon le niveau de luminosité Mini dôme (caméra discrète en forme de dôme). D-3 Les différentes catégories de caméra de surveillance : Caméras infrarouges : la nuit. elles utilisent les diodes électroluminescentes placées autour de leur lentille pour repérer les rayonnements infrarouges (ondes de chaleur) et retransmettre les images en noir et blanc. TROISIEME PARTIE Mise en place du projet . des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a divers acteurs étrangers. En effet. destruction.. Tout ceci sans l'encombrer avec des activités inutiles. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. une entreprise n'est jamais complètement fermée sur elle même. une architecture de réseau sécurisée est nécessaire. et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall. passe-temps. si elles ne sont pas contrôlées.Pourquoi un firewall ? De nos jours. comme par exemple le partage de fichiers.. Cette porte peut être utilisée pour des actions qui. En plaçant un firewall limitant ou interdisant l'accès à ces services. et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu. c'est à dire internet.. Il permet d'analyser. De plus. peuvent nuire à l'entreprise (piratage de données. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr. de détecter les tentatives d'intrusion et d'y parer au mieux possible. il peut également permettre de restreindre l'accès interne vers l'extérieur.. ..). Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. En effet. de sécuriser et de gérer le trafic réseau. la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local.1 . l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. . Les mobiles pour effectuer de tel actions sont nombreux et variés : attaque visant le vol de données. Pour parer à ces attaques. reposant parfois sur un matériel réseau dédié. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que : La machine soit suffisamment puissante pour traiter le traffic . . on utilise le terme « Appliance ». est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau. il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante : Une interface pour le réseau à protéger (réseau interne) Une interface pour le réseau externe. Figure 10 : Fonctionnement de pare-feu Le système firewall est un système logiciel. Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.2 . Le système soit sécurisé .Qu'est-ce qu'un pare-feu? Un pare-feu (appelé aussi coupe-feu. constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main ». garde-barrière ou firewall en anglais). 3 . type de paquet (TCP. systématiquement analysés par le firewall : adresse IP de la machine émettrice . UDP. numéro de port (rappel: un port est un numéro associé à un service ou une application réseau). De rejeter la demande de connexion sans avertir l'émetteur (drop). etc. mais elle impose toutefois une définition précise et contraignante des besoins en communication. Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. On distingue habituellement deux types de politiques de sécurité permettant : soit d'autoriser uniquement les communications ayant été explicitement autorisées : soit d'empêcher les échanges qui ont été explicitement interdits. La première méthode est sans nul doute la plus sûre.Le filtrage simple de paquets : Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Le tableau ci-dessous donne des exemples des règles de pare-feu : .) .2 . tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.Fonctionnement d'un système pare-feu : Un système pare-feu contient un ensemble de règles prédéfinies permettant : D'autoriser la connexion (allow). Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible. Ainsi. les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants. L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. adresse IP de la machine réceptrice . De bloquer la connexion (deny). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Les administrateurs lui préfèrent généralement le protocole SSH.10.3 Tcp any 80 3 Accep 192. et le port 80 au Web). permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance.168. réputé sûr et fournissant les mêmes fonctionnalités que Telnet.20 t 194.192. Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair.Le filtrage dynamique : . 3 Tcp any 25 2 Accep any t 192.Règl e Actio n IP source 1 Accep 192.168.0/2 t 4 any Tcp any 80 4 Deny any Any any any any IP dest Protoco l Port source Port dest Tableau 1 : Les règles de pare-feu Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique.168.10. 4 .10. Les données échangées par Telnet ne sont pas chiffrées.154. traduisez « filtrage de paquets avec état ». Or ces vulnérabilités représentent la part la plus importante des risques en termes de sécurité. Si le filtrage dynamique est plus performant que le filtrage de paquets basique. la plupart des connexions reposent sur le protocole TCP. 5 . Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges. Ils sont effectivement la première solution technologique utilisée pour la . qui gère la notion de session. ce qui correspond au niveau 3 du modèle OSI. il ne protège pas pour autant de l'exploitation des failles applicatives. permettant d'effectuer un suivi des transactions entre le client et le serveur. liées aux vulnérabilités des applications. Ainsi. de nombreux services (le FTP par exemple) initient une connexion sur un port statique. Or.Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres. afin d'assurer le bon déroulement des échanges. c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. Pour y remédier. mais ouvrent dynamiquement (c'est-àdire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Le terme anglo-saxon est « stateful inspection » ou « stateful packet filtering ». l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. De cette manière. les firewalls ont grandement évolué. il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. D'autre part. le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI. à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu.Les différentes catégories de firewall : Depuis leur création. A . le protocole encapsulé (ICMP. chaque connexion correspond à deux connexions : la première entre l’utilisateur et le pare- . mais aussi des différentes contraintes imposées par le réseau devant être protégé. ou les numéros de ports source ou de destination. OSPF …). FTP…). ne prend pas en charge les états des sessions établies (statique).Pare-feu avec état : C’est un filtre dynamique de paquet (au niveau des couches 3 ou 4 du modèle OSI) selon des critères qui se base sur les états des sessions TCP (NEW. ne prend pas en charge les applications ne prend pas en charge l’authentification des utilisateurs B .sécurisation des réseaux. les interfaces associées aux sessions en cours … Ses caractéristiques sont les suivantes : Il Il Il Il prend en compte les sessions (dynamique). INVALID). le séquençage des paquets. IP.Pare-feu sans état : C’est un filtre statique de paquet (au niveau de la couche 3 du modèle OSI) selon des critères qui se base sur les adresses IP source ou destination. De ce fait. ne prend pas en compte les protocoles des couches supérieures à la couche transport (Telnet. TCP. RELATED. les ports sources TCP/UDP. Il Il Il Il est performant si les règles sont limitées et bien optimisés. il existe maintenant différentes catégories de firewall. Le choix du type d'un type de firewall plutôt qu'un autre dépendra de l'utilisation que l'on souhaite en faire. ses caractéristiques sont les suivantes : Sa mise en place est aisée à l’aide de règle simple. présente de bonnes performances. gère la translation d’adresse NAT et PAT. Chacune d'entre-elles disposent d'avantages et d'inconvénients qui lui sont propre. C .Pare-feu applicatif : C’est un filtre applicatif (couche 7 du modèle OSI). ESTABLISHED. les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité.feu. Il effectue une journalisation des évènements très détaillé Ile présente une forte puissance de traitement qui n’impacte pas le trafic. B . avec état. Il ne prend pas en compte ni les trafics UDP ni les protocoles applicatifs RPC 6 . Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Le pare-feu en soit est une application ce qui rend difficile de désolidariser la gestion de la sécurité de celle de ses applications. il se base sur la notion de sécurité réduits au système local et à ses applications. Ainsi. Il cache le plan d’adresse interne. Il contrôle le trafic entre deux systèmes d’un même réseau local.Pare-feu personnel : Appelé aussi pare-feu embarqué. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu. Ses caractéristiques sont : Il filtre les protocoles applicatifs en profondeur. et la deuxième entre le pare-feu et le système visé avec un agent qui agit comme relais pour chaque application (SMTP. L’administrateur peut ainsi définir des règles de filtrage par utilisateurs et non plus par IP.Pare-feu identifiant : Il se base sur l’identification des connexions passant à travers le filtre IP.Les limites des firewalls : Un système pare-feu n'offre bien évidemment pas une sécurité absolue. ou un proxy. http …). Ses caractéristiques sont les suivantes : Il peut être un pare-feu sans-état.Catégories secondaires de pare-feu : A . bien au contraire. . et suivre l’activité réseau par utilisateur. 7 . Il rend la gestion fastidieuse même pour un parc de taille moyenne. 8 . afin de garantir un niveau de protection maximal. La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. et destinés à un usage personnel pour les environnements Windows XP. il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. je vais passer en revue les meilleurs firewalls gratuits. Vista et bien entendu Seven et tout aussi bien à destination du PC de bureau que du portable.Comparatif de 4 firewalls gratuit : Les différents pare-feu que j’ai retenus sont totalement gratuits.De la même manière. dans la mesure du possible. l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale. Par ailleurs. pour 99% d’entre eux en français. sans limite d’utilisation. Dans ce comparatif.Comodo Firewall : . Enfin. Les six logiciels retenus sont: Comodo Firewall Jetico Personal Firewall Online Armor Free PC Tools Firewal A . Il s’agit pour la plupart de solutions simples d’emploi pour lequel l’utilisateur néophyte s’appuiera sur les règles automatiques et idéalement élaborera une stratégie de défense au cas par cas en créant des règles manuelles fondées et bien réfléchies. recense clairement dans "Port Sets" tous les ports ouverts. mode sécurité. Avec le degré d'alerte maximal. Des règles génériques sont prédéfinies pour le navigateur Web. Trojans et autres usurpations d'identité. personnalisé. Comodo fonctionne indifféremment sous Windows XP et Vista 32/64 bits et fait donc office de pare-feu et de protection contre les hackers. "Malware Scan" vérifie avant toute installation s'il y a traces de virus ou de logiciel espion connus sur le système. l'adresse IP et les protocoles TCP et UDP concernés. la lisibilité est parfaite puisque l'on sait le nom de l'application. les applications de confiance et celles à bloquer. des services ou des processus. Figure 11 : interface de Comodo Firewall Le pare-feu Comodo Firewall Professional détecte automatiquement le réseau local. et désactivé) et de cinq autres niveaux d'alertes (de très basse à très haute). détecte les . Dans la seconde optique. le FTP. l'utilisateur a le choix d'installer le firewall seul ou avec sa protection supplémentaire contre les logiciels malveillants.Avec Comodo. Le pare-feu dispose de cinq paliers de comportements (tout bloquer. spywares. le client de courrier électronique. permet de définir ses propres règles de défense pour des exécutables. le module intégré. affiche les connexions actives. les ports réclamés. mode entraînement. tout autoriser ou tout bloquer. et synthétise même tous les événements clés dans son journal.Jetico Personal Firewall : Est un pare-feu très convivial et peu sophistiqué fonctionnant sous Windows 98 / Me / NT / 2000 et XP. SMTP (25) et IMAP (143). des règles courantes sont définies pour les ports connus tels que la navigation http (80) et https sécurisée (443). UDP et ICMP Flood. Les plus Firewall très complet Ports non utilisés masqués et invisibles Défense contre les Les moins En version anglaise uniquement Prise en main peu évidente pour un néophyte malwares. Dans la configuration de la protection optimale. les ports emails POP3 (110). spywares Possibilité d'importer et d'exporter ses règles Fonctionne sous XP et Vista 32/64 bits Tableau 2 : Les plus et les moins de Comodo Firewall B . la protection optimale. Le logiciel est en anglais mais des patchs de traduction sont disponibles. Il existe trois politiques de réglage au choix. le FTP (21).attaques TCP. Figure 12 : interace de Jetico Personal Firewall . virus. c'est à vous qu'il incombera d'agir en les autorisant ou non. En revanche. adresse distante. protocole. port de destination. bouton contextuel. Il est possible de créer des règles personnalisées mais cette fonction n'est guère mise en valeur et trop peu évidente pour un grand débutant (onglet configuration.Online Armor Free : Est un pare-feu gratuit très " actif " qui scanne tout d'abord toutes vos applications situées dans le menu ‘Démarrer’. Le journal (onglet " log ") est en temps réel et ce sont des pages d'actions qui y sont détaillées (heure. adresse locale. new. dans le démarrage Windows et les fichiers système et qui crée ensuite les règles les mieux adaptées. Les plus Les moins Un pare-feu gratuit qui fait le Aide à la création de règles minimum personnalisées Règles d'ouverture des ports Pas de jeux de règles pour la traditionnelles Moniteur d'activité messagerie instantanée graphique Absence du mode apprentissage Tableau 3 : Les plus et les moins de Jetico Personal Firewall C . Le firewall ne dispose pas de degrés de paramétrage. Le réseau local. politique appliquée. attaquant…) et qui serviront plus à l'amateur éclairé qu'au novice. la box Internet en mode routeur et le serveur de stockage de fichiers. si vous en disposez.Le moniteur d'activité (" Traffic monitor ") affiche les histogrammes des flux entrants et sortants. notamment pour les programmes qu'il reconnaît. Pour les programmes qui ne sont pas d'emblée recensés dans sa base. sont identifiés sans aucun problème. application rule…). autrement dit il est soit actif soit désactivé. il y présente un mode entraînement qui analyse et propose des règles "intelligentes" pour vos programmes. . éditer et modifier des règles en cours ou de nouvelles règles spécifiques et stopper en un tournemain des applications menaçantes qui se lancent au démarrage de session.Figure 13 : interface de Online Armor Free Seul l'administrateur peut paramétrer le pare-feu via un mot de passe qu'il aura pris soin de saisir. Dans l'interface du firewall. Mise à jour manuelle Spectre graphique des activités Pour Windows XP uniquement entrantes et sortantes . Grâce au "Firewall status". Les plus Les moins Scanne et détecte les programmes Pas de degrés de réglages du connus Contrôle des fichiers de firewall (on ou off) En version démarrage et fichiers système... l'utilisateur dispose d'une vue globale sur les programmes en cours d'utilisation avec des courbes graphiques sur les flux entrants et sortants (y compris pour les clients P2P). on peut très rapidement savoir quels sont les programmes autorisés. anglaise uniquement hosts. une fonction qui s'avère plutôt utile si vous installez régulièrement beaucoup de nouveaux logiciels et qui se chargera de réadapter de nouvelles règles pour vos ports ouverts ou inutilisés. Avec Online Armor Free vous pouvez à tout moment ordonner une analyse des fichiers système sensibles. les adresses IP requérantes. ce qui constitue une barrière sécuritaire de plus. Figure 14 : interface de PC Tools Firewall En matière de monitoring.Tableau 4 : Les plus et les moins de Online Armor Free D . par exemple. Il suffit de double-cliquer sur un programme pour voir en détails les règles en vigueur et le cas échéant peaufiner les règles avancées. il est possible de surveiller les applications actives. Les autres fonctions de ce firewall sont le mode furtif. cette version de PC Tools Firewall Plus qui a l'avantage d'être en français. est moins complète et moins puissante que Comodo Free Firewall et sa fonction HIPS. port local). Vous n'avez que deux possibilités de réglage. leurs activités (paquets envoyés et reçus). droits de connexions non déterminés…). la protection contre . accès complet. visualiser les points de connexion et consulter en détails l'écoute (adresse IP locale. L'onglet ‘Applications’ réunit les programmes autorisés et bloqués ainsi que leurs types de permissions (connectivité complète. à savoir l'activer ou non pour lutter contre les attaques en temps réel.PC Tools Firewall : Malgré une interface plus que sympathique. Les plus Les moins Firewall convivial en mode Peu accessible aux néophytes automatique Pas de paliers de réglage du firewall Mode furtif pour le masquage des Une règle manuelle doit être crée ports non utilisés pour le réseau local Trafic réseau et activité du pare-feu détaillés Interface réussie sous XP et Vista Tableau 5 : Les plus et les moins de PC Tools Firewall 9 .Le Pare-feu ASA : Une entreprise qui dépend de son réseau a besoin d'une sécurité sans faille. l'importation / exportation des jeux de règles (*.CSV).l'injection de code. .Principales caractéristiques : Les appareils de sécurité adaptative Cisco ASA offrent de nombreux avantages: Personnalisation : personnalisez votre système de sécurité en fonction de vos besoins d’accès et de la politique de votre ‘entreprise.RLS) et l'exportation de l'historique (*. A . la journalisation des événements. Flexibilité : vous pouvez facilement ajouter des fonctionnalités ou mettre à jour un appareil au fur et à mesure que votre entreprise se développe et que vos besoins évoluent. Les appareils de sécurité adaptative Cisco ASA gamme 5500 garantissent une sécurité optimale suffisamment souple pour s'adapter à la croissance et à l'évolution de votre entreprise. moyennes et grandes entreprises tout en réduisant les frais de déploiement et d’exploitation. Mise en réseau avancée : configurez des réseaux privés virtuels (VPN) offrant aux utilisateurs nomades et distants un accès parfaitement sécurisé aux ressources de l’entreprise. d’authentification. Simplicité : utilisez un seul périphérique facile à installer. En offrant à votre réseau la meilleure sécurité. vos employés peuvent toujours compter sur sa disponibilité. Sécurité avancée : profitez des dernières technologies en matière de sécurité de contenu. Les appareils de sécurité adaptative Cisco ASA gamme 5500 sont votre première ligne de défense et de loin la meilleure. le boîtier firewall et VPN le plus vendu au monde et réunit sur une même plateforme une combinaison de technologies éprouvées. La gamme Cisco ASA (Adaptive Security Appliance) assure en profondeur la protection des réseaux des petites. de réduire la charge d’administration et les erreurs de configuration grâce à des assistants graphiques d’installation. Pour suivre l’évolution des menaces. et de surveillance. de chiffrement. . L’ASA est administré à l’aide d’un puissant logiciel graphique d’utilisation facile et conviviale. Le Cisco ASA succède au célèbre PIX. il offre plus de puissance et des services de sécurité de nouvelle génération comme la Prévention d’Intrusion (IPS). le Filtrage de Contenu (AntiX – technologie en provenance de Trend Micro) ou le VPN SSL. d’autorisation et de prévention des intrusions. à gérer et à contrôler. Vous pouvez également créer des réseaux VPN avec d’autres bureaux ou entre vos partenaires ou employés selon leur fonction. ASDM (Adaptive Security Device Manager). ASDM permet d’accélérer la création de politiques de sécurité. des outils de débogage. Services évolués de prévention des intrusions Les services proactifs de prévention des intrusions offrent toutes les fonctionnalités qui permettent de bloquer un large éventail de menaces – vers. la gamme Cisco ASA est la première solution à proposer des services VPN SSL et IPSec protégés par la première technologie de pare-feu du marché. Services multifonctions de gestion et de surveillance Sur une même plate-forme.B . la gamme Cisco ASA fournit des services de gestion et de surveillance utilisables de manière intuitive grâce au gestionnaire Cisco ASDM (Adaptive Security Device Manager) ainsi que des services de gestion de catégorie entreprise avec Cisco Security Management Suite. logiciels espions. ainsi que le blocage de fichiers. attaques sur la couche applicative ou au niveau du système d'exploitation. . Services de protection des contenus à la pointe de l’industrie Réunit la maîtrise de Trend Micro en matière de protection contre les menaces et de contrôle des contenus à la périphérie Internet et les solutions éprouvées de Cisco pour fournir des services anti-X complets – protection contre les virus. partages de fichiers en « peer-to-peer » et messagerie instantanée. Réduction des frais de déploiement et d’exploitation Développée autour d’un concept et d’une interface analogues à ceux des solutions de sécurité existantes de Cisco. le courrier indésirable et le phishing. la gamme Cisco ASA permet de réduire considérablement le coût d’acquisition que ce soit dans le cadre d’un premier déploiement d’une solution de sécurité ou d’une gestion au jour le jour. le blocage et le filtrage des URL et le filtrage des contenus. rootkits. les logiciels espions.Cinq raisons de choisir la gamme Cisco ASA : Technologie de pare-feu sécurisé et de protection des VPN contre les menaces Développée autour de la même technologie éprouvée qui a fait le succès du serveur de sécurité Cisco PIX et de la gamme des concentrateurs Cisco VPN. Je pense que cette expérience en entreprise n m’a offert une bonne préparation à mon insertion professionnelle car elle fut pour moi une expérience enrichissante et complète qui conforte mon désire d’exercer mon futur métier d’ingénieur dans le domaine de système et sécurité informatique. il me reste plus qu’à remercier mon encadrant M. son soutien et sa mise en disposition le matériel nécessaire pour la réalisation de mon projet ainsi que M. j’ai pu mettre en pratique mes connaissances théoriques acquises durant ma formation. Durant la réalisation de mon projet. Après l’intégration rapide dans l’équipe. de plus.Conclusion Lors de ce stage de deux mois. Je tiens aussi à . j’ai eu l’occasion de réaliser plusieurs tâches qui ont constitué une mission de stage globale. j’ai confronté différentes difficultés surtout au niveau du pare-feu ASA Enfin. ACHAHOD pour sec encouragements et conseils tout au long de la période de stage. GOUAZIZ pour sa disponibilité. j’ai confronté les difficultés réelles du monde su travail et du management d’équipes. .exprimer mon satisfaction d’avoir pu travaillé dans les bonnes conditions matérielles et un environnement agréable. net www.com .com/s/comparatif+firewall/ www. Brent Chapman (author) Cisco ASA Configuration (Networking Professional’s library) [Paperback] David Hucaby (author) Webographies https://fr.BIBLIOGRAPHIE ET WEBOGRAPHIE Bibliographies Building Internet Firewalls.com www.wikipedia.cisco. (2nd Edition)[Paperback] D.generation-nt.zonealarm.commentcamarche.org www. ANNEXE Configuration de base d’un pare-feu ASA Interface Web d’un Switch . 1 .Configuration de base d'un firewall ASA 5505 : Figure 15 : Pare-feu ASA 5505 A .Schéma de travail : Figure 16 : schéma de travail Je dois réinitialiser le firewall Je Saisi la commande « Config factory-default » . Je redémarre le firewall B .Configuration du firewall après le redémarrage : . . Configuration du VLAN inside (LAN) : Je saisi les commandes suivantes : .Modification en mode terminale serie : Je dois désactiver le DHCP afin d'attribuer une adresse IP au VLAN1: D .C . je baisse le niveau de sécurité.E . .Configuration de l'ordinateur (LAN) : Je dois mettre mon ordinateur dans le même réseau que l'ASA et je lui brancher sur le port 1 du firewall Figure 17 : Configuration de l'adresse IP Dans le panneau de configuration Je sélectionne Java /onglet sécurité. Cette partie me permet de connecter mon ordinateur à l'interface graphique du firewall (ASDM) sans avoir d'erreur à la connexion. 255.168.254 255.Configuration du VLAN outside (WAN) L'interface outside (VLAN2) est configuré par défaut sur le port eth0/0 .255.0 .2. le DHCP de l'entreprise Erenet lui attribue une adresse la configuration est : 192.Figure 18 : Configuration au niveau de sécurité F . J . je dois donc saisir la commande suivante. Je souhaite assigner le port 6 et 7 au VLAN « DMZ » J’ai maintenant la configuration suivante : .Configuration du VLAN3 (DMZ) : Je dois saisir les configurations suivantes : J’attribue une adresse IP au vlan3 Lorsque je veux donner un nom il y a l'erreur suivante car la licence dont je dispose ne me permet de configurer que 2 VLAN . 254 (adresse DMZ) : JE lance un navigateur : https://192.Interface Web d’un Switch : La fonction Web Server ou HTTP Server sur un router est désactiver par défaut pour des raisons de sécurité.168. alors je tape la commande : Switch# show running-config .2.254 Figure 19 : interface web de Pare-feu ASA 2 .J’autorise l’accès en mode graphique pour les adresses 192. Premièrement.2.168.3.254 (adresse Inside) et 192. il faut vérifier si IOS Web Server n'est pas activer.168. L'accès doit être protégé par un login et un Mot de Passe alors il faut créer une base de données d'authentification Local. Alors pour l'activer je tape le command suivant : Switch (config)#ip http server Pour sécurisé l'accès par HTTPS: Switch (config)#ip http secure server Pour changer le port d'application. le command no ip http server doit être dans les résultats de la commande show running-config. le port 80 par défaut pour le http : Switch (config)#ip http port 1 – 65535 Une chose qu’il ne faut pas oublier.Si l'IOS Web server est désactivé.10.99" permit "source ip address" "source wildcard mask" Example switch (config)#access-list 1 permit host 10.10.1 Pour appliquer cette ACL à l'Access http Switch (config)# ip http access-class 1 . Pour ce fait: Switch (config)#username "username" privilege 15 secret "password" J’applique cette base de données à l'accès http par: switch (config)#ip http authentication local Création des ACL Standard à cet effet: Switch (config)#access-list "1 . Figure 20 : interface web de Switch .