Remerciement

Je tiens remercier dans un premier temps, toute lquipe

pdagogique dinstitut IFPIG
Je remercie galement Monsieur Mohamed ALAWI pour
mavoir accord toute sa confiance, pour le temps
Quil ma consacr tout au long de cette priode sachant
rpondre toutes mes interrogations
Sans oublier sa participation dans lacheminement de ce
rapport
Un spcial remerciement a M .Abdeslam DIMACHQI pour ses
conseils, et ses remarques ; qui
Ont contribu lamlioration de ce travail pour le temps
quelle ma consacr
Son encadrement et sa participation au cheminement de ce
projet.
Je tiens aussi exprimer ma gratitude reconnaissance tous les
membres de jury davoir accept dvaluer mon travail.
Je remercie vivement tous ceux qui mont assist dvelopper
mes comptences
A mes frres: Abdrahim Mustapha
A tous mes profs linstitut IFPIG
A mes grands parents
1
asasa

A tous mes amis Adil, Haj Ahmed, Youssef, Fati Nassima ; Aziza

Ddicace
Je tiens ddier mon travail
A mes chrs parents et mes grande parents qui mont durant
mon cursus scolaire
A tous les membres de ma famille et tous mes amis je leurs
Souhaite Bonheur
Et russite dans leur vie prive et professionnel
A tous les formateurs de linstitut IFPIG.

2
asasa

Sommaire
I.

Introduction...................................................................................................... 4

II.

Prsentation gnral du groupe MAC//Z :.........................................................5

A.

Profile de MAC//Z :......................................................................................... 5

1.

Fiche didentit :........................................................................................ 5

2.

Historique :................................................................................................ 5

3.

La structure de lorganisation :..................................................................6

4.

1 .2 Missions et objectifs stratgiques :.....................................................6

III. Introduction :.................................................................................................... 9

1.

Dfinition................................................................................................. 14

2.

Types de firewall...................................................................................... 15

3.

Les firewalls matriels :........................................................................... 16

4.

Le filtrage dynamique (stateful inspection).............................................17

5.

Contrle daccs :.................................................................................... 18

6.

Avantages de Cisco asa :........................................................................19

7.

Aspects du Cisco asa 5550 :....................................................................20

A.

La mise en place dune dmz :....................................................................23

1.

LObjectif de la zone DMZ :......................................................................23

IV. Mode de base pour configurer Cisco asa........................................................23

A.

Le mode as dm (adaptive Security dvie manager) :.................................24

B.

Le mode CLI (commande-line interface) :..................................................24

C. Un cble console :....................................................................................... 24

V.

1.

Le terminal Secret :.................................................................................. 25

2.

Problme trait :................................................................................... 25

Mise en ouvre du projet :............................................................................... 25

A.

La configuration de firewall asa.................................................................27

B.

Interface asa par mode console.................................................................36

CONCLUSION :................................................................................................... 37
WEBOGRAPHIE :................................................................................................ 38

3
asasa

I. Introduction
Dans le cadre de prparation de mon projet de fin tudes, ce rapport
est le fruit
Dun travail effectue en collaboration avec lquipe dinformatique
dentreprise
Mac/ /Z.
Lentreprise mac//z a pour objectif la fabrication des tubes en cuivre
estime de 80%
De la difficult de disponibilit et de performance .Des rseaux surtout
le fait davoir un seul local technique pour six sous entreprise

rend La

tche plus compliqu un administrateur rseaux.

Mon projet consiste automatiser la protection et la Security informatique
mon rle
Donc a t la mise en uvre dune solution de Security des rseaux
gnralement mon projet comporte trois tapes :
tape 1 : dterminer du cahier de charge aprs ltude dexistant.
Etape 2 : achat du matriel Asa.
Etape 3 : la mise uvre du projet.

4
asasa

II.

Prsentation gnral du groupe MAC//Z :

A. Profile de MAC//Z :
1. Fiche didentit :
Nom de la socit
Statut juridique
Secteur dactivit
Prsident Directeur Gnral
Date de cration
Capital action mis
Chiffre daffaire
Effectif

Groupe MAC//Z (Maroc cuivre)

Socit Anonyme
Industrie Mtallurgique
Mr LAMDOUAR Adnane
1988
Plus que 15 000 000
De 300 600 millions MAD
500 personnes dont 30 cadres et

Patente
Numro de lenregistrement
Adresse de lusine

responsables
28160000
516732
Km2, Route de Rabat Skhirat B.P

Tl
Fax

4363
05 37 74 23 49
05 37 74 20 35
Tableau 1: Fiche d'identit du groupe MAC//Z.

2. Historique :
MAC//Z a t fonde en 1988 par Monsieur Adnane LAMDOUAR, et a
commenc au dbut par les procds dtirage en important les bauches
de ltranger (Espagne et Allemagne).
Au dpart, MAC//Z a t une S.A.R.L (Socit A Responsabilit Limit)
avec un investissement de 1.800.000 Dhs. En 1993, elle sest transforme
en S.A (Socit Anonyme) en accueillant, comme membre actionnaire, la
socit MOUSSAHAMA (Capital-risque).
En 1998, elle a entrepris un projet ambitieux de dveloppement qui a
consist en installation dune fonderie et dun laminoir, ce qui lui a permis
dtre indpendante de ses fournisseurs dbauche de tube, qui taient en
mme temps ses concurrents. Dans sa politique de dveloppement,
MAC//Z a install une autre unit BRASS-CO dont la principale est de
produire des barres et des raccords et accessoires en laiton (alliage de
cuivre).

5
asasa

3.

La structure de lorganisation :

Ds sa naissance, MAC//Z lana le dfit de renforcer son organisme

par la cration de nouveau dpartements et services avec des cadres
comptents.
Aujourdhui MAC//Z possde une quipe cohrente et multidisciplinaire
ce qui lui permet davoir une organisation bien rigide et solidaire. En effet,
MAC//Z dote aujourdhui dune nouvelle structure o chaque activit
possde ses propres services de production, maintenance, commercial et
contrle qualit .Les autres services savoir le service financier,
comptabilit, ressources humaines, approvisionnement et contrle de
gestion grent lensemble des activits de lentreprise.
Lorganisation de la socit peut tre rsume dans lorganigramme
fonctionnel suivant:

Figure 1 : Lorganigramme fonctionnel de la socit MAC//Z

6
asasa

4. 1 .2 Missions et objectifs stratgiques :

MAC//Z est la premire et la seule industrie mtallurgique du cuivre et
alliages au Maroc (100% marocaine). Son activit de base est la
production et la commercialisation, partir de la matire premire locale,
du cuivre et du laiton de rcupration:

Des tubes en cuivre ltat croui et recuit.

Des raccords et accessoires en cuivre et ses alliages.
Le produit est destin pour plusieurs secteurs dactivit:
La plomberie sanitaire : conduite deau froide et chaude, chauffage

solaire, vacuation.
Industriel : conduites de carburants, conducteurs lectriques, circuits
hydrauliques et pneumatiques,
Frigorifique : rfrigrateurs, climatisation, chambres froides,
Gaz : distribution de gaz naturel, doxygne, des gaz mdicaux,
Les filiales du group MAC//Z :
Le groupe MAC//Z se compose de 5 majeurs activits dans diffrents
domaines : Les barres de cuivre (tube croui ou recuit), Les couronnes de
cuivre (tube recuit), Les raccords de Laiton, Fer Bton, Les armatures,
cbles lectriques (projet en cours de ralisation).
MAC//Z tubes en cuivre : Cre en 1988, MAC//Z tube en cuivre est
une socit 100% marocaine, elle compte comme leader national pour la
production des tubes et accessoires de cuivre. Cest la premire industrie
au Maroc dans cette discipline.. Son processus de production comprend
principalement : le traitement de la matire premire, la fonderie,
lbauchage et ltirage.

7
asasa

RCL Raccords Cuivre et Laiton : Cre en 2003, RCL est une

entreprise de fabrication spcialise dans les produits en laiton, elle
englobe

les

bavurage,

procds
usinage,

de

fabrication

suivants :

sablage/grenaillage,

sciage,

brillantage,

matriage,

moulage

et

dcolletage, La gamme de produits couvre les produits en laiton : les

demi-greffes ferroviaires, accessoires et chapeau cuisinire (gaz), les
lingots et billettes et les raccords de robinetterie, Elle travaille aussi dans
le domaine de la sous-traitance : ralisation de griffes et autres
accessoires pour le compte de lONCF.
ScholzMorocco : Cre en 2008, Scholz est une entreprise spcialise
dans la commercialisation des dchets ferreux et non ferreux, traitement
et recyclage de dchets industriels... Scholz

utilise les technologies les

plus avances, tels que les systmes de broyage (elle est lunique
entreprise en Afrique disposant des broyeurs de ferraille), le cisaillage, et
presses balles et des systmes utilisant le courant de Foucault pour la
sparation des mtaux par nature (cuivre, aluminium, ).
En plus du recyclage de ferraille, elle recycle aussi lacier alli et les
mtaux non-ferreux de toutes les qualits et les types.
CMA Compagnie Marocain dArmatures : La socit CMA ARMATURES
est une SARL de fabrication et de pose darmatures pour bton arm. Elle
a t cre en 2009 en association avec le groupe franais CEPA
ARMATURES (4me groupe darmatures en France) et le groupe MAC//Z,
oprateur

de rfrence dans lindustrie mtallurgique au Maroc, CMA

sapprovisionne en produits sidrurgiques de 1ere qualit en provenance

dEurope et dispose dun savoir faire reconnu dans le domaine des
produits mtallurgiques destins aux entreprises de BTP, Gnie civil et
travaux publics.
Sur le plan international :
MAC//Z exporte vers les pays europens et arabes, des produits trs
techniques et forte valeur ajoute.
8
asasa

Le march local :
MAC//Z a une capacit de production denviron 2000 tonnes de cuivre
par an. Elle devance la part des importations, par sa matrise de 75% du
march marocain. Cette prsence lui assure un ancrage dans le milieu des
revendeurs de tubes et rend plus difficile une implantation de concurrents
par le biais dimportations.
Engagement socio culturels de MAC//Z dans son environnement :
Plus quune entreprise, MAC//Z participe au dveloppement durable de
son entourage, par un ensemble dactions programmes en permanence :
elle prte Ses locaux lassociation

pour

donner des

Cours

dalphabtisation.
Elle accueille les jeunes de la rgion (filles et garons), qui sont soit
socialement dfavoriss ou qui ont t exclus du systme scolaire, pour
leur offrir une formation professionnelle en construction mcanique et en
lectricit gnrale, leur donnant ainsi lopportunit de sintgrer dans le
milieu socioprofessionnel. La majorit dentre eux sont mme recruts au
sein de la socit la fin de leur formation.
Ds sa cration, MAC//Z a lanc le dfit de renforcer son organisme par
la cration de nouveaux dpartements et services et par lembauche de
cadres comptents.
Actuellement

MAC//Z

possde

une

quipe

cohrente

et

multidisciplinaire ce qui lui permet davoir une organisation performante et

solidaire.

9
asasa

III.

Introduction :

De nos jours toutes les entreprises possdant un rseau local qui ont
aussi un accs
Internet ; afin daccder la mme dinformation disponible sur le rseau
des rseaux
Et de pouvoir communiquer avec lextrieur .cette ouverture
vers
lextrieur est indispensables ; et dangereuse en mme temps .ouvrir
lentreprise vers le monde signifie aussi laisser place Ouverte aux
trangers pour essayer de pntrer les rseaux locaux de lentreprise. Et
pour parer accs attaques une architecture scurise est ncessaire .pour
cela
Le cur dune telle architecture est bas sur un firewall et de mieux un
firewall matriel qui
Propose un vritable contrle sur le trafic rseau de lentreprise. ll permet
danalyser
De scurise et de grer le trafic rseau et ainsi dutiliser le rseau de la
faon pour la quelle il a t Prvu et sans lencombrer avec des activits
inutiles ; et dempcher une personne
Sans autorisations daccder ce rseau de donnes.
Dans ce chapitre on va dfinir la conception de notre projet qui va
tudier la configuration de base dun firewall dans un rseau dentreprise ;
et pour cela notre premire tape elle va prsenter le firewall et ces
principaux caractristique ; aprs en va tudies un cas prsenter par
lorganisme daccueille o on va laborer une solution de scurit.
10
asasa

11
asasa

A. Objectifs de scurit :
Lexpression dobjectif de scurit est ralise pour lensemble des
flux dinformations sensibles transitant sur le rseau, suivant les critres
de :

Lintgrit :
Garantir que les donnes changes sont bien celles que lon croit
avoir changes. Quartes proprits doivent tre vrifies :

Non
Non
Non
Non

modification
suppression
- rajout
cration

La confidentialit :
Assur que seules les personnes en communication ont accs aux
donnes changes, les autres personnes ne doivent pas pouvoir
comprendre les informations transmises.

La disponibilit :
Maintenir le bon fonctionnement du systme dinformation,
laccs au service ne doit pas tre interrompu.

Le non rpudiation :
Garantir quune transaction ne peut tre nie, pouvoir montrer une
trace de laction effectue. Lauthentification : assurer que seules les
personnes autorises ont accs aux ressources et que chaque personne
nest

certain

de

lidentit

des

autres

dinformation.

12
asasa

partenaires

de

lchange

B. Recommandations gnrales :
Dans une entreprise, il faut recenser de manier exhaustive les lments
suivantes:
Les serveurs dploys dans lentreprise
Les systmes dexploitation et leurs versions
Les applications installes, quelles soient rellement utilises
non
Les diffrents

types

de

configuration.

paramtre dune autre manire

La

mme

ou

application

peut donner un usage et un

impact sur la scurit trs diffrents.

Il faut galement :
Dfinir la topologie du rseau local

Recenser tout les routeurs, les

commutateurs et touts les hubs simples.

Connatre la liste des protocoles utilise Connatre les classes IP
attribues chaque partie de rseau Connatre la liste des postes
utilisateurs ainsi que leur adresse MAC et IP.
Connatre le nom de chaque utilisateur et son emplacement physique.
Recenser tous les points dinterconnexion possibles de rseau avec
lextrieur de lentreprise, (connexion internet permanente, liaison avec
une entreprise partenaire, modem installs sur des postes utilisateurs) .
tablir la liste des mots de passe utilise dans tous les applications, il
faut inclure dans cette liste les mots de passe utilisateurs mais galement
les mots de passe des applications, et ceux des appareils autonomes qui
peut tre utilise telle que les mots de passe de pare- feu, Hub, modems,
imprimantes rseau, etc. Sur chaque serveur et chaque poste utilisateur,
vous devez savoir quels rpertoires sont partags.

13
asasa

Quels sont les systmes de scurit dj en place.

Recensez les moyens dintroduction de virus potentiel : y-t- il des
lecteurs de disquette, un lecteur de CD-ROM ou un port USB sur les postes
utilisateur.

C. La politique de scurit dun rseau :

La politique de scurit est conue pour appliquer des mesures de
scurit destines rduire les risques et les dommages. La politique de
scurit est cre pour protger le personnel, prserver la confidentialit,
la disponibilit et l'intgrit des biens. Il existe trois types de scurit :
Une politique de scurit physique :
Elle dtaille par exemple les objectifs et rgles de scurit des
quipements rseau afin de faire face aux menaces comme le feu, les
catastrophes naturelles, etc.,
Une politique de scurit logique :
Elle dtaille par exemple les objectifs et rgles de scurit de
configuration des accs des quipements rseau afin de faire face aux
accs non autoriss, attaques, etc.
Une politique de scurit administrative :
Elle dtaille par exemple les objectifs et rgles de scurit des
procdures de gestion du rseau afin de faire face aux vnements de
congestion du rseau, etc.,
Nous dtaillons brivement ces trois politiques de scurit dans les
paragraphes suivants.
Une politique de scurit physique :
Elle consiste essentiellement se protger contre les vols, fuites
deau, incendies, coupures dlectricit, etc. Les rgles gnriques
considrer sont les suivantes :

14
asasa

Une salle contenant des quipements rseau ne doit pas tre vue de
lextrieur afin de ne pas attirer ou susciter des ides de vol ou de
vandalisme.
Une salle d'quipements rseau ne doit jamais tre installe au rez-dechausse ou au dernier tage d'un btiment afin de ne pas tre vulnrable
une inondation.
Limitez la circulation d'eau dans la salle informatique (placez le groupe de
conditionnement d'air en dehors de la salle informatique...).
Choisissez les chemins de tuyauterie, en vitant de traverser ou de
surplomber la salle informatique.
Mettez en place des systmes de dtection de fuites.
vitez le stockage de produits inflammables dans, ou proximit des
salles informatiques.
vitez les chapelets de blocs multiprises.
tudiez les chemins de propagation du feu et mettez en place des
quipements de compartimentage (sas, parois anti- feu...).
Choisissez judicieusement les sorties de secours.
Faites respecter l'interdiction de fumer.
tablissez et mettez l'preuve un plan catastrophe, incluant un repli de
l'informatique vers un centre spcifique.
Installez un systme de ventilation redondant, dimensionn correctement
pouvoir suffire aux besoins actuels et futurs.
Mettez en place une solution de contrle de la temprature quipe d'un
module d'alerte.
Protgez les quipements de communication (antennes...) contre la
foudre.
Mettez en place un contrle d'accs (badge, biomtrie...) permettant de
contrler et de tracer les accs aux locaux critiques.
Mettez en place une politique d'identification des visiteurs. Utilisez des
mcanismes antivol pour les priphriques et les ordinateurs personnels
ou portables.
Des primtres de scurit physique accs restreint doivent tre dfinis,
et quips de camras de surveillance.
15
asasa

Les ressources critiques doivent tre places dans le primtre le plus

scuris.
Toute modification physique dinfrastructure doit tre identifie, reporte
et valide.
Des procdures doivent autoriser et rvoquer laccs aux primtres de
scurit.
Le site ne doit pas se trouver pas sur un lieu connu pour des catastrophes
naturelles comme la foudre, tremblement de terre, inondation, etc.
Des quipements de protection contre le feu, leau, lhumidit, les pannes
de courant, le survoltage, etc., doivent tre installs.
Des procdures de supervision des lments de protection doivent tre
mises en place
La politique de scurit rseau logique porte sur les configurations des
quipements rseau. Les configurations dtiennent toute l'information
permettant de construire le rseau et ses services. La politique de scurit
rseau logique peut se dcliner en un ensemble de rgles de scurit
gnriques suivantes garantissant la disponibilit et lintgrit du rseau
et de ses services.

D.Firewall :
1. Dfinition
Le firewall est systme physique (matriel) ou logique (logiciel) qui
permet une
Organisation de mettre en place un primtre de scurit entre internet et
son rseau informatique internet. Afin de contrler et dans les couches
3.4 et7 du modle OSI. Dtermine
Les services internes prouvent accder lextrieur (internet) .
Les services externes pouvant accder au rseau interne
Le doit donc contrl tout le trafic internet quil soit entrant. une fois
le trafic autoris entrer ;il n ;est plus possible de revenir en arrire
toute action est donc irrversible .
Le firewall contient un ensemble des rgles prdfinies permettant :
16
asasa

 Dautoriser la connexion
De bloquer la connexion
De rejeter la demande de connexion sans avertir lmetteur

2. Types de firewall
On va distinguer par la suite trois diffrents types de firewall :

Les firewalls bridge

Le firewall logiciel
Le firewall matriel
Les pare feux bridge :

Ces derniers sont assez rpandus .lls agissent comme de vrais cbles
rseau avec
La fonction de filtrage en plus do leur application de firewall.lls ne
dispose pas
Dadresse IP sur leurs interfaces et ne font que transfrer les paquets
dune interface une autre en leur appliquant les rgles prdfinies cette
absence dadresse ip est particulirement utile ; car cela signifie que le
firewall est indtectable sur le rseau ces firewall se trouvent
typiquement sur les Switch.
Les pare feux logiciels Prsent la fois dans les serveurs et les machines
on peut les classer en plusieurs Catgories
Les firewalls personnels
Ils sont pour la plupart commerciaux et ont pour but de scuriser un
ordinateur
Particulier ; souvent payants ils peuvent tre contraignants et quelque fois
trs
Peu scuriser en effet ; pour rester accessible lutilisateur final, ils
sorientent plus vers la simplicit dutilisation, et donc mettent de cote
laspect technique
Les firewalls plus sur
Ils se trouvent gnralement sous linux, car ce systme dexploitation
offre une
17
asasa

Scurit rseau plus lve et aussi un contrles plus prcis.

3. Les firewalls matriels :
Ils se trouvent souvent sur des routeurs achets dans le commerce par de
grands constructeurs comme Cisco ou Nortel. Inter grs directement dans
la machine, ils font office de boite noire et ont une intgration parfaite
avec le matriel. Leur configuration est souvent relativement difficile mais
leur avantage est que leur interaction avec les autres.
Fonctionnalits du routeur est simplifie de par leur prsence sur le mme
quipement rseau souvent relativement peu flexibles en terme de
configuration, ils

sont aussi peu vulnrables aux attaques, car prsent

dans la biote noire quest le routeur.

Fonction principale dun firewall :
Un firewall implmente trois fonctions basiques :
Les filtrages
Translation dadresse
Contrle daccs
Filtrage :
Les types de filtrage les plus courants sont :
Les filtrages simples de paquet
L analyse les en ttes de chaque paquet de donnes (datagrammes)
chang entre une machine du rseau internet et une machine extrieure.
Ainsi, les paquets de donne change.
Transitent par le pare feu et possdent les en tetes suivants.
Systmatiquement analyss par le firewall :
Adresse IP de la machine mettrice
Adresse IP de la machine rceptrice

Type de paquet (tcp, udp, etc.)

Numro de port
Les adresses IP contenues dans les paquets permettent didentifier
la machine mettrice et la

machine cible, tandis que le type de

18

asasa

paquet du numro de port donne une indication sur le type de

service utilis.

4. Le filtrage dynamique (stateful inspection)

Le systme de filtrages dynamique de paquets (stateful inspection
ou stateful paquet filtrent, en franais filtrages de paquet avec tat) est
bas sur linspection des couches 3et 4
Du module OSI permettant deffectuer un suivi des transactions entre le
client et le serveur. Lest ainsi capable dassurer un suivi des changes
cest --dire : de tenir compte de ltat des anciens paquets pour appliquer
les rgles de filtrages. De cette manire, ma partir du moment o une
machine autorise initi une connexion une machine situe de lautre
cot du pare feu, lensemble des paquets transitant dans le cette
connexion seront implicitement accepts par le par feu.
Le fibrage applicatif :
Le filtrage applicatif permit de filtrer la communication application par
application .le filtrage applicatif opre donc au niveau 7 (couche
application) du module OSI,
Contrairement au filtrage de paquet simple (niveau4) . Le filtrage
applicatif suppose donc une connaissance des protocoles utiliss par
chaque application .et des applications prsentes sur le rseau.et
notamment de la manire dont elle structure les donnes changes
Translation dadresse :
Le firewall est souvent lendroit ou implmente un Nat (network addess
translation ; ou franais translation dadresse rseau) ceci permit dviter
lobligation de fournir une adresse IP officielle chaque machine du rseau
interne. a partir de ce point on en vient au concept de scurit
priphrique. La traduction dadresse qui consiste rcrire les champs
19
asasa

adresse ip source et /ou destination pour permettre le routage dadresse

privs, rpondre la pnurie dadresse ses ipv4, tenter de dissimuler le
plan dadressage interne .et cette technique et dfinis par la solution Nat
5. Contrle daccs :
Le firewall dfini un contrle daccs par une liste qui contiens des
adresses IP ou des numros de ports autoriss ou interdis par le dispositif
de filtrage

Les acl : (accs control List, ou en franais, liste de contrle daccs)

sont diviss en deux grandes catgories
Acl standard :
Ne peut control que deux ensemble ladresse ip source et une partie de
ladress
IP source au moyen de masque gnrique
Acl tendue :
Peut contrler ladresse ip destination la partie de ladresse de
destination (masque gnrique) le type de protocole (tcp, udp, icmp, etc.)
le port source et de destination.
Adresse ip privs :
Espace dadresse

20
asasa

6. Avantages de Cisco asa :

Lappareil de scurit adaptative Cisco ASA 555 offre de nombreux
avantages :
Personnalisation :
Personnaliser le systme de scurit en fonction des besoins daccs et
de la politique de lentreprise.
Flexibilit :
On peut facilement ajouter des fonctionnalits ou mettre jour un appareil
au fur et mesure que lentreprise se dvelopper et que les besoins
voluent.
Scurit avance :
Lentreprise peut profiter de dernires technologies en matire de
scurit de contenu, de chiffrement, dauthentification, dautorisation et
prsentation des intrusions.
Simplicit :
Lutilisation dun seul priphrique facile installer, grer et
contrler.
Mise en rseau avance :
Lentreprise peut configurer des rseaux privs virtuels (vpn)
Offrant aux utilisateurs nomades et distants un accs parfaitement
scuris aux ressources de lentreprise. Elle peut galement crer des
rseaux vpn avec dautres bureaux ou entre ces partenaires ou employs
selon leur fonction.

21
asasa

7. Aspects du Cisco asa 5550 :

La plate forme Cisco asa 5550

comporte des composant physiques

externes et autre interne rpondre a des besoins spcieux pour gestion de

rseau :

Aspects Interne :
Dans la suite on va distinguer les principaux composants internes
de la plate-forme Cisco ASA 5550 :
UC: LUnit Central, ou microprocesseur excute les instructions du
systme dexploitation dun pare- feu. Ses principales fonctions sont, entre
autres, linitialisation du systme, le contrle de linterface rseauetc.
RAM : Une mmoire vivre est utilise pour stocker les informations de
table de routage, la mmoire cache commutation rapide, la configuration
courante et les files dattente de paquets.
ROM : La mmoire morte sert stocker de faon permanente le code de
diagnostic de dmarrage (ROM Monitor) Logiciel (SOFT) : Systme
dexploitation appel IOS (Internet working Operating System) rpondre au
besoin dutilit pour les quipements Cisco.
Mmoire flash : Est reprsent une sorte de ROM effaable et
programmable. Sur beaucoup de pare-feu, le flash est utilis pour stock
une image complte de systme dexploitation IOS.
NVRAM : La mmoire vive rmanente sert stocker la configuration de
dmarrage. Dans certains quipements, reprogrammables.
Interfaces : Les interfaces permettent lASA de se connecter avec
lextrieur. Il possde 04 types dinterfaces: Gigabit Ethernet, Fibre.
22
asasa

 Aspects externe :
Dans la suite on va voir les principaux composants externes de la plate
forme Cisco asa
Panneau arrire :
Interface rseau :
Ladaptation de scurit interne de lappareil dispose de deux bus
fournissant cuivre et fibre gigabit Ethernet, gigabit Ethernet :

Slot 0(correspondant a bus 0) a embarqu quatre ports gigabit Ethernet

en cuivre
Slot 1 (correspond bus 1) a embarqu quatre ports cuivre gigabit
Ethernet et quatre lappui intgr sfp fibre gigabit Ethernet

Dans le slot

0
On trouve dans le slot les LED et les ports dautres composant la figure
suivante
LED (light meeting diode) : est un composant lectronique capable
dmettrai de la dernire lorsquil est parcouru par un courant lectrique
Porte : sont des lments matriels permettant au systme

de

communiquer a avec des ment extrieurs, cest-a-dire dchanger des

donnes ou on peut lappel port dentre-tien (note parfois interfaces
de/s).

23
asasa

Description

Gestion de port

description

Description

USB 2.0

11

VPN LED

Slot compact flash

Interfaces de rseau

12

Flash LED

Serial port console

13

AUX port

Power Switch

14

Connecteur
Dalimentation

Indicateur de
puissance LED

1
0

Indicateur de
puissance
LED
LED indicateur de
ltat
Active LED

4
5

la gestion de 0/0 est une interface faste Ethernet interface conue

pour la gestion du trafic seulement.
est une interface en ligne de commande qui est une interface
homme- machine sert configurer lASA via un cble console.
Rserv pour utilisation future
Gigabit Ethernet interface ( de droite gauche )
Gigabit Ethernet Ethernet 0/0 gigabit Ethernet 0/1 gigabit Ethernet
0/2et gigabit Ethernet 0/3
24
asasa

Port AUX sert administrer LASA distant

A. La mise en place dune dmz :

Dmz (de militari zed zone ou en franais Zone Dmilitaris) est une
partie du rseau local dont lObject est dtre au accessible depuis
lextrieur du rseau local, avec ou sans authentification pralable .en
effet, pour des raisons la fois techniques et stratgiques les rseaux
locaux
1. LObjectif de la zone DMZ :
Les lments suspects (les flux transitant vers le rseau interne
et depuis le rseau interne), dcouverts par les quipements filtrants
(firewalls, outils de dtection et de filtrage de contenu), seront redirigs
dans la DMZ quarantaine pour analyse.
Architecture de DMZ :
Les serveurs installs sur la DMZ permettent de fournir des services au
rseau externe, tout en protgeant le rseau interne contre des intrusions
possibles sur ces serveurs :

Serveurs
Serveurs
Serveurs
Serveurs

Web (HTTP)
de fichiers (FTP)
de- mails (SMTP)
de noms (DNS) services offerts par lentreprise au monde

Internet.
Les serveurs

relais

permettant

dassurer

une

communication

indirecte entre le rseau local et le monde Internet (proxies, relais

SMTP, antivirus,)

IV.

Mode de base pour configurer Cisco asa

25
asasa

Pour configurer les appareils de scurit adaptative Cisco a dfini deux

mode de base le premier cest le mode graphique appel ASDM (adaptive
Security dvie manager)
Et le deuxime par invite de commande CLI (commande line interface)

A. Le mode as dm (adaptive Security dvie manager) :

Les Cisco asa firewall sont livrs avec un logiciel dadministration
graphique ASDM ,il est charg de lAppliance de scurit, puis utilis pour
configurer , surveiller et grer lappareil . ll permit de rcuprer, modifier
et administrer les politiques de scurit ainsi que de faire du monitoring

B. Le mode CLI (commande-line interface) :

Un interprteur et cest un programme gnralement fait partie des
composants de base dun systme dexploitation. Son rle est de traiter
les commandes tapes au clavier par lutilisateur. ces commandes une fois
interprte auront pour effet de raliser telle ou tache dadministration,
ou bien de lancer lexcution dun logiciel.
Contextes de scurit :
Pour faire laborer notre projet nous a vont besoin du

Un cble console
Terminal secret

C. Un cble console :
Est cble gnralement bleu a paires inverses RJ-45 ( droite du la
figure) et un adaptateur RJ-45DB-9( gauche de figure) il est utilises
pour connecter port console un pc
Un cable console est ncessaire pour tablir une session en mode console
(le mode cli) a fin de pourvoir vrifier ou modifier la configuration du
firewall
26
asasa

Pour ralise le cblage de firewall au rseau

_ Branchez le cble paires inverses au port

console du firewall un

connecteur RJ45
Branchez

lautre

extrmit

du

cble

(ladaptateur

RJ-45DB-9)

lordinateur en le connectant sur un port de srie de type DB-9 ou DB-25,

selon les cas.
1.

Le terminal Secret :

Un terminale de console est un terminale ASII ou un pc excutant un

logiciel dmulation de terminal tel que secret (ou hyper terminal quon
peut le trouver sous Windows).
Secret

combine

les

capacits

de

transferts

de

donnes

avec

lenregistrement scuris de secret Shell avec les fiabilits dun mulateur

de terminal Windows approuv.
2.

Problme trait :

Les rseaux interne de Lentreprise mac//z va connecter linternet par

lutilisateur dun asa firewall.
_ Les deux rseaux locale et la DMZ sont dfinit comme des rseaux
interne prenant des adresse IP privs dans se cas la on va brancher cest
deux rseaux ou interfaces de mme slot (bus) de lasa.
+Le routeur va de fini le chemin de communication de rseaux interne
(qui va prendre des adresse ip publique) vers lextrieur (linternet ; alors
on va faire brancher le routeur a une interface dun autre slot.(bus)
27
asasa

V.

Mise en ouvre du projet :

Nom

@ip interne

Masque
interne

@ip externe

Lan1

INSIDE

10.0.0.1

255.255.0.0

Route par
dfaut

Dmz

Dmz

10.1.0.0

255.255.0.0

Route par
dfaut

Routeur

Outside

10.2.0.0

255.255.0.0

Route par
dfaut

Le shema suivant explique se tableau

Schma explicatif de rseau

28
asasa

A. La configuration de firewall asa

29
asasa

Apres le branchement de cble console on va maintenant configurer

Cisco asa on respectant les donnes prcdents le faire on va suivre les
tapes suivantes :
Premire tapes : Connexion des interfaces en mode console (mode cli)
Le port console est un port de gestion qui fournit un accs hors bande asa
ll est utilis pour la configuration initiale dun pare-feu pour la surveillance.
Et pour les procdures de reprise aprs sinistre.
Ouvrir une session avec terminale secret
Pour configurer les pare-feux Cisco il faut accder leur interface
utilisateur laide
Dun terminale ou via un accs distance
Dans notre projet on va configurer le pare feu laide dun terminal secret

Schma explicatif de mon projet :

30
asasa

31
asasa

lancer serveur tftp pour tlcharger les images asdm

32
asasa

Iinstallation java pour acceder l interface graphique

La fentre suivante saffiche un cisco ASDM pour instaler linterface

graphique ASDM

Pour pouvoir vous connecter lASDM, vous devez configurer un compte,

comme suit :

33
asasa

Entrer login+mot pass

34
asasa

Configuration de la zone inside

35
asasa

La configuration de la zone dmz

Configuration de la zone outside

36
asasa

Activation des interfaces

37
asasa

Interface de protocole de routage ospf

38
asasa

B. Interface asa par mode console

39
asasa

Mode par dfaut, on peut consulter certaines informations sur le pare

feu mais
Sans pourvoir effectuer de modification. Cest-a-dire que mode ne permet
pas de modifier la
Configuration du pare feu
En mode utilisateur

ciscoasa>

Mode privilgie :
Linvite du mode utilisateur saffiche lors de la connexion au pare feu les
commandes disponibles
A ce niveau sont un sous-ensemble des commandes disponibles en mode
privilgi la plupart de ces commandes permettent dafficher des donnes
sans changer les paramtres de configuration du pare feu
En mode privilgie on aura ciscoasa #
Mode de configuration globale :
Il nest possible daccder au mode de configuration globale qu partir du
mode privilgie. ce mode permettre de configurer le parfeu cest-a-dire
quon peut inviter les commandes et on peut changer les paramtres de
pare-feu
Ll est possibles a partir du mode de configuration globale, daccder aux
modes spcifiques suivants : Interface, Ligne, Pare-feu , Routeur .

40
asasa

C.

CONCLUSION :

Cisco asa est un quipement qui peut fournir plusieurs mcanismes de

scurit dans une plate-forme, le firewall un ces mcanismes qui offre
plusieurs fonctionnalit non seulement la translation des adresses
rseau ,le filtrage de trafic rseau daprs ou vers le rseau interne
dentreprise sur est la principal de fonction pour un firewall, car il offre une
inspection pour touts les paquets transit sur le rseau, mais le Nat elle ne
fait que convertir les adresses privs par dautre publique ou le contraire.

41
asasa

D.

WEBOGRAPHIE :

Techniques de filtrages:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/i

ndex.htm
Architectures de filtrage :
http://www.cru.fr/securite/CRUGB/principe.html
Limites d'un Firewall :
http://www.reseaux-telecoms.net/articles_btree/189_9/Article_view
Article du 05/10/2001 : Portes coupe-feu : march ouvert, rseau
ferm

42
asasa