le pare feu

Un pare-feu permet également de contrôler l'accès au réseau des applications installées sur la machine. En effet, les chevaux de Troie sont une sorte de virus ouvrant une brèche dans le système pour permettre une prise en main à distance de la machine par un pirate informatique. Le pare-feu permet d'une part de repérer les connexions suspectes de la machine, mais il permet également de les empêcher.
Le pare-feu est en réalité un système permettant de filtrer les paquets de données échangés avec le réseau.
Ainsi le système pare-feu est un système logiciel (parfois également matériel), constituant un intermédiaire entre le réseau local et le "monde extérieur".

Le fonctionnement d'un système pare-feu :
Un système pare-feu fonctionnant sur le principe du filtrage de paquets, analyse les en-têtes des paquets (aussi appelés datagrammes) échangés entre deux machines. En effet les machines d'un réseau relié à Internet sont repérées par une adresse appelée adresse IP.
Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le pare-feu contiennent les en-têtes suivants, qui sont analysés:
-L'adresse IP de la machine émettrice
-L'adresse IP de la machine réceptrice
-Le type de paquet (TCP, UDP, ...)
-Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau)
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Certains ports sont associés à des service courants (les ports 25 et 110 sont généralement associés au courrier électronique, et le port 80 au Web) et ne sont généralement pas bloqués. Toutefois, il est nécessaire de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Les limites des pare-feu :
Le fait d'installer un pare-feu n'est bien évidemment pas signe de sécurité absolue.
Les pare-feu ne protègent en effet que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du pare-feu sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier

merci bien asmae

merci pour vous[b]

thank you asmae u are very nice

slt,les tssri ,qlq peut m'adie sur la configuration de parfeu pix515

c tt ce ke jai pu trouver
Introduction
La sécurité a toujours été un concept important. De nos jours, les données sensibles étant toutes informatisées, il est nécessaire de bien les protéger afin d'en garantir leur confidentialité et leur intégrité.
Pour cela, il faut mettre en place des protections à plusieurs niveaux, notamment une barrière au niveau du réseau. Différentes solutions existent, la plus répandue est l'utilisation d'un pare-feu, logiciel ou matériel.
Un pare-feu protège un ordinateur ou un réseau en filtrant les données échangées avec d'autres réseaux. C'est un élément essentiel à mettre en place ; il n'y a pas, ou peu, de réseaux actuellement qui ne soient ainsi protégés.
Le but de cet article est de vous présenter la solution pare-feu de Cisco, le PIX. Dans un premier temps, nous présenterons les caractéristiques de ce petit boitier. Puis nous étudierons sa configuration en commençant par les éléments de base avant d'aborder les fonctions avancées.
1 Caractéristiques du pare-feu Cisco PIX 501

Dans cette partie, nous ne présenterons que le PIX 501, conçu pour les "petits" bureaux. Cinq autres modèles existent : 506, 515, 520, 525 et 535.
1.1 Caractéristiques matérielles
Le Cisco PIX 501 est équipé d'un processeur AMD SC520 cadencé à 133 Mhz.
Il dispose de 16 Mo de mémoire vive SDRAM et d'une mémoire flash de 8 Mo.
Au niveau des interfaces de connexions, le PIX 501 possède 1 port Ethernet 10Base-T pour la connexion externe et un commutateur 10/100 Mb de 4 ports pour le réseau interne.
Un port console est également présent pour la configuration.
1.2 Caractéristiques fonctionnelles
Le PIX est un pare-feu à inspection d'état, il se base donc sur les couches 3 et 4 du modèle OSI et peut assurer le suivi des échanges et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique. Si les paquets d'une communication sont acceptés alors les paquets suivants de cette communication seront acceptés implicitement.
De plus l'ASA permet d'affecter des niveaux de sécurité à vos interfaces. Ainsi un niveau égal à 0 équivaut à un réseau non sécurisé (internet), et un niveau égal à 100, à un réseau digne de confiance (réseau interne). Pour les PIX équipés de plus de 2 interfaces, des niveaux entre 1 et 99 peuvent être assignés : DMZ et autres réseaux plus vulnérables que le réseau local.
Il peut aussi contrôler l'accès de différentes applications, services et protocoles et protège votre réseau contre les attaques connues et courantes.
Ce pare-feu gère également le VPN (IKE et IPSec). On peut ainsi créer des tunnels VPN entre sites.
Le PIX peut aussi faire office de serveur DHCP pour les équipements connectés au réseau interne et grâce au NAT, permet à ces "clients" de se connecter à Internet avec une même adresse IP publique.
2 Configuration de base
La configuration du PIX peut s'effectuer par le biais de commandes entrées manuellement par l'administrateur ou via une interface web : le Pix Device Manager (PDM).
Nous aborderons ici les commandes essentielles et donc, l'interface en ligne de commande (CLI).
2.1 Modes de commandes
A l'instar des routeurs, il existe plusieurs niveaux d'accès administratifs :
- Mode utilisateur : mode par défaut, on peut consulter certaines informations sur le pare-feu mais sans pouvoir effectuer de modifications.
- Mode privilégié : permet de procédér à la configuration de base du pare-feu et de visualiser son état.
- Mode de configuration globale : comme son nom l'indique, permet de configurer les paramètres ayant une portée globale.
Les commandes accessibles depuis un mode le sont aussi dans le mode supérieur.
Afin d'identifier ces différents modes, il suffit de faire attention à l'invite de commandes.
Ainsi en mode utilisateur, on aura : hostname>
En mode privilégié : hostname#
Et en mode de configuration globale : hostname(config)#
Pour passer d'un mode à l'autre il faut utiliser les commandes suivantes :
- enable pour passer du mode utilisateur à privilégié et disable ou exit pour l'inverse.
- configure terminal pour passer du mode privilégié à configuration globale et exit pour l'inverse.
Maintenant, nous pouvons commencer à configurer le PIX.
2.2 Commandes basiques
Une fois connecté au PIX par le port console, il faudra lui donner un nom, ainsi qu'à ses interfaces. Pour le PIX 501, il n'y en aura que 2.
Pour une première configuration, il est conseillé de ne pas oublier certains points :
- ne pas répondre aux pings sur l'interface externe.
- établir les routes par défaut
- configurer les interfaces
- établir les règles de redirection et de contrôle d'accès (cf partie 3)
Ensuite il faut tester la connectivité et si cela réussit, sauvegarder la configuration.
Détaillons à présent les commandes qui seront utiles pour cette configuration.

- hostname {nom}
- Mode de configuration globale.
- Spécifie le nom d'hôte du pare-feu.
- Exemple : hostname SupinfoPix001

- domain-name {nom}
- Mode de configuration globale.
- Spécifie le nom de domaine auquel appartient le pare-feu.
- Exemple : domain-name supinfo.lan

- enable password {mot de passe} [encrypted]
- Mode de configuration globale.
- Mot de passe du mode privilégié.
- Sans le paramètre [encrypted], le mot de passe est écrit en clair dans le fichier de configuration.
- Exemple : enable password supersecurepwd encrypted

- clock set hh:mm:ss {mois jour | jour mois} année
- Configure l'horloge du pare-feu.
- clear clock
- Reconfigure l'horloge sur l'heure GMT (nécessaire dans le cas d'utilisation d'IPSec avec des certificats).
- nameif {ethernet{n°} | gb-ethernet{n°}} {nom} security{level}
- Mode de configuration globale.
- Nomme l'interface et lui assigne son niveau de sécurité.
- Exemple : nameif ethernet0 outside security0
- Exemple 2 : nameif ethernet1 inside security100

- interface {ethernet{n°} | gb-ethernet{n°}} [10baset | 10full | 100basetx | 100full | 1000sxfull | 1000basesx | aui | auto | bnc] [shutdown]
- Mode de configuration globale.
- Configure la vitesse de l'interface spécifiée en argument et l'active.
- La vitesse est optionnelle.
- shutdown permet de désactiver l'interface (par défaut toutes les interfaces sont désactivées).
- Exemple : interface ethernet0 100full

- ip address {nom_interface} {{ip} {masque} |{dhcp}}
- Mode de configuration globale.
- Configure l'adresse IP de l'interface.
- Exemple : ip address inside 10.0.0.2 255.0.0.0
- Exemple 2 : ip address outside dhcp

- route {nom_interface} {ip} {masque} {ip_passerelle} [metric]
- Mode de configuration globale.
- Spécifie une route statique.
- Pour spécifier la route par défaut, il faut utiliser l'ip et le masque 0.0.0.0 ou 0.
- Exemple : route outside 0.0.0.0 0.0.0.0 82.226.244.238 1
- L'interface outside enverra tous les paquets sortant vers l'ip 82.226.244.238 (un routeur par exemple).
- La métrique correspond au nombre de sauts jusqu'à la passerelle, par défaut 1

- [no] rip {nom_interface} {defautl|passive} [version [1|2]] [authentication [text|md5] key {key_id}] - Dés/Active la réception des mises à jour des tables de routages RIP - icmp {permit|deny} {ip_source} [masque] {nom_interface}
- Autorise ou refuse le requête ping sur l'interface spécifié.
- Exemple : icmp deny any any
- Cet exemple refuse toutes les requêtes icmp.

- show interface {ethernet{n°} | gb-ethernet{n°}}
- Affiche les informations détaillées de l'interface.

- show ip
- Affiche la configuration IP des interfaces.

- show nat
- Affiche la configuration NAT : les interfaces autorisées à initier des connexions vers des interfaces moins sécurisées.

- show global
- Affiche les adresses à utiliser pour les translations.

- show xlate
- Affiche la table des adresses translatées dynamiquement. - show route
- Affiche les routes configurées.

- show access-list
- Affiche les ACL.

- show running config
- Affiche le fichier de configuration actif.
- write memory
- Copie la configuration courante dans la mémoire Flash.
- Cette configuration sera utilisée au prochain démarrage.

- reload
- Redémarre le PIX.

merci bcq ,mé la configuer de pix 501 c'est la meme pour le pix 515 ou bien non

oui je pense c la méme il ya une différence dans le modéle mais c la méme

merci bien