c tt ce ke jai pu trouver
Introduction
La sécurité a toujours été un concept important. De nos jours, les données sensibles étant toutes informatisées, il est nécessaire de bien les protéger afin d'en garantir leur confidentialité et leur intégrité.
Pour cela, il faut mettre en place des protections à plusieurs niveaux, notamment une barrière au niveau du réseau. Différentes solutions existent, la plus répandue est l'utilisation d'un pare-feu, logiciel ou matériel.
Un pare-feu protège un ordinateur ou un réseau en filtrant les données échangées avec d'autres réseaux. C'est un élément essentiel à mettre en place ; il n'y a pas, ou peu, de réseaux actuellement qui ne soient ainsi protégés.
Le but de cet article est de vous présenter la solution pare-feu de Cisco, le PIX. Dans un premier temps, nous présenterons les caractéristiques de ce petit boitier. Puis nous étudierons sa configuration en commençant par les éléments de base avant d'aborder les fonctions avancées.
1 Caractéristiques du pare-feu Cisco PIX 501
Dans cette partie, nous ne présenterons que le PIX 501, conçu pour les "petits" bureaux. Cinq autres modèles existent : 506, 515, 520, 525 et 535.
1.1 Caractéristiques matérielles
Le Cisco PIX 501 est équipé d'un processeur AMD SC520 cadencé à 133 Mhz.
Il dispose de 16 Mo de mémoire vive SDRAM et d'une mémoire flash de 8 Mo.
Au niveau des interfaces de connexions, le PIX 501 possède 1 port Ethernet 10Base-T pour la connexion externe et un commutateur 10/100 Mb de 4 ports pour le réseau interne.
Un port console est également présent pour la configuration.
1.2 Caractéristiques fonctionnelles
Le PIX est un pare-feu à inspection d'état, il se base donc sur les couches 3 et 4 du modèle OSI et peut assurer le suivi des échanges et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique. Si les paquets d'une communication sont acceptés alors les paquets suivants de cette communication seront acceptés implicitement.
De plus l'ASA permet d'affecter des niveaux de sécurité à vos interfaces. Ainsi un niveau égal à 0 équivaut à un réseau non sécurisé (internet), et un niveau égal à 100, à un réseau digne de confiance (réseau interne). Pour les PIX équipés de plus de 2 interfaces, des niveaux entre 1 et 99 peuvent être assignés : DMZ et autres réseaux plus vulnérables que le réseau local.
Il peut aussi contrôler l'accès de différentes applications, services et protocoles et protège votre réseau contre les attaques connues et courantes.
Ce pare-feu gère également le VPN (IKE et IPSec). On peut ainsi créer des tunnels VPN entre sites.
Le PIX peut aussi faire office de serveur DHCP pour les équipements connectés au réseau interne et grâce au NAT, permet à ces "clients" de se connecter à Internet avec une même adresse IP publique.
2 Configuration de base
La configuration du PIX peut s'effectuer par le biais de commandes entrées manuellement par l'administrateur ou via une interface web : le Pix Device Manager (PDM).
Nous aborderons ici les commandes essentielles et donc, l'interface en ligne de commande (CLI).
2.1 Modes de commandes
A l'instar des routeurs, il existe plusieurs niveaux d'accès administratifs :
- Mode utilisateur : mode par défaut, on peut consulter certaines informations sur le pare-feu mais sans pouvoir effectuer de modifications.
- Mode privilégié : permet de procédér à la configuration de base du pare-feu et de visualiser son état.
- Mode de configuration globale : comme son nom l'indique, permet de configurer les paramètres ayant une portée globale.
Les commandes accessibles depuis un mode le sont aussi dans le mode supérieur.
Afin d'identifier ces différents modes, il suffit de faire attention à l'invite de commandes.
Ainsi en mode utilisateur, on aura : hostname>
En mode privilégié : hostname#
Et en mode de configuration globale : hostname(config)#
Pour passer d'un mode à l'autre il faut utiliser les commandes suivantes :
- enable pour passer du mode utilisateur à privilégié et disable ou exit pour l'inverse.
- configure terminal pour passer du mode privilégié à configuration globale et exit pour l'inverse.
Maintenant, nous pouvons commencer à configurer le PIX.
2.2 Commandes basiques
Une fois connecté au PIX par le port console, il faudra lui donner un nom, ainsi qu'à ses interfaces. Pour le PIX 501, il n'y en aura que 2.
Pour une première configuration, il est conseillé de ne pas oublier certains points :
- ne pas répondre aux pings sur l'interface externe.
- établir les routes par défaut
- configurer les interfaces
- établir les règles de redirection et de contrôle d'accès (cf partie 3)
Ensuite il faut tester la connectivité et si cela réussit, sauvegarder la configuration.
Détaillons à présent les commandes qui seront utiles pour cette configuration.
- hostname {nom}
- Mode de configuration globale.
- Spécifie le nom d'hôte du pare-feu.
- Exemple : hostname SupinfoPix001
- domain-name {nom}
- Mode de configuration globale.
- Spécifie le nom de domaine auquel appartient le pare-feu.
- Exemple : domain-name supinfo.lan
- enable password {mot de passe} [encrypted]
- Mode de configuration globale.
- Mot de passe du mode privilégié.
- Sans le paramètre [encrypted], le mot de passe est écrit en clair dans le fichier de configuration.
- Exemple : enable password supersecurepwd encrypted
- clock set hh:mm:ss {mois jour | jour mois} année
- Configure l'horloge du pare-feu.
- clear clock
- Reconfigure l'horloge sur l'heure GMT (nécessaire dans le cas d'utilisation d'IPSec avec des certificats).
- nameif {ethernet{n°} | gb-ethernet{n°}} {nom} security{level}
- Mode de configuration globale.
- Nomme l'interface et lui assigne son niveau de sécurité.
- Exemple : nameif ethernet0 outside security0
- Exemple 2 : nameif ethernet1 inside security100
- interface {ethernet{n°} | gb-ethernet{n°}} [10baset | 10full | 100basetx | 100full | 1000sxfull | 1000basesx | aui | auto | bnc] [shutdown]
- Mode de configuration globale.
- Configure la vitesse de l'interface spécifiée en argument et l'active.
- La vitesse est optionnelle.
- shutdown permet de désactiver l'interface (par défaut toutes les interfaces sont désactivées).
- Exemple : interface ethernet0 100full
- ip address {nom_interface} {{ip} {masque} |{dhcp}}
- Mode de configuration globale.
- Configure l'adresse IP de l'interface.
- Exemple : ip address inside 10.0.0.2 255.0.0.0
- Exemple 2 : ip address outside dhcp
- route {nom_interface} {ip} {masque} {ip_passerelle} [metric]
- Mode de configuration globale.
- Spécifie une route statique.
- Pour spécifier la route par défaut, il faut utiliser l'ip et le masque 0.0.0.0 ou 0.
- Exemple : route outside 0.0.0.0 0.0.0.0 82.226.244.238 1
- L'interface outside enverra tous les paquets sortant vers l'ip 82.226.244.238 (un routeur par exemple).
- La métrique correspond au nombre de sauts jusqu'à la passerelle, par défaut 1
- [no] rip {nom_interface} {defautl|passive} [version [1|2]] [authentication [text|md5] key {key_id}] - Dés/Active la réception des mises à jour des tables de routages RIP - icmp {permit|deny} {ip_source} [masque] {nom_interface}
- Autorise ou refuse le requête ping sur l'interface spécifié.
- Exemple : icmp deny any any
- Cet exemple refuse toutes les requêtes icmp.
- show interface {ethernet{n°} | gb-ethernet{n°}}
- Affiche les informations détaillées de l'interface.
- show ip
- Affiche la configuration IP des interfaces.
- show nat
- Affiche la configuration NAT : les interfaces autorisées à initier des connexions vers des interfaces moins sécurisées.
- show global
- Affiche les adresses à utiliser pour les translations.
- show xlate
- Affiche la table des adresses translatées dynamiquement. - show route
- Affiche les routes configurées.
- show access-list
- Affiche les ACL.
- show running config
- Affiche le fichier de configuration actif.
- write memory
- Copie la configuration courante dans la mémoire Flash.
- Cette configuration sera utilisée au prochain démarrage.
- reload
- Redémarre le PIX.
Dim 18 Jan - 13:35 par MariellePar
» Comment sauvegarder et partager nos fichiers?
Jeu 28 Aoû - 12:13 par MariellePar
» Mise en place d'un proxy
Sam 6 Juil - 9:24 par samfp
» Kerberos Apache, SSH ou Squid impossible - Serveurs Linux
Lun 16 Juil - 13:52 par isador999
» mot de passe !!!
Sam 23 Juin - 0:37 par mr-class
» Comparer (points forts et points faibles) les plateformes
Mar 19 Juin - 11:08 par nana85
» HSRP et VRRP
Ven 25 Mai - 15:53 par azertyuiop
» J'ai besoin de votre aide svp
Ven 25 Mai - 15:46 par azertyuiop
» client xp
Mer 25 Avr - 10:58 par wissalnouran