Scribd
Importer
202 vues24 pages

Module IV

Le document décrit la notion de DMZ et de NAT. Une DMZ est une zone démilitarisée qui isole les serveurs accessibles publiquement du réseau interne privé. Le NAT est utilisé pour traduire les adresses IP privées en adresses publiques afin de permettre la communication avec Internet.

Transféré par

Trong Oganort Gampoula
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Supervision des équipements,
  • Protocoles de sécurité,
  • Sécurité réseau,
  • Trappes SNMP,
  • NAT,
  • Traffic autorisé,
  • Gestion des flux,
  • Pare-feu,
  • Surveillance réseau,
  • Collecteur SNMP
202 vues24 pages

Module IV

Le document décrit la notion de DMZ et de NAT. Une DMZ est une zone démilitarisée qui isole les serveurs accessibles publiquement du réseau interne privé. Le NAT est utilisé pour traduire les adresses IP privées en adresses publiques afin de permettre la communication avec Internet.

Transféré par

Trong Oganort Gampoula
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Supervision des équipements,
  • Protocoles de sécurité,
  • Sécurité réseau,
  • Trappes SNMP,
  • NAT,
  • Traffic autorisé,
  • Gestion des flux,
  • Pare-feu,
  • Surveillance réseau,
  • Collecteur SNMP

Module IV: 10 heures de CM, TD et TP

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

192

Notion de DMZ et NAT


Il existe une infinit de faon d'organiser son rseau mais, quand la scurit entre
en jeu, il est conseill d'avoir une architecture rseau bien structure. Dans la
pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des
politiques de scurit diffrentes.

C'est la raison pour laquelle il est ncessaire de mettre en place des architectures
de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise :
on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois
galement utilis).

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

193

Notion de DMZ et NAT


Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de
l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public,
etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau
part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant
risquer de compromettre la scurit de l'entreprise.
On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone)
pour dsigner cette zone isole hbergeant des applications mises disposition
du public.
La DMZ fait ainsi office de zone tampon entre le rseau protger et le
rseau hostile
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

194

Notion
DMZetet
NAT
Notion de
de DMZ
NAT

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

195

Notion de DMZ et NAT


Les serveurs situs dans la DMZ sont appels bastions en raison de leur position
d'avant poste dans le rseau de l'entreprise.
La politique de scurit mise en uvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ;
Traffic du rseau externe vers le rseau interne interdit ;
Traffic du rseau interne vers la DMZ autoris ;
Traffic du rseau interne vers le rseau externe autoris ;
Traffic de la DMZ vers le rseau interne interdit ;
Traffic de la DMZ vers le rseau externe refus.
La DMZ possde donc un niveau de scurit intermdiaire. Ces rgles sont gres par un
Pare-feu (Firewall).
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

196

Notion de DMZ et NAT


Un pare-feu (de l'anglais firewall), est un logiciel et/ou un matriel, permettant de faire
respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de
communications autoriss sur ce rseau informatique. l a pour principale tche de
contrler le trafic entre diffrentes zones de confiance, en filtrant les flux de donnes qui
y transitent.
Suivant la gnration du pare-feu ou son rle prcis, on peut citer:
Pare-feu sans tat (stateless firewall):
C'est le plus vieux dispositif de filtrage rseau, introduit sur les routeurs.
Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles
prconfigures. Ces rgles peuvent avoir des noms trs diffrents en fonction du pare-feu :
ACL pour Access Control List (certains pare-feux Cisco), politique ou policy (pare-feu
Juniper/Netscreen)
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

197

Notion de DMZ et NAT


Pare-feu tats (stateful firewall):
Certains protocoles dits tats comme TCP introduisent une notion de connexion.
Les pare-feux tats vrifient la conformit des paquets une connexion en cours. Cest-dire qu'ils vrifient que chaque paquet d'une connexion est bien la suite du prcdent
paquet et la rponse un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment
les paquets ICMP qui servent la signalisation des flux IP.
Pare-feu applicatif:
Dernire gnration de pare-feu, ils vrifient la complte conformit du paquet un
protocole attendu. Par exemple, ce type de pare-feu permet de vrifier que seul le
protocole HTTP passe par le port TCP 80. Ce traitement est trs gourmand en temps de
calcul ds que le dbit devient trs important. Il est justifi par le fait que de plus en plus
de protocoles rseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

198

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

199

Notion de DMZ et NAT


La RFC 1918 a dfini des plages dadresses IP dites prives dans les 3 classes A, B et C.
Voici la listes des adresses IP prives dclasses par lIANA et rserves pour une
utilisation Interne.
Pour la classe A: 10/8 : [Link] [Link]
Pour la classe B: 172.16/12 : [Link] [Link]
Pour la classe C: 192.168/16 : [Link] [Link]
Ces adresses ne sont jamais routes sur INTERNET., et elles sont rserves pour une
usage interne. Quand une machine interne (IP Prive) un rseau veut communiquer
avec une machine sur Internet (IP publique; ex: [Link]), une translation de
cette adresse IP prive doit tre faite.
Cette technique est appele NAT (Network Address Translation) qui est souvent utilis
pour reprsenter diffrents concepts que nous allons diffrencier, notamment NAT
statique, NAT dynamique, PAT.
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

200

Notion de DMZ et NAT


Quand une machine interne un rseau veux communiquer avec un hte sur
Internet
Transmission du paquet au routeur de sortie;
Translation de l'adresse de rseau priv en adresse publique;
Transmission du paquet modifi au hte de destination.
Cisco dfinit les termes suivants pour la configuration du NAT
Inside Local Address : Adresse IP attribue lhte dans le LAN
Inside Global Address : Adresse(s) IP attribue(s) par FAI reconnue(s) par
linternet dans le LAN
Outside Local Address : Adresse IP publique telle quelle est connue par les
utilisateurs
Outside Global Address : Adresse IP dun utilisateur hors du rseau local
201

Notion de DMZ et NAT

Le NAT de base est statique et attribue de faon automatique une adresse IP une autre.
Il permet de faire correspondre n IP locales du rseau n IP publiques. La correspondance
se fera bien sr dans les deux sens.
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

202

Notion de DMZ et NAT


Le NAT dynamique : A plusieurs adresse IP locales (Prive) correspondent plusieurs
adresses IP globales (Publiques) .
Si une adresse IP Publique est disponible pour plusieures adresses IP locales (prives), on
parle de Network Address Port Translation (NAPT) ou Port Address Translation (PAT).

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

203

MODEM

204

Notion de DMZ et NAT


Configure le NAT statique (Cisco Router IOS)
Sur linterface interne (LAN)
Routeur(config-if)# ip nat inside
Sur linterface externe (WAN)
Routeur(config-if)# ip nat outside
En mode de configuration globale, Activer le NAT Statique.
Routeur(config)# ip nat inside source static local-ip global-ip
Configure le NAT par Port: PAT (Cisco Router IOS)
Pour avoir plusieurs utilisateurs prenant une mme @IP globale (IP Public)
Dfinir une ACL
(config)# access-list numro permit adresse-ip masque-gnrique
Dfinir la translation et activer le PAT
(config)# ip nat inside source numro-acl interface type-interface numro overload
By Trong.O. GAMPOULA;
gampoulatrong@[Link]

205

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

206

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

207

Administration des rseaux Informatiques


Les rseaux dentreprise ne cessent de croitre. Pour assurer une haute disponibilit de ces
services, il est devenu ncessaire de surveiller le rseau et de ragir trs vite quand une erreur
se produit.
Pour ce faire, diffrents points stratgiques sont observer, comme les routeurs, les Switch,
les liens, les postes de travail, les imprimantes, serveurs, services

Ainsi, en cas de panne ou de mauvais fonctionnement sur le rseau, l'administrateur doit


pouvoir interprter l'information reue pour identifier la source du problme. Cest dans cette
optique que le protocole de gestion SNMP (Simple Network Management Protocol) a t
dvelopp.

SNMP est le protocole de gestion de rseaux propos par l'IETF. Durant les 15 dernires
annes, il le protocole le plus utilis pour la gestion des quipements de rseaux.
208

Administration des rseaux Informatiques


Le protocole SNMP (Simple Network Management Protocol) est un protocole
historiquement ddi la supervision et ladministration des quipements rseau : routeurs,
Switch, etc. Son plbiscite a cependant pouss les diteurs et les constructeurs lutiliser dans
bien dautres domaines : systmes dexploitation, logiciels, matriels, etc.

Il est aujourdhui largement adopt et utilis dans un grand nombre de solutions et souvent
install en standard.

Trois versions majeures du protocole SNMP cohabitent. La version 1 est trs peu utilise
aujourdhui, elle a t remplace par la version 2c qui comporte davantage de types de
donnes et doprations.
Le principal reproche fait ces deux versions est leur faible niveau de scurit qui se base
uniquement sur une chane de caractres appele communaut. La version 3 du protocole
tente de corriger ce point en apportant des mcanismes dauthentification et de chiffrement
209

Architecture du protocole SNMP


La version 2c du protocole est la plus utilise aujourdhui pour la supervision. Il est bien
sr recommand de modifier le nom de communaut par dfaut et de donner des droits en
lecture seule uniquement au niveau des ressources supervises
Une infrastructure SNMP est constitue dagents SNMP installs sur les ressources
supervises et de serveurs de supervision chargs de requter ces agents et de recevoir les
alertes (trappes SNMP).
Chaque agent expose les informations de supervision de la ressource sur laquelle il est install
sous une forme arborescente codifie. Cette structure est dcrite dans des fichiers appels
MIB (Management Information Base).
Les requtes de supervision sont transmises depuis le serveur de supervision sur le port UDP
161 en standard. La ressource rpond immdiatement. Il sagit du mode actif.
Des alertes, appeles trappes SNMP, sont transmises par les ressources vers le serveur de
supervision sur le port UDP 162. Cest un message unidirectionnel. Il sagit du mode
passif.

210

By Trong.O. GAMPOULA;
gampoulatrong@[Link]

211

Activation des agents SNMP sur quelques ressources


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

212

Centralisation des journaux (logs) des quipements


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

213

Supervision Rseau avec PRTG Network Monitor


Routeur Cisco:

214

Cisco Port Mirroring


Routeur Cisco:
Entrez en mode de configuration globale :
R1> enable
R1# configure terminal
Pour autoriser une seule adresse IP utiliser la communaut centreonlivre, crez une ACL
standard :
R1(config)# access-list [numero_ACL] permit host [ip_collecteur]
O
[numero_ACL] est compris entre 1 et 99.
[ip_collecteur] est gal ladresse IP du collecteur qui supervise lquipement.
Associez la communaut centreonlivre lACL :
R1(config)# snmp-server community centreonlivre [numero_ACL]
R1(config)# snmp-server trap-source FastEthernet0/0
R1(config)# snmp-server enable traps config

215

Common questions

Alimenté par l’IA

Access Control Lists (ACLs) enhance network security by defining which traffic can pass through routers and interfaces, thereby controlling access based on IP address, protocol, or port. In configuring NAT, ACLs specify the internal local addresses that should undergo translation to communicate with external networks. In SNMP configurations, ACLs determine which IP addresses are permitted to access SNMP data, ensuring unauthorized hosts cannot communicate with SNMP agents, thereby securing sensitive network management information .

Stateless firewalls examine each packet independently against a set of predefined rules, which makes them quicker but less intelligent in terms of context awareness. They do not keep track of traffic or connections over time. Conversely, stateful firewalls track active connections and utilize this knowledge to make more informed decisions by accounting for the state of traffic flows. This allows them to recognize legitimate packets in an established session and block unsolicited packets that do not match an established session, providing a higher level of security by observing packet flows across sessions .

The primary advantage of implementing PAT is its efficiency in conserving public IP addresses by mapping multiple internal IP addresses to a single public IP using unique port assignments for each connection. This facilitates internet access for numerous devices within a network with a minimal number of public IPs. However, a major challenge of PAT is that it can become a bottleneck in networks with heavy data traffic, potentially introducing latency and complicating troubleshooting, as multiple connections share a common external address, making it difficult to track individual device activity .

Cisco enhances SNMP security by encouraging the use of access control lists (ACLs) to restrict which IP addresses can use specific SNMP community strings. Best practices for using SNMP community strings include changing the default community string immediately, using complex and unique strings, limiting SNMP operations to read-only access when possible, and applying ACLs to ensure only authorized network management systems can perform SNMP requests, thereby reducing unauthorized access risks .

In SNMP-based network management, agents are processes running on network devices that collect and store management information about the device, exposing it in a standardized format. MIBs define the structure of management data stored by the agents in a hierarchical form, similar to a database schema. Network monitoring software queries agents for data, using the MIB to interpret the responses. This interaction allows for centralized monitoring and control of diverse network devices, enabling comprehensive network management and the swift identification and resolution of issues .

NAT facilitates communication between internal and external networks by translating private IP addresses used within a local network to a public IP address before packets are forwarded over the Internet. When a packet originates from a device in the internal network with a private IP, the NAT router modifies the packet’s IP address to a public one recognized by external systems. This ensures that internal addresses remain hidden from the external network. NAT can be static, with one-to-one mappings between local and global IP addresses, or dynamic, where multiple local addresses can be mapped onto an existing pool of global addresses .

Firewalls play a crucial role in managing DMZ traffic by enforcing security policies that control the flow of traffic between the external network, DMZ, and internal network. They are configured to allow traffic from the external network to the DMZ and the internal network to the DMZ and outside, while blocking any unsolicited inbound traffic to the internal network. Firewalls filter and log traffic, apply rules based on protocol, IP addresses, and ports, ensuring only legitimate traffic is allowed, thus protecting sensitive internal resources from unauthorized access and potential attacks .

A DMZ (DeMilitarized Zone) serves as a buffer zone in a network architecture to host public-facing servers like web, mail, or FTP servers while maintaining internal network security. It is designed to be accessible from both the internal network and the external one without compromising the security of the internal network. This is achieved by applying specific security rules: traffic is allowed from the external network to the DMZ but not to the internal network, and from the internal network to both the DMZ and the external network, while traffic from the DMZ to the internal network is prohibited. This setup helps in protecting the internal network from external threats while providing necessary services to the public .

The use of private IP addresses is essential to conserve the limited number of public IP addresses available under IPv4 addressing. RFC 1918 defines specific address ranges that are to be reserved for private networks which are not routed on the public Internet. These ranges include 10.0.0.0/8 (Class A), 172.16.0.0/12 (Class B), and 192.168.0.0/16 (Class C). By designating these addresses for internal network use, organizations can reduce their dependency on public IP allocations, enabling more efficient use of the globally available IPv4 address space while improving security by isolating internal traffic .

SNMP version 3 enhances security by introducing robust mechanisms for authentication and encryption that were lacking in earlier versions. While SNMP version 1 and 2c relied on a simple community string that did not provide strong protection, SNMP version 3 addresses these weaknesses by supporting secure communication between devices through user authentication, message integrity, and encryption. These features help prevent unauthorized access and protection from eavesdropping or data manipulation .

Vous aimerez peut-être aussi