I) Introduction

Internet existe à présent depuis plus de 30 ans, s’accroissant à un rythme effréné. Et semblable
à une ville qui n’aurait pas su gérer les problèmes de sécurité lors de sa croissance, Internet se
retrouve confronté à des problèmes de confidentialité et d’accès aux données, où les voleurs
s’appellent hackers et où les délits se nomment exploits.

Ce besoin de sécurité, s’applique dans de nombreux cas; le commerce électronique, l’accès

distant à une machine, le transfert de fichier, l’accès à certaines parties d’un site contenant des
données confidentielles.

Le « mot de passe » semble être la solution la plus évidente et la plus simple à implanter mais
ce qui pose problème n’est pas tant le fait de devoir insérer un mot de passe, mais plutôt de
faire en sorte que l’acheminement de ce mot de passe au travers du réseau Internet se fasse de
manière sécurisée, c’est à dire que si une personne se trouve à ce même moment à écouter
(sniffer) le média physique que vous utilisez, elle ne doit pas comprendre (déchiffrer) ce que
vous avez transmis. Et donc pouvoir le réutiliser par la suite à vos dépends.

On peut sécuriser le transport d’informations de bout en bout (end-to-end). Et cela au travers

de différents mécanismes et de variantes qui leurs sont appliquées. Notamment grâce à
l’utilisation des VPN (Virtual Private Network) qui ne seront pas étudiés dans ce document),
mais aussi des mécanismes comme SSH (SSF en France) et SSL (dont la dernière version se
nomme TLS).

SSH, ou Secure Shell, sécurise la connexion depuis l’ordinateur local jusqu’au serveur distant
en établissant une connexion cryptée. SSL ou, Secure Socket Layer, permet l’accès sécurisé à
un site web ou à certaines pages d’un site web.

II) Approches du travail

II. 1 Etude théorique

Notre travail consistera à :

– Etudier les routeurs Cisco, smoothwall et leur configuration,

– Etudier les attaques possibles ciblant les équipements du réseau

– Rechercher les matériels de simulation des routeurs et l’implémentation de la solution

smoothwall

II.2 Etude d’ingénierie

Cette étude se fera sur :

La rédaction des procédures correspondantes aux choix techniques et fonctionnels,

L’exploitation des bases scientifiques pour comprendre le mécanisme des attaques pour
pouvoir appliquer les procédures de sécurité.

II.3 Réalisation
La réalisation consiste à la manipulation des configurations sur le firewall, routeur et
application des procédures de sécurité afin d’établir les règles de protection nécessaires.

III-1) Les exigences de la sécurité des réseaux

L’arrivée d’internet et des nouvelles technologies ont permis de développer et d’améliorer de

manière considérable la communication. Cependant, ces nouvelles technologies ne sont pas
invulnérables, les failles des sécurités sont fréquentes, c’est ainsi que la question de la sécurité
des réseaux a pris une place importante dans la société actuelle.

La méthode de sécurité et les choix des protocoles de sécurité peuvent être différents selon les
utilisateurs des réseaux mais il est nécessaire de tendre en compte les certains principes :

III.1.1 Authentification et Identification

L’authentification des services permet de bien assurer qu’une communication est authentique
dans les réseaux. On distingue généralement deux types d’authentification :

– L’authentification d’un tiers consiste à prouver son identité

– Et l’authentification de la source des données sert à prouver que les données reçues viennent
bien d’un tel émetteur déclaré.

Les signatures numériques peuvent aussi servir à l’authentification, la signature numérique

sera abordée dans la section de l’intégrité.

L’authentification a une nécessité de fournir une identification et de la prouver, sur la plupart

des réseaux le mécanisme d’authentification utilise une paire « code d’indentification/mot de
passe ».

Avec la vulnérabilité constamment liée à l’utilisation des mots de passe, il est important de
recourir aux mécanismes très robustes tels que l’authentification par des certificats [ISO-
9594], des clés publiques [River78] ou à travers des centres de distribution des clés
[RFC1510].

III.1.2 Intégrité

L’intégrité se lie à la protection contre les changements et les altérations. L’intégrité est
considérée quand les données émis sont identiques à celles reçues. Des différences peuvent
apparaitre si quelqu’un tente de modifier ces données ou tout simplement si un problème de
transmission/réception intervient.
Il y a une technique utilisée pour faire un contrôle sur cela comme, les bits de parité, les
checksums ou encore les fonctions de hachage à sens unique [RFC2104]. Cependant ces
mécanismes ne peuvent pas garantir absolument l’intégrité. Il est possible en effet, que les
données altérées aient la même somme de contrôle .C’est possible qu’une attaque modifie les
données et recalcule le résultat de la fonction de hachage (empreinte). Dans le cas d’avoir un
seul expéditeur qui soit capable de modifier l’empreinte, on utilise des fonctions de hachage à
clés sécrètes ou privées.
C’est une garantie à la fois pour l’intégrité et l’authentification. Ces deux services de sécurité
sont souvent fournis par le même mécanisme pour une raison de sens d’accompagnement l’un
de l’autre (dans les contextes d’un réseau peu sur).

III.1.3 La Confidentialité

La confidentialité est un service de sécurité qui assure l’autorisation d’une seule personne à
prendre la connaissance des données. En général on utilise un algorithme cryptographique de
chiffrement des données concernées pour avoir ce service.

Si seul les données sont chiffrées, une oreille espionne peut tout de même écouter les
informations de l’en- tête, elle peut ainsi, à partir des adresses source et destination, identifier
les tiers communicants et analyser leur communication : fréquence des envois, quantité de
données échangée, etc. Il y a de protection contre l’analyse de trafic quand en plus de la
confidentialité, on garantit l’impossibilité de connaitre ces informations.
On utilise l’authentification, l’intégrité et la confidentialité souvent ensemble pour offrir une
base des services de sécurité.

III.1.4 La Nom Répudiation

La non répudiation fait preuve tant que l’expéditeur que le destinateur que le message a était
bien transmis, les empêches de nier de l’avoir transmis.

On démonte deux types des non répudiation :

1) La non répudiation de l’origine qui protège un destinateur confronté à un expéditeur niant

avoir envoyé le message.
2) La non répudiation de la réception qui joue le rôle inverse du précédent, à savoir démontré
que le destinataire a bien reçu le message que l’expéditeur lui a envoyé.

Dans le cadre de la cryptographie à clé publique, chaque utilisateur est le seul et unique
détenteur de la clé privée. Ainsi, tout message accompagné par la signature électronique d’un
utilisateur ne pourra pas être répudié par celui-ci, à moins que tout le système de sécurité n’ait
été pénétré.

A la contre, le non répudiation n’est pas directement acquise dans le système utilisant des clés
secrètes. Le serveur distribue la clé de chiffrement aux deux parties, un utilisateur peut nier
avoir envoyé le message en question en alléguant que la clé secrète partagée a été divulguée
soit par une compromission du destinataire, soit par une attaque réussie contre le serveur de
distribution de clés.

Ce qui revient à une non répudiation obligeant le destinataire à envoyer un accusé de

réception signé et horodaté.

III.1.5 Protection d’Identité

La vérification efficace des événements liés à la sécurité se fonde aussi sur la capacité
d’identifier chaque utilisateur.
Il est très nécessaire que chaque utilisateur de l’internet ait une identité distincte, qui est une
combinaison qui donne le nom de l’utilisateur et possiblement celui de son Pc, de son
organisation et son pays.

Comme nous l’avons définit avant au niveau de la première catégorie active de la sécurité, la
connaissance de ces informations par un tiers malveillant peut être considérée à la vie privée
des usagers.

Il y a un grand défi dans le domaine de la sécurité, c’est la protection de ces informations

privées. Ceci nous permet de protéger le trafic réseau contre les malveillants qui comptent
analyser tout type d’informations (algorithme, nom de l’utilisateur, environnement etc.) afin
d’intercepter les communications.
Dans la plupart des cas, l’identité du récepteur (généralement un serveur) est publique. Pour
cela, un protocole de sécurité doit surtout protéger l’identité de l’initiateur (généralement les
clients).

III.1.6 Mise en œuvre d’un VPN

Les VPN n’ont pas le seul intérêt l’extension des WAN (Wide Area Network) à moindre cout
mais aussi l’utilisation de services ou fonctions spécifiques assurant la qualité de service
(QoS) et la sécurité des échanges. Les fonctionnalités de sécurité sont matures mais la
réservation des bandes passantes pour les tunnels est encore un service en développement
limité par le concept même d’internet, dans le modèle OSI la sécurité est des échanges est
assurée à plusieurs niveaux et des fonctions comme le cryptage des données, authentification
des extrémités communicantes et le contrôle d’accès des utilisateurs aux ressources.

Les VPN sont crées des différentes formes, pour connecter deux réseaux locaux distants
(connexion network –to-network), soit entre deux stations (hop-to-hop) soit entre une station
et un réseau (hop-to-network) .Ce dernier est en général utilisable par les entreprises qui se
décident de créer des accès pour les télétravailleurs via Internet.

III.1.7 Contrôle D’accès

La normativité des utilisateurs et la demande d’accès distant sécurisé vers les réseaux privés
des entreprises ont poussé à la majorité des entreprises à adapter des solutions de sécurité
basées sur des points d’accès situés aux frontières des réseaux privés. Ces points d’accès sont
aussi très intéressants dans le sens ou ils constituent un point unique et la sécurité peut être
imposée. Ils donnent des ressèmes de trafic, des statistiques sur ce trafic, et encore toutes les
connexions entre les deux réseaux.

III-2) Rappel sur le protocole TCP/IP

III-2.1 Définition

Le nom TCP/IP se réfère à un ensemble de protocoles de communications de données. Cet

ensemble tire son nom des deux protocoles les plus importants : Transmission Control
Protocol et l’Internet Protocol. Le protocole TCP/IP devient le fondement d’Internet, le
langage qui permet aux machines du monde entier de communiquer entre elles. Internet
devient le terme officiel pour désigner non pas un réseau mais une collection de tous ces
réseaux utilisant le protocole IP.
III-2.2 Présentation du modèle TCP /IP

Même si le modèle de référence OSI est universellement reconnu, historiquement et

techniquement, la norme ouverte d’Internet est le protocole TCP/IP (pour Transmission
Control Protocol/Internet Protocol). Le modèle de référence TCP/IP et la pile de protocoles
TCP/IP rendent possible l’échange de données entre deux ordinateurs, partout dans le monde,
à une vitesse quasi équivalente à celle de la lumière.

Le modèle TCP/IP peut en effet être décrit comme une architecture réseau à 4 couches

Figure 1 : Architecture réseau à 4 couches

Figure 2 : Les 4 couches du protocole TCP/IP

III-3) Couche application

Contrairement au modèle OSI, c’est la couche immédiatement supérieure à la couche
transport, tout simplement parce que les couches présentation et session sont apparues
inutiles. On s’est en effet aperçu avec l’usage que les logiciels réseau n’utilisent que très
rarement ces 2 couches, et finalement, le modèle OSI dépouillé de ces 2 couches ressemble
fortement au modèle TCP/IP. Cette couche contient tous les protocoles de haut niveau,
comme par exemple :
30 Telnet, TFTP (Trivial File Transfer Protocol), SMTP (Simple Mail Transfer Protocol),
HTTP (HyperText Transfer Protocol). Le point important pour cette couche est le choix du
protocole de transport à utiliser. Par exemple, TFTP (Surtout utilisé sur réseaux locaux)
utilisera UDP, car on part du principe que les liaisons physiques sont suffisamment fiables et
les temps de transmission suffisamment courts pour qu’il n’y ait pas d’inversion de paquets à
l’arrivée.

Ce choix rend TFTP plus rapide que le protocole FTP qui utilise TCP.

III-4) Couche transport

Son rôle est le même que celui de la couche transport du modèle OSI : permettre à des entités
paires de soutenir une conversation. Officiellement, cette couche n’a que deux
implémentations : le protocole TCP (Transmission Control Protocol) et le protocole UDP
(User Datagramme Protocol). TCP est un protocole fiable, orienté connexion, qui permet
l’acheminement sans erreur de paquets issus d’une machine d’un internet à une autre machine
du même internet. Son rôle est de fragmenter le message à transmettre de manière à pouvoir le
faire passer sur la couche internet. A l’inverse, sur la machine destination, TCP remplace dans
l’ordre les fragments transmis sur la couche internet pour reconstruire le message initial. TCP
s’occupe également du contrôle de flux de la connexion.

UDP est en revanche un protocole plus simple que TCP : il est non fiable et sans connexion.
Son utilisation présuppose que l’on n’a pas besoin ni du contrôle de flux, ni de la conservation
de l’ordre de remise des paquets. Par exemple, on l’utilise lorsque la couche application se
charge de la remise en ordre des messages. On se souvient que dans le modèle OSI, plusieurs
couches ont à charge la vérification de l’ordre de remise des messages. C’est là un avantage
du modèle TCP/IP sur le modèle OSI. Une autre utilisation d’UDP : la transmission de la
voix. En effet, l’inversion de 2 phénomes ne gêne en rien la compréhension du message final.
De manière plus générale, UDP intervient lorsque le temps de remise des paquets est
prédominant.

III-5) Couche internet

Cette couche est la clé de voûte de l’architecture. Cette couche réalise l’interconnexion des
réseaux (Hétérogènes) distants sans connexion. Son rôle est de permettre l’injection de
paquets dans n’importe quel réseau et l’acheminement des ces paquets indépendamment les
uns des autres jusqu’à destination. Comme aucune connexion n’est établie au préalable, les
paquets peuvent arriver dans le désordre ; le contrôle de l’ordre de remise est éventuellement
la tâche des couches supérieures.

Du fait du rôle imminent de cette couche dans l’acheminement des paquets, le point critique
de cette couche est le routage. C’est en ce sens que l’on peut se permettre de comparer cette
couche avec la couche réseau du modèle OSI. La couche internet possède une implémentation
officielle : le protocole IP.
III-6) Couche accès réseau

Cette couche est assez “étrange”. En effet, elle semble “Regrouper” les couches physiques et
liaison de données du modèle OSI. En fait, cette couche n’a pas vraiment été spécifiée ; la
seule contrainte de cette couche, c’est de permettre un hôte d’envoyer des paquets IP sur le
réseau. L’implémentation de cette couche est laissée libre. De manière plus concrète, cette
implémentation est typique de la technologie utilisée sur le réseau local. Par exemple,
beaucoup de réseaux locaux utilisent Ethernet ; Ethernet est une implémentation de la couche
hôte-réseau.

II-7) Menaces de sécurité courantes

Un système de détection d’intrusions (IDS, de l’anglais Intrusion Detection System) est un

périphérique ou processus actif qui analyse l’activité du système et du réseau pour détecter
toute entrée non autorisée et / ou toute activité malveillante. La manière dont un IDS détecte
des anomalies peut beaucoup varier ; cependant, l’objectif principal de tout IDS est de prendre
sur le fait les auteurs avant qu’ils ne puissent vraiment endommager vos ressources. Les IDS
protègent un système contre les attaques, les mauvaises utilisations et les compromis. Ils
peuvent également surveiller l’activité du réseau, analyser les configurations du système et du
réseau contre toute vulnérabilité, analyser l’intégrité de données et bien plus. Selon les
méthodes de détection que vous choisissez de déployer, il existe plusieurs avantages directs et
secondaires au fait d’utiliser un IDS.

II-8) Quelques logiciels de détection d’intrusions

– Iptraf

IPtraf est un outil de monitoring réseau qui fonctionne sous linux. Nous l’avons utilisé pour
mesurer l’activité des interfaces réseau. Voici une liste non-exhaustive de ces capacités:

• Total, IP, TCP, UDP, ICMP, and non-IP byte counts

• TCP source and destination addresses and ports
• TCP packet and byte counts
• TCP flag statuses
• UDP source and destination information
• ICMP type information
• OSPF source and destination information
• TCP and UDP service statistics
• Interface packet counts
• Interface IP checksum error counts
• Interface activity indicators
• LAN station statistics
Figure 3 : Détection d’intrusion avec iptraf

– EtherApe

EtherApe est un logiciel libre qui permet de surveiller un réseau informatique, il est muni
d’une interface graphique qui permet de visualiser ce qui se passe sur un réseau (local et/ou
relié à internet). Chaque transfert de données est représenté par un trait ainsi qu’un disque de
couleur au point d’origine. Les protocoles sont représentés par des couleurs différentes et plus
le transfert n’est important plus le disque et le trait sont grands. EtherApe fait visualiser les
transferts par IP de destination ou bien par ports TCP. Il est possible d’enregistrer les activités
du réseau afin de les étudier.

La destination des transferts d’informations sont affichées soit par son adresse IP soit par
l’appellation courante (utilisation d’un serveur DNS).

L’utilisateur peut obtenir des informations supplémentaires sur le transfert (port, origine et
destination, taille, date…) s’il clique sur le trait marquant. On peut configurer EtherApe afin
de ne visualiser qu’une partie du trafic (par exemple le trafic vers internet seul).
Figure 4 : Détection d’intrusion avec EtherApe

Page suivante : PARTIE 2 : Etude et configuration des routeurs Cisco

Retour au menu : ETUDE ET MISE EN PLACE D’UNE SOLUTION DE FIREWALL

AVEC SMOOTHWALL

 Publier son memoire

 Actualités
 Emploi
 Espace Ecoles
 Mémoires
 Partenaires
 Contact
 CGU

© 2013 Institut numerique.

I. Introduction

Dans ce chapitre, nous allons décrire les procédures à suivre pour connecter et configurer les
ordinateurs, les routeurs formant un réseau local Ethernet. Nous allons présenter les
procédures de configuration de base des périphériques réseau Cisco. Ces procédures
requièrent l’utilisation du système d’exploitation Cisco Inter network Operating System (IOS)
et des fichiers de configuration connexes pour les périphériques intermédiaires. Il est essentiel
que les administrateurs et les techniciens réseau comprennent le processus de configuration
avec IOS. L’organisation de ce chapitre est la suivante : dans la première partie la définition le
rôle du système d’exploitation Inter network Operating System (IOS), la deuxième partie
présente les Vulnérabilités de routeur Cisco, enfin étudier le techniques d’attaques réseaux.

II-1) Rappel sur un routeur

Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets. Un routeur est chargé de recevoir sur une interface des données sous forme de
paquets et de les renvoyer sur une autre en utilisant le meilleur chemin possible. Selon
l’adresse destination et l’information contenue dans sa table de routage.

1.1 Architecture des routeurs Cisco

Tous Les routeurs Cisco ont une architecture interne qui peut être représenté par :

Figure 5 : Architecture interne d’un routeur Cisco

Ils contiennent tous :

– Une mémoire NVRam pour Ram non Volatile et sur laquelle l’administrateur va stocker la
configuration qu’il aura mise dans le routeur. Elle contient également la configuration de
l’IOS,
– Une carte mère qui est en général intégrée au châssis,

– Une CPU qui est un microprocesseur Motorola avec un BIOS spécial nommé ” I.O.S.
«pours Internetwork Operating System,
– Une mémoire RAM principale contenant le logiciel IOS, c‟est dans laquelle tout sera
exécuté un peu à la manière d’un simple ordinateur,
– Une mémoire FLASH, également une mémoire non volatile sur laquelle on stocke la
version courante de l’IOS du routeur,
– Une mémoire ROM non volatile et qui, quant à elle, contient les instructions de démarrage
(bootstrap) et est utilisée pour des opérations de maintenance difficiles de routages, ARP,
etc.), mais aussi tous les buffers utilisés par les cartes d’entrée.

II-2) Vulnérabilité des routeurs

Vu le rôle important qu’assure le routeur pour garantir les réseaux, il est nécessaire
d’examiner de proche cet équipement pour découvrir ses vulnérabilités dans le but de limiter
les menaces qui peuvent se présenter.

Les vulnérabilités d’un routeur peuvent se présenter dans :

– La configuration

Un routeur est semblable à beaucoup d’ordinateurs dans lesquels il y a beaucoup de services

permis par défaut. Beaucoup de ces services sont inutiles et peuvent être utilisés par un
attaquant pour la collecte d’informations ou pour l’exploitation. Comme les services SNMP.
Parfois aussi les noms des utilisateurs et les mots de passe sont laissés par défaut.

II-3) Le rôle du système d’exploitation Inter network Operating System (IOS)

À l’instar d’un ordinateur personnel, un routeur ou un commutateur ne peut pas fonctionner

sans système d’exploitation. Sans système d’exploitation, le matériel est inopérant. Cisco IOS
est le logiciel système des périphériques Cisco. Il s’agit d’une technologie centrale qui s’étend
à pratiquement tous les produits Cisco. Cisco IOS est exécuté par la plupart des périphériques
Cisco, quels que soient leur taille et leur type. Ce logiciel est par exemple utilisé pour des
routeurs, des commutateurs de réseau local, des petits points d’accès sans fil, des grands
routeurs dotés de douzaines d’interfaces et bien d’autres périphériques.

Figure 6 : Cisco IOS (Inter network Operating System)

II-4) Méthodes d’accès à Cisco IOS :

Il y a plusieurs moyens d’accéder à l’environnement ILC. Les méthodes les plus répandues
utilisent :

– le port de console,
– le protocole Telnet ou SSH,
– le port AUX.

Figure 7 : Vue arrière du routeur Cisco : Les ports d’accès

– Port de console

Il est possible d’accéder à l’environnement ILC par une session console, également appelée
ligne CTY. La console connecte directement un ordinateur ou un terminal au port de console
du routeur ou du commutateur via une liaison série lente. Le port de console est un port de
gestion permettant un accès hors réseau à un routeur. Le port de console est accessible même
si aucun service réseau n’a été configuré sur le périphérique. Le port de console est souvent
utilisé pour accéder à un périphérique avant que les services réseau ne soient lancés ou
lorsqu’ils sont défaillants.

La console s’utilise en particulier dans les circonstances suivantes :

– configuration initiale du périphérique réseau,

– procédures de reprise après sinistre et dépannage lorsque l’accès distant est impossible,
– procédures de récupération des mots de passe.

Lorsqu’un routeur est mis en service pour la première fois, ses paramètres réseau n’ont pas été
configurés. Le routeur ne peut donc pas communiquer via un réseau. Pour préparer le
démarrage initial et la configuration du routeur, un ordinateur exécutant un logiciel
d’émulation de terminal est connecté au port de console du périphérique. Ainsi, il est possible
d’entrer au clavier de l’ordinateur connecté les commandes de configuration du routeur. S’il
est impossible d’accéder à distance à un routeur pendant qu’il fonctionne, une connexion à
son port de console peut permettre à un ordinateur de déterminer l’état du périphérique. Par
défaut, la console transmet les messages de démarrage, de débogage et d’erreur du
périphérique.

Pour de nombreux périphériques IOS, l’accès console ne requiert par défaut aucune forme de
sécurité. Il convient toutefois de configurer un mot de passe pour la console afin d’empêcher
l’accès non autorisé au périphérique. En cas de perte du mot de passe, un jeu de procédures
spéciales permet d’accéder aux périphériques sans mot de passe. Il est recommandé de placer
le périphérique dans une pièce ou une armoire fermée à clé pour interdire l’accès physique.

– Telnet et SSH

Une autre méthode d’accès distant à une session ILC consiste à établir une connexion Telnet
avec le routeur. À la différence des connexions console, les sessions Telnet requièrent des
services réseau actifs sur le périphérique. Le périphérique réseau doit avoir au moins une
interface active configurée avec une adresse de couche 3, par exemple une adresse IPv4. Les
périphériques Cisco IOS disposent d’un processus serveur Telnet qui est lancé dès le
démarrage du périphérique. IOS contient également un client Telnet. Un hôte doté d’un client
Telnet peut accéder aux sessions vty en cours d’exécution sur le périphérique Cisco. Pour des
raisons de sécurité, IOS exige l’emploi d’un mot de passe dans la session Telnet en guise de
méthode d’authentification minimale.

Le protocole Secure Shell (SSH) permet un accès distant plus sécurisé aux périphériques. À
l’instar de Telnet, ce protocole fournit la structure d’une ouverture de session à distance, mais
il utilise des services réseau plus sécurisés.

SSH fournit une authentification par mot de passe plus résistante que celle de Telnet et
emploie un chiffrement lors du transport des données de la session. La session SSH chiffre
toutes les communications entre le client et le périphérique IOS. Ceci préserve la
confidentialité de l’ID d’utilisateur, du mot de passe et des détails de la session de gestion. Il
est conseillé de toujours utiliser SSH à la place de Telnet dans la mesure du possible. La
plupart des versions récentes de Cisco IOS contiennent un serveur SSH. Dans certains
périphériques, ce service est activé par défaut. D’autres périphériques requièrent une
activation du serveur SSH.

Les périphériques IOS incluent également un client SSH permettant d’établir des sessions
SSH avec d’autres périphériques. De même, vous pouvez utiliser un ordinateur distant doté
d’un client SSH pour démarrer une session ILC sécurisée. Le logiciel de client SSH n’est pas
fourni par défaut sur tous les systèmes d’exploitation. Il peut donc s’avérer nécessaire
d’acquérir, d’installer et de configurer un logiciel de client SSH pour votre ordinateur.

– Port AUX

Une autre façon d’ouvrir une session ILC à distance consiste à établir une connexion
téléphonique commutée à travers un modem connecté au port AUX du routeur. À l’instar de
la connexion console, cette méthode ne requiert ni la configuration, ni la disponibilité de
services réseau sur le périphérique.

Le port AUX peut également s’utiliser localement, comme le port de console, avec une
connexion directe à un ordinateur exécutant un programme d’émulation de terminal. Le port
de console est requis pour la configuration du routeur, mais les routeurs ne possèdent pas tous
un port AUX. En outre, il est préférable d’utiliser le port de console plutôt que le port AUX
pour le dépannage, car il affiche par défaut les messages de démarrage, de débogage et
d’erreur du routeur.
En général, le port AUX ne s’utilise localement à la place du port de console qu’en cas de
problèmes liés au port de console, par exemple lorsque vous ignorez certains paramètres de la
console.

II-5) Configuration de base d’un routeur Cisco :

La configuration de base d’un routeur Cisco (et des autres aussi) se fait en général via la porte
console. La porte console, sur un routeur, est configurée comme une interface DTE (Data
Terminal Equipment). Les lignes de configuration d’un routeur sont les suivantes.

Figure 8 : lignes configuration routeur

II-5.1) commande de Bases

Pour la configuration d’un router Cisco on parvient à suivre les étapes suivantes :

Etape1 : Mise en place du matériel nécessaire

– Un routeur Cisco
– Deux ordinateurs (symbolisant les réseaux)
– Le câble “Console” fourni avec le routeur

Schéma de base du montage

Figure 9: Schéma de base du montage

II-5.2) Les différents modes d’utilisateur

. Mode Utilisateur: Permet de consulter toutes les informations liées au routeur sans pouvoir
les modifier. Le Shell est le suivant:

– Router >

. Utilisateur privilégié: Permet de visualiser l’état du routeur et d’importer/exporter des

images d’IOS. Le Shell est le suivant:
Router #
. Mode de configuration globale: Permet d’utiliser les commandes de configuration générale
du routeur. Le Shell est le suivant:
Router (config) #
. Mode de configuration d’interfaces: Permet d’utiliser des commandes de configuration des
interfaces (Adresses IP, masque, etc.). Le Shell est le suivant:
Router (config-if) #
. Mode de configuration de ligne: Permet de configurer une ligne (exemple: accès au routeur
par Telnet). Le Shell est le suivant:
Router (config-line) #

II-6. Cas Pratique

II-6.1). Cas Pratique : Configuration de l’architecture de notre système Réseau

Figure 10 : Architecture de notre système

II.6.2). Configuration statique de router Cisco avec le packet tracer

Dans cette première architecture le plan d’adressage statique est comme suit :
Adresse réseau : 192 .168 .1.0/24

1. Router Maria :

Int Fa0/0
IP address : 191.168.1.1
Mask : 255.255.255.0
Int Fa0/1
IP addess : 172.123.1.1/16
Les hotes:
PC1 test: 192.168.1.5/24
PC2 test: 192.168.1.6/24
PC2 test: 192.168.1.7/24

2. Router Burgo :

Int Fa0/0
IP address : 192.168.1.1/24
Mask : 255.255.255.0
Int Fa0/1
IP address : 172.123.1.1/16
PC2 test: 192.168.1.2/24
PC2 test: 192.168.1.3/24
PC2 test: 192.168.1.4/2

Figure 11. Configuration de Notre architecture:

II.6.3). Figure 12 : La commande pour prendre un router à distance « Telnet »
II.6.4). Configuration du Serveur DHCP « Domain host control Protocol »

Apres la configuration du « DHCP » dans les deux router les hôtes reçoit des nouvelles
adresses attribuées par le serveur DHCP

1. Le Router Maria :

Pool: « LAN » Pool « ULD »

Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.2
Mask: 255.255.255.0
Le PC2: 192.168.1.3
Mask: 255.255.255.0
Le PC3: 192.168.1.6
Mask: 255.255.255.0

2. Router Burgo :

Network: 192.168.1.0
Default-router: 192.168.1.254
Le PC1: 192.168.1.4
Mask: 255.255.255.0
Le PC2:192.168.1.5
Mask : 255.255.255.0
Le PC3: 192.168.1.4
Mask: 255.255.255.0
NB : le default Gateway pour le pc devient l’adresse attribué au Default-router

II.6.4). Configuration du DHCP avec l’exclusion d’adresse

L’exclusion des adresses est faite comme suite :

– Le Router Maria

Exclusion de 192.168.1.1 à 192.168.1.11 d’où les hôtes seront attribuent par des adresse à
partir de 192.168.1.12 ………………..254

– Le Router Burgo

Exclusion de 192.168.1.1 à 192.168.1.12 d’où les hôtes seront attribuent par des adresse à
partir de 192.

I) Introduction

Smoothwall est le nom de la communauté qui utilise le pare-feu Smoothwall Express.

Smoothwall Express est en fait une distribution Linux, Open Source et distribuée sous licence
GPL. Smoothwall Express est dédiée à être utilisée comme pare-feu dans un réseau
d’entreprise. Cette distribution a été développée à partir de RedHat linux (devenu plus tard
Fedora Project) en vue d’un usage facile qui ne nécessite aucune connaissance en Linux. En
effet, Smoothwall Express est totalement administrable via une interface WEB. Smoothwall
Express permet de sécuriser les échanges entre Internet et le réseau interne de l’entreprise
quel que soit son architecture (nous verrons plus loin dans ce document les architectures
possibles à configurer via Smoothwall Express).

La dernière version de Smoothwall est Smoothwall Express 3.0 SP1, sortie le 8 Janvier 2009.
Cette version est téléchargeable depuis le site officiel de Smoothwall
(http://www.smoothwall.org/). La version antérieure Smoothwall Express 3.0 a été lancée le
22 Aout 2007.

II.1) Les Architectures possibles avec Smoothwall Express

Avant d’aller plus loin, il est nécessaire de définir les termes interface Green, interface Red,
interface Purple et interface Orange :

– Interface Green : Désigne l’interface réseau (carte réseau) de Smoothwall Express qui sera
directement reliée au réseau interne câblé de l’entreprise.
– Interface Red : Désigne l’interface de Smoothwall Express qui sera reliée à Internet.
– Interface Purple : Désigne l’interface réseau sans fil de Smoothwall Express.
– Interface Orange : Désigne l’interface de Smoothwall Express qui sera reliée à la zone
démilitarisée (partie du réseau de l’entreprise où l’on isole les serveurs). Cette zone est sauf
exception câblée…

La figure suivante pourrait éclaircir encore plus sur la signification de ces différents termes :
Figure13 : Définition des interfaces Green, Red, Orange et purple

Il faut noter aussi que ces appellations ne sont pas propres à la communauté Smoothwall. On
utilise généralement ces mêmes termes quelque soit le pare-feu.

Voyons maintenant les architectures réseau qu’offre Smoothwall Express :

– Architecture Green : Cette architecture est utilisée si Smoothwall Express devait utiliser une
seule carte réseau qui sera reliée au réseau interne de l’entreprise.

L’interface rouge est dans cette configuration reliée directement à un modem (ou RNIS).

– Architecture Green + Orange : Architecture basée sur deux cartes réseaux. La première est
utilisée pour relier le réseau interne de l’entreprise. La deuxième relie la zone démilitarisée.
L’interface rouge est dans cette configuration aussi reliée directement à un modem/RNIS.
– Architecture Green +Red : Smoothwall Express utilisera dans ce cas de figure une carte
réseau pour se connecter au réseau interne et une autre pour relier Internet.
– Architecture Green + Orange + Red : L’architecture Green + Orange + Red est choisie dans
le cas où l’on utilise trois cartes réseaux pour relier Smoothwall Expres à la zone
démilitarisée, le réseau interne et Internet.
– Architecture Green + Purple (Red is modem/ISDN): Ici l’interface rouge est directement
reliée à un modem/RNIS. Smoothwall Express sera en outre relié au réseau interne de
l’entreprise via une carte réseau (généralement une carte Ethernet) et au réseau sans fil de
l’entreprise via une carte réseau sans fil…
– Architecture Green + Purple + Orange : Smoothwall Express propose cette architecture afin
de se connecter via trois cartes réseaux séparées aux : zones démilitarisée, réseau sans fil et
réseau interne de l’entreprise. L’interface rouge est directement reliée à un modem/RNIS.
– Architecture Green + Purple + Red : Ici on utilise deux cartes réseaux pour câbles (afin de
relier le réseau interne de l’entreprise et Internet à Smoothwall Express) et une carte réseau
sans fil pour connecter le réseau sans fil de l’entreprise au pare-feu.
Architecture Green + Purple + Orange + Red : Cette configuration réseau utilise trois cartes
réseaux pour câbles (afin de relier le réseau interne de l’entreprise, la zone démilitarisée et
Internet à Smoothwall Express) et une carte réseau sans fil pour connecter le réseau sans fil de
l’entreprise au pare-feu.

Smoothwall Express offre donc 8 configurations réseau possibles. L’une de ces configurations
devra être choisie et traitée lors de l’installation.

Remarque

L’installation de Smoothwall Express sur un disque dur provoquera la perte totale des
données qu’il contient. Smoothwall Express n’est en outre pas développer pour fonctionner
avec un autre système d’exploitation. Un double boot n’est pas possible sur une machine où
est installée Smoothwall Express.

III. 2) Installation de Smoothwall Express

Un guide détaillé de l’installation de Smoothwall Express est disponible en téléchargement à

l’adresse suivante :
http://garr.dl.sourceforge.net/sourceforge/smoothwall/smoothwall-express-3.0-
installguide.pdf

Si vous voulez installer Smoothwall Express sur un environnement virtuel, VMware Server
par exemple, vous pourrez rencontrer des problèmes si vous essayer d’installer à partir d’une
image iso. VMware Server affiche par exemple l’erreur “no harddisk found” lors de
l’installation sur un ordinateur portable muni d’un disque dur SATA…

Nous vous conseillons donc d’installer Smoothwall Express sur une machine physique ou le
cas échéant, installer directement l’image VMware disponible sur :
http://sourceforge.net/project/downloading.php?
groupname=smoothwall&filename=smoothwall3-polar-vmimage.tar.bz2&use_mirror=garr.

Remarques :

La configuration réseau retenue sur l’image VMware de Smoothwall Express est

l’architecture Green +Red (voir plus haut)

– Les logins et mot de passe sont normalement configurés lors de l’installation de Smoothwall
Express. Les login et mots de passe pour l’image VMware sont :
– Login : “root” et mot de passe “happydays” pour l’authentification en mode console
– Login : “admin” et mot de passe “happydays” pour l’authentification en mode graphique
(page web)
– La connexion à Smoothwall Express via un navigateur web se fait sur le port 81 (si on
accède via le protocole http) ou bien via le port 441 (si on accède via le protocole https).

III.3) Exigences matérielles pour installer Smoothwall Express :

Smoothwall Express 3.0 nécessite un environnement comportant les caractéristiques

minimales suivantes pour être déployé:
Figure 14 : Tableau1 Tableau des matériels requis pour Smoothwall

III. 4) Services par défaut offerts par Smoothwall Express

Un simple scan sur la machine Smoothwall Express va nous informer sur les services offerts
par défaut sur cette machine. Auparavant, il faudra veiller à enlever les restrictions de pare-
feux que Smoothwall Express offre pour avoir un résultat de scan juste. Nous reviendrons
plus tard sur la procédure à suivre afin d’enlever ces restrictions.

Le scan de la machine Smoothwall Express via nmap a donné le résultat suivant :

PORT STATE SERVICE

– 53/tcp open domain

– 81/tcp open hosts2-ns
– 222/tcp open rsh-spx
– 441/tcp open decvms-sysmgt

Donc les services offerts par Smoothwall Express par défaut sont :

DNS : service de conversion d’URLs en noms alphabétiques et vise versa (correspondance)…

host2-ns ou encore HOSTS2 Name Server: service d’informations et d’avertissements (TCP

port 441 protocol information and warnings). On peut consulter ce port pour avoir des
informations sur le système… Ce service est utilisé pour un accès web à Smoothwall Express.

– Service SSH (Secure SHell): On peut se connecter à distance, en mode console et en mode
sécurisé à smoothwall via ce service.

– Service decvms-sysmgt: service d’informations et d’avertissement (TCP port 441 protocol

information and warnings). Ce service est utilisé pour un accès web sécurisé à Smoothwall
Express.

Observations :

Smoothwall Express protège la machine qui l’héberge et les réseaux auxquels elle est reliée.

En effet, les ports ouverts ne présentent pas de failles majeures. Le service secure shell ainsi
que les deux services de connexions web nécessitent une authentification. Le service DNS ne
présente quant à lui pas de risques pour la machine ou les réseaux auxquels elle est reliée. Si
on ajoute à cela les règles par défaut de pare-feu (voir plus loin), on verra bien que c’est une
solution de sécurité complète…

Politique de pare-feu par defaut pour Smoothwall Express

Quand on démarre la machine Smoothwall Express pour la première fois (mode console) et
qu’on tape la commande shell : iptables –L, nous aurons la liste des règles par défaut du pare-
feu. La politique par défaut est la suivante :

– Chain INPUT (policy DROP) : tout le trafic entrant vers la machine Smoothwall Express est
rejeté.
– Chain OUTPUT (policy ACCEPT): le trafic sortant de la machine Smoothwall Express est
autorisé.
– Chain FORWARD (policy DROP): le trafic transitant par la machine Smoothwall Express
est rejeté.
Afin de changer les règles de pare-feu, il faut utiliser la commande iptables avec les options
adéquates. Une aide sur iptables est disponible sur linux en tapant directement man iptables.
Une documentation en ligne est aussi disponible sur :
http://www.delafond.org/traducmanfr/man/man8/iptables.8.html

Système de fichier de Smoothwall Express

Afin de comprendre le fonctionnement de ce système de fichiers, nous avons parcouru les

dossiers et nous avons pu relever les remarques suivantes :

– Sous /etc/rc.d on trouve les scripts exécutés au démarrage. Ainsi, par exemple, les règles
initiales du pare-feu sont chargées depuis le fichier /etc/rc.d/rc.firewall.up.
– Les scripts en questions contiennent des variables (comme par exemple $GREEN_DEV
dans le script /etc/rc.d/rc.firewall.up). Ces variables sont définies dans le système de fichiers
sous /var/smoothwall/dossier_specifique/settings. Par exemple, les variables relatives aux
interfaces ethernet de smoothwall sont définies dans le fichier
/var/smoothwall/ethernet/settings dont nous présentons le contenu ci-dessous :
En fait, les fichiers settings qu’on trouve sous /var/smoothwall/dossier/ contiennent les
définitions des différentes variables…

Les dossiers contenus sous /var/smoothwall sont:

Figure 15 : Tableau 2 Les répertoires des fichiers de smoothwall

CONCLUSION
Comme toute innovation technologique qui se respecte, la supervision du trafic en temps réel
est un plus non négligeable par rapport à d’autres pare-feu existants (graphes et barres de
bande passante…). Smoothwall Express intègre les diverses fonctionnalités nécessaires pour
un pare-feu (filtrage web, connexion à un ids, logs de pare-feu…). Il offre une interface
graphique conviviale et légère (l’utilisation de javascript y est pour quelque chose…).Elle est
sans nulle doute l’une des technologies les plus en expansion de nos jours grâce à ses
différents outils et protocoles qui représentent une référence incontournable dans le monde
des télécommunications.

Ce mémoire de fin d’étude nous a permis une mise en pratique des outils et fonctionnalités de
Smoothwall Express, des routeurs CISCO et concrètement de pouvoir l’appliquer à un réseau
local d’un établissement donné, d’une entreprise et autres.

Il a été enrichissant, aussi bien au niveau recherche que professionnel et sera un atout pour
mon entrée dans la vie active. Il m’a apporté de nouvelles connaissances tant méthodiques,
organisationnelles que techniques et m’a permis d’approfondir les compétences que j’ai
acquises tout au long de ma scolarité.

Retour au menu : ETUDE ET MISE EN PLACE D’UNE SOLUTION DE FIREWALL

AVEC SMOOTHWALL