Sécurité des Réseaux

Introduction à la configuration de base de

Firewall
 Pourquoi on a besoin d’un firewall ?

Parfeu
Parfeu
 Qu’est ce qu’il fait un firewall ?

Parfeu
Qu’est ce qu’il fait un firewall ?
Qu’est ce qu’il fait un firewall ?
Qu’est ce qu’il fait un firewall ?
Qu’est ce qu’il fait un firewall ?
Qu’est ce qu’il fait un firewall ?
Qu’est ce qu’il fait un firewall ?
Zones de Sécurité

-
Politique de Sécurité

-
-

-
-
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
Firewall
  Installation, configuration et
administration
Objectifs de la  Déploiement dans plusieurs
formation scénarios Test de sécurité
 Firewalling
 Capacity planning PfSense
comme UTM
Introduction
Plan de la formation

Introduction

Introduction et configuration de base

de pfSense
Les vlans
Le firewalling Traffic
Shaping Les VPNs
Introduction

Firewall OpenSource de référence

OpenBSD packet Filter (PF)
2001
Première version : 2006
webGUI
Fonctionnalités de plus
en plus riches
 Pourquoi pfSense ?

Open Source Stable Multifonctions

Introduction
Performant Modulable Plugins

Peut être configuré

comme UTM
 Scénarios de déploiement

Introduction
 Scénarios de déploiement

Introduction
L ab : Préparation du
LAB
Mode d'administration
PfSense

WebGU
I
Console
Lab :
Adminis
tration
PfSense
Console

Console directement
Accès SSH Activation
Tâches de maintenance
Troubleshooting
L ab : Administration
PfSense
 Introduction
Capacity
Planning Consiste à prévoir la capacité
« Hardware » nécessaire
Actuelle et à venir !
CPU, RAM, Carte mère, stockage…
Meilleures pratiques
Architecte réseaux
 Ce qu’il faut analyser !
Capacity Identifier les ressources clés et
Planning l'infrastructure à mesurer Mesurer
l'utilisation ou la performance des
ressources
Corréler avec les exigences KPI / SLA
de ces ressources
 Ce qu’il faut analyser !
Capacity
Planning
Calculer l'utilisation aux capacités
maximales
Collecter les prévisions de charge
de travail et les nouveaux services
qui seront provisionnés dans le
futur
Les interfaces
Interface Interface Interface
réseaux sous
physique virtuelle logique
pfSense
 PfSense
Fonctionnalité Firewall de référence
de base OpenSource
PfSense
Puissant et
Multifonctionnel
Peut être utilisé comme
UTM
 Configurations
de base Firewalling Vlans NAT
Fonctionnalité
de base
PfSense Redondanc Bridging
QoS e et Haute Routage
disponibilité

Autres
fonctionnalités
Packages UTM avancées
Les DMZ
Les DMZ
DMZ: Scénario
DMZ: Scénario
DMZ: Scénario
DMZ:
DMZ:Scénario
Scénario
Sécurité des Réseaux

VLAN
 Domaine de Broadcast
[Link]/24 [Link]/24

[Link]/24 [Link]/24

10 . 0 . 0 .12 / 2 [Link]/24
4
 Domaine de Broadcast
10. /24 [Link]/24

1 2
11. /24 [Link]/24

12. /24 [Link]/24

 Domaine de Broadcast
10. /24 [Link]/24

1 2
11. /24 [Link]/24

12. /24 [Link]/24

VLANs
Virtual LAN
(VLAN)
Un domaine de diffusion.
V L A N IDs
P l a g e d ' i d e n ti fi c a ti o n n o r m a l e d u
VLAN
- 1 – 1005
- 1 is the default VLAN
- 1002 – 1005 are reserved
- Stocké dans la mémoire
flash:/[Link]
P l a g e d ’ i d e n ti fi c a ti o n é t e n d u e
du VLAN
- 1006 – 4 0 9 6
- Stocké dans running-config
 2 VLANs
interface FastEthernet0/1 interface FastEthernet0/2
switchport access vlan 10 switchport access vlan 20
switchport mode access switchport mode access
10 20
[Link]/24 [Link]/24

F0/1 F 0/2

F 0/3 F0/4
interface FastEthernet0/3 interface FastEthernet0/4
switchport access vlan 10 [Link]/24 172 .16.0 .11/ 2 switchport access vlan 20
switchport mode access 4 switchport mode access
Trunking VLANs
 VLA
Ns

10 1 2 3

20 4 5 6
 VLAN Trunks

10 1 2 3 1 2 3
7 7

20 4 5 6 4 5 6
 VLAN
Trunks

10 1 2 3 1 2 3
7 7
V L A N ID
Destination Source
B
MAC Address A
MAC Address 10 IP v 4 D A TA

20 4 5 6 4 5 6
 VLAN Trunks
Untagged
Frame

10 1 2 3
7 7 1 2 3

20 4 5 6 4 5 6

Ta g g e d
Frame
 VLAN Trunking
Protocols

I E E E 802.1q C i s c o Inter-switch L i n k ( I S L )
Available c ro s s platf orm Cisco only
Trunkin g
interface FastEthernet0/24
switchport trunk allowed vlan 10,20
switchport mode trunk
Routage InterVLAN
 Domaine de broadcast

192 .168.10.0 / 24 [Link]/24

 Ro u t a g e I n t e r V L A N

192 .168.10.0 / 24 [Link]/24

Trunk L i n k
Ta g g e d F ra m e s

10 20
 Router on a Sti ck
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address [Link] [Link]
F 0 / 0 . 1 0 – [Link]/24
interface FastEthernet0/0.20 F 0 / 0 . 2 0 – [Link]/24
encapsulation dot1Q 20
ip address [Link] [Link]
F 0 /0
10 20
F 0 / 24
[Link]/24 [Link]/24

F0/1 F 0/2

F 0/3 F0/4

[Link]/24 172 .16.0 .11/ 2

4
Switch couche 3
 T h e L aye r 3 S w i tc h

192 .168.10.0 / 24 [Link]/24

10 20
 T h e L aye r 3 S w i tc h

192 .168.10.0 / 24 [Link]/24

10 20
C i s c o C ata l yst sw i tc h e s
Layer 2
- 2950
- 2960
Layer 3
- 3560
- 3750
- 3850
- 4500, 6500,
6800 among others
CCNA Routing & Switching

Les ACLs
  ACLs standards
 ACLs étendues
Objectifs du
Chapitre 8
Les ACLS
Version IHL Type of Service Total Length

Identification Flags Fragment Offset

TTL Protocol Header Checksum

Source IP Address

Destination IP Address

Options Padding

0 31
 Source Port Destination Port

Sequence Number

Acknowledgement Number

offset reserved Flags Window Size

Checksum Urgent Pointer

Options Padding
31
0
 Source Port Destination Port

Length Checksum

0 31
-

-
•
•
•
•
•
interface F0/0
access-group DEMO in

ip access-list standard DEMO

permit host [Link]
interface F0/1
access-group DEMO out

ip access-list standard DEMO

permit host [Link]
Régle:
Les listes de contrôle d'accès standard sont
appliquées sur l'interface de routeur la plus proche du
dispositif de destination.
interface F0/1
access-group DEMO out
access-group DEMO_2 in
ip access-list standard
DEMO
permit host
[Link]
ip access-list standard
ACLs Standard
 Mask Inverse
(Wildcard Mask)
Le masque de sous-réseau

[Link]/24
[Link] –
[Link]
11001011 00000000 01110001 00000000
11001011 00000000 01110001 11111111

11111111 11111111 11111111 00000000

M a s k I nv e r s e ( W i l d c a r d M a s k )
00000000 00000000 00000000 11111111
[Link]
Access Control Lists Standard
Access Control Lists Standard
Router(config)#ip access-list standard Example1
Router(config-std-nacl)#permit [Link] [Link]
Router(config-std-nacl)#deny any

Router(config)#interface F0/1
Router(config)#ip access-group Example1 out
ACLs étendues
Règle:
Les listes de contrôle d'accès étendues sont
appliquées sur l'interface de routeur la plus proche du
dispositif source.
Hiérarchie des ACLs étendues
Access Control List étendue
Access Control List étendue
access-list extended <100-199, 2000-2699> [permit/deny] [ip/tcp/udp/icmp]
<source IP> <w.c. mask> {eq <source port number>}
<destination IP> <w.c. mask> {eq <destination port number>}

ip access-list extended <name>

[permit/deny] [ip/tcp/udp/icmp] <source IP> <w.c. mask>

{eq <source port number>} <destination IP> <w.c. mask>
{eq <destination port number>}

{}
ip access-list extended Example2

permit tcp [Link] [Link] host [Link] eq 80

permit icmp [Link] [Link] host [Link]
permit tcp host [Link] host [Link] eq 22
deny ip any any

interface F0/0
access-group Example2 in
CCNA Routing & Switching

NAT
Objectifs du  NAT Statique
Chapitre 9  NAT Dynamique
Network Address Translation
Network Address Translation
-

-
-

-
-

-
Network Address Translation
Protocole permettant de modifier l'adresse IP et/ou
le numéro de port d'origine et/ou de destination,
lorsque le message traverse un routeur.
NAT Statique
Network Address Translation

#ip nat inside source static [Link] [Link]

# interface FastEthernet0/1
# ip address [Link] [Link]
# ip nat outside
# interface FastEthernet0/0
# ip address [Link] [Link]
# ip nat inside
NAT dynamique avec
surcharge
 Network Address
Translation
access-list 1 permit [Link] [Link]
# interface FastEthernet0/0
# ip address [Link] [Link] # interface FastEthernet0/1
# ip nat inside # ip address [Link] [Link]
# ip nat outside

# ip nat inside source list 1 interface FastEthernet0/1

overload
# ip nat inside source static tcp [Link] 8 [Link]
80 extendable