Réaliser par :

Ibtihaj mohammed

Proposé par :

Prof N. Idboufker

Année universitaire :

2011/2012

ENSA MARRAKECH

2

De nos jours la sécurité des réseaux est un enjeu majeur ; les administrateurs

réseau doivent donc trouver le moyen d’interdire l’accès au réseau à certains

utilisateurs tout en l’accordant à d’autres.

Les outils ‘classiques’ de gestion de la sécurité, tels que les mots de passe,

l’équipement de rappel et les dispositifs de sécurité physiques, se révèlent utiles mais

dans la plupart des cas, ils n’offrent pas la souplesse que procure le filtrage de trafic

réseau.

Le filtrage du trafic permet à un administrateur réseau d’accorder l’accès à

internet aux utilisateurs tout en interdisant, par exemple, à des utilisateurs externes

l’accès au réseau local (LAN) via Telnet.

Après avoir analysé le sujet, nous étudierons la plate forme GNS3. Ensuite,

nous étudierons les listes de contrôle d’accès (ACL) et NBAR. Enfin, nous

présenterons les résultats obtenus.

ENSA MARRAKECH

3

GNS3 (Graphical Network Simulator)

1. C’est Quoi GNS3 ?

GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique

qui permet l'émulation des réseaux complexes. VMWare ou Virtual Box se sont des

programmes utilisées pour émuler les différents systèmes d'exploitation dans un

environnement virtuel. Ces programmes vous permettent d'exécuter plusieurs

systèmes d'exploitation tels que Windows ou Linux dans un environnement virtuel.

GNS3 permet le même type de d'émulation à l'aide de Cisco Internetwork Operating

Systems. Il vous permet d’exécuter un IOS Cisco dans un environnement virtuel sur

votre ordinateur. GNS3 est une interface graphique pour un produit appelé

Dynagen. Dynamips est le programme de base qui permet l'émulation d'IOS.

Dynagen s'exécute au-dessus de Dynamips pour créer un environnement plus

convivial, basé sur le texte environnement. Un utilisateur peut créer des topologies

de réseau de Windows en utilisant de simples fichiers de type ini.

Les laboratoires réseaux ou les personnes désireuses de s'entraîner avant de

passer les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de s'en

servir pour tester les fonctionnalités des IOS Cisco ou de tester les configurations

devant être déployées sur des routeurs réels. Ce projet est évidemment OpenSource

et multi-plates-formes.

2. Installation et configuration de GNS3

Cette section vous guidera à travers des étapes pour commencer avec GNS3

dans un environnement Windows. Toutes les critiques et les choses les plus

importantes à savoir seront couvertes.

Etape1 : Téléchargement de GNS3

Utilisé le lien http://www.gns3.net. Pour accéder au page de téléchargement et

cliquer sur le bouton vert

ENSA MARRAKECH

4

( Download )

Le moyen le plus facile à installer GNS3 dans un environnement Windows est

d'utiliser le 2éme:

GNS3 v0.8.2 standalone 32-bit

Etape 2 : Installation de GNS3

Autorisé GNS3 pour créer un dossier

Menu Démarrer avec le nom par

défaut GNS3 en cliquant sur le

bouton Suivant.

ENSA MARRAKECH

5

GNS3 dépend de plusieurs autres programmes pour fonctionner. Ceux Dépendances comprennent WinPCAP, Dynamips et Pemuwrapper. Ces Composants ainsi que GNS3 sont tous choisis par défaut pour les L’installation, si juste cliquez sur le

bouton Suivant pour continuer.

Un emplacement par défaut est

choisi pour GNS3. Cliquez sur le

bouton Installer pour accepter

l'emplacement par défaut et pour

commencer l'installation proprement

dite des fichiers.

ENSA MARRAKECH

6

La première dépendance pour GNS3

est WinPcap. Cliquez sur le bouton

Suivant pour lancer l'assistant

d'installation WinPcap.

Cliquez sur J'accepte pour accepter

l'accord de licence pour WinPcap.

L'installation de WinPcap va

commencer. Toutefois, si vous avez un

version précédente de WinPcap sur votre

ordinateur, l'assistant vous demandera

pour supprimer l'ancienne version et

ensuite installer la nouvelle version.

ENSA MARRAKECH

7

Après WinPcap est installé, l'Assistant

de configuration GNS3 revient à installer

GNS3.

Lorsque l'Assistant a terminé, vous

pouvez décocher Afficher Lisezmoi,

puis cliquez sur le bouton Terminer

ENSA MARRAKECH

8

Etape 3 : définition des fichiers Cisco IOS.

Comme mentionné précédemment, vous devez fournir votre propre Cisco IOS

à utiliser avec GNS3 en raison de problèmes de licences. GNS3 est destiné à être

utilisé dans un environnement de laboratoire pour tester et apprendre. Une fois que

vous avez obtenu votre propre copie d'un logiciel IOS de Cisco pour l'un des les

plates-formes supportées, vous êtes prêt à continuer. Plates-formes actuelles pris en

charge incluent:

Vous avez maintenant terminé

l'installation de GNS3. Cliquez sur le

bouton Démarrer, Tous les programmes,

GNS3, puis choisissez GNS3 sur la liste des

applications installées. Vous verrez la

fenêtre principale de GNS3.

ENSA MARRAKECH

9

Dans le menu Edition,

choisissez se IOS image and

hypervisors

Sous l'onglet IOS Images, cliquez

sur puis trouver votre

logiciel IOS de Cisco déposer et

cliquez sur Ouvrir. Le fichier

apparaît sous la forme de votre

fichier image.

ENSA MARRAKECH

10

Les Access-Lists

Les routeurs Cisco offrent une facilité très importante avec les access-lists, celle

d’imiter les Firewalls. En effet, ces listes peuvent filtrer les paquets entrant ou sortant

des interfaces d’un routeur selon quelques critères :

- l’adresse source pour les access-lists standards.

- l’adresse source, l’adresse de destination, le protocole ou le numéro de port

pour les access-lists étendues.

Ces listes peuvent être utilisées dans de très nombreux cas, dès qu’une notion

de filtrage de flux apparaît.

1. Les access-lists de façon générale:

On déclare l’access-list et on met les conditions que l’on souhaite :

access-list numéro_access_list permit/deny conditions

cela se fait en mode configuration globale conf

Ensuite on affecte l’access-list à une interface :

access-group numéro_access_list

Cela se fait en mode conf-if

o Permit et deny pour permettre ou rejeter les conditions mentionnées.

o Par défaut, une access-list interdit tout (elle interdit tout ce qui n’a pas

été autorisé ou interdit)

o Parmi les conditions figurent des adresses sources ou adresses de

destination.

o Un masque permet d’indiquer sur quels bits de l’adresse on souhaite un

contrôle.

o Un 0 signifie que le bit correspondant est vérifié, tandis qu’un 1 signifie

qu’il est ignoré (même type et même rôle que les masques d’adresse IP,

mais la signification des 0 et 1 se trouve inversée).

ENSA MARRAKECH

11

o On peut remplacer 0.0.0.0 en adresse par le mot any et 0.0.0.0 en

masque par host.

o Pour retirer les access-lists on réécrit les mêmes commandes précédées

d’un no.

2. principe de fonctionnement

Comme indiqué par le schéma ci-dessus, un paquet peut être traité lorsqu’il

entre dans le routeur ou lorsqu’il sort.

Il existe deux types d’ACL : Les ACLs simples et les ACLs étendues

a. ACL standard

Avec ces règles simples, le routeur ne regarde que l’IP Source.

Router(config) # access-list {1-99} {permit | deny} [source address] [source

mask]

{1-99} → numéro de l'access-list, toujours entre 1 et 99 pour une liste standard.

{permit | deny} → autorise ou interdit le paquet.

[source address] → adresse ip du réseau (ou de la machine) concernée.

[source mask] → masque générique : C’est l’inverse d’un masque de sous-réseau habituel

ENSA MARRAKECH

12

Lorsque tous les bits d'une @IP doivent être comparés, on peut utiliser le mot

clé host.

Pour qu'une instruction deny ou permit s'applique à toutes les @IP qui ne sont

pas indiquées dans les instructions de la liste, il est possible d'utiliser le mot clé any.

Ensuite, on affecte cette access-list à l’une des interfaces du routeur

o Mode de configuration : conf-if

o Syntaxe : access-group numéro_access_list in/out

In/out selon que l’access-list va être appliquée en entrée ou en sortie de

l’interface choisie. (par défaut out)

b. ACL étendue.

Une ACL étendue s’intéresse à l’IP source mais aussi l’IP de destination ainsi

que les ports (source et dest) et le protocole (IP, ICMP, TCP, UDP).

Router(config) # access-list {100-199} {permit | deny} [protocol] [source address] [source mask] [destination address] [destination mask] [operator operand]

Ensuite, on affecte cette access-list à l’une des interfaces du routeur

o Mode de configuration : conf-if

o Syntaxe : access-group numéro_access_list in/out

3. Règles d’utilisation des ACL

o Chaque liste d'accès est définie pour un protocole particulier.

ENSA MARRAKECH

13

o Il existe deux types principaux de listes d'accès : les listes d'accès

STANDARDS (contrôle des @IP sources) ; les listes d'accès ETENDUES

(contrôle des @IP source et destination, des protocoles, des N° de ports UDP et

TCP, etc.).

o Chaque interface ne peut utiliser qu'une liste d'accès par protocole.

o Chaque liste d'accès peut être utilisée par plusieurs interfaces.

o Une liste d'accès peut être utilisée en entrée pour une interface, et en sortie

pour une autre interface.

o Les listes d'accès utilisent les instructions "permit" (autorisation de

transmission) et "deny" (interdiction de transmission).

o Pour être valide, une liste d'accès doit contenir au moins une instruction "permit".

o Les listes d'accès sont parcourues par le routeur, dans l'ordre où elles sont

écrites.

o Dès qu'un paquet correspond à une règle, cette règle est appliquée et le filtrage est terminé pour le paquet, pour cette interface.

o Si un paquet ne correspond pas à la première règle, le routeur examine la règle suivante, etc.

o Un paquet retransmis par l'interface d'entrée, peut être interdit par l'interface de sortie.

o Les paquets interdits par une liste d'accès sont annulés par le routeur.

o A la fin de chaque liste d'accès, existe une instruction implicite "Deny All" : si un paquet ne correspond à aucune des instructions de la liste d'accès, il est obligatoirement bloqué.

o Il n'est pas possible de modifier une liste d'accès, par exemple en changeant l'ordre des instructions existantes : il faut l'effacer totalement et la retaper.

o Le filtrage s'effectue au niveau des interfaces, en entrée ou en sortie :

Si la liste d'accès est appliquée en entrée (in) : lorsqu'un routeur reçoit un paquet sur une interface, l'IOS le compare aux différentes instructions de la liste d'accès et regarde s'il correspond à l'une d'entre elles. S'il est autorisé (permit), l'IOS continue à traiter le paquet. S'il est interdit (deny), l'IOS le rejette et renvoie un message ICMP "Host Unreachable".

ENSA MARRAKECH

14

Si la liste d'accès est appliquée en sortie (out) : après avoir reçu et aiguillé le paquet vers l'interface de sortie, l'IOS le compare aux différentes instructions de la liste d'accès et regarde s'il correspond à l'une d'entre elles. S'il est autorisé (permit), l'IOS continue à traiter le paquet. S'il est interdit (deny), l'IOS le rejette et renvoie un message ICMP "Host Unreachable".

o Deux Stratégies de filtrage :

TOUT CE QUI N'EST PAS AUTORISE EST INTERDIT : utiliser des

instructions "permit" pour autoriser les paquets désirés, sachant que

toutes les autres requêtes seront interdites par défaut.

TOUT CE QUI N'EST PAS INTERDIT EST AUTORISE : utiliser des

instructions "deny" pour interdire les paquets désirés et terminer la

liste d'accès par "permit any" ou "permit all" pour autoriser toutes

les autres requêtes.

NBAR

Cisco NBAR (Network Based Application Recognition) est une fonctionnalité

embarquée sur les routeurs Cisco récents permettant la reconnaissance des

applications à partir de signatures et non plus uniquement sur des ports TCP/UDP.

En l'activant, on peut construire le boitier QoS du "pauvre" en ce sens

qu'aucun équipement ou coût suplémentaire n'est nécessaire : l'expert réseau

démontre sa plus-value !

Evidemment, l'architecture doit être routée (ce qui élimine certaines topologies

: les LANs étendus au moyen de liens Ethernet 802.1Q, qu'ils soient fournis par des

opérateurs ou bien des fibres noires) et sous contrôle (les routeurs ne doivent pas être

gérés par un tiers, typiquement un opérateur ou un hébergeur). NBAR permet

d'identifier les flux, à l'instar des ACLs, mais en utilisant des signatures pour détecter

les applications utilisant des ports mouvants (par nature tels skype, h.323, ou par

"accident"HTTP, Citrix,etc..) ou bien se camouflant (canaux cachés avec stunnel,

protocoles P2P : kazaa, emule, winMX , etc..). Ces signatures, nommées PDLM, sont

mises à jour régulièrement et téléchargeables sous forme de mises à jour sur le site

web de Cisco (nécessite un accès CCO).

ENSA MARRAKECH

15

Certains flux utilisant des ports statiques généralement inchangés ou non

modifiables (typiquement DNS, Exchange ou bien Netbios) sont définis comme tels

dans NBAR (i.e sans signature applicative).

Malheureusement, la plupart de ces signatures sont très orientées P2P (on

trouve le même biais dans les boitiers de QoS des constructeurs Allot ou Packeteers)

ou bien VoIP /ToIP. On peut imaginer que le marché entrevu par le filtrage à grande

échelle des flux P2P par les FAIs a justifié ce positionnement.

Certaines signatures demandes à être testées : nous avons découvert début

2007 que la signature TFTP d'un des constructeurs majeurs de boitiers de QoS ne

fonctionnait pas (TFTP utilise des ports UDP dynamiques négociés lors de la session

de contrôle) : c'est très problématique surtout lorsqu'on sait que la plupart des IP

Phones bootent en chargeant leur logiciel par TFTP. Comment ce trafic pourrait-il

être protégé si il n'est pas reconnu correctement ?

Revenons aux commandes Cisco : une fois le flux identifié, on applique les

mécanismes de queueing classiques :

1. Activer la découverte de protocol sur l’interface où l’on veut appliquer le filtrage

Si on ne l’active pas, le filtrage n’aura pas lieu, simplement parce que le

routeur n’ira pas inspecter les flux de données.

Router> enable

Router# configure terminal

Router(config)# interface fastethernet 0/1

Router(config-if)# ip nbar protocol-discovery

Router(config-if)# exit

Router(config)#

2. Créer une « class-map » de sorte à identifier le traffic généré par les applications P2P

On va ici faire en sorte que le traffic identifié comme provenant d’applications

utilisant les protocoles Bittorrent, eDonkey, Gnutella ou encore Fasttrack soient

catégorisés.

Router(config)# class-map match-any P2P

Router(config-cmap)# match protocol bittorrent

Router(config-cmap)# match protocol edonkey

ENSA MARRAKECH

16

Router(config-cmap)# match protocol gnutella

Router(config-cmap)# match protocol fasttrack

Router(config-cmap)# exit

Router(config)#

Attention à bien créer une class-map « match-any » … celà signifie que dès

qu’une des conditions (ici un des protocoles) est remplie, le traffic est mis dans la

classe « P2P ». Par défaut la commande class-map crée une classe « match-all » qui

demande que tous les « match » soient vérifiés pour que le traffic soit associé à la

classe.

3. Définition de la police à appliquer sur l’interface

Avant de configurer, ayez bien en tête qu’une police s’applique sur une

interface, soit en entrée, soit en sortie ou les deux. Mais qu’une interface ne peut

avoir qu’une seule police applique par interface et par sens du traffic.

On va ici créer une police qui filtrera tous les traffic de la classe P2P. Le traffic

reconnu par la classe « P2P » sera purement et simplement jeté.

Router(config)# policy-map DROP-P2P

Router(config-pmap)# class P2P

Router(config-pmap-c)# drop

Router(config-pmap-c)# exit

Router(config-pmap)# exit

Router(config)#

4. Appliquer la police à l’interface

L’interface utilisée ici est l’interface côté LAN, on va donc filtrer le traffic qui

entre sur cette interface

Router(config)# interface fastethernet 0/1

Router(config-if)# service-policy input DROP-P2P

Router(config-if)# ^Z

Router#

ENSA MARRAKECH

17

Préambule de sujet

Ci-dessous la topologie expliquant notre travail :

Cette topologie englobe 3 routeurs connectés entre eux, Toutes les adresses IP

ont été configurées pour tous les routeurs. Voir le schéma pour les adresses IP.

OSPF a été configuré pour une connectivité complète. Pour mieux vous expliquer et de

bien cibler l’objectif de notre projet, on va mettre les points sur la configuration des

ACL ,en revanche on va pas focaliser sur la configuration des adresses IP ainsi la

configuration du protocole de routage OSPF.

1. les ALC standard

a) Objectif

on va produire un scénario afin d’appliquer les ACL , ci-dessous les étapes à

suivre pour la création de ce scénario :

ENSA MARRAKECH

18

o les trafics issus de l’interface L0 du routeur CIA n’aient pas le droit d’accéder

aux aucuns réseaux connectés au routeur FBI

o Subséquemment, on va étendre ACL qu’on vient de créer afin d’inclure les

interfaces L1, L2 du routeur CIA.

o Finalement le trafic issu des interfaces L0, L1 du routeur FBI L0 ne peut pas

accéder au réseau du routeur NSA.

b) Implémentation du scénario 1

ACL N°1 :

On commence par la 1ere condition on doit interdire le trafic en provenance

de l’interface L0 du routeur CIA pour qu’il ne puisse pas accéder aux aucuns

réseaux connecté au routeur FBI

L’adresse du L0 selon le schéma est 1.1.1.1/25 cela veut dire qu’il appartient au

réseau 1.1.1.0 et le masque est 255.255.255.128 alors que le masque générique qu’on

va utiliser dans ACL est 0.0.0.127

On va appliquer cette ACL sur le routeur FBI

Pour pouvoir utiliser ACL, il faut l’activer sur chaque interface du routeur FBI

Pour autoriser les autres

trafics

ENSA MARRAKECH

19

On tape la commande show interface f0/0 pour vérifier ACL

Pour voir les ACL qu’on a crée

Teste de l’ACL

ENSA MARRAKECH

20

D’après l’image on constate que l’ACL fonctionne très bien puisque on n’a pas

pu pinger 2.2.2.2 a partir de l’interface L0 et que les autre interfaces du routeur CIA

peuvent pinger 2.2.2.2 sans problème

ACL N°2

On va refaire la même chose avec les interfaces L1, L2 du routeur CIA (c.à.d

nous interdisons le trafic en provenance des interfaces L1 et L2 vers le routeur FBI)

L1 : @ ip 11.11.11.11/26 @ réseau 11.11.11.0 masque réseau 255.255.255.192

masque générique 0.0.0.63

ENSA MARRAKECH

21

Le problème qu’on a rencontré c’est que la commande ‘permit (ligne 20) il va

autoriser tous le trafic sauf celui de la ligne 10 et qu’on ne peut pas parvenir la ligne

30 ‘deny’ pour résoudre ce problème on doit supprimer et recréer l’ACL N°1

L1 : @ip 111.111.111.111 @réseau 111.111.111.96 masque réseau 255.255.255.224

Masque générique 0.0.0.32

Le teste effectué

ENSA MARRAKECH

22

On ne peut pas pinger le routeur FBI à partir des interfaces L0 et L1 et L2

ACL N°3

On va créer une ACL dans le routeur NSA pour interdire le trafic parvenant

des interfaces L0 et L1 vers routeur FBI routeur NSA

L0 : @ip 2.2.2.2/23 @réseau 2.2.2.0 masque 255.255.254.0 masque générique

0.0.1.255

L1 :@ip 22.22.22.22/30 @réseau 22.22.22.20 masque 255.255.255.252

Masque générique 0.0.0.3

On doit activer l’ACL sur les interfaces f0/0 et 0/1 du routeur NSA

ENSA MARRAKECH

23

Teste de ping

2. Les ACL étendus

Dans ce deuxième scénario on a gardé la même topologie avec les mêmes

adresses IP, cette fois si, pour appliquer les ACL étendus, idem, nous vous

développons les repères cruciaux de ce second scénario :

o Tous les routeurs fonctionnent avec les protocoles HTTP, HTTPS, Telnet et

SSH.

o les paquets en provenance de l’interface L0 du routeur CIA vers le

serveur HTTP sur 3.3.3.3 ne sont pas autorisés.

o Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit

d’accéder uniquement au serveur HTTPS sur l’adresse 33.33.33.33.

o Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont

le droit d’accéder en Telnet sur le routeur CIA

a) Implémentation du scénario 2 ACL 1

Nous désirons maintenant interdire le protocole http aux paquets en

provenance de l’interface L0 du routeur CIA 3.3.3.3

ENSA MARRAKECH

24

http est un protocole utilisant TCP via les ports 80 ou bien on peut mettre

www nous effectuerons donc le filtrage selon ces critères

On a déjà vu le masque générique de L0 sur CIA

Pour l’adresse 3.3.3.3/28 : @réseau 3.3.3.0 et masque générique : 0.0.0.15

Finalement, nous obtenons les instructions de contrôle d’accès suivantes qu’on

va les activer les interfaces du routeur NSA

Et voici une capture qui présente tous ACL qu’on a crée

Pour tester ACL 100 on va faire un telnet sur l’adresse 3.3.3.3 à partir du routeur

CIA

ENSA MARRAKECH

25

et à partir de l’interface loopback 0

ACL 2

Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit d’accéder

seulement au serveur HTTPS sur l’adresse 33.33.33.33.

Nous voulons autoriser le protocole HTTPS à l’interface L1 du routeur FBI et

interdire les autres protocoles

Le protocole HTTPS utilise le port 443 et le protocole TCP. Il faut donc

permettre l’utilisation du port 80 en TCP.

On a pour L1 du FBI : adresse source

@ip 22.22.22.22/30 @réseau 22.22.22.20 masque générique 0.0.0.3

Adresse de destination sera une adresse de machine

Pour répondre à ces besoins on va ajouter d’autre lignes dans l’ACL qu’on a

déjà crée

Ici on a accordé à L1 l’autorisation d’accéder au HTTPS de

33.33.33.33 mais il garde toujours l’autorisation d’accès aux

autres services (instruction 20)

ENSA MARRAKECH

26

Pour résoudre ce problème on va ajouter une autre instruction N°12

NSA(config-ext-nacl)#12 deny ip 22.22.22.20 0.0.0.3 any

Pour tester cette ACL on va essayer d’accéder au service https sur l’adresse

3.3.3.3 à partir du routeur et réessayer la même chose à partir de L1 de FBI

Comme vous voyez l’’ACL fonctionne tés bien

ACL 3

Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont le

droit d’accéder en Telnet sur le routeur CIA

Seuls les utilisateurs connectés à l’interface L1 du NSA pouvant se connecter

au Telnet du routeur CIA cela veut dire qu’on va accorder une permission d’accès

Telnet au réseau 33.33.33.0 et interdire les autres

Et pour sécuriser le Telnet

ENSA MARRAKECH

27

Et voici les testes effectué pour vérifier l’ACL qu’on a crée

3. NBAR :

Pour appliquer le NBAR on va utiliser une autre topologie dans laquelle on va

utiliser 3 routeurs 3640 (ios : c3640-jk9s-mz.124.16.bin)

ENSA MARRAKECH

28

a) le scénario

On suppose qu’on travail dans une petite entreprise et qu’on veut contrôler le

trafic allant vers internet c-à-d on veut interdire les employés d’accéder aux sites web

comme youtube facebook et twitter aussi le protéger contre les Verus

b) Les buts :

o configurer le routeur Sluggish pour que tout le trafic issu de twitter et

de youtube soit supprimé sur l’interface fastethernet 1/0

o configurer le routeur Sluggish pour qu’il puisse détecter les vers

NIMDA et supprimer le trafic sur l’interface fastethetnet 1/0

b) Solution

On va créer une classe map que l’on va appeler TWITTER

Ici on peut mettre twitter.com comme on peut spécifier une partie de twitter

‘twitter.com /mbc’

Pour youtube on va créer une classe map youtube

ENSA MARRAKECH

29

Pour le verus NIMDA on créer une nouvelle classe map appelé NIMDA

Et voila les classe map qu’on a crée

Création d’une policy map

L’étape suivante est de créer une police qui filtrera tous les traffic des classe qu’on

a crée. Le traffic reconnu par ces classes sera purement et simplement jeté.

Et voici les policy-map qu’on a crée

ENSA MARRAKECH

30

Et maintenant on doit l’activer sur l’interface f1/0 du routeur sluggish

ENSA MARRAKECH

31

Ce projet constitue notre expérience pseudo-professionnelle et à vraiment été

très enrichissant. Le sujet sur lequel nous avons travaillé concerne la sécurité des

réseaux, milieu en expansion à l’heure actuelle, car c’est une composante

indispensable des systèmes de communication. Nous avons pu, grâce à ce projet,

bénéficier d’autonomie dans notre travail ; nous avons appris à résoudre seuls les

problèmes auxquels nous avons été confrontés. Le fait de travailler en trinôme nous a

permis d’acquérir des compétences relationnelles et une méthode de travail en

équipe.

La variété des taches que nous avons eu à accomplir nous à permis

d’appréhender de nombreux domaines différents, tels que la recherche

documentaire, la programmation des listes de contrôle d’accès et les NBAR aussi la

manipulation de GNS3.

Nous avons pu ainsi utiliser les connaissances de base que nous avons

acquises au sein de L’ENSA et de les appliquer de façon concrète.

Au niveau professionnel, internet est un outil indispensable pour les entreprises qui souhaitent effectuer des opérations tels que des transferts de données, ou bien réaliser du commerce électronique. Or internet est un large réseau ouvert accessible à tous le monde, y compris à des personnes malveillantes. Il faut donc mettre au point des systèmes de sécurité pour empêcher les utilisateurs externes d’accéder aux réseaux internes. Une solution consiste à implémenter des listes de contrôle d’accès ACL sur les interfaces d’un routeur pour filtrer les flux entrants et sortants. Ce rapport explique le fonctionnement des ACL et des NBAR et leur intégration dans une politique de sécurité.

Mais ce mécanisme de contrôle du réseau sera-t-il suffisant pour déjouer toutes les tentatives d’intrusions ?