• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Rapport projet
 

Rapport projet

on

  • 942 views

 

Statistics

Views

Total Views
942
Views on SlideShare
942
Embed Views
0

Actions

Likes
0
Downloads
66
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Rapport projet Rapport projet Document Transcript

    • Réaliser par :Ibtihaj mohammedProposé par :Prof N. IdboufkerAnnée universitaire :2011/2012
    • ENSA MARRAKECH2De nos jours la sécurité des réseaux est un enjeu majeur ; les administrateursréseau doivent donc trouver le moyen d’interdire l’accès au réseau à certainsutilisateurs tout en l’accordant à d’autres.Les outils ‘classiques’ de gestion de la sécurité, tels que les mots de passe,l’équipement de rappel et les dispositifs de sécurité physiques, se révèlent utiles maisdans la plupart des cas, ils n’offrent pas la souplesse que procure le filtrage de traficréseau.Le filtrage du trafic permet à un administrateur réseau d’accorder l’accès àinternet aux utilisateurs tout en interdisant, par exemple, à des utilisateurs externesl’accès au réseau local (LAN) via Telnet.Après avoir analysé le sujet, nous étudierons la plate forme GNS3. Ensuite,nous étudierons les listes de contrôle d’accès (ACL) et NBAR. Enfin, nousprésenterons les résultats obtenus.
    • ENSA MARRAKECH3GNS3 (Graphical Network Simulator)1. C’est Quoi GNS3 ?GNS3 (Graphical Network Simulator) est un simulateur de réseau graphiquequi permet lémulation des réseaux complexes. VMWare ou Virtual Box se sont desprogrammes utilisées pour émuler les différents systèmes dexploitation dans unenvironnement virtuel. Ces programmes vous permettent dexécuter plusieurssystèmes dexploitation tels que Windows ou Linux dans un environnement virtuel.GNS3 permet le même type de démulation à laide de Cisco Internetwork OperatingSystems. Il vous permet d’exécuter un IOS Cisco dans un environnement virtuel survotre ordinateur. GNS3 est une interface graphique pour un produit appeléDynagen. Dynamips est le programme de base qui permet lémulation dIOS.Dynagen sexécute au-dessus de Dynamips pour créer un environnement plusconvivial, basé sur le texte environnement. Un utilisateur peut créer des topologiesde réseau de Windows en utilisant de simples fichiers de type ini.Les laboratoires réseaux ou les personnes désireuses de sentraîner avant depasser les certifications CCNA, CCNP, CCIP ou CCIE. De plus, il est possible de senservir pour tester les fonctionnalités des IOS Cisco ou de tester les configurationsdevant être déployées sur des routeurs réels. Ce projet est évidemment OpenSourceet multi-plates-formes.2. Installation et configuration de GNS3Cette section vous guidera à travers des étapes pour commencer avec GNS3dans un environnement Windows. Toutes les critiques et les choses les plusimportantes à savoir seront couvertes. Etape1 : Téléchargement de GNS3Utilisé le lien http://www.gns3.net. Pour accéder au page de téléchargement etcliquer sur le bouton vert
    • ENSA MARRAKECH4( Download )Le moyen le plus facile à installer GNS3 dans un environnement Windows estdutiliser le 2éme:GNS3 v0.8.2 standalone 32-bit Etape 2 : Installation de GNS3Autorisé GNS3 pour créer un dossierMenu Démarrer avec le nom pardéfaut GNS3 en cliquant sur lebouton Suivant.
    • ENSA MARRAKECH5GNS3 dépend de plusieurs autresprogrammes pour fonctionner. CeuxDépendances comprennentWinPCAP, Dynamips etPemuwrapper. CesComposants ainsi que GNS3 sonttous choisis par défaut pour lesL’installation, si juste cliquez sur lebouton Suivant pour continuer.Un emplacement par défaut estchoisi pour GNS3. Cliquez sur lebouton Installer pour accepterlemplacement par défaut et pourcommencer linstallation proprementdite des fichiers.
    • ENSA MARRAKECH6La première dépendance pour GNS3est WinPcap. Cliquez sur le boutonSuivant pour lancer lassistantdinstallation WinPcap.Cliquez sur Jaccepte pour accepterlaccord de licence pour WinPcap.Linstallation de WinPcap vacommencer. Toutefois, si vous avez unversion précédente de WinPcap sur votreordinateur, lassistant vous demanderapour supprimer lancienne version etensuite installer la nouvelle version.
    • ENSA MARRAKECH7Après WinPcap est installé, lAssistantde configuration GNS3 revient à installerGNS3.Lorsque lAssistant a terminé, vouspouvez décocher Afficher Lisezmoi,puis cliquez sur le bouton Terminer
    • ENSA MARRAKECH8 Etape 3 : définition des fichiers Cisco IOS.Comme mentionné précédemment, vous devez fournir votre propre Cisco IOSà utiliser avec GNS3 en raison de problèmes de licences. GNS3 est destiné à êtreutilisé dans un environnement de laboratoire pour tester et apprendre. Une fois quevous avez obtenu votre propre copie dun logiciel IOS de Cisco pour lun des lesplates-formes supportées, vous êtes prêt à continuer. Plates-formes actuelles pris encharge incluent:Vous avez maintenant terminélinstallation de GNS3. Cliquez sur lebouton Démarrer, Tous les programmes,GNS3, puis choisissez GNS3 sur la liste desapplications installées. Vous verrez lafenêtre principale de GNS3.
    • ENSA MARRAKECH9Dans le menu Edition,choisissez se IOS image andhypervisorsSous longlet IOS Images, cliquezsur puis trouver votrelogiciel IOS de Cisco déposer etcliquez sur Ouvrir. Le fichierapparaît sous la forme de votrefichier image.
    • ENSA MARRAKECH10Les Access-ListsLes routeurs Cisco offrent une facilité très importante avec les access-lists, celled’imiter les Firewalls. En effet, ces listes peuvent filtrer les paquets entrant ou sortantdes interfaces d’un routeur selon quelques critères :- l’adresse source pour les access-lists standards.- l’adresse source, l’adresse de destination, le protocole ou le numéro de portpour les access-lists étendues.Ces listes peuvent être utilisées dans de très nombreux cas, dès qu’une notionde filtrage de flux apparaît.1. Les access-lists de façon générale:On déclare l’access-list et on met les conditions que l’on souhaite :access-list numéro_access_list permit/deny conditionscela se fait en mode configuration globale confEnsuite on affecte l’access-list à une interface :access-group numéro_access_listCela se fait en mode conf-ifo Permit et deny pour permettre ou rejeter les conditions mentionnées.o Par défaut, une access-list interdit tout (elle interdit tout ce qui n’a pasété autorisé ou interdit)o Parmi les conditions figurent des adresses sources ou adresses dedestination.o Un masque permet d’indiquer sur quels bits de l’adresse on souhaite uncontrôle.o Un 0 signifie que le bit correspondant est vérifié, tandis qu’un 1 signifiequ’il est ignoré (même type et même rôle que les masques d’adresse IP,mais la signification des 0 et 1 se trouve inversée).
    • ENSA MARRAKECH11o On peut remplacer 0.0.0.0 en adresse par le mot any et 0.0.0.0 enmasque par host.o Pour retirer les access-lists on réécrit les mêmes commandes précédéesd’un no.2. principe de fonctionnementComme indiqué par le schéma ci-dessus, un paquet peut être traité lorsqu’ilentre dans le routeur ou lorsqu’il sort.Il existe deux types d’ACL : Les ACLs simples et les ACLs étenduesa. ACL standardAvec ces règles simples, le routeur ne regarde que l’IP Source.Router(config) # access-list {1-99} {permit | deny} [source address] [sourcemask]{1-99} → numéro de laccess-list, toujours entre 1 et 99 pour une liste standard.{permit | deny} → autorise ou interdit le paquet.[source address] → adresse ip du réseau (ou de la machine) concernée.[source mask] → masque générique : C’est l’inverse d’un masque desous-réseau habituel
    • ENSA MARRAKECH12Lorsque tous les bits dune @IP doivent être comparés, on peut utiliser le motclé host.Pour quune instruction deny ou permit sapplique à toutes les @IP qui ne sontpas indiquées dans les instructions de la liste, il est possible dutiliser le mot clé any.Ensuite, on affecte cette access-list à l’une des interfaces du routeuro Mode de configuration : conf-ifo Syntaxe : access-group numéro_access_list in/outIn/out selon que l’access-list va être appliquée en entrée ou en sortie del’interface choisie. (par défaut out)b. ACL étendue.Une ACL étendue s’intéresse à l’IP source mais aussi l’IP de destination ainsique les ports (source et dest) et le protocole (IP, ICMP, TCP, UDP).Router(config) # access-list {100-199} {permit | deny} [protocol] [source address][source mask] [destination address] [destination mask] [operator operand]Ensuite, on affecte cette access-list à l’une des interfaces du routeuro Mode de configuration : conf-ifo Syntaxe : access-group numéro_access_list in/out3. Règles d’utilisation des ACLo Chaque liste daccès est définie pour un protocole particulier.
    • ENSA MARRAKECH13o Il existe deux types principaux de listes daccès : les listes daccèsSTANDARDS (contrôle des @IP sources) ; les listes daccès ETENDUES(contrôle des @IP source et destination, des protocoles, des N° de ports UDP etTCP, etc.).o Chaque interface ne peut utiliser quune liste daccès par protocole.o Chaque liste daccès peut être utilisée par plusieurs interfaces.o Une liste daccès peut être utilisée en entrée pour une interface, et en sortiepour une autre interface.o Les listes daccès utilisent les instructions "permit" (autorisation detransmission) et "deny" (interdiction de transmission).o Pour être valide, une liste daccès doit contenir au moins une instruction"permit".o Les listes daccès sont parcourues par le routeur, dans lordre où elles sontécrites.o Dès quun paquet correspond à une règle, cette règle est appliquée et lefiltrage est terminé pour le paquet, pour cette interface.o Si un paquet ne correspond pas à la première règle, le routeur examine la règlesuivante, etc.o Un paquet retransmis par linterface dentrée, peut être interdit par linterfacede sortie.o Les paquets interdits par une liste daccès sont annulés par le routeur.o A la fin de chaque liste daccès, existe une instruction implicite "Deny All" : siun paquet ne correspond à aucune des instructions de la liste daccès, il estobligatoirement bloqué.o Il nest pas possible de modifier une liste daccès, par exemple en changeantlordre des instructions existantes : il faut leffacer totalement et la retaper.o Le filtrage seffectue au niveau des interfaces, en entrée ou en sortie : Si la liste daccès est appliquée en entrée (in) : lorsquun routeur reçoit unpaquet sur une interface, lIOS le compare aux différentes instructions de laliste daccès et regarde sil correspond à lune dentre elles. Sil est autorisé(permit), lIOS continue à traiter le paquet. Sil est interdit (deny), lIOS lerejette et renvoie un message ICMP "Host Unreachable".
    • ENSA MARRAKECH14 Si la liste daccès est appliquée en sortie (out) : après avoir reçu et aiguilléle paquet vers linterface de sortie, lIOS le compare aux différentesinstructions de la liste daccès et regarde sil correspond à lune dentreelles. Sil est autorisé (permit), lIOS continue à traiter le paquet. Sil estinterdit (deny), lIOS le rejette et renvoie un message ICMP "HostUnreachable".o Deux Stratégies de filtrage : TOUT CE QUI NEST PAS AUTORISE EST INTERDIT : utiliser desinstructions "permit" pour autoriser les paquets désirés, sachant quetoutes les autres requêtes seront interdites par défaut. TOUT CE QUI NEST PAS INTERDIT EST AUTORISE : utiliser desinstructions "deny" pour interdire les paquets désirés et terminer laliste daccès par "permit any" ou "permit all" pour autoriser toutesles autres requêtes.NBARCisco NBAR (Network Based Application Recognition) est une fonctionnalitéembarquée sur les routeurs Cisco récents permettant la reconnaissance desapplications à partir de signatures et non plus uniquement sur des ports TCP/UDP.En lactivant, on peut construire le boitier QoS du "pauvre" en ce sensquaucun équipement ou coût suplémentaire nest nécessaire : lexpert réseaudémontre sa plus-value !Evidemment, larchitecture doit être routée (ce qui élimine certaines topologies: les LANs étendus au moyen de liens Ethernet 802.1Q, quils soient fournis par desopérateurs ou bien des fibres noires) et sous contrôle (les routeurs ne doivent pas êtregérés par un tiers, typiquement un opérateur ou un hébergeur). NBAR permetdidentifier les flux, à linstar des ACLs, mais en utilisant des signatures pour détecterles applications utilisant des ports mouvants (par nature tels skype, h.323, ou par"accident"HTTP, Citrix,etc..) ou bien se camouflant (canaux cachés avec stunnel,protocoles P2P : kazaa, emule, winMX , etc..). Ces signatures, nommées PDLM, sontmises à jour régulièrement et téléchargeables sous forme de mises à jour sur le siteweb de Cisco (nécessite un accès CCO).
    • ENSA MARRAKECH15Certains flux utilisant des ports statiques généralement inchangés ou nonmodifiables (typiquement DNS, Exchange ou bien Netbios) sont définis comme telsdans NBAR (i.e sans signature applicative).Malheureusement, la plupart de ces signatures sont très orientées P2P (ontrouve le même biais dans les boitiers de QoS des constructeurs Allot ou Packeteers)ou bien VoIP /ToIP. On peut imaginer que le marché entrevu par le filtrage à grandeéchelle des flux P2P par les FAIs a justifié ce positionnement.Certaines signatures demandes à être testées : nous avons découvert début2007 que la signature TFTP dun des constructeurs majeurs de boitiers de QoS nefonctionnait pas (TFTP utilise des ports UDP dynamiques négociés lors de la sessionde contrôle) : cest très problématique surtout lorsquon sait que la plupart des IPPhones bootent en chargeant leur logiciel par TFTP. Comment ce trafic pourrait-ilêtre protégé si il nest pas reconnu correctement ?Revenons aux commandes Cisco : une fois le flux identifié, on applique lesmécanismes de queueing classiques :1. Activer la découverte de protocol sur l’interface où l’on veut appliquer le filtrageSi on ne l’active pas, le filtrage n’aura pas lieu, simplement parce que lerouteur n’ira pas inspecter les flux de données.Router> enableRouter# configure terminalRouter(config)# interface fastethernet 0/1Router(config-if)# ip nbar protocol-discoveryRouter(config-if)# exitRouter(config)#2. Créer une « class-map » de sorte à identifier le traffic généré par les applications P2POn va ici faire en sorte que le traffic identifié comme provenant d’applicationsutilisant les protocoles Bittorrent, eDonkey, Gnutella ou encore Fasttrack soientcatégorisés.Router(config)# class-map match-any P2PRouter(config-cmap)# match protocol bittorrentRouter(config-cmap)# match protocol edonkey
    • ENSA MARRAKECH16Router(config-cmap)# match protocol gnutellaRouter(config-cmap)# match protocol fasttrackRouter(config-cmap)# exitRouter(config)#Attention à bien créer une class-map « match-any » … celà signifie que dèsqu’une des conditions (ici un des protocoles) est remplie, le traffic est mis dans laclasse « P2P ». Par défaut la commande class-map crée une classe « match-all » quidemande que tous les « match » soient vérifiés pour que le traffic soit associé à laclasse.3. Définition de la police à appliquer sur l’interfaceAvant de configurer, ayez bien en tête qu’une police s’applique sur uneinterface, soit en entrée, soit en sortie ou les deux. Mais qu’une interface ne peutavoir qu’une seule police applique par interface et par sens du traffic.On va ici créer une police qui filtrera tous les traffic de la classe P2P. Le trafficreconnu par la classe « P2P » sera purement et simplement jeté.Router(config)# policy-map DROP-P2PRouter(config-pmap)# class P2PRouter(config-pmap-c)# dropRouter(config-pmap-c)# exitRouter(config-pmap)# exitRouter(config)#4. Appliquer la police à l’interfaceL’interface utilisée ici est l’interface côté LAN, on va donc filtrer le traffic quientre sur cette interfaceRouter(config)# interface fastethernet 0/1Router(config-if)# service-policy input DROP-P2PRouter(config-if)# ^ZRouter#
    • ENSA MARRAKECH17Préambule de sujetCi-dessous la topologie expliquant notre travail :Cette topologie englobe 3 routeurs connectés entre eux, Toutes les adresses IPont été configurées pour tous les routeurs. Voir le schéma pour les adresses IP.OSPF a été configuré pour une connectivité complète. Pour mieux vous expliquer et debien cibler l’objectif de notre projet, on va mettre les points sur la configuration desACL ,en revanche on va pas focaliser sur la configuration des adresses IP ainsi laconfiguration du protocole de routage OSPF.1. les ALC standarda) Objectifon va produire un scénario afin d’appliquer les ACL , ci-dessous les étapes àsuivre pour la création de ce scénario :
    • ENSA MARRAKECH18o les trafics issus de l’interface L0 du routeur CIA n’aient pas le droit d’accéderaux aucuns réseaux connectés au routeur FBIo Subséquemment, on va étendre ACL qu’on vient de créer afin d’inclure lesinterfaces L1, L2 du routeur CIA.o Finalement le trafic issu des interfaces L0, L1 du routeur FBI L0 ne peut pasaccéder au réseau du routeur NSA.b) Implémentation du scénario 1 ACL N°1 :On commence par la 1ere condition on doit interdire le trafic en provenancede l’interface L0 du routeur CIA pour qu’il ne puisse pas accéder aux aucunsréseaux connecté au routeur FBIL’adresse du L0 selon le schéma est 1.1.1.1/25 cela veut dire qu’il appartient auréseau 1.1.1.0 et le masque est 255.255.255.128 alors que le masque générique qu’onva utiliser dans ACL est 0.0.0.127On va appliquer cette ACL sur le routeur FBIPour pouvoir utiliser ACL, il faut l’activer sur chaque interface du routeur FBIPour autoriser les autrestrafics
    • ENSA MARRAKECH19On tape la commande show interface f0/0 pour vérifier ACLPour voir les ACL qu’on a créeTeste de l’ACL
    • ENSA MARRAKECH20D’après l’image on constate que l’ACL fonctionne très bien puisque on n’a paspu pinger 2.2.2.2 a partir de l’interface L0 et que les autre interfaces du routeur CIApeuvent pinger 2.2.2.2 sans problème ACL N°2On va refaire la même chose avec les interfaces L1, L2 du routeur CIA (c.à.dnous interdisons le trafic en provenance des interfaces L1 et L2 vers le routeur FBI)L1 : @ ip 11.11.11.11/26 @ réseau 11.11.11.0 masque réseau 255.255.255.192masque générique 0.0.0.63
    • ENSA MARRAKECH21Le problème qu’on a rencontré c’est que la commande ‘permit (ligne 20) il vaautoriser tous le trafic sauf celui de la ligne 10 et qu’on ne peut pas parvenir la ligne30 ‘deny’ pour résoudre ce problème on doit supprimer et recréer l’ACL N°1L1 : @ip 111.111.111.111 @réseau 111.111.111.96 masque réseau 255.255.255.224Masque générique 0.0.0.32Le teste effectué
    • ENSA MARRAKECH22On ne peut pas pinger le routeur FBI à partir des interfaces L0 et L1 et L2 ACL N°3On va créer une ACL dans le routeur NSA pour interdire le trafic parvenantdes interfaces L0 et L1 vers routeur FBI routeur NSAL0 : @ip 2.2.2.2/23 @réseau 2.2.2.0 masque 255.255.254.0 masque générique0.0.1.255L1 :@ip 22.22.22.22/30 @réseau 22.22.22.20 masque 255.255.255.252Masque générique 0.0.0.3On doit activer l’ACL sur les interfaces f0/0 et 0/1 du routeur NSA
    • ENSA MARRAKECH23Teste de ping2. Les ACL étendusDans ce deuxième scénario on a gardé la même topologie avec les mêmesadresses IP, cette fois si, pour appliquer les ACL étendus, idem, nous vousdéveloppons les repères cruciaux de ce second scénario :o Tous les routeurs fonctionnent avec les protocoles HTTP, HTTPS, Telnet etSSH.o les paquets en provenance de l’interface L0 du routeur CIA vers leserveur HTTP sur 3.3.3.3 ne sont pas autorisés.o Le trafic en provenance de l’interface L 1 du routeur FBI, a le droitd’accéder uniquement au serveur HTTPS sur l’adresse 33.33.33.33.o Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ontle droit d’accéder en Telnet sur le routeur CIAa) Implémentation du scénario 2 ACL 1Nous désirons maintenant interdire le protocole http aux paquets enprovenance de l’interface L0 du routeur CIA 3.3.3.3
    • ENSA MARRAKECH24http est un protocole utilisant TCP via les ports 80 ou bien on peut mettrewww nous effectuerons donc le filtrage selon ces critèresOn a déjà vu le masque générique de L0 sur CIAPour l’adresse 3.3.3.3/28 : @réseau 3.3.3.0 et masque générique : 0.0.0.15Finalement, nous obtenons les instructions de contrôle d’accès suivantes qu’onva les activer les interfaces du routeur NSAEt voici une capture qui présente tous ACL qu’on a créePour tester ACL 100 on va faire un telnet sur l’adresse 3.3.3.3 à partir du routeurCIA
    • ENSA MARRAKECH25et à partir de l’interface loopback 0 ACL 2Le trafic en provenance de l’interface L 1 du routeur FBI, a le droit d’accéderseulement au serveur HTTPS sur l’adresse 33.33.33.33.Nous voulons autoriser le protocole HTTPS à l’interface L1 du routeur FBI etinterdire les autres protocolesLe protocole HTTPS utilise le port 443 et le protocole TCP. Il faut doncpermettre l’utilisation du port 80 en TCP.On a pour L1 du FBI : adresse source@ip 22.22.22.22/30 @réseau 22.22.22.20 masque générique 0.0.0.3Adresse de destination sera une adresse de machinePour répondre à ces besoins on va ajouter d’autre lignes dans l’ACL qu’on adéjà créeIci on a accordé à L1 l’autorisation d’accéder au HTTPS de33.33.33.33 mais il garde toujours l’autorisation d’accès auxautres services (instruction 20)
    • ENSA MARRAKECH26Pour résoudre ce problème on va ajouter une autre instruction N°12NSA(config-ext-nacl)#12 deny ip 22.22.22.20 0.0.0.3 anyPour tester cette ACL on va essayer d’accéder au service https sur l’adresse3.3.3.3 à partir du routeur et réessayer la même chose à partir de L1 de FBIComme vous voyez l’’ACL fonctionne tés bien ACL 3Seulement les utilisateurs connectés à l’interface L1 du routeur NSA ont ledroit d’accéder en Telnet sur le routeur CIASeuls les utilisateurs connectés à l’interface L1 du NSA pouvant se connecterau Telnet du routeur CIA cela veut dire qu’on va accorder une permission d’accèsTelnet au réseau 33.33.33.0 et interdire les autresEt pour sécuriser le Telnet
    • ENSA MARRAKECH27Et voici les testes effectué pour vérifier l’ACL qu’on a crée3. NBAR :Pour appliquer le NBAR on va utiliser une autre topologie dans laquelle on vautiliser 3 routeurs 3640 (ios : c3640-jk9s-mz.124.16.bin)
    • ENSA MARRAKECH28a) le scénarioOn suppose qu’on travail dans une petite entreprise et qu’on veut contrôler letrafic allant vers internet c-à-d on veut interdire les employés d’accéder aux sites webcomme youtube facebook et twitter aussi le protéger contre les Verusb) Les buts :o configurer le routeur Sluggish pour que tout le trafic issu de twitter etde youtube soit supprimé sur l’interface fastethernet 1/0o configurer le routeur Sluggish pour qu’il puisse détecter les versNIMDA et supprimer le trafic sur l’interface fastethetnet 1/0b) SolutionOn va créer une classe map que l’on va appeler TWITTERIci on peut mettre twitter.com comme on peut spécifier une partie de twitter‘twitter.com /mbc’Pour youtube on va créer une classe map youtube
    • ENSA MARRAKECH29Pour le verus NIMDA on créer une nouvelle classe map appelé NIMDAEt voila les classe map qu’on a créeCréation d’une policy mapL’étape suivante est de créer une police qui filtrera tous les traffic des classe qu’ona crée. Le traffic reconnu par ces classes sera purement et simplement jeté.Et voici les policy-map qu’on a crée
    • ENSA MARRAKECH30Et maintenant on doit l’activer sur l’interface f1/0 du routeur sluggish
    • ENSA MARRAKECH31Ce projet constitue notre expérience pseudo-professionnelle et à vraiment ététrès enrichissant. Le sujet sur lequel nous avons travaillé concerne la sécurité desréseaux, milieu en expansion à l’heure actuelle, car c’est une composanteindispensable des systèmes de communication. Nous avons pu, grâce à ce projet,bénéficier d’autonomie dans notre travail ; nous avons appris à résoudre seuls lesproblèmes auxquels nous avons été confrontés. Le fait de travailler en trinôme nous apermis d’acquérir des compétences relationnelles et une méthode de travail enéquipe.La variété des taches que nous avons eu à accomplir nous à permisd’appréhender de nombreux domaines différents, tels que la recherchedocumentaire, la programmation des listes de contrôle d’accès et les NBAR aussi lamanipulation de GNS3.Nous avons pu ainsi utiliser les connaissances de base que nous avonsacquises au sein de L’ENSA et de les appliquer de façon concrète.Au niveau professionnel, internet est un outil indispensable pourles entreprises qui souhaitent effectuer des opérations tels que destransferts de données, ou bien réaliser du commerce électronique. Orinternet est un large réseau ouvert accessible à tous le monde, ycompris à des personnes malveillantes. Il faut donc mettre au point dessystèmes de sécurité pour empêcher les utilisateurs externes d’accéderaux réseaux internes. Une solution consiste à implémenter des listes decontrôle d’accès ACL sur les interfaces d’un routeur pour filtrer lesflux entrants et sortants. Ce rapport explique le fonctionnement desACL et des NBAR et leur intégration dans une politique de sécurité.Mais ce mécanisme de contrôle du réseau sera-t-il suffisant pourdéjouer toutes les tentatives d’intrusions ?