Professional Documents
Culture Documents
De Fin de Formation
2008-2010
EITIA
Ralis par :
Yassine BOUAYADI Yassine KHADOUCH
Encadr par :
Nabil BENYOUSSEF
2008-2010
Ddicace
A Mes chers parents que je remercie de tout mon cur pour leurs conseils qui mont guid tout au long de mon chemin dtude ; A mon encadrent qui mas normment aid et soutenu tout au long de la ralisation de travail. Mes formateurs, pour leur formation, leur conseil et leur aide. A mes amis pour leur encouragement et soutien.
2008-2010
Remerciement
On tient exprimer notre gratitude envers Monsieur Nabil BENYOUSSEF notre encadreur qui a toujours rpondu prsent nos sollicitudes, nous a enrichi par sa vision critique des choses, son savoir faire et son savoir tre. On ne peut passer cette occasion sans rendre hommage nos enseignants ainsi Mr Taoufik ZNIBER, Mr Hicham MOHMOH, Mr Franoise HEBERT, Mme Fatima-zahra ZNIBER et tous ceux qui contribuent la russite de la formation en sein de notre tablissement. Enfin, on tient saluer tous ceux qui nous ont aid du prs ou de loin dans ce projet et que nous avons oubli de mentionner. A tous un trs grand merci.
2008-2010
Avant propos
Lobjectif principal de lEcole nationale des technologies informatiques avances (EITIA), cest doffrir une parfaite adquation entre la formation et la demande des professionnels des secteurs.
A cet effet, EITIA oblige ses stagiaires effectuer un projet de fin de formation, qui a pour but damliorer et denrichir leurs connaissances pratique et thorique.
2008-2010
Sommaire
Chapitre 1 : Introduction ......................................................................................... 8 Introduction ................................................................................................................................ 8 Qu'est-ce que la scurit d'un rseau ? .............................................................................. 9 Le pare feu .................................................................................................................................. 9 Chapitre 2 : Cahier des charges ............................................................................ 11 Prsentation gnrale de Electro-House ......................................................................... 11 Organigramme dElectro-House ....................................................................................... 11 Etude de lexistant : ............................................................................................................... 12 Analyse et conception : ........................................................................................................ 13 Les objectifs : .......................................................................................................................... 14 Chapitre 3 : Les outils utiliss ............................................................................... 16 Pare-feu Cisco PIX ................................................................................................................ 16 GNS3 ............................................................................................................................................ 17 Gestion de la politique de scurit Firewall avec le Cisco Adaptive Security Device Manager (ASDM 5.2) : ......................................................................................... 18 Les images IOS : .................................................................................................................... 19 Windows Server 2003 Enterprise Edition : ................................................................... 21 Windows XP Professionnel : .............................................................................................. 21 Cisco VPN Client ................................................................................................................... 22 Kiwi Syslog Daemon ............................................................................................................ 22 SolarWinds TFTP server: .................................................................................................... 23 Chapitre 4: Taches et ralisations techniques .................................................... 25 Installation dActive directory ......................................................................................... 25
Sur le site de Rabat ......................................................................................................................... 25 Sur le site de Casablanca .............................................................................................................. 29
Configuration de la zone DMZ ....................................................................................... 30 Configuration des routeurs ................................................................................................ 31 Configuration de Pare-feu Pix ......................................................................................... 31
Les Interfaces :......................................................................................................................................... 31 ASDM : .................................................................................................................................................... 32
Les stratgies de scurits (ACL) ................................................................................... 34 Translation d'adresse (NAT) ............................................................................................ 36 VPN site site ........................................................................................................................ 37
2008-2010
Accs distant ........................................................................................................................... 38 Les journaux ............................................................................................................................. 39 Chapitre 5: Conclusion ........................................................................................... 41 Conclusion : .............................................................................................................................. 41 Annexe 1 : Webographie : ........................................................................................ 42 Annexe 2 : Configuration du PIX1 (Rabat) : ......................................................... 43 Annexe 3 : Configuration du PIX2 (Casa) : ........................................................... 47 Annexe 4 : Configuration du Routeur1 : ................................................................ 50 Annexe 5 : Configuration du Routeur2 : ................................................................ 52
2008-2010
2008-2010
Chapitre 1 : Introduction
Introduction
Lobjectif du projet est de proposer une solution technologique rpondant au cahier des charges spcifi. La mise en place de la solution permettra de sanctionner par des comptences pratiques l es acquis du cours pare-feu. La socit Electro-House souhaite acqurir une prestation de mise en place dun pare-feu en lieu et place de son routeur existant. Nous allons prsenter une solution de filtrage avec une maquette rpondant aux critres de ce cahier des charges. La socit Electro-House insiste sur le fait quelle souhaite un environnement hautement scuris. Une pondration privilgie du nombre de points sera accorde aux candidats proposant des solutions visant scuris le systme dinformation (liste de contrle d'accs). Nous allons fournir une solution utilisant un systme dexploitation diffrent sur le pare-feu et le serveur, ainsi que de proposer des services diffrents sur les plateformes si possible.
2008-2010
Chapitre 1 : Introduction
Qu'est-ce que la scurit d'un rseau ?
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs desdites machines possdent uniquement les droits qui le ur ont t octroys. Il peut s'agir : Dempcher des personnes non autorises d'agir sur le systme de faon malveillante. Dempcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme. De scuriser les donnes en prvoyant les pannes. De garantir la non-interruption d'un service.
Le pare feu
Un pare feu est un logiciel (software) ou un quipement (hardware) qui permet de bloquer les communications sur les ports TCP et UDP selon les plages d'adresses IP pour les plus performants. C'est un quipement de scurit anti-intrusion. un firewall software s'installe sur les ordinateurs et vrifie les logiciels qui se connectent sur Internet et plus gnralement sur le rseau Ethernet, acceptant la connexion ou non. Ces programmes dtectent et bloquent les trojans, spyware et adware. Par contre, ils ne dtectent pas les manipulations spcifiques comme les attaquent par failles de scurit, les modifications de programmes existants, les modifications de trames TCP/IP. Remarquez que si vous bloquez un spyware avec ce type de parefeu, comme ils se collent littralement sur le navigateur (Internet Explorer, Firefox, ...), la navigation Internet devient gnralement impossible. Un firewall hardware permet de vrifier les portes d'accs en UDP et TCP et de les bloquer ventuellement en fonction de l'adresse de dpart et de l'adresse IP d'arrive. Contrairement au premier type, ces quipements hardware bloquent gnralement une large partie des failles de scurit et des modifications de trames en fermant les portes d'accs. D'autres spcificits comme le Stateful inspection amliorent encore la scurit en analysant les en-ttes des messages (trames). Dans un sens, ces 2 types sont donc complmentaires.
2008-2010
2008-2010
10
Cre en dcembre 1997, Electro-House est une entreprise spcialise dans la vente de matriel lectromnager et multimdia neuf dclass (aspirateur, conglateur, Fours micro-ondes, frigo, Tlviseur LCD, Tlviseur Plasma, Vidoprojecteur, Appareil photo numrique).
Elle met la disposition de sa clientle deux points de vente : le sige situ Rabat et lannexe Casablanca. Electro-House vous propose du matriel d'lectromnager prix discount. Livraison et expdition sous 24/48h dans tout le Maroc des appareils lectromnagers en stock. Garantie 2 ans et 5 an s.
Organigramme dElectro-House
2008-2010
11
Rabat
Casablanca
La socit Electro-House est compose de 13 stations de travail et de deux contrleurs de domaine le principale Rabat et le supplmentaire Casablanca. La premire maquette est une maquette trs simple et trs peu scuris pour pouvoir permettre de mettre en vidence les failles dune architecture faible. ELECTRO-HOUSE un site web qui a t hberg dans le serveur du fournisseur d'accs et ils veulent quil soit hberger dans leur serveur local. ELECTRO-HOUSE utilise une ligne spcialis pour le partage des ressources entre les deux sites de Rabat et Casablanca, ce qui coute trs cher (7000 DH pour chaque site, ce qui donne 168000 DH par an pour les deux sites). Le rseau actuel utilise un adressage public non-conforme la RFC 1918. Le prestataire devra fournir une suggestion dun nouveau plan dadressage, La maquette devra tre construite sur ce nouveau rseau. Pour des raisons de compatibilit avec ladressage prcdent et des contraintes oprateurs, le serveur devra tre translat sur Internet avec une adresse diffrente de celle du pare-feu (NAT).
2008-2010
12
Rabat
Casablanca
Nous avons tout dabord effac les prcdentes configurations qui avaient t mises en place sur les diffrents quipements rseau (switchs et routeur) pour avoir une base de configuration seine. Nous avons ensuite implant trois switchs deux Rabat et un Casablanca sans aucune configuration spciale. Sur le premier switch nous avons branch le Pare-feu PIX et cest aussi sur ce switch que vont se brancher les machines des clients. Sur le deuxime switch nous avons branch aussi le Pare-feu PIX et le serveur Web DMZ. Et sur le troisime Qui sera Casablanca nous avons branch le pare-feu Pix et les ordinateurs des clients du rseau interne Ensuite nous avons configur deux Routeurs Cisco 7200 correspondront trs bien notre architecture. Ces routeurs auront pour mission deffectuer le routage entre les deux sites de Rabat et Casablanca. Aura donc comme adresse 80.80.1.0 sur le rseau li au Pix1 de Rabat et 80.80.2.0 sur le rseau li au Pix2 de Casablanca et 80.80.3.0 sur le rseau entre les deux routeurs. Le reste de la configuration ne comporte rien de spcial elle est scuris comme celle de tous les quipements que nous avons mis en place sur la maquette : - Mot de passe de login - Mot de passe telnet - Mot de passe Console - Cryptage des mots de passe Et ce qui concerne le partage des ressource nous avons mise en place une solution dun tunnel VPN bien scuris qui ce base seulement sur linternet.
2008-2010
13
Fournir un accs Internet sans restriction pour chaque machine du rseau interne. Utiliser un jeu de rgles bloquant tout flux par dfaut. Rediriger les tentatives de connexion sur le port TCP 80 (qui sont des tentatives d'accs un serveur Web/FTP)
La mise en place d'un VPN entre 2 Sites distants Laccs distant au serveur depuis lextrieur du rseau (internet) gnrer un fichier de log pour suivre l'tat du pare-feu
2008-2010
14
2008-2010
15
Les Pix (Firewall Cisco) sont des appareils de scurisation hautes performances, simple dinstallation condition de disposer d'un minimum de connaissance Cisco. il vous permet de protger votre rseau interne des attaques extrieurs ainsi que de rduire le trafique du rseau interne en limitant les accs certains ports. Contrairement aux firewalls software, gros consommateurs de ressources systme, qui appliquent des procdures de scurit chaque paquet de donnes au niveau applicatif, les Pix utilisent un systme ddi de scurisation en temps rel. Les Pix sont donc trs performants. Leurs capacits dpassent de loin celles des autres firewalls (pare-feu) ddis ou des pare-feu logiciels. Le pare-feu devra fournir un accs HTTP aux machines du rseau local et protger laccs aux services publis du serveur de la socit Electro-House. Aucune connexion directe entre une machine externe et le serveur publi ne sera possible via le filtre de paquets par la configuration de : ACL bases sur les adresses, l'heure et les protocoles Filtrage de java/activeX Le filtrage d'URL Vrification des restrictions de trafic entrant NAT statique/dynamique
2008-2010
16
GNS3 est un simulateur d'quipements Cisco capable de charger des vraies images de l'IOS de Cisco permettant ainsi d'muler entirement des routeurs ou firewalls Cisco et de les utiliser en simulation com plte sur un simple ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer l'aide d'un compte Cisco CCO par exemple. Ou grce Google. Cet outil est parfait pour se prparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE. Afin de permettre des simulations compltes, GNS3 est fortement li avec: Dynamips : un mulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems. Dynagen : une interface en mode text pour Dynamips. Pemu : mulateur PIX GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.
2008-2010
17
Pour plus de facilit, les Cisco Pix Firewall sont livrs avec un logiciel d'administration graphique (ASDM). ASDM permet l'administrateur rseau de configurer et de grer le pare-feu Pix Firewall l'aide d'une interface GUI. Il permet de rcuprer, modifier et administrer les politiques de scurit ainsi que de faire du monitoring Grce lASDM, les administrateurs rseau peuvent effectuer des analyses statistiques sur les tentatives d'accs non autoriss, la densit du trafic et les enregistrements. Les administrateurs du rseau peuvent tre tenu inform des surcharges rseau ou des tentatives dattaques. Ces informations peuvent tre envoyes sur un serveur syslog sans difficult de mise en place. Les logiciels de gestion tel que ASDM permettent aux firewalls Pix dtre grs depuis n'importe quel ordinateur et indpendamment du systme d'exploitation. Ce dernier point est bien souvent une exigence essentielle des applications e-business. De plus, il est possible
2008-2010
18
Glisser-dplacer, dition des rgles en ligne, assistants de configuration assistants de mise jour logicielle et puissante aide en ligne permettent une installation initiale et des changements de rgles sans souci, sans commande complexe et sans risque d'erreur. Diagnostics Puissants: Traceur de paquets, corrlation log-policy et aide en ligne sur les logs permettent de rduire considrablement le temps et la complexit d'administration. Monitoring Temps Rel: tableaux de bord pour quipement, politique firewall, scurit du contenu ou IPS. Graphes temps rel et historiques. Souplesse d'Administration : l'architecture scurise et la lgret de l'application autorisent l'administration distance de plusieurs appliances, depuis des environnements comme Windows XP, Vista, 2003 Server ou MacOS X. ASDM est fourni gratuitement avec le pare-feu PIX.
2008-2010
19
2008-2010
20
Windows XP Professionnel :
Windows XP est un systme d'exploitation multitche. Conu et ralis par Microsoft en 2001. Il est destin tout usage aussi bien sur ordinateur (PC ou portable,...) que sur des matriels spcifiques. Son appellation XP vient du mot exprience . Alors que de nouvelles versions du systme d'exploitation Windows ont t ralis depuis Windows XP a t lanc, il reste le plus populaire parmi les individus en raison de sa grande taille dans le march qu'il est captur lors de sa cration. Si un PC avec Windows XP se bloque, il est parfois possible de dmarrer l'ordinateur et de le restaurer en utilisant un CD de restauration pour Windows XP.
2008-2010
21
Kiwi Syslog Daemon est un Daemon Syslog gratuit pour les plateformes Windows. Il reoit, enregistre, affiche et transfert les messages(jaurnaux) Syslog envoys par des serveurs tels que des routeurs, firewalls, switchs, serveurs Unix et n'importe quel autre dispositif Syslog. Une multitude d'options sont configurables.
2008-2010
22
Simultanment et de manire fiable le transfert de plusieurs fichiers la fois avec Solarwinds TFTP Server Solarwinds TFTP Server est un serveur multi-thread serveur TFTP qui peut tre utilis pour tlcharger / uploader des images excutables et les configurations de commutateurs, routeurs, hubs, Pare-feu Pix, etc Solarwinds TFTP Server est un logiciel qui aide les ingnieurs de rseau avec des projets allant de simples transferts de fichiers un grand rseau d'audit des projets.
2008-2010
23
2008-2010
24
Linstallation du serveur dns-active directory a t faite avec le minimum requis par le systme pour une installation de base . Cette installation sest droule dbranch de tout rseau afin dviter toute attaque pouvant venir de lInternet. Nous avons dcid de crer un compte Windows active directory pour chaque utilisateur de la maquette. Nous avons choisi de nommer les comptes de la manire suivante : gesX, markX . Par dfaut, lors de la cration, chaque compte est protg par un mot de passe gnrique; il appartient ensuite lutilisateur de le changer lors de sa premire connexion au systme. Seul le mot de passe administrateur a t cr pour rendre plus difficile les attaques car il tait compos de lettres et de chiffres sur 8 caractres. Celui ci na pas t chang au cours de lexploitation. Cest ce compte qui est aussi utilis pour administrer les machines qui appartiennent au domaine. Cest aussi le seul compte autoris accder directement ce serveur pour ladministrer ou effectuer des modifications. Nous avons aussi configurs le DNS de Rabat comme une zone principale qui va faire le mappage de ladresse de la page web depuis ladresse du serveur DMZ (172.16.1.20) www.electro -house.net, et le
2008-2010
25
2. Sur la premire page de l'Assistant Installation d'Active Directory, cliquez sur Suivant. 3. Sur la page suivante de l'Assistant d'Installation d'Active Directory, cliquez sur Suivant. 4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis sur Suivant.
2008-2010
26
6. Sur la page Nom du nouveau domaine, dans la zone Nom DNS complet du nouveau domaine, tapez electro-house.ma, puis cliquez sur Suivant.
7. Sur la page Dossiers de la base de donnes et du journal, acceptez les valeurs par dfaut des zones Dossier de la base de donnes et Dossier du journal, puis cliquez sur Suivant. 8. Sur la page Volume systme partag, acceptez la valeur par dfaut de la zone Emplacement du dossier, puis cliquez sur Suivant.
2008-2010
27
10. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systmes d'exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 11. Sur la page Mot de passe administrateur de restauration des services d'annuaire, entrez un mot de passe dans la zone Mot de passe du mode de restauration, confirmez-le en le tapant une seconde fois dans la zone Confirmer le mot de passe, puis cliquez sur Suivant. 12. Sur la page Rsum, vrifiez que vos informations sont correctes et cliquez sur Suivant.
13. Lorsque vous tes invit redmarrer l'ordinateur, cliquez Redmarrer maintenant.
2008-2010
28
Remarque : avant dinstaller le contrleur de domaine supplmentaire il faut dabord configurer le VPN site site sur le Pix1 et Pix2, pour rpliquer les donnes de l'annuaire entre les contrleurs de domaine.
2008-2010
29
Pour ce qui est du serveur WebFTP, linstallation a suivi les mmes rgles de base. Afin de garantir le contenu du site web, seul ladministrateur du serveur et celui du domaine ont un accs complet au serveur et sa configuration et sont responsables des pages publies. Le serveur FTP tait configur de base avec un compte anonyme ayant accs en lecture et criture sans limite. Nous avons utilise pour la configuration de la zone DMZ le service IIS (Internet Information Services) qui est un ensemble de services TCP/IP ddis l'Internet, Son rle est de raliser un serveur accessible via le rseau Internet/Intranet ce qui permet d'avoir ses fichiers personnels o que vous soyez et, d'hberger votre site Internet sur votre propre PC.
2008-2010
30
Pour le routeur1 Nous avons chang son adresse li au Pix1 qui est passe a une Adresse publique sur le rseau 80.80.1.0/24 et sur le rseau li au routeur2 nous avons chang ladresse 80.80.3.0/24 et sur le rseau li au Pix2 nous avons chang ladresse 80.80.2.0/24 aprs Nous avons configur le Routage effectu par du Rip V2 entre le routeur1 et le routeur2 et finalement nous avons configur les mots de passes de mode privilge, Telnet et Console.
2008-2010
31
Puis sur la console de Pix nous avons commenc tlcharger limage ASDM depuis le serveur TFTP.
2008-2010
32
Et finalement pour accde ASDM On click sur licone Cisco ASDM Launcher et on entre ladresse de linterface interne du Pix (192.168.1.1) et on entre le login et le mot de passe
2008-2010
33
2008-2010
34
Dans notre maquette nous avons cre une rgle qui permet le trafic entre le rseau interne et le rseau DMZ. Nous avons aussi cre des rgles gui permet le trafic HTTP, HTTPS, FTP, DNS qui arrive depuis le rseau externe passant par linterface outside de Pix (80.80.1.1) qui vas tre redirig par le NAT vers le rseau DMZ pour que les clients peut accder au serveur Web et FTP.
2008-2010
35
2008-2010
36
Nous allons ici considrer que le site de Rabat est le site principal et quil hbergera la partie serveur du tunnel et que le rseau local est en 192.168.1.0. Le site de Casablanca sera configur en mode client avec un rseau local en 10.10.10.0.
2008-2010
37
Finalement on va passer lASDM pour commencer la configuration du VPN. Nous avons ici considres le rseau interne de site de Rabat comme le serveur VPN qui recevoir les connexions Accs distant qui arriver de nimport quel rseau dans linternet.
2008-2010
38
En utilisant le programme Kiwi Syslog Daemon tous les journaux gnrs par le systme et les services devront tre exports sur le pare-feu (en temps rel ou par lintermdiaire dune tche planifie journalire en fonction du service). Le pare-feu devra gnrer un fichier de log par jour et par service ou groupe de services. Un processus danalyse et de corrlation des journaux devra tre excut sur le pare-feu intervalle rgulier. En cas danomalie (chec dauthentification par exemple), une alerte par email par lintermdiaire du serveur de messagerie devra tre dclenche. On trouve les journaux gnres en bas dans longlet HOME de ASDM.
2008-2010
39
2008-2010
40
Chapitre 5: Conclusion
Conclusion :
La scurit a toujours t un concept important. De nos jours, les donnes sensibles tant toutes informatises, il est ncessaire de bien les protger afin d'en garantir leur confidentialit et leur intgrit. Pour cela, il faut mettre en place des protections plusieurs niveaux, notamment une barrire au niveau du rseau. Diffrentes solutions existent, la plus rpandue est l'utilisation d'un pare-feu, logiciel ou matriel. Un pare-feu protge un ordinateur ou un rseau en filtrant les donnes changes avec d'autres rseaux. C'est un lment essentiel mettre en place ; il n'y a pas, ou peu, de rseaux actuellement qui ne soient ainsi protgs. Nous vous avons donc prsent le pare-feu Cisco PIX qui prsente l'avantage d'tre fourni. Nous avons galement vu comment le configurer avec les outils les plus importantes.
2008-2010
41
Annexe 1 : Webographie :
Nous avons utilises pour raliser ce projet les sources web suivant : http://www.google.fr Des Documents PDF, DOC, PPT http://lo.st/ http://www.telecom-reseaux.net Installer ASDM sur un PIX sous GNS3 : http://www.telecom-reseaux.net/reseaux/installer-asdm-sur-un-pix-sous-gns3-151 http://www.cisco.com Most Common L2L and Remote Access IPsec VPN Troubleshooting Solutions: http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a00807e0aca.shtml #solution14 PIX/ASA 7.x and Cisco VPN Client 4.x with Windows 2003 IAS RADIUS (Against Active Directory) Authentication Configuration Example: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example 09186a00806de37e.shtml#configs PIX/ASA: Establish and Troubleshoot Connectivity through the Cisco Security Appliance: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080 09402f.shtml
2008-2010
42
De Rabat$
2008-2010
43
access-list outside_access_in extended permit tcp any host 80.80.1.1 eq domain access-list outside_access_in extended permit udp any host 80.80.1.1 eq domain access-list outside_access_in extended permit tcp any eq ftp host 80.80.1.1 eq ftp access-list outside_20_cryptomap extended permit ip 192.168.1.0 255.255.255.0 80.80.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list vpnpix_splitTunnelAcl_1 standard permit 192.168.1.0 255.255.255.0 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.1.32 255.255.255.224 access-list INSIDE_nat0_outbound extended permit ip any 192.168.1.0 255.255.255.128 access-list INSIDE_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list dmz_access_in extended permit ip host 172.16.1.20 192.168.1.0 255.255.255.0 access-list outside_20_cryptomap_1 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 pager lines 24 logging enable logging timestamp logging trap warnings logging asdm informational logging device-id hostname logging host INSIDE 192.168.1.4 logging debug-trace mtu outside 1500 mtu INSIDE 1500 mtu dmz 1500 ip local pool vpn2 192.168.1.40-192.168.1.60 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo-reply dmz icmp permit any unreachable dmz asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (INSIDE) 0 access-list INSIDE_nat0_outbound nat (INSIDE) 1 192.168.1.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.1.20 www netmask 255.255.255.255 static (dmz,outside) tcp interface domain 172.16.1.20 domain netmask 255.255.255.255
2008-2010
44
static (dmz,outside) udp interface domain 172.16.1.20 domain netmask 255.255.255.255 static (dmz,outside) tcp interface ftp 172.16.1.20 ftp netmask 255.255.255.255 static (INSIDE,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 80.80.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 192.168.1.3 key cisco radius-common-pw cisco group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol l2tp-ipsec group-policy vpn2 internal group-policy vpn2 attributes dns-server value 192.168.1.3 vpn-tunnel-protocol IPSec default-domain value electro-house.ma username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter java 80 80.80.1.0 255.255.255.0 172.16.1.0 255.255.255.0 http server enable http 192.168.1.4 255.255.255.255 INSIDE no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DESSHA crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.2.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des 2008-2010
45
hash sha group 2 lifetime 86400 tunnel-group 80.80.2.1 type ipsec-l2l tunnel-group 80.80.2.1 ipsec-attributes pre-shared-key * tunnel-group vpn2 type ipsec-ra tunnel-group vpn2 general-attributes address-pool vpn2 authentication-server-group vpnclient default-group-policy vpn2 tunnel-group vpn2 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect sunrpc inspect rsh inspect rtsp inspect sip inspect skinny inspect esmtp inspect sqlnet inspect tftp inspect xdmcp inspect dns ! service-policy global_policy global prompt hostname context Cryptochecksum:0fc9bb4ff02b1734c39aa2afef184328 : end
2008-2010
46
2008-2010
47
access-list 101 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255. 255.0 access-list outside_20_cryptomap_1 extended permit ip 10.10.10.0 255.255.255.0 1 92.168.1.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 10.10.10.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 80.80.2.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcppat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server vpnclient protocol radius aaa-server vpnclient host 10.10.10.3 key cisco123 radius-common-pw cisco123 username yassine password 7/i9E/xe9Z6U3Kx5 encrypted privilege 15 http server enable http 10.10.10.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 20 match address outside_20_cryptomap_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 80.80.1.1 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 2008-2010
48
lifetime 86400 tunnel-group 80.80.1.1 type ipsec-l2l tunnel-group 80.80.1.1 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! ! prompt hostname context Cryptochecksum:bae775f58f0119af4f7cfe6c3715edec : end
2008-2010
49
2008-2010
50
interface FastEthernet1/1 ip address 80.80.3.1 255.255.255.0 duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end
2008-2010
51
2008-2010
52
ip address 80.80.3.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/0 ip address 90.90.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router rip network 10.0.0.0 network 80.0.0.0 network 90.0.0.0 network 172.16.0.0 network 192.168.1.0 ! ip classless no ip http server ! ! ! ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end
2008-2010
53