WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Etude des accès banalisés dans une architecture trois tiers: cas du Sydam World de l'Administration des Douanes ivoiriennes

( Télécharger le fichier original )
par Chontchin Patrice DAGNOGO
ISFOP Abidjan Côte d'Ivoire - Ingénieur système numérique de communication 2010
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

CHAPITRE 4 : MISE EN OEUVRE DE NOTRE SOLUTION

4.1 Mise en place du VPN

a) Matériels utilisés

Par rapport à l'existant, nous disons qu'il n'y a pas d'acquit du point de vu réseau pouvant aider à la mise en place d'un VPN SSL. Ce qui a pour conséquence que la Douane doit s'approprier tout le matériel adéquat à la mise en place d'une nouvelle infrastructure réseau.

Dans le cadre de notre projet, nous avons utilisé deux firewalls CISCO de la gamme ASA 5500 séries, plus précisément le CISCO ASA 5540. Nous avons choisi ce matériel en fonction de nos besoins car il nous apparaissait comme une bonne occasion d'assurer la sécurité de notre réseau. En effet le CISCO ASA de la série 5500 est un système de sécurité haute de gamme. Car il regroupe trois éléments de la gamme Cisco en une seule plate forme, le Cisco PIX firewall, le CISCO VPN 3000 Séries Concentrator et le CISCO IPS 4000 Séries Sensor. Nous pouvons l'utiliser comme Concentrateur VPN.

Pour profiter de tous les avantages qu'offre le CISCO VPN ASA 5500, nous optons pour la version Security plus qui accepte plus de connexions VPN.

NB : les caractéristiques de ce firewall sont présentées en annexe 2.

Nous allons enregistrer la liste des matériels dans le tableau suivant (voir tableau 7)

MATERIEL

TYPE

QUANTITE

Routeur/firewall

Cisco ASA 5540

2

Module d'extension

IPS

2

Commentaire : ce tableau liste les matériels utilisés pour notre infrastructure réseau

Tableau 7 : liste des matériels utilisés pour notre infrastructure réseau

b) Configuration

L'ASA est administré à l'aide du logiciel ASDM (Adaptive Security Device Manager). ASDM permet de réduire la charge d'administration et les erreurs de configuration grâce à son interface graphique.

L'ASA peut aussi se configuré en ligne de commande.

Dans le cadre de notre projet, nous utilisons la ligne de commande. Nous allons configurer étape par étape afin de comprendre cette configuration.

Nous allons expliquer les objectifs de chaque étape et la commande qui l'accompagne.

Pour mettre en place notre solution VPN, nous allons suivre les étapes suivantes

1. Activer le certificat

2. Activer Cisco AnyConnect

3. Création du tunnel et pool d'adresse

4. Configuration du NAT (Network Address Translation)

5. Configuration des ACL (Access Control List)

6. Configuration du serveur radius

7. Création des utilisateurs

Etape 1 : activer le certificat

Par défaut, l'appareil de sécurité a un certificat auto-signé. Il garanti la confidentialité des échanges entre le client et le concentrateur VPN.

Hostname (config)#crypto ca trustpoint localtrust

Hostname (config)# ssl trust-point localtrust outside

Etape 2: activer Cisco Anyconnect

Afin de permettre aux utilisateurs de télécharger le logiciel Anyconnect voici la procédure à suivre.

Hostname (config)#webvpn

Hostname (config-webvpn)#enable outside

Hostname (config-webvpn)#svc enable

Etape 3 : création du tunnel et pool d'adresse

Hostname (config-tunnel-webvpn)#webvpn

Hostname (config-webvpn)#tunnel-group-list enable

Hostname (config)#ip local pool SSLClientPool adresse debut-adresse fin masque

Etape 4 : configuration du NAT

Router( config) # ip nat inside adresse IP privé adresse IP publique

Router( config) # IP privé inside

Router (config)# adresse IP publique

Etape 5: configuration des ACL

Maintenant nous devons indiquer à l'ASA de ne pas NATé le trafic entre les clients d'accès distant et le réseau interne. D'abord nous allons créer une liste d'accès qui définit le trafic. Puis nous allons appliquer cette liste à la déclaration NAT de notre interface.

Hostname (config)# access-list no_nat étendu permit IP adresse debut masque adresse fin masque

Hostname (config)# nat (interieur) no_nat 0 accès à la liste

Etape 6: Configurer mon serveur radius et utilisateur

conf term
!
aaa-server RADIUS_GROUP protocol radius
aaa-server RADIUS_GROUP (inside) host adresse du serveur radius
key cisco123
!
aaa authentication https console RADIUS_GROUP LOCAL
!
end

Etape 7: création des utilisateurs

(config)# username SAGA CI password Pass123

Ainsi nous avons terminé la mise en place de la solution VPN.

Création du firewall virtuel

Nous allons l'utiliser pour créer une DMZ (Zone démilitarisée) privée composé de tous nos serveurs d'application y compris le serveur de base de données SYDAM WORLD pour isoler notre ferme de serveur. Dans un premier temps, un nom est attribué au firewall virtuel et ensuite on lui alloue une interface physique.

conf term

ciscoasa(config)#changeto context system

ciscoasa(config)#

ciscoasa(config)#context context-DMZ nom du firewall

ciscoasa(config-ctx)#

ciscoasa(config-ctx)#allocate-interface Ethernet0/0

end

Dans le firewall virtuel les ports nécessaires seront ouverts pour autoriser le trafic en provenance du serveur SYDAM WORLD vers le serveur de données SYDAM WORLD

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Des chercheurs qui cherchent on en trouve, des chercheurs qui trouvent, on en cherche !"   Charles de Gaulle