Configuration de Vlan et d’un pare feu Check Point SIO [Tapez un texte] ITIC PARIS Brochard...
Transcript of Configuration de Vlan et d’un pare feu Check Point SIO [Tapez un texte] ITIC PARIS Brochard...
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 2 sur 26
Sommaire I. Qu’est-ce que Check Point. ............................................................................................................. 3
II. Tableau d’adressage IP. ................................................................................................................... 4
III. Configuration du switch. ............................................................................................................. 4
IV. Installation et Configuration du pare feu Check Point ................................................................ 8
1. Installation ................................................................................................................................... 8
2. Configuration du pare feu ......................................................................................................... 12
V. Configuration des règles du pare feu. ........................................................................................... 19
1. Les objets ................................................................................................................................... 20
2. Les règles ................................................................................................................................... 22
3. Quelques exemples de règles. ................................................................................................... 23
4. Sauvegarde des règles. .............................................................................................................. 23
VI. Les Logs. ..................................................................................................................................... 25
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 3 sur 26
Plan du réseau :
I. Qu’est-ce que Check Point. Check Point utilise un système d’exploitation de type Red Hat permettant l’installation d’un pare
feu sur un serveur. Check Point est composé de plusieurs modules, le pare-feu en lui-même, le
SmartCenterServer (SCS) permettant de gérer un ou plusieurs pare feu, ainsi qu’un serveur Log et
enfin une application servant d’interface au SCS sur un poste client. Ces modules peuvent être
installés sur un même serveur ou sur différents équipements.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 4 sur 26
II. Tableau d’adressage IP. Vlan Adresse réseau Première adresse Dernière adresse Masque
192.168.1.0 192.168.1.1 192.168.1.254 255.255.255.0
10.10.0.0 10.10.0.1 10.10.0.254 255.255.255.0
Vlan 2 Client 10.10.0.8 10.10.0.9 10.10.0.14 255.255.255.248
Vlan 3 DMZ 10.10.0.16 10.10.0.17 10.10.0.22 255.255.255.248
III. Configuration du switch. D’abord, brancher le pc administrateur sur le switch via un câble console et un adaptateur. La
première étape est d’effacer le contenu du switch :
Switch>en
Switch#Erase startup-config
Puis effacer les fichiers présents dans cette commande sauf le système d’exploitation
Switch#show flash :
Switch#erase « fichier_à_supprimer »
Ensuite, assigner un mot de passe normal et un mot de passe secret au switch :
Switch#conf t
Switch(config)#enable password « mot_de_passe »
Switch(config)#enable secret « mot_de_passe »
Puis configurer les différentes lignes selon vos besoins :
Switch(config)#line console 0
Switch(config-line)#password « mot_de_passe »
Switch(config-line)#exit
Switch(config)#line vty 0 4
Switch(config-line)#timeout 3 30
Switch(config-line)#password « mot_de_passe »
Switch(config-line)#login
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 5 sur 26
Switch(config-line)#transport input telnet (Attention si vous avez pas mis de mot de passe vous ne pourrez pas y accéder)
Switch(config-line)#exit
Switch(config)#ip domaine-name mydomain.com
Switch(config)#crypto key generate rsa
Switch(config)#ip ssh version 2
Switch(config)#line vty 5 15
Switch(config-line)#timeout 3 30
Switch(config-line)#password « mot_de_passe »
Switch(config-line)#login
Switch(config-line)#transport input ssh (Attention si vous avez pas mis de mot de passe vous ne pourrez pas y accéder)
Maintenant, assigner une adresse IP à la VLAN administration (vlan 1 par défaut) puis créer les vlans dont nous aurons besoin :
Switch(config)#int vlan 1
Switch(config-if)#ip address 10.10.0.2 255.255.255.0
Switch(config-if)#exit
Switch(config)#vlan 2
Switch(config-if)#name Client
Switch(config-if)#exit
Switch(config)#vlan 3
Switch(config-if)#name DMZ
Switch(config-if)#exit
Assigner les ports sur chacune des vlans :
Switch(config)#int range Gi1/0/1-5
Switch(config-if-range)#switchport mode acces
Switch(config-if-range)#switchport access vlan 2
Switch(config-if-range)#no shut
Switch(config-if-range)#exit
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 6 sur 26
Switch(config)#int range Gi1/0/6-10
Switch(config-if-range)#switchport mode acces
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#no shut
Switch(config-if-range)#exit
Trunker le port du pare feu :
Switch(config)#int Gi1/0/11
Switch(config-if)#switchport encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#no shut
Switch(config-if)#end
Vérifier si la configuration du switch est correcte :
Switch#sh vlan
Switch#sh run
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 7 sur 26
Sauvegarder la configuration :
Switch#copy run start
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 8 sur 26
IV. Installation et Configuration du pare feu Check Point
1. Installation Les modules de pare feu SCS et Log seront installé sur un serveur Red Hat et l’application
SmartDashBoard sur un poste client Windows 8. L’installation se fait grâce à un CD-ROM.
Commencer par rebooter la machine après avoir mis le disque. Cette page devrait s’afficher :
Appuyer sur Entrer pour continuer. Une fenêtre apparaît avec plusieurs menus.
Device List permet de vérifier si le matériel est bien détecté comme les cartes réseaux.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 9 sur 26
Add Driver permet de rajouter les drivers pour Check Point.
Cliquer sur OK pour continuer. Choisir la version de Check point Normal ou Pro, il faut
disposer d’une licence pour pouvoir utiliser cette dernière. Cliquer ensuite sur OK.
Choisir le type de clavier qui sera utilisé sur cette machine.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 10 sur 26
Configurer la carte réseau qui servira d’interface pour l’administrateur. Choisir l’interface et
entrer l’adresse IP, le masque et la passerelle par défaut.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 11 sur 26
Configurer le port permettant la configuration du Firewall par la suite par un navigateur Web
(il est possible de le configurer directement sur le Firewall en ligne de commande). Cliquer sur OK.
Cliquer enfin sur OK pour lancer l’installation et attendre la fin de celle-ci.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 12 sur 26
Après l’installation, appuyer sur Entrer pour reboot le Firewall et retirer le CD-ROM.
2. Configuration du pare feu Se connecter au serveur par un navigateur (IE conseillé) et entrer l’adresse
https:// « adresse_ip_du_pare_feu». Entrer « admin » dans User name et dans Password.
Nous arrivons dans la page de statut du serveur indiquant la version le type et la date d’installation…
Les informations sur la configuration de la carte réseau sont aussi présentes (ici déjà configurée).
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 13 sur 26
Cliquer sur Network/Connections pour configurer toutes les interfaces et sous-interfaces.
Cliquer sur New pour créer une nouvelle interface (sous-interface) et choisir le type ou cliquer sur
une des interfaces déjà existantes pour la modifier.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 14 sur 26
Entrer l’adresse IP de l’interface et son masque puis cliquer sur Apply.
Cliquer ensuite sur Routing pour vérifier que les routes se sont bien créer pour chaque
réseau et sous-réseau. Cliquer sur New puis Default Route pour ajouter la route par défaut.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 15 sur 26
Entrer l’adresse du réseau et son masque puis cliquer sur Apply.
Cliquer sur DNS et entrer l’adresse IP des DNS utilisés puis cliquer sur Apply.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 16 sur 26
Cliquer sur Domain, entrer le nom du pare feu et choisir l’interface pour l’administration.
Cliquer sur Device puis Date and time pour régler l’horloge du FireWall (manuel ou ntp).
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 17 sur 26
Cliquer sur Device administrators et créer les comptes administrateur pour le firewall.
Cliquer sur Web & SSH Client puis activer le protocole SSH en donnant accès à tous les adresses.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 18 sur 26
Cliquer sur Product Configuration puis Management Administrators pour créer un compte
administrateur pour SCS.
Cliquer sur Management GUI Client pour donner accès au SCS grâce à une adresse IP.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 19 sur 26
Cliquer sur Device puis Download SmartConsole Application pour télécharger l’application
permettant d’avoir accès aux différentes fonctionnalités du FireWall.
V. Configuration des règles du pare feu.
Installer le logiciel téléchargé précédemment puis cliquer sur l’icône suivante.
Une fenêtre s’ouvre, entrer le login et le mot de passe de l’administrateur management puis
l’adresse de l’interface administrateur du FireWall (configurée précédemment).
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 20 sur 26
1. Les objets Commencer par créer les objets et leur assigner leur adresse IP respective. Ils serviront de
sources et de destinations représentant les différentes machines, les réseaux et autres serveurs tels
que les DNS pour avoir accès aux sites par leur nom de domaine (Google 8.8.8.8).
Pour créer un objet, faire un clic droit sur Nodes puis glisser la sourie sur Node et cliquer sur Host. Une nouvelle fenêtre s’affiche. Choisir un nom pour l’objet ainsi que l’adresse IP qui lui est attribuée.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 21 sur 26
Cliquer ensuite sur NAT (Network Address Translation). Cela permettra de lier l’adresse IP privée de l’objet avec l’adresse IP publique du Firewall, l’utilisateur pourra alors envoyer des trames vers internet. Cocher Add Automatic Address Translation Rules pour que le Firewall assigne automatique une adresse IP publique puis choisir entre le mode Hide (dynamique = plusieurs adresses IP privées pour une adresse publique) ou Static (lie une adresse IP publique avec une seule adresse IP privée). Cliquer enfin sur OK.
Faire la même manipulation pour créer un objet réseau (VLAN). Entrer un nom, son adresse IP et son masque.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 22 sur 26
Cliquer sur NAT et choisir les options désirées. Puis cliquer sur OK.
2. Les règles Créer les règles avec les objets enregistrés pour que le réseau fonctionne correctement. Voici les
différents champs à remplir.
NO. : Numéro de la règle, les règles s’appliquent dans l’ordre croissant.
NAME : Nom de la règle pour pouvoir mieux identifier les règles utilisées dans les LOG.
SOURCE : Objets envoyant la trame.
DESTINATION : Objets recevant la trame.
VPN : Indique si le trafic autorisé ou refusé doit être en clair ou chiffré.
SERVICE : Indique pour quel protocole la trame est refusée ou autorisée (UDP, TCP, ICMP, http, https)
ACTION : Trame autorisé, bloqué ou rejeté (envoi un message à la source)
TRACK : Enregistrement sur des LOG des utilisations de la règle, création d’alerte ou envoi d’un
message par mail.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 23 sur 26
INSTALL ON : Firewall destinataire de la règle.
TIME : Période d’activation de la règle.
COMMENT : Commentaire sur l’utilité de la règle.
3. Quelques exemples de règles.
1. Permet à l’administrateur d’avoir accès au Firewall pour pouvoir le configurer.
2. Bloque l’accès au Firewall pour les autres trafics.
3. Permet à l’administrateur de ping les équipements du réseau.
4. Permet à l’administrateur d’utiliser les noms de domaine pour la navigation sur Internet (ici
DNS de Google et un DNS auxiliaire).
5. Permet à l’administrateur d’ouvrir des pages HTTP et HTTPS ainsi que l’utilisation d’un proxy.
6. Permet la communication HTTP et ICMP de la VLAN Client à la VLAN DMZ.
7. Bloque toutes les autres trames.
4. Sauvegarde des règles.
Après avoir créer les règles, ne pas oublier de sauvegarder. Cliquer sur l’icône . Une fenêtre s’ouvre. Cliquer sur OK.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 24 sur 26
Sélectionner les Firewalls sur lesquels les règles vont être installées puis cliquer sur OK.
Attendre que les règles soient vérifiées et installées.
BTS SIO [Tapez un texte] ITIC PARIS
Brochard Florent VLAN et Check Point Page 25 sur 26
Une fois terminée, il est possible de voir les warnings. Cliquer sur Show Warnings pour plus d’information. Cliquer sur Close pour finir.
VI. Les Logs.
Pour pouvoir suivre le trafic sur le réseau, cliquer sur l’icône suivante.
Cet utilitaire permet de voir les logs des règles du firewall pour lesquelles l’option Log a été
activée. Une fenêtre demandera un mot de passe comme précédemment.