Choix et justification du matériel

Plusieurs équipementiers réseaux tels que CISCO, VIOLA Systems, JUNIPER, etc… offrent des gammes variées de routeurs supportant la technologie 3G et compatible avec les versions largement déployées que sont la 2,5G et 2,75G (GPRS et EDGE). Dans le cadre de nos travaux, nous avons choisi le routeur Cisco 881G-SEC-K9 with 3G Modem du constructeur CISCO (voir sa présentation en annexe 5).

Ce choix a été opéré sur la base des multiples innovations réalisées en matière de sécurité dans le domaine par le constructeur, le plaçant résolument en tête de l‟industrie.

Réalisé par CHOUTY Nabil A. Page 68 5.1.2.1. Fonctionnalités du routeur

Le routeur CISCO 881G-SEC-K9 with 3G Modem offre une connectivité à la fois filaire et sans fil à travers une multitude de protocoles tels que :

 Le protocole de liaison de données (Ethernet, Fast Ethernet, IEEE 802.11b, etc.) ;

 Le protocole réseau et transport (IPSec, L2TP, FTP, etc.) ;

 Le protocole de routage (RIP-1, OSPF, EIGRP, etc.) ;

 Le protocole de gestion à distance (Telnet, SSH, SNMP, Ping, etc.) ;

 Etc.

Parmi les multiples fonctions réalisées par le routeur, nous avons entre autres la prise en charge de VPN site-à-site jusqu‟à 20, l‟équilibrage de charge, la prise en charge du réseau local (LAN) virtuel, la régulation de trafic, le filtrage par adresse MAC, le filtrage de contenu, la prévention contre les intrusions grâce aux services IP avancés, l‟authentification, etc.

En outre le routeur CISCO 881G-SEC-K9 with 3G Modem fournit :

 La possibilité de gérer des liaisons WAN redondantes, entre les technologies filaire et sans fil, permet d‟assurer la continuité des activités en cas de panne de la liaison principale.

 Une amélioration de la sécurité pour protéger les données d'affaires: un pare-feu à inspection d‟état intégré protège le périmètre du réseau avec une sécurité avancée. IP sécurisé (IPSec), Triple Data Encryption Standard (3DES) et Advanced Encryption Standard (AES) aident à assurer la confidentialité des

Réalisé par CHOUTY Nabil A. Page 69 données sur Internet. Les systèmes de prévention d‟intrusions (IPS) sophistiqués permettent de détecter et d'atténuer les menaces à la sécurité.

 Etc.

5.1.2.2. Fonctions de sécurité intégrées du routeur Les routeurs CISCO 881G-SEC-K9 with 3G Modem supportent un vaste éventail de fonctions de sécurité qui permet aux administrateurs réseaux d‟identifier et de prévenir les menaces de sécurité et d‟y réagir efficacement. Le réseau à autodéfense Cisco (Cisco Self-Defending Network) contenu dans le logiciel IOS de Cisco dispose d‟un certain nombre de protection qui s‟appliquent au niveau du routeur.

 Tunnelisation et cryptage des VPN

Les VPN constituent le mode de connectivité de réseau qui a connu la plus forte croissance et Cisco renforce sa valeur ajoutée dans ce domaine en intégrant les fonctions correspondantes au niveau matériel dans la gamme routeurs à services intégrés. Les routeurs Cisco 881G sont équipés d‟une accélération matérielle intégrée des fonctions de cryptage IPSec (AES, 3DES et DES) et des processus VPN pour augmenter le débit des réseaux privés virtuels. Parmi les principales fonctions des accélérateurs VPN intégrés, nous avons :

 L‟accélération du cryptage IPSec à des vitesses compatibles avec des débits T3/E3 full-duplex multiples ;

 L‟accélération matérielle des algorithmes de cryptage DES, 3DES et AES (128, 192 et 256) sur tous les modules à intégration de service ;

Réalisé par CHOUTY Nabil A. Page 70

 Le support des signatures de l‟algorithme RSA (Rivest, Shamir, Aldeman) et Diffie-Hellman pour l‟authentification ;

 L‟utilisation des algorithmes de hachage SHA-1 (Secure Hash Algorithm 1) ou MD5 (Message Digest Algorithm 5) qui garantissent l‟intégrité des données,

En plus des services génériques IPSec, les routeurs à services intégrés peuvent également utiliser une technique de tunnelisation particulière qui associe les protocoles IPSec et GRE (Generic Routing Encapsulation). L‟encapsulation GRE avec IPSec est une solution originale développée par Cisco qui permet la transmission de protocoles de routage dynamiques sur le VPN et de garantir ainsi une plus grande robustesse du réseau plus que les solutions IPSec seules.

 Contrôle NAC (Network Admissions Control)

Le contrôle NAC (Network Admission Control) est le fruit d‟une collaboration menée par Cisco Systems avec l‟ensemble de l‟industrie pour garantir que chaque point d‟extrémité respecte les politiques de sécurité avant de pouvoir obtenir un accès au réseau, et de réduire ainsi les dégâts que peuvent occasionner les virus et les vers. NAC contrôle l‟accès au réseau en interrogeant les postes de travail au moment de leur connexion au réseau pour vérifier qu‟ils sont en conformité avec la politique de sécurité de l‟entreprise.

Le contrôle NAC peut être activé sur les routeurs Cisco 881G-SEC-K9 with 3G Modem disposant des packages logiciels IOS Advanced Security, Advanced IP Services ou Advanced Enterprise Services.

Réalisé par CHOUTY Nabil A. Page 71

 Authentification, Autorisation et Administration (AAA)

Les services de sécurité de réseau AAA (Authentification, Autorisation, Administration) de la plate-forme logicielle Cisco IOS constituent le cadre principal de la définition du contrôle d‟accès sur un routeur ou un serveur d‟accès. AAA est conçu pour permettre aux administrateurs de configurer de manière dynamique le type d‟authentification et d‟autorisation qu‟ils souhaitent en fonction de la liaison (par utilisateur) ou du service à l‟aide de listes de méthodes applicables à des services ou des interfaces spécifiques.

 Les ACL

Les listes de contrôle d‟accès (ACL pour Access Control List) est un script de configuration de routeur pour l‟autorisation ou le refus de passage des paquets, conformément aux critères stipulés dans leur en-tête. Les listes de contrôle d‟accès sont les objets les plus couramment utilisés dans le logiciel Cisco IOS. Elles servent également à contrôler le trafic entrant et sortant d‟un réseau, à sélectionner le type de trafic à analyser, transmettre ou traiter selon d‟autres méthodes. Les types d‟ACL proposés sont les suivants :

 les ACL standards qui filtrent sur l‟adresse source ;

 les ACL étendues qui filtrent sur l‟adresse source, l‟adresse destination ainsi que les ports sources et destination ;

 les named ACL sont des ACL étendues qui reçoivent un nom au lieu d‟un numéro ;

 les ACL reflexives utilisent les informations de session pour laisser entrer les paquets de retour correspondant aux paquets envoyés ;

Réalisé par CHOUTY Nabil A. Page 72

 les ACL context-based access control utilisent les informations de session pour autoriser, à la demande et en fonction du sens d‟initialisation, le passage du trafic.

 Etc.

Les ACL sont nécessaires pour l‟implémentation de nombreux points de la politique de sécurité réseau. Les exigences les plus courantes dans lesquelles les ACL sont sollicitées sont :

 Communications vers les équipements du réseau ;

 Communications des équipements vers le réseau ;

 Communications entre réseaux.