Configuration de Vlan et d’un pare feu Check Point Version 1.0 21/01/2015 BTS SIO Brochard Florent

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 2 sur 26

Sommaire I. Qu’est-ce que Check Point. ............................................................................................................. 3

II. Tableau d’adressage IP. ................................................................................................................... 4

III. Configuration du switch. ............................................................................................................. 4

IV. Installation et Configuration du pare feu Check Point ................................................................ 8

1. Installation ................................................................................................................................... 8

2. Configuration du pare feu ......................................................................................................... 12

V. Configuration des règles du pare feu. ........................................................................................... 19

1. Les objets ................................................................................................................................... 20

2. Les règles ................................................................................................................................... 22

3. Quelques exemples de règles. ................................................................................................... 23

4. Sauvegarde des règles. .............................................................................................................. 23

VI. Les Logs. ..................................................................................................................................... 25

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 3 sur 26

Plan du réseau :

I. Qu’est-ce que Check Point. Check Point utilise un système d’exploitation de type Red Hat permettant l’installation d’un pare

feu sur un serveur. Check Point est composé de plusieurs modules, le pare-feu en lui-même, le

SmartCenterServer (SCS) permettant de gérer un ou plusieurs pare feu, ainsi qu’un serveur Log et

enfin une application servant d’interface au SCS sur un poste client. Ces modules peuvent être

installés sur un même serveur ou sur différents équipements.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 4 sur 26

II. Tableau d’adressage IP. Vlan Adresse réseau Première adresse Dernière adresse Masque

192.168.1.0 192.168.1.1 192.168.1.254 255.255.255.0

10.10.0.0 10.10.0.1 10.10.0.254 255.255.255.0

Vlan 2 Client 10.10.0.8 10.10.0.9 10.10.0.14 255.255.255.248

Vlan 3 DMZ 10.10.0.16 10.10.0.17 10.10.0.22 255.255.255.248

III. Configuration du switch. D’abord, brancher le pc administrateur sur le switch via un câble console et un adaptateur. La

première étape est d’effacer le contenu du switch :

Switch>en

Switch#Erase startup-config

Puis effacer les fichiers présents dans cette commande sauf le système d’exploitation

Switch#show flash :

Switch#erase « fichier_à_supprimer »

Ensuite, assigner un mot de passe normal et un mot de passe secret au switch :

Switch#conf t

Switch(config)#enable password « mot_de_passe »

Switch(config)#enable secret « mot_de_passe »

Puis configurer les différentes lignes selon vos besoins :

Switch(config)#line console 0

Switch(config-line)#password « mot_de_passe »

Switch(config-line)#exit

Switch(config)#line vty 0 4

Switch(config-line)#timeout 3 30

Switch(config-line)#password « mot_de_passe »

Switch(config-line)#login

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 5 sur 26

Switch(config-line)#transport input telnet (Attention si vous avez pas mis de mot de passe vous ne pourrez pas y accéder)

Switch(config-line)#exit

Switch(config)#ip domaine-name mydomain.com

Switch(config)#crypto key generate rsa

Switch(config)#ip ssh version 2

Switch(config)#line vty 5 15

Switch(config-line)#timeout 3 30

Switch(config-line)#password « mot_de_passe »

Switch(config-line)#login

Switch(config-line)#transport input ssh (Attention si vous avez pas mis de mot de passe vous ne pourrez pas y accéder)

Maintenant, assigner une adresse IP à la VLAN administration (vlan 1 par défaut) puis créer les vlans dont nous aurons besoin :

Switch(config)#int vlan 1

Switch(config-if)#ip address 10.10.0.2 255.255.255.0

Switch(config-if)#exit

Switch(config)#vlan 2

Switch(config-if)#name Client

Switch(config-if)#exit

Switch(config)#vlan 3

Switch(config-if)#name DMZ

Switch(config-if)#exit

Assigner les ports sur chacune des vlans :

Switch(config)#int range Gi1/0/1-5

Switch(config-if-range)#switchport mode acces

Switch(config-if-range)#switchport access vlan 2

Switch(config-if-range)#no shut

Switch(config-if-range)#exit

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 6 sur 26

Switch(config)#int range Gi1/0/6-10

Switch(config-if-range)#switchport mode acces

Switch(config-if-range)#switchport access vlan 3

Switch(config-if-range)#no shut

Switch(config-if-range)#exit

Trunker le port du pare feu :

Switch(config)#int Gi1/0/11

Switch(config-if)#switchport encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan all

Switch(config-if)#no shut

Switch(config-if)#end

Vérifier si la configuration du switch est correcte :

Switch#sh vlan

Switch#sh run

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 7 sur 26

Sauvegarder la configuration :

Switch#copy run start

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 8 sur 26

IV. Installation et Configuration du pare feu Check Point

1. Installation Les modules de pare feu SCS et Log seront installé sur un serveur Red Hat et l’application

SmartDashBoard sur un poste client Windows 8. L’installation se fait grâce à un CD-ROM.

Commencer par rebooter la machine après avoir mis le disque. Cette page devrait s’afficher :

Appuyer sur Entrer pour continuer. Une fenêtre apparaît avec plusieurs menus.

Device List permet de vérifier si le matériel est bien détecté comme les cartes réseaux.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 9 sur 26

Add Driver permet de rajouter les drivers pour Check Point.

Cliquer sur OK pour continuer. Choisir la version de Check point Normal ou Pro, il faut

disposer d’une licence pour pouvoir utiliser cette dernière. Cliquer ensuite sur OK.

Choisir le type de clavier qui sera utilisé sur cette machine.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 10 sur 26

Configurer la carte réseau qui servira d’interface pour l’administrateur. Choisir l’interface et

entrer l’adresse IP, le masque et la passerelle par défaut.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 11 sur 26

Configurer le port permettant la configuration du Firewall par la suite par un navigateur Web

(il est possible de le configurer directement sur le Firewall en ligne de commande). Cliquer sur OK.

Cliquer enfin sur OK pour lancer l’installation et attendre la fin de celle-ci.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 12 sur 26

Après l’installation, appuyer sur Entrer pour reboot le Firewall et retirer le CD-ROM.

2. Configuration du pare feu Se connecter au serveur par un navigateur (IE conseillé) et entrer l’adresse

https:// « adresse_ip_du_pare_feu». Entrer « admin » dans User name et dans Password.

Nous arrivons dans la page de statut du serveur indiquant la version le type et la date d’installation…

Les informations sur la configuration de la carte réseau sont aussi présentes (ici déjà configurée).

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 13 sur 26

Cliquer sur Network/Connections pour configurer toutes les interfaces et sous-interfaces.

Cliquer sur New pour créer une nouvelle interface (sous-interface) et choisir le type ou cliquer sur

une des interfaces déjà existantes pour la modifier.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 14 sur 26

Entrer l’adresse IP de l’interface et son masque puis cliquer sur Apply.

Cliquer ensuite sur Routing pour vérifier que les routes se sont bien créer pour chaque

réseau et sous-réseau. Cliquer sur New puis Default Route pour ajouter la route par défaut.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 15 sur 26

Entrer l’adresse du réseau et son masque puis cliquer sur Apply.

Cliquer sur DNS et entrer l’adresse IP des DNS utilisés puis cliquer sur Apply.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 16 sur 26

Cliquer sur Domain, entrer le nom du pare feu et choisir l’interface pour l’administration.

Cliquer sur Device puis Date and time pour régler l’horloge du FireWall (manuel ou ntp).

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 17 sur 26

Cliquer sur Device administrators et créer les comptes administrateur pour le firewall.

Cliquer sur Web & SSH Client puis activer le protocole SSH en donnant accès à tous les adresses.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 18 sur 26

Cliquer sur Product Configuration puis Management Administrators pour créer un compte

administrateur pour SCS.

Cliquer sur Management GUI Client pour donner accès au SCS grâce à une adresse IP.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 19 sur 26

Cliquer sur Device puis Download SmartConsole Application pour télécharger l’application

permettant d’avoir accès aux différentes fonctionnalités du FireWall.

V. Configuration des règles du pare feu.

Installer le logiciel téléchargé précédemment puis cliquer sur l’icône suivante.

Une fenêtre s’ouvre, entrer le login et le mot de passe de l’administrateur management puis

l’adresse de l’interface administrateur du FireWall (configurée précédemment).

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 20 sur 26

1. Les objets Commencer par créer les objets et leur assigner leur adresse IP respective. Ils serviront de

sources et de destinations représentant les différentes machines, les réseaux et autres serveurs tels

que les DNS pour avoir accès aux sites par leur nom de domaine (Google 8.8.8.8).

Pour créer un objet, faire un clic droit sur Nodes puis glisser la sourie sur Node et cliquer sur Host. Une nouvelle fenêtre s’affiche. Choisir un nom pour l’objet ainsi que l’adresse IP qui lui est attribuée.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 21 sur 26

Cliquer ensuite sur NAT (Network Address Translation). Cela permettra de lier l’adresse IP privée de l’objet avec l’adresse IP publique du Firewall, l’utilisateur pourra alors envoyer des trames vers internet. Cocher Add Automatic Address Translation Rules pour que le Firewall assigne automatique une adresse IP publique puis choisir entre le mode Hide (dynamique = plusieurs adresses IP privées pour une adresse publique) ou Static (lie une adresse IP publique avec une seule adresse IP privée). Cliquer enfin sur OK.

Faire la même manipulation pour créer un objet réseau (VLAN). Entrer un nom, son adresse IP et son masque.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 22 sur 26

Cliquer sur NAT et choisir les options désirées. Puis cliquer sur OK.

2. Les règles Créer les règles avec les objets enregistrés pour que le réseau fonctionne correctement. Voici les

différents champs à remplir.

NO. : Numéro de la règle, les règles s’appliquent dans l’ordre croissant.

NAME : Nom de la règle pour pouvoir mieux identifier les règles utilisées dans les LOG.

SOURCE : Objets envoyant la trame.

DESTINATION : Objets recevant la trame.

VPN : Indique si le trafic autorisé ou refusé doit être en clair ou chiffré.

SERVICE : Indique pour quel protocole la trame est refusée ou autorisée (UDP, TCP, ICMP, http, https)

ACTION : Trame autorisé, bloqué ou rejeté (envoi un message à la source)

TRACK : Enregistrement sur des LOG des utilisations de la règle, création d’alerte ou envoi d’un

message par mail.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 23 sur 26

INSTALL ON : Firewall destinataire de la règle.

TIME : Période d’activation de la règle.

COMMENT : Commentaire sur l’utilité de la règle.

3. Quelques exemples de règles.

1. Permet à l’administrateur d’avoir accès au Firewall pour pouvoir le configurer.

2. Bloque l’accès au Firewall pour les autres trafics.

3. Permet à l’administrateur de ping les équipements du réseau.

4. Permet à l’administrateur d’utiliser les noms de domaine pour la navigation sur Internet (ici

DNS de Google et un DNS auxiliaire).

5. Permet à l’administrateur d’ouvrir des pages HTTP et HTTPS ainsi que l’utilisation d’un proxy.

6. Permet la communication HTTP et ICMP de la VLAN Client à la VLAN DMZ.

7. Bloque toutes les autres trames.

4. Sauvegarde des règles.

Après avoir créer les règles, ne pas oublier de sauvegarder. Cliquer sur l’icône . Une fenêtre s’ouvre. Cliquer sur OK.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 24 sur 26

Sélectionner les Firewalls sur lesquels les règles vont être installées puis cliquer sur OK.

Attendre que les règles soient vérifiées et installées.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 25 sur 26

Une fois terminée, il est possible de voir les warnings. Cliquer sur Show Warnings pour plus d’information. Cliquer sur Close pour finir.

VI. Les Logs.

Pour pouvoir suivre le trafic sur le réseau, cliquer sur l’icône suivante.

Cet utilitaire permet de voir les logs des règles du firewall pour lesquelles l’option Log a été

activée. Une fenêtre demandera un mot de passe comme précédemment.

BTS SIO [Tapez un texte] ITIC PARIS

Brochard Florent VLAN et Check Point Page 26 sur 26

On peut ici l’utilisation du DNS de Google et la navigation sur internet par l’administrateur (Règles 4

et 5).