La sécurité

• Les firewalls

Les firewalls assurent l’interconnexion sécurisée entre le réseau interne, le réseau externe et la DeMilitarized Zone (DMZ).
Ils sont au nombre de deux, de type Cisco PIX 520, utilisant la caractéristique hot failover de Cisco, cela signifie que seul un firewall est actif pendant que l’autre est en stand-by prêt à prendre le contrôle si une des interfaces (ou le PIX complet) tombe.
Toute modification de configuration du PIX actif est synchronisée automatiquement sur le PIX backup. Le second (backup/stand-by) firewall a exactement la même configuration que le premier PIX mise à part l’adresse IP des interfaces.

• La translation d’adresse (NAT)

Un  NAT de type « hiding » (Port Address Translation) pour toutes les adresses venant du subnet interne vers l’extérieur (Internet). Les adresses internes sont donc cachées par des adresses officielles.
Un Nat de type « static ») pour les adresses des serveurs de TDA (DMZ vers Internet) par les adresses officielles de TDA
La traduction inverse (paquets entrants) est automatiquement assurée.

• Le contrôle d’accès (ACL)

Un contrôle d’accès au moyen d’ACL est configurée pour les paquets venant de l’extérieur (TDA réseau et Internet),
Mais également pour les paquets venant de la DMZ :
·  Les requêtes DNS vers les serveurs sont autorisées,
·  Les requêtes FTP vers le serveur ftp sont autorisées,
·  Le ping des serveurs est également autorisé,
·  Les réponses des requêtes vers les serveurs sont automatiquement autorisées,
·  Le ping des serveurs est également autorisé,

Le network management:
Chaque équipement du réseau a une adresse IP et est gérable à distance. Pour ces équipements, sont configurés :

• Un Syslog local de 64K (niveau debugging) ;
• Un Syslog remote sur la NMS ;
• L’envoie de traps SNMP sur la NMS ;
• L’accès lecture seule SNMP à partir de la NMS, pour des raisons de sécurité, l’accès en écriture SNMP est désactivé ;
• L’accès à la console ou en telnet.

Les routeurs utilisent l’adresse IP de l’interface loopback  pour leur gestion (interface source pour les paquets de gestion).
L’enregistrement des activités des voisins est activé pour les protocoles de routage dynamique.
Cisco Discovery Protocol (CDP) est désactivé.
Service keepalive en entrée est activé pour s’assurer qu’une session laissée en suspend suite à un crash du système éloigné ne bloque pas une session VTY sur le routeur.

Le cache engine
Il est configuré pour sauver de la bande passante lors de l’accès à Internet (cache), mais aussi pour diminuer les délais de consultation de pages web connues.
Le cache engine est un équipement de type Cisco. La version de software du cache engine est 2.01.
4-4 Le monitoring du lien Internet par le client

Cette fonction permet de visualiser les volumes de trafic mesurés sur le lien Internet du client:
Le client peut visualiser la consommation sur leur lien Internet sous forme de graph:

• du volume moyen sur 5 minutes downloadé et uploadé de façon journalière
• du volume moyen sur 30 minutes downloadé et uploadé de façon hebdomadaire
• du volume moyen sur 2 heures downloadé et uploadé de façon mensuelle
• du volume moyen sur 1 jour downloadé et uploadé de façon annuelle