TECHNIQUES DES RESEAUX INFORMATIQUES

TRI-202

Rapport De Stage

Mise en place d’un pare-feu Open Source

Réalisé par : Encadré par :

OUHAMMOU Youssef ZOUHAIR DADDA

TOUFIK ABDERRAHIM
ISGI Azli MARRAKECH 2019/2020
 Rapport de stage

Sommaire

Grand Titre Page/31

Remerciements
2

Introduction
3

Chapitre 1
4
Présentation de FSSM et l'Analyse de l'Existant

Chapitre 2
9
Présentation et Installation et du PfSense
Chapitre 3
16
Configuration du PfSense
Conclusion 29

Références 31

ISTA NTIC SYBA Page|1 2018/2019

 Remerciements

Je tiens à remercier toutes les personnes qui ont contribué au succès de

mon stage et qui m'ont aidé lors de la rédaction de ce rapport, qu’ils
trouvent ici l’expression de ma grande reconnaissance et l’assurance de
mes profonds respects.

Tout d'abord, Mes remerciements s’adressent à Mme AICHA de

m’avoir accueilli au sein de la Faculté des Sciences SEMLALIA pour
effectuer mon stage, en m’offrant ainsi la possibilité d’acquérir une
expérience professionnelle très enrichissante.

Je tiens à remercier vivement mes encadrants de stage, Mr. ZOUHAIR

DADDA et TOUFIK ABDERRAHIM , le temps passé ensemble et le
partage de ses expertises au quotidien. Grâce aussi à ses confiances j'ai
pu accomplir totalement dans mes missions. Ils futs d'une aide
précieuse dans les moments les plus délicats.

Mes remerciements aussi à tous mes Formateurs (1ière et 2ième Année),

qui ont déployés tous leurs efforts pour me préparer à affronter la vie
professionnelle.

Enfin, je tiens à remercier toutes les personnes qui m'ont conseillé et

relu lors de la rédaction de ce rapport de stage: Ma Famille Biologique,
Mes Amis et particulièrement à El-Mehdi OUBAHA.
 Introduction

Dans le cadre d’un projet de fin de formation à l’ISGI AZLI et pour l’obtention du titre de
Technicien Spécialisé en Réseaux et Systèmes Informatique, j’ai effectué un stage d’Un
Mois à la Faculté des Sciences Semlalia (FSSM).
Les principaux objectifs de ce stage se résument comme suit :

 Découvrir le monde de travail.

 Évaluer les compétences théoriques acquises durant toute la formation.
 Mettre en pratique les acquis théoriques.
 Développer le savoir-faire et le savoir être.
 Développer ses connaissances professionnelles.
 Renforcer sa capacité d’analyse et d’organisation.
 Améliorer la qualité de ses travaux.
 Saisir la valeur du travail en équipe, le respect de la hiérarchie et des lois internes de
la société.
 Développer ses capacités de communication.
 Etc. …
Pour vous approcher mieux à différentes étapes que j’ai suivies durant toute la période de
stage, je vous propose ce rapport de stage qui est présenté sous forme de trois parties
principales :

 Présentation du Milieu du Stage

 L’Analyse de l’Existant
 Les Taches Effectuées
 Rapport de stage

Chapitre 1
Présentation de FSSM Et
l'Analyse de l'Existant
 Présentation de FSSM

Introduction
FS Semlalia Marrakech en bref
La FS Semlalia Marrakech est une faculté des sciences publique relevant de
l’Université Cadi Ayyad. Créée en 1978, La Faculté des Sciences Semlalia de
Marrakech est l’un des premiers établissements de l’enseignement supérieur ouverts
dans la région.

Filières
Sciences de la matière Chimie
Sciences de la matière Physique
Sciences de la terre et de l’univers
Sciences de la vie
Sciences Mathématiques, informatiques et applications (mathématiques)
Gestion de l’assainissement en milieu urbain
Génie de l’environnement et gestion de la Biodiversité (GEGB)
Informatique, Réseaux et sécurité informatique (LP-RSI)
Technologies multimédia (LP-TM)
Technologies et programmation web (LP-TPW)
Optique et Optométrie
Technologie et management du bâtiment et travaux publics
Génie Logistique
Électrotechnique et électronique industrielle
Ressources Minières Marocaines et Valorisation (LP-RMMV)
Analyse Chimique et Qualité (LP-ACQ)
Céramique et Verres
Énergies Renouvelables et leurs Applications
Télécommunications et Réseaux
Géo-science appliquée/Géo-environnement et risques naturels

Diplômes
Licence d’Études Fondamentales
Licence Professionnelle
Master
Doctorat

Durée d'études
3 ans
5 ans
8 ans
 Rapport de stage

Formations

Licence en Sciences de la Matière Physique (SMP) - FSSM Semlalia

Marrakech.
Licence en Sciences de la Matière Chimie (SMC) - FSSM Semlalia Marrakech.
Licence en Sciences de la Vie (SVI) - FSSM Semlalia Marrakech.
Licence en Mathématiques - FSSM Semlalia Marrakech.
Licence en Science de la Terre et de l’Univers (STU) - FSSM Semlalia
Marrakech.
Licence d’Études Professionnelle en Sciences de la Matière Physique - FSSM
Semlalia Marrakech.
Licence d’Études Professionnelle en Informatique Appliquée - FSSM Semlalia
Marrakech.
DESA en Mathématiques Appliquées - FSSM Semlalia Marrakech.
DESA en Modélisation et informatique appliqués aux systèmes dynamiques -
FSSM Semlalia Marrakech.
Licence d’Études Professionnelle en Céramique & Verre - FSSM Semlalia
Marrakech.
Master en Environnement et dynamique de la biodiversité - FSSM Semlalia
Marrakech.
Master en Sciences Mathématiques - FSSM Semlalia Marrakech.
Master en Mathématiques Appliquées et Modélisation - FSSM Semlalia
Marrakech.
Master en Physique Fondamentale - FSSM Semlalia Marrakech.
Master en Matériaux : Elaboration et Applications - FSSM Semlalia Marrakech.
Master en Chimie des Molécules Organiques Bioactives - FSSM Semlalia
Marrakech.
Master en Biotechnologies, Protection et Valorisation des Ressources Végétales
- FSSM Semlalia Marrakech.
Master en Chimie Inorganique - FSSM Semlalia Marrakech.
Master en Géodynamique, Géo-ressources et Environnements - FSSM Semlalia
Marrakech.
Master en Sciences de la vie et de la santé - FSSM Semlalia Marrakech.
Doctorat en Thermique et Mécanique des Fluides - FSSM Semlalia Marrakech.
Doctorat en Procédés – Eau – Environnement - FSSM Semlalia Marrakech.
Doctorat en Informatique Electronique Electrotechnique et Automatique - FSSM
Semlalia Marrakech.
Doctorat en Physique et Sciences des Matériaux - FSSM Semlalia Marrakech.
Doctorat en Physique et Techniques Nucléaires - FSSM Semlalia Marrakech.
Doctorat en Physique des Hautes Energies et Astrophysique - FSSM Semlalia
Marrakech.
Doctorat en Physico-chimie des Matériaux - FSSM Semlalia Marrakech.
 Rapport de stage
Doctorat en Chimie des molécules organiques d’intérêt biologique et industriel -
FSSM Semlalia Marrakech.
Doctorat en Mathématiques Fondamentales - FSSM Semlalia Marrakech.
Doctorat en Mathématiques Appliquées - FSSM Semlalia Marrakech.
Doctorat en Calcul Formel et informatique - FSSM Semlalia Marrakech
Doctorat en Probabilité et Analyse - FSSM Semlalia Marrakech

Analyse de l’Existant

Réseau MARWAN

Moroccan Academic and Research Wide Area Network, plus connu sous
l'acronyme de « MARWAN » est le réseau informatique national à but non
lucratif, dédié à l'éducation, à la formation et à la recherche.
Il a pour objectif de mettre en place une infrastructure d'information et de
communication entre les établissements de formation et d'enseignement.
Depuis sa création en 1998, MARWAN a permis aux universités marocaines de
développer de nouveaux services en matière d'enseignement, de transfert de
technologie et de recherche scientifique.
Dans le cadre du lancement du programme d'urgence de l'éducation nationale
pour la période 2009-2012, le Centre National pour la Recherche Scientifique et
Technique (CNRST) lance une nouvelle version du réseau MARWAN.
Le CNRST s'appuie sur l'évolution des technologies de communication à
l'échelle internationale pour améliorer la qualité, le service et l'architecture du
réseau de MARWAN afin qu'il réponde aux standards internationaux et aux
exigences liées à la modernisation de l'Université marocaine.
Pour cela, le CNRST a sollicité les opérateurs nationaux de télécommunication
pour proposer une nouvelle version du réseau MARWAN qui intègre les
évolutions techniques de ces dernières années.
L'offre de l'opérateur Inwi a été retenue en commun accord avec les universités.
Dans sa nouvelle topologie, MARWAN 3 offre aux établissements et universités
un choix de débits entre 2 et 100 Mbps.
Sa connexion avec le réseau GEANT est réservée uniquement au trafic
académique. Tout le trafic internet « commercial » est véhiculé par un autre lien
Internet à partir du cœur du réseau fourni par Inwi
Dans sa nouvelle version, MARWAN facilitera la réalisation des actions
programmées par les universités dans leurs projets d'établissement et fournira
l'infrastructure réseau aux projets lancés par le ministère en collaboration avec
les universités et le CNRST à savoir :
Application pour l'Organisation et la Gestion des Etudiants et des
Enseignements;
 Rapport de stage

Environnement Numérique de Travail ;

Campus Virtuel Marocain;
Grille de Calcul Nationale;
Institut Marocain de l'Information Scientifique et Technique;
Système d'Information Global;
Système de Visioconférence.

Schéma de Réseau Marwan

 Rapport de stage

Chapitre 2
Présentation et Installation
et du PfSense
 Rapport de stage

Présentation & Installation du PfSense

1. Présentation de PfSense

PfSense est un routeur / pare-feu open source basé sur FreeBSD.

PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur.
Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa
fiabilité.
Après une installation en mode console, il s'administre ensuite simplement depuis
une interface web et gère nativement les VLAN (802.1q).
Les avantages de Pfsense
 Il est adapté pour une utilisation en tant que pare-feu et
routeur.
 Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et
plus encore dans de nombreux cas ;
 Il peut être installé sur un simple ordinateur personnel comme sur un
serveur.
 Il est basé sur POF (Packet Filter), comme iptables sur GNU/Linux
généralement.
 Il permet d'intégrer de nouveaux services tels que l'installation d'un portail
captif, la mise en place d'un VPN, DHCP et bien d'autres.
 Il offre des options de firewalling /routage plus évoluée
qu'IPCop.

 Il permet en autre de réaliser :

 Rapport de stage

 Un portail captif (Lorsqu'un utilisateur ouvre son navigateur

internet il est redirigé vers une page lui proposant de s'identifier
pour se connecter):solution proposée par les hotspot.

 Un serveur VPN.
 De réaliser du Load Balancing Multi WAN (utiliser deux connexions Internet
Avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes
ADSL).
 La configuration se fait dans l'interface web, sans rien toucher à la ligne de
commande.
2. Installation de pfSense

Version de PfSense pfSense-CE-2.3.5-RELEASE-i386

Plateforme d’installation VirtualBox-5.2.8-121009-Win

 Si Vous êtes habitué à l'installation des OS, cette partie n'est pas faite pour vous.

Il faut disposer d'une image ISO pour procéder à l'installation, les images sont en
libre.

Téléchargement depuis http://pfsense.org

De même cette section de téléchargement offre des images VirtualBox prêtes.

Notre lab VA se baser sur la version 2.3.5 de PfSense, il sera installé sur une
machine virtuelle VirtualBox-5.2.8

Les prérequis matériel pour l'installation sont:

 RAM: 512M (256 min).

 HDD: 1 GB

 Processor: 100 MHz min.

 2 cartes réseaux.

L'architecture de base d'une installation PfSense est la suivante:

 Rapport de stage

Ma machine Windows 7 (principal) connecté avec le WAN

Firewall connexion intermédiaire WAN/LAN
Ma machine Windows XP (Virtual) connecté avec le LAN

Avant de commencer l'installation, votre PC doit être équipé en minimum de

deux cartes réseaux une pour le WAN et l’autre pour le LAN
 Rapport de stage

La préparation de la machine virtuelle doit être normale

En partie Réseau, au lieu de choisir une carte réseau on va choisir deux cartes
 Rapport de stage

Maintenant on va commencer l’installation de PfSense sous VirtualBox

 La fenêtre suivante va s'afficher et choisit le 1er choix

 Coché Accept these Settings

 Coché Quick/Easy Install

 Rapport de stage

 Coché OK puis attendre que l'installation se termine

 A la fin de l'installation et après le redémarrage, PfSense vous oblige

d'Éjecter le disque de lecteur virtuel puis coché Reboot

 Si tout vas bien tapez F1 pour démarrer le firewall

 Rapport de stage
 Durant l'installation, Pfsence va détecter automatiquement la liste des cartes réseaux
disponibles, et va les attribuées respectivement les noms em0, em1. Notez bien qu'il
nécessite au moins deux cartes pour qu'il fonctionne correctement.

- em0 réservé pour le WAN

- em1 réservé pour le LAN a une adresse IP par défaut 192.168.1.1

Chapitre 3
Configuration du PfSense
 Rapport de stage

Configuration de Pfsense

Connexion aux interfaces graphiques

 Pour se connecter à l'interface d'administration (graphique) on utilisera
l'adresse IP de l'interface LAN http://192.168.1.1, avec le login/password
par défaut qui est admin/pfsence.

 Je préfère changer l'adressage par défaut par l'adressage du réseau WAN

automatiquement par DHCP (fssm) et LAN manuelle
10.10.10.0/24(DHCP range 10.10.10.10 => 10.10.10.20/24) puis
connecté à l'interface d'administration.
Pour le WAN

Pour le LAN
 Rapport de stage

Maintenant pour une connexion LAN à PfSense on utilise http://10.10.10.1 et

pour une connexion WAN à PfSense on utilise http://192.168.160.220

Mais après la connexion WAN, on va entrer l'option 8 puis taper la commande

suivante: pfSsh.php playback enableallowallwan

Voilà j'ai connecté à PfSense de ma machine Windows XP

L'interface DMZ
I. Définition et rôle
En informatique, une zone démilitarisée (ou DMZ, de l'anglais demilitarized
zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet
(ou d'un autre réseau) par un pare-feu.
Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis
 Rapport de stage
Internet.
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité et
les services susceptibles d'être accédés depuis Internet seront situés en DMZ.
En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès
qu'aux machines de la DMZ et non au réseau local.
Le nom provient à l'origine de la zone coréenne démilitarisée.
La figure ci-contre représente une architecture DMZ avec un pare-feu à trois
interfaces.

L'inconvénient est que si cet unique pare-feu est compromis, plus rien
n'est contrôlé.
Il est cependant possible d'utiliser deux pare-feu afin d'éliminer ce risque.
Il existe aussi des architectures de DMZ où celle-ci est située entre le
réseau Internet et le réseau local, séparée de chacun de ces réseaux par un
pare-feu.

II. Création et configuration

Pour crée une interface DMZ on va cliquer sur Interface, sur Assignements
puis sur Add et finalement on va cliquer sur Save.

Voilà une interface a était additionné, On va cliquer sur OPT1

 Rapport de stage

On va activer l'interface et changer la description par DMZ (par exemple)

On va donner une adresse IP (172.10.10.1) et un masque (/24) puis enregistrer la

configuration

On va utiliser une machine Xubuntu pour la connecté à l'interface DMZ par

l’@IP 172.10.10.10/24 (statique)
III. Configuration Alias pour serveur web DMZ
 Rapport de stage

Vous voyez que l'Alias à était créer correctement

IV. Tester le Ping vers notre serveur DMZ

Le Protocol ICMP (Ping) juste pour tester la connectivité.
Les protocoles le plus utilisé est HTTP et HTTPS
 Rapport de stage

On va faire un simple Ping vers l'interface DMZ (172.10.10.1)

Voilà les requêtes Ping est bien envoyé…

Configuration du NAT

A quoi sert le NAT

Network Address Translator - Traducteur d'adresse réseau : mécanisme de
 Rapport de stage
correspondance d'adresses IP utilisé pour rendre accessible le réseau Internet
(WAN)à un réseau Intranet (LAN) (adresses privées réservées).
Sur le routeur, les adresses sources des paquets sont remplacées par l'adresse
publique (NAT dynamique) ou les adresses publiques (NAT statique) du routeur
pour que le destinateur puisse répondre aux demandes.

Utilisation du NAT (PfSense)

Ici on va installer un serveur web (apache2) machine Xubuntu et on va la
connecter au réseau LAN

Pour accéder à mon serveur on va utiliser l'@ IP de notre machine

Xubuntu10.10.10.11
Pour se connecter à notre serveur web du côté WAN (machine Windows 7) on va
utiliser l'@ IP de l'interface WAN du PfSense 192.168.43.59/16

Mais si le NAT n’est pas configuré, l'accès au serveur est impossible

Configuration du NAT
Cliqué sur Firewall puis NAT et pour finir sur Add

Dans la page qui s'affichera, on va modifier les cases colorer en jaune et laisser les
autres par default puis cliqué sur Save
Voici la configuration est effectuée

Maintenant on va ouvrir le navigateur de la machine Windows 7 et on va taper l'adresse

192.168.43.59

Vous voyez que l'accès au serveur web est autorisé aux LAN (Windows 7)
 Bloqué un site internet
a) Besoin
Pour garder un peux la vitesse de notre bande passante, on va bloquer les sites internet
inutilisable (supplémentaire) dans l'entreprise (faculté) pour interdire les faux
utilisateurs de gaspillé la bande passante.
 Sous PfSense presque tous les sites internet sont autorisés par défaut.
On va bloquer le site www.facebook.com sur notre réseau LAN (Machine Xubuntu)

b) Configuration Nécessaire
Pour bloquer un site on a besoin de leurs adresses IP.
La méthode la plus facile pour l'obtenir c'est de faire un Ping

L'adresse IP 31.13.75.36 c'est l'dresse de facebook.com.

Maintenant on va se connecter au PfSense et on va créer une nouvelle Alias

Puis remplir les cases suivantes et cliqué sur Save

On va ajouter une nouvelle Rôles

Puis cliqué sur LAN et Add

Puis modifier les cases colorées en Jaune

Sur ma machine Xubuntu (LAN) on va tester la connexion au site du Facebook

Comme vous voyez l'accès est invalide car le firewall à bloquer le site
www.facebook.com

c) Portail Captif

Définition
Le portail captif est une technique consistant à forcer les clients HTTP d'un réseau de
consultation à afficher une page web spéciale (le plus souvent dans un but
d'authentification) avant d'accéder à Internet normalement.
Au-delà de l'authentification, les portails captifs permettent d'offrir différentes classes
de services et tarifications associées pour l'accès Internet.
Par exemple Wifi gratuite, filaire payant, 1 heure gratuite...
Cette technique est généralement mise en œuvre pour les accès Wifi mais peut aussi
être utilisée pour l'accès à des réseaux filaires (ex. : hôtels, campus, etc…).

Etapes de la configuration
Création d'un portail captif

Le portail captif de PfSense contient plusieurs choses d'authentification à configurer.

Personnellement, j’ai fait la configuration de l'authentification du navigateur login et
password.
Puis on va choisir local user manager puis cliqué sur Save

Maintenant on va créer un utilisateur imad avec mot de passe lahfid

Sur le navigateur de la machine Xubuntu (LAN) on va essayez de se connecté sur mon

serveur FTP avec l'URL Ftp://192.168.43.53 (@ IP du machine Windows 7)
Comme vous voyez le navigateur demande un username et un password
 Conclusion
D'un point de vue personnel, et après de nombreux essais, j'ai choisi Pfsense,
d'une part parce que c'est une solution Open Source qui dispose d'une grande
communauté et d'autre part parce qu'elle offre un grand nombre de
fonctionnalités.
Cette distribution, si elle est bien utilisée, permet de couvrir une bonne partie des
besoins d'une société, si ce n'est l'intégralité.

Comme toute solution de routeur/pare-feu, Pfsense possède son lot d'avantages et

d'inconvénients.
Mais sa polyvalence et le nombre conséquent de fonctionnalités font de cet
outil une solution fiable pour les entreprises, et ce, quelles que soient la taille et
l'activité de ces dernières.

Voici quelques Fonctionnalités du Pfsense :

 Filtrage par IP source et destination

Parmi toutes les fonctionnalités dont dispose Pfsense, le filtrage par IP source et
destination et l'une des plus efficaces en terme de sécurité.
Pfsense propose une fonctionnalité, ARP Watch, qui permet de surveiller
l'activité du protocole ARP d'un réseau informatique. En d'autres termes, il permet
de s'assurer que l'identité de la source est la bonne grâce à une vérification de
l'adresse Mac. 

 Superviser son réseau (Monitoring)

Elle permet d'avoir de manière visuelle l'ensemble des activités du parc

informatique.

 Créer des accès VPN

Pour rappel, Le VPN va pouvoir permettre à un utilisateur qui ne fait pas partie du
réseau d'accéder à l'ensemble des applications présentes sur ce dernier. Il aura
donc la possibilité d'utiliser les outils comme s'il était dans les locaux de la
société par exemple. Pour cela, Pfsense offre la possibilité de créer un accès VPN
selon plusieurs protocoles (PPTP, L2TP/IPsec, Open VPN).
 REFERENCES

https://fr.wikipedia.org/wiki/Pfsense
http://fr.slideshare.net/ISMAILRACHDAOUI/installat
ion-et-configuration-de-pfsense
http://docplayer.fr/4136652-Tutoriel-pfsense-creation-
dmz-et-exemple-de-configuration-nat-neumann-
theo.html
 Je vous renvoie également vers un article qui explique
un peu plus en profondeur pourquoi choisir PfSense
ainsi que ses avantages et ses inconvénients :
https://www.supinfo.com/articles/single/102-pfsense-
routeur-pare-feu-open-source
https://fr.wikipedia.org/w/index.php?
title=PfSense&oldid=155902069