Pfe Imeen

Département : STIC
Référence :
Licence appliquée en Sciences et Technologies de l’Information

et de la communication
Option : sécurité réseau
Projet de fin d’études
Conception et mise en place d'une

solution de sécurité réseau pour
entreprise – Etude de cas
Réalisé par : Imen CHANOUFI
Classe : STIC L3 SR C
Encadré par : Mr Hatem GUESMI

Mme Jamila BEN SLIMANE
Entreprise d’accueil : CERT
Année Universitaire : 2019-2020

Dédicaces
Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, Je dédie ce
Projet de Fin d’Études
A ma tendre mère Dalila et mon cher père Amor
Pour vos affections, vos appuis, et vos compréhensions. Que dieu vous procure bonne
santé et longue vie.
A ma chère sœur Ons et mon cher frère Mouhamed Amin
Pour vous remercier de l’amour que vous m’avez témoigné au cours des années et du
soutien que vous m’avez offert, que dieu vous protège et vous accorde santé et
bonheur.
A mon adorable fiancé Mohamed Faouzi
Pour tes sacrifices, ton soutien moral et son profond attachement, tu es un cadeau du
ciel. Que dieu te garde et le bonheur te remplisse le cœur.
A tous mes amis
Pour vos amitiés et vos fraternités.
Que ce travail soit le témoignage de mon amour, De mon respect et de toute
l’affection que je leur port
i
Remerciements
C’est avec le plus grand honneur que j’ai réservé cette page en signe de gratitude et de
reconnaissance à tous ceux qui m’ont aidé de près ou de loin à la réalisation de ce rapport de stage.
Mes remerciements s’adressent à Mr Hatem Guesmi, Directeur et Ingénieur Général qui m’a
accueillie au sien du CERT et qui par sa réceptivité et ses qualités m’a permis d’effectuer ce projet
dans des meilleures conditions.
Mes remerciements vont aussi à mon encadrante Mme Jamila Ben Slimane qui a assuré mon
encadrement tout au long de ce stage, et par ses conseils et ses aides précieuses, m’a guidé pendant
notre projet.
Mon sincère gratitude s’adresse également à tous mes enseignants de l’Institut Supérieur des
Etudes Technologiques en Communications de Tunis qui ont assuré notre formation pendant ces trois
années d’études.
De même je tiens à remercier les membres de jury pour l’honneur qui m’ont fait en acceptant de
juger mon travail.
ii
Table des matières
Introduction Générale ........................................................................................... 1
Chapitre 1: Etude préalable .................................................................................. 2
Introduction ........................................................................................................... 2
1.1 Présentation de l’entreprise CERT ......................................................... 2
1.1.1 Architecture de réseau du CERT ........................................................ 2
1.1.2 Composants du réseau local du CERT ............................................... 3
1.2 Présentation du projet ............................................................................ 4
1.3 Etude de l’existant .................................................................................. 5
1.3.1 Description des équipements existants ............................................... 5
1.3.2 Présentation des utilisateurs ............................................................... 5
1.3.3 Critique de l’existant ........................................................................... 6
1.4 Problématique ........................................................................................ 6
1.5 Objectifs et résultats attendus du projet ................................................. 7
1.6 Méthodologie du travail .......................................................................... 7
1.7 Spécification des besoins ....................................................................... 7
1.7.1 Les besoins fonctionnels ..................................................................... 8
1.7.2 Les besoins non fonctionnels .............................................................. 8
1.8 Planning prévisionnel ............................................................................. 8
Conclusion ............................................................................................................ 9
Chapitre 2: Etude de l’art de la sécurité de réseau d’entreprise .......................... 10
Introduction ......................................................................................................... 10
2.1 Notion générale sur la sécurité réseau ................................................. 10
2.2 Les attaques informatiques .................................................................. 10
2.3 Politique de sécurité ............................................................................. 12
iii
2.4 Les dispositifs de protection ................................................................. 13
2.4.1 La fonction de hachage..................................................................... 13
2.4.2 Le logiciel de protection (antivirus) .................................................... 13
2.4.3 Réseaux privés virtuels ..................................................................... 13
2.4.4 Serveur proxy ................................................................................... 14
2.4.5 Systèmes de détection d’intrusion (IDS) ........................................... 15
2.4.6 Pare-feu ............................................................................................ 16
2.5 Présentation des solutions pare-feu ..................................................... 18
2.5.1 Les solutions pare-feu d’accès commerciales .................................. 18
2.5.2 Les solutions pare-feu d’accès libres ................................................ 19
2.6 Etude comparative des solutions existantes ......................................... 19
2.7 Synthèse de la solution de sécurisation choisie ................................... 20
2.7.1 Présentation générale de PfSense ................................................... 21
2.7.2 Présentation des outils de PfSense .................................................. 21
Conclusion .......................................................................................................... 22
Chapitre 3: Conception et réalisation de la solution proposée ............................ 23
Introduction ......................................................................................................... 23
3.1 Préparation de l'environnement du travail ............................................ 23
3.1.1 Environnement matériel .................................................................... 23
3.1.2 Environnement logiciel ...................................................................... 23
3.1.3 Architecture réseau de solution PfSense .......................................... 24
3.2 Installation de PfSense ........................................................................ 25
3.3 Configuration de PfSense .................................................................... 26
3.3.1 Paramètres généraux de PfSense .................................................... 27
3.3.2 Configuration des interfaces ............................................................. 28
3.3.3 Configuration du serveur DHCP ........................................................ 31
3.3.4 Définition des règles du pare-feu ...................................................... 31
3.4 Intégration des outils de PfSense ......................................................... 33
iv
3.4.1 Portail Captif avec FreeRADIUS ....................................................... 33
3.4.2 Proxy Transparent Squid avec filtrage d’URL SquidGuard ................ 37
3.4.3 Supervision du trafic réseau avec « Ntopng » ................................... 43
Conclusion .......................................................................................................... 46
Chapitre 4 : Test et évaluation ............................................................................ 47
Introduction ......................................................................................................... 47
4.1 Interface d’authentification ................................................................... 47
4.2 Interface d’administration ..................................................................... 48
4.3 Interface de gestion des ressources internet ........................................ 49
4.4 Interface de gestion d’accès................................................................. 51
4.4.1 Consultation de l’historique d’utilisation du réseau ............................ 51
4.4.2 Consultation des alertes ................................................................... 51
4.4.3 Visualisation des flux actifs ............................................................... 53
4.5 Interface de supervision ....................................................................... 53
Conclusion .......................................................................................................... 58
Conclusion générale ........................................................................................... 59
Bibliographie ....................................................................................................... 60
ANNEXE A : Configuration du portait captif ........................................................ 62
ANNEXE B : Configuration de Squidguard ......................................................... 65
v
Liste des figures
Figure 1 : Architecture globale du CERT ....................................................................... 3

Figure 2 : Architecture de réseau LAN du CERT ........................................................... 4
Figure 3 : Pyramide des politiques de sécurité .............................................................. 13
Figure 4: Réseau privé virtuel ...................................................................................... 14
Figure 5 : Serveur proxy .............................................................................................. 15
Figure 6 : Pare-feu....................................................................................................... 16
Figure 7: Architecture réseau proposée ........................................................................ 25
Figure 8 : Ecran de démarrage de l'installation de PfSense ........................................... 26
Figure 9 : Menu de configuration de PfSense ................................................................ 26
Figure 10 : Page d'identification de PfSense .................................................................. 27
Figure 11 : Déclaration des informations générales ....................................................... 28
Figure 12 : Configuration de l'interface WAN .............................................................. 28
Figure 13 : Configuration de l'interface LAN ............................................................... 29
Figure 14 : Configuration de l'interface DMZ ............................................................... 29
Figure 15 : Test de connectivité entre Wan et LAN ....................................................... 30
Figure 16 : Activation l'option Enable DNS forwarder .................................................. 30
Figure 17 : Configuration du serveur DHCP ................................................................ 31
Figure 18 : Les règles de filtrage au niveau de LAN ...................................................... 32
Figure 19 : Les règles de filtrage au niveau de WAN ..................................................... 32
Figure 20 : Les règles de filtrage au niveau de DMZ ..................................................... 33
Figure 21 : Installation du package FreeRADIUS3 ....................................................... 34
Figure 22 : Les interfaces de FreeRADIUS ................................................................... 34
Figure 23 : Création d'un compte utilisateur ................................................................ 35
Figure 24 : Configuration du serveur d'authentification RADIUS ................................ 35
Figure 25 : Test d'authentification du client.................................................................. 35
Figure 26 : Activation de HTTPS ................................................................................. 36
Figure 27 : Création du certificat ................................................................................. 36
Figure 28 : Les paquets installés ................................................................................... 37
Figure 29 : Activation de transparent HTTP proxy ....................................................... 38
vi
Figure 30 : Configuration de local cache ....................................................................... 38
Figure 31 : Activation de blacklist ................................................................................ 39
Figure 32 : Ajout des domaines bloqués ........................................................................ 40
Figure 33 : Validation de configuration ........................................................................ 40
Figure 34 : Création d'ACL ......................................................................................... 41
Figure 35 : Insertion des fragments de mots des URLs .................................................. 41
Figure 36 : Création d'ACL_domain ............................................................................ 42
Figure 37 : Configuration du lightsquid........................................................................ 43
Figure 38 : Installation de paquet Ntopng ..................................................................... 43
Figure 39 : Configuration de compte administrateur .................................................... 44
Figure 40 : Ecran de connexion Ntopng ........................................................................ 45
Figure 41 : Tableau de bord de Ntopng ........................................................................ 45
Figure 42 : Interface d'authentification ........................................................................ 47
Figure 43 : Dépassement de délai d'expiration .............................................................. 48
Figure 44 : Tableau de bord du pfsense ........................................................................ 48
Figure 45 : Interface de gestion des utilisateurs ............................................................. 49
Figure 46 : Test d'interdiction d'accès .......................................................................... 49
Figure 47: Test d'interdiction d’accès pour l’ACL fragment ......................................... 50
Figure 48 : Test d'interdiction d’accès pour l’ACL_domain .......................................... 50
Figure 49 : Rapport d'accès d'utilisateurs au réseau ..................................................... 51
Figure 50 : Les alertes passées ...................................................................................... 52
Figure 51 : Les alertes de flux ...................................................................................... 52
Figure 52 : Flux actifs .................................................................................................. 53
Figure 53 : La page résumé des réseaux........................................................................ 53
Figure 54 : Tableau de bord de Ntopng ........................................................................ 54
Figure 55 : Le diagramme de Sankey des meilleurs orateurs ......................................... 54
Figure 56 : Graphique circulaire des meilleurs hôtes..................................................... 55
Figure 57 : Détaille de l'hôte ........................................................................................ 55
Figure 58 : Les hôtes locaux ......................................................................................... 56
Figure 59 : Graphique circulaire des principaux ports client et serveur ......................... 56
Figure 60 : Graphique à secteurs des principales applications ...................................... 57
Figure 61 : Distribution du protocole TCP.................................................................... 57
Figure 62 : Statistiques du trafic historiques ................................................................. 58
Figure 63 : Activation du portail captif ......................................................................... 62
Figure 64 : Méthode d'authentification ......................................................................... 63
vii
Figure 65 : Création d'utilisateur pour délégation ......................................................... 63
Figure 66 : User Manager ............................................................................................ 64
Figure 67 : Les catégories de la liste noire ..................................................................... 65
viii
Liste des tableaux
Tableau 1 : Planning prévisionnel .................................................................................. 9

Tableau 2 : Les cinq services de la sécurité informatique .............................................. 10
Tableau 3 : Comparaison entre les solutions commerciales et libres ............................... 20
Tableau 4 : Les versions des outils ................................................................................ 24
Tableau 5 : Les machines virtuelles utilisées ................................................................. 24
ix
Liste des acronymes
A
ACL: Access Control List
C
CA: Certification Authority
CPU: Central Processing Unit
CERT: Centre d'Etudes et de Recherche des Télécommunications
D
DHCP: Dynamic Host Configuration Protocol
DMZ : Zone Démilitarisé
DNS: Domain Name Server
F
FTP: File Transfer Protocol
H
HIDS: Host-based Intrusion Detection System
HTTP: Hypertext Transfer Protocol
HTTPS: Hypertext Transfer Protocol Secured
I
IDS: Intrusion Detection System
IP: Internet Protocol
IPsec: Internet Protocol SECurity
ISA: Internet Security Acceleration
ISO: International Standardization Organization
L
L2F: Layer Two Forwarding
L2TP: Layer Two Tunneling Protocol
LAN: Local Area Network
x
N
NAT: Address Translation
NIDS: Network Intrusion Detection System
P
PPTP: Point-to-Point Tunneling Protocol
PBX: Private Branch EXchange
R
RADIUS: Remote Authentication Dial-In User Service
RAM: Random Access Memory
RNIS: Réseau Numérique à Intégration de Services
S
SSH: Secure Shell
SSL: Secure Socket Layer
T
TCP/IP: Transmission Control Protocol/Internet Protocol
U
URL: Uniform Resource Locator
USB: Universal Serial Bus
V
VoIP: Voix sur Internet Protocol
VPN: Virtual Private Network
W
WAN: Wide Area Network
xi
Introduction Générale
Le développement d'utilisation d'internet a permis à beaucoup d'entreprises d'ouvrir leurs

systèmes d'information vers l’extérieur, cette ouverture rend l’entreprise vulnérable aux risques. C’est
pour cela que la sécurité internet est devenue un sujet de recherche très intense. Ces recherches ont
permis le développement de certains dispositifs de sécurité comme l’antivirus, les pare-feu et les
systèmes de cryptographie pour protéger les systèmes informatiques.
Pour cela, une architecture sécurisée, dont le cœur est basé sur un pare-feu, est nécessaire. Cet
outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le
réseau ouvert sur Internet beaucoup plus sûr et de faire en sorte que les utilisateurs puissent utiliser
le système d'information en toute confiance.
C’est dans cette optique que le Centre d'Etudes et de Recherche des Télécommunications CERT
m’a proposé de mettre en place une solution de sécurité réseaux basé sur un pare-feu afin de corriger
et améliorer le niveau de sécurité de l’infrastructure de son système d’information.
Ainsi ce rapport est scindé sur quatre chapitres organisés comme suit :
Le premier chapitre intitulé « Etude préalable » est consacré à la présentation de l’entreprise,

la problématique et le contexte du projet illustrant notre travail.
Le deuxième chapitre intitulé « Etude de l’art de la sécurité de réseau d’entreprise» est un survol
sur les généralités de la sécurité informatique où nous présentons les outils nécessaires pour l’assurer
ainsi que les solutions déjà existantes et le choix de notre solution à mettre en place.
Le troisième chapitre intitulé « Conception et réalisation » définit l’installation et la

configuration basique de notre pare-feu, suivi par l’intégration et le paramétrage des outils
compatibles à notre solution PfSense et répondant aux besoins de l’entreprise.
Le dernier chapitre « Test et évaluation » est réservé aux tests et évaluation des fonctionnalités
de la solution réalisée au cours de ce projet de fin d’études.
Page | 1
Chapitre 1 Etude préalable
Chapitre 1: Etude préalable
Introduction
Le Centre d'Etudes et de Recherche des Télécommunications CERT agit depuis de nombreuses
années pour assurer la continuité de ses activités. Cette continuité qui appelle celle de système
d'information, ne peut être assurée que par la mise en place de mesures de protection de la sécurité
pour garantir un niveau de confidentialité adapté aux enjeux spécifiques du CERT.
Ce chapitre est alors dédié à l’exposition du contexte général de notre projet de fin d’études.
D’abord, nous présentons l'entreprise d'accueil CERT, ainsi que sa plateforme de sécurité. Ensuite,
nous étudions l’existant et nous dégageons la problématique liée à notre projet pour aboutir aux
objectifs fixés par l’entreprise. Par la suite, nous nous focaliserons sur la description et l’analyse du
projet.
1.1 Présentation de l’entreprise CERT

CERT est un établissement placé sous la tutelle du Ministère des Technologies de la
Communication, il a été créé par la loi N° 88-145 du 31 décembre 1988 et a démarré ses activités en
février 1991.
Le CERT participe au développement du secteur des télécommunications en Tunisie et au soutien

des activités des grands acteurs de télécommunication à l’instar de la Poste Tunisienne, l’Office
National de Télédiffusion et l’Agence Tunisienne de l’Internet.
Riche en ressources humaines qualifiées, le CERT s’est investi dans plusieurs créneaux du
secteur des télécommunications, à la fois stratégiques et innovants.
La mise en place du CERT répond à des préoccupations majeures au niveau des

télécommunications. Il s’agit en effet de lui permettre de se consacrer à l’étude, à l’expertise et le
développement des réseaux dont l'objectif finale est l’amélioration de la qualité de service [1].
1.1.1 Architecture de réseau du CERT

Le réseau du CERT se compose de bureaux frontaliers et de deux sites, le siège à Tunis et
l'agence de Sfax. Le CERT dispose d'un réseau étendu permettant d'interconnecter ses différents
sites distants au site central de Tunis. L'agence de Sfax est connectée au site de Tunis par une
Page | 2
liaison Frame Relay et les bureaux frontaliers sont connectés au site central par une liaison internet
publique sécurisée par VPN IPsec. Le réseau du CERT est également interconnecté avec plusieurs
partenaires tels que (voir figure 1):
- Le centre national de l’informatique (CNI), par une liaison X25,

- Tunisie Trade Net (TTN), par une liaison Frame Relay,
- E-Gouvernement (GOV), par une liaison internet ADSL.
Figure 1 : Architecture globale du CERT
1.1.2 Composants du réseau local du CERT

Le réseau local du CERT au niveau du siège est composé des équipements suivants :
- Les serveurs: Le réseau du CERT est un réseau en étoile, il comporte huit principaux
serveurs:
o Un contrôleur principal de domaine 2003 serveur : pour la gestion des comptes utilisateurs
et comptes machines,
o Un contrôleur secondaire du domaine NT: jouant aussi bien le rôle d'un backup pour le
contrôle principal ainsi qu'un serveur d'impression. L'un des deux répond aux clients
tandis que l'autre se tient à jour en permanence. Toute modification du premier est
produite sur le second. Si l'un tombe le deuxième prend le relais d’une façon transparente
pour les utilisateurs,
o Un serveur web: Windows server 2003 à deux interfaces gérant la connexion des
employés à internet,
o Un serveur d'application sous linux : ce serveur héberge des applications de gestion
critique pour le bon fonctionnement de l'entreprise,
Page | 3
o Un serveur de messagerie sous Windows server 2003 : ce serveur travaillant hors du

réseau internet est lié au Ministère des Technologies de l'Information et de la
Communication via une liaison point à point,
o Un serveur de sécurité : Internet Security and Acceleration Server ISA.
o Un serveur de base de données,
o Le serveur DNS (Domain Name Server).
- Pare-feu : protège le système informatique connecté à Internet des tentatives d'intrusion qui
pourraient en provenir.
- La baie de brassage: c’est une armoire contenant les équipements réseau permettant aux
employés d'une même entreprise d'accéder à internet et de faire de l'intranet. De plus elle
centralise les éléments de réseaux informatiques et de téléphonie.
- Les routeurs : Assurer le routage des paquets entre réseaux.
- Le serveur proxy : pour assurer la sécurité de réseau local et la journalisation des requêtes
[1]. La figure 2 présente l’architecture de réseau LAN.
Figure 2 : Architecture de réseau LAN du CERT
1.2 Présentation du projet

Le thème intitulé « Mise en place d’une solution de sécurité réseau pour entreprise », s'inscrit
dans un contexte pour une mise en place d’une solution en rapport avec la sécurité du réseau du
CERT. En effet, dans ce travail nous implémenterons un firewall open source qui
permet l’authentification des utilisateurs, le filtrage d’URL, le blocage des sites indésirables afin de
Page | 4
limiter l’accès à internet et assurer la supervision de la bande passante afin de protéger le réseau
contre tout type d’attaques.
L’objectif principal du projet est l’implémentation d’une architecture réseau sécurisée en

respectant les exigences matérielles et logicielles de l’organisme et les besoins réels de l’utilisateur.
1.3 Etude de l’existant

Toute révision, modification ou action visant à améliorer le système informatique du CERT doit
passer par une connaissance préalable de l'ensemble des différents éléments constituant l'architecture
de son système informatique existant. L'analyse de l'existant a pour but d'évaluer le niveau de
performance et les niveaux de disponibilité de l'infrastructure réseau, et de déterminer quelles
améliorations peuvent être apportées pour la rendre plus performante tout en favorisant sa gestion.
1.3.1 Description des équipements existants
Dans cette partie, nous décrivons les équipements de l’architecture de notre réseau dont nous
trouvons :
- L’infrastructure du système d’information est constituée d’équipements hétérogènes,

- Les ordinateurs de bureau et les portables sont de type PC,
- Un Mac pour besoin graphique,
- Les serveurs métiers, messagerie, antivirus, DHCP (Dynamic Host Configuration Protocol),
domaine sont de type Windows server 2003,
- Le réseau LAN est de type Ethernet 100baseT,
- Le réseau WLAN est constitué d’un Switch d’administration et des points d’accès D-Link,
- Connexion RNIS pour le laboratoire de test d’Homologation,
- Le PBX téléphonique contient une carte VoIP.
1.3.2 Présentation des utilisateurs
Les utilisateurs qui accèdent au réseau local de la direction sont nombreux, nous pouvons les
classer en deux types :
- Les employés : Ce sont les techniciens (les superviseurs), les ingénieurs, et les
responsables (directeur, chef service, chef de bureau, chef projet,) ; ils sont autorisés à
accéder au réseau du CERT en utilisant ses ressources,
- Les invités : Ce sont les fournisseurs, les sous-traitants, les clients et les stagiaires, ils sont
autorisés à accéder seulement à l’internet.
Page | 5
1.3.3 Critique de l’existant
Suit a une étude organisationnelle et physique permettant d’avoir une vue globale de l’état de
sécurité du système d’information du CERT et d’identifier les risques potentiels, nous avons relevé
des failles de sécurité nécessitant une résolution :
- Absence d’une politique de sécurité assurant une utilisation adéquate et légale des ressources
partagées (serveurs, routeur …).
- Absence d’informations résumant l’état du fonctionnement du réseau informatique en temps
réel.
- Absence d’un système de comptabilisation des accès réseau : dans certains cas
d’investigation, il est impossible de déterminer quelle machine/quel utilisateur s’est
connecté(e) et quand ceci a été fait.
- Absence de gestion des droits d’accès des utilisateurs.
- Absence de contrôle sur les applications accessibles, les téléchargements effectués, les sites
visités et encore moins sur les plages horaires de ces activités.
- Accès lourd et débit trop faible dédiées aux stagiaires.
- Utilisation d'un simple pare-feu permettant d'assurer la sécurité des systèmes informatiques :
filtrer les informations en se basant uniquement sur les adresses IP et les ports comme c'est
le cas de tous les pare-feu traditionnels.
- Absence d'un système d'authentification sécurisée pour l'accès à Internet.
1.4 Problématique
Avec la croissance des utilisations internet, les environnements informatiques évoluent à un
rythme accéléré. Dans l’entreprise, il y a une utilisation massive de l’internet pour répondre aux
nouveaux besoins qui sont nés suite à l’apparition de nouvelles technologies, des data center, et de la
virtualisation. Les avantages de l’utilisation d’internet semblent clairs, mais il en résulte des risques
évidents de sécurité. L’infrastructure traditionnelle mise en place pour protéger le réseau devient
incapable de contrôler l’accès à tout type d’applications via une grande variété de dispositifs car les
menaces exploitent aujourd’hui les failles d’authentification et de la couche applicative.
Dans ce cadre, les responsables du CERT cherchent des solutions préventives de sécurité pour
garantir un réseau efficace aux employés. Pour ce faire le CERT propose l’étude et la mise en place
d’une solution de sécurité au sein de son réseau local ce qui permet de contrôler l’accès au réseau et
de résoudre les problèmes relevés.
Page | 6
1.5 Objectifs et résultats attendus du projet

Au regard des risques identifiés, notre projet est poursuivi dans le but de :
- Assurer la disponibilité des ressources réseaux en infrastructure (supports de

transmission…) et en équipements de traitement (serveurs...) : les informations et services
sont accessibles lorsque nécessaire,
- Assurer un accès sécurisé au réseau Internet et à différentes ressources partagées de
l'entreprise,
- Assurer la confidentialité des données : empêcher la fuite de l'information,
- Interdiction d'accès aux certains sites web et réseaux sociaux pendant le travail.
À la fin de ce projet, un pare-feu doit être mis en place. Les solutions proposées en termes de
résultats attendus sont :
- Un portail captif pour forcer les utilisateurs à s'authentifier avant l'accès à Internet,
- Un proxy Squid avec filtrage d’URL SquidGuard permettant de filtrer les accès à Internet
de l’ensemble des utilisateurs connectés au réseau interne, de bloquer l’accès aux sites à
caractère indésirables ou offensant,
- Supervision de la bande passante.
1.6 Méthodologie du travail

Dans cette partie, nous détaillons la méthodologie que nous avons adoptée pour répondre au
mieux à nos objectifs.
Pour le déroulement de notre projet, nous suivons la démarche suivante :
- Etude technique : généralités sur la sécurité réseau et leurs failles, et choix de la solution de
sécurité la plus adéquate,
- Analyse et conception : analyse concurrentielle des solutions et le choix du pare-feu à mettre
en œuvre suivie de la phase de conception de notre environnement de travail,
- Implémentation : la mise en place de la solution adéquate,
- Evaluation : il s’agit de tester et valider les différents modules de l’application.
1.7 Spécification des besoins

Cette phase représente l’aspect « fonctionnel » de la solution :
Page | 7
1.7.1 Les besoins fonctionnels
Les besoins fonctionnels permettent de décrire les fonctionnalités de la solution implémentée visé
par l’entreprise d’accueil. Les principaux besoins fonctionnels de la solution sont :
- Renforcer la gestion de l’authentification des utilisateurs en utilisant un serveur

d’authentification FreeRADIUS,
- Créer des interfaces réseau au niveau firewall et fixer ses règles de routage et ses politiques
de sécurité,
- Interdiction d’accès aux certains sites web et réseaux sociaux pendant le travail,
- L’autorisation de certaines fonctionnalités d’application et le blocage des autres selon les
privilèges des utilisateurs,
- Ajouter des comptes utilisateurs.
1.7.2 Les besoins non fonctionnels
La solution mettre en place doit assurer les besoins non fonctionnels suivants :
- Adaptation du produit à son environnement : notre solution pourra être installée sur un
serveur ou un ordinateur personnel,
- La simplicité : notre solution doit être simple et facile à utiliser les interfaces graphiques en
supportant n’importe quel type de système ou équipements,
- La flexibilité : notre solution peut être mise sans touchant la topologie réseau et cela
gratuitement,
- La virtualisation : notre solution est implémentée en mode virtuel moyennant VMware
Workstation.
1.8 Planning prévisionnel

Le planning prévisionnel des tâches est nécessaire lors de la réalisation d’un projet. Le tableau 1
illustre la planification prévisionnelle des différentes tâches du projet.
Page | 8
Tableau 1 : Planning prévisionnel
Mois
Février Mars Avril Mai Juin Juillet
Tâches
Etude technique et
bibliographie
Analyse et
conception du
projet
Confinement
Mise en place de
la solution et son
évaluation
Rédaction du
rapport
Nous fixons le démarrage de notre projet au début du mois février 2020 et la durée des tâches est
fixée en nombre de semaines.
Le planning nous permet d'identifier et estimer les grandes étapes de notre projet de fin d'études.
Celles-ci vont de la préparation du projet, l'analyse et conception, jusqu'à l'implémentation et
l'évaluation de la solution. Chaque semaine, des objectifs sont proposés en réunion de projet pour
bien mener le projet de bout en bout.
Conclusion
Ce premier chapitre a été consacré à la présentation de l’organisme d’accueil et la mise du projet
dans son cadre général, en introduisant sa problématique et ses objectifs du projet. Nous avons aussi
annoncé la démarche et le planning prévisionnel qui vont être suivis tout au long de ce projet.
Page | 9
Chapitre 2: Etude de l’art de la sécurité de réseau
d’entreprise
Introduction
Avec l’avènement d’Internet et des moyens de communications modernes, une nouvelle forme
d’insécurité est apparue. En effet, toute entreprise ayant un accès à Internet risque de subir des
attaques réseaux. Ces menaces qui ne cessent d'augmenter en nombre et en complexité poussent les
sociétés à réviser ses stratégies de sécurité afin de contourner ces nouveaux risques.
Dans ce cadre, nous initions ce chapitre par une vue globale sur la sécurité réseau et la
présentation de ses notions fondamentales, ensuite nous présentons les solutions pare-feu existantes
sur le marché en effectuant une étude comparative, et nous clôturons par le choix de la solution la
plus adéquate.
2.1 Notion générale sur la sécurité réseau

La sécurité de l'information protège l'information d'une multitude d’intimidations afin de garantir
la continuité de l’organisme, restreindre les dommages et participer le plus que possible à avoir le
degré de protection désiré [2].
La sécurité informatique vise généralement cinq services comme il est indiqué dans le tableau 2.
Tableau 2 : Les cinq services de la sécurité informatique
Assurer que celui qui se connecte est celui qui correspond au nom
L’authentification
indiqué.
La confidentialité Accessibilité de la donnée uniquement aux utilisateurs autorisés.
Consiste à déterminer si les données n’ont pas été altérées durant la

L’intégrité
communication.
Accessibilité de la donnée au moment voulu par les utilisateurs
La disponibilité
autorisés.
La non-répudiation Permettant de garantir qu’une transaction ne peut être niée.
2.2 Les attaques informatiques

Les évolutions technologiques ont entraîné une augmentation des risques d’attaques
informatiques au sein des entreprises. Tout ordinateur connecté à un réseau informatique est
Page | 10
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
potentiellement vulnérable à une attaque qui est l’exploitation d’une faille d’un système informatique
(système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non connues par l’exploitant
du système [2].
Pour contrer ces attaques, il est indispensable de connaître ses principaux types afin de mieux s’y
préparer. Nous pouvons donc les catégoriser de la manière suivante :
- Accès physique : il s’agit d’un cas où l’attaquant a accès aux locaux, éventuellement
même aux machines :
o Coupure de l’électricité,
o Extinction manuelle de l’ordinateur,
o Vandalisme,
o Ouverture du boîtier de l’ordinateur et vol de disque dur,
o Ajout d’éléments (clé USB, point d’accès Wifi..).
- Interception de communications :
o Vol de session,
o Usurpation d’identité,
o Détournement ou altération de messages.
- Dénis de service : il s’agit d’attaques visant à perturber le bon fonctionnement d’un
service. Nous distinguons habituellement les types de déni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP,
o Exploitation de vulnérabilité des logiciels serveurs.
- Intrusions :
o Balayage des ports,
o Ecoute du trafic sur le réseau,
o Elévation de privilèges : ce type d’attaque consiste à exploiter une vulnérabilité
d’une application,
o Malicieux : (virus, vers, et chevaux de Troie).
- Ingénierie sociale : dans la majeure partie des cas le maillon faible est l’utilisateur lui-
même, en effet, c’est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une
brèche dans le système, en donnant des informations (mot de passe par exemple) au pirate
informatique,
- Trappes : il s’agit d’une porte dérobée dissimulée dans un logiciel, permettant un accès
ultérieur à son concepteur.
Page | 11
2.3 Politique de sécurité

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité
informatique d’une entreprise. Elle est matérialisée dans un document qui contient les règles
sécurisant un système de communication. Elle décrit la totalité du système (composantes, architecture
du réseau, interactions entre les composantes, règles de sécurité) [3].
Nous mettons en place une politique de sécurité afin d’empêcher les violations de sécurité telles
que: accès non autorisé, perte de données, interruption de services. Une bonne politique de sécurité
se définit selon les 4 étapes-clés suivantes :
- Identification :
o Des besoins en termes de sécurité,

o Des risques informatiques au sein de l’entreprise.
- Elaboration des règles et des démarches à mettre en place dans les différents services de
l’entreprise.
- Surveillance et détection des failles et des points faibles du système informatique.
- Définition des processus à déclencher et des personnes à contacter en cas de menace.
Les objectifs d'une politique de sécurité réseau, qui viennent en complément de la politique
générale de sécurité, sont identiques et utilisent les mêmes concepts, notamment les suivants:
- Politiques: Il s'agit de documents décrivant de manière formelle des principes ou règles

auxquelles se conforment les personnes qui reçoivent un droit d'accès au capital
technologique et informatif de l'entreprise. Ces documents à caractère non technique donnent
aux responsables de l'entreprise les axes à suivre.
- Guides: Il s'agit de documents détaillants comment implémenter les politiques de sécurité.

Ils sont considérés comme des documents complémentaires aux politiques.
- Standards: Il s'agit de documents de standardisation de normes et méthodes émanant

d'organismes internationaux tels que l'ISO (International Standardization Organization),
l'IETF (Internet of Electrical and Electronics Engineers), … Il peut s'agir également de
documents définis par l'entreprise.
- Procédures: Il s'agit de documents à caractères opérationnel et technique, qui écrivent de

manière claire et précise les étapes à suivre pour atteindre un objectif de sécurité donné.
Page | 12
Les documents de sécurité peuvent être représentés par une structure pyramidale représentant le
positionnement respectif de chaque document, comme illustré par la figure 3.
Figure 3 : Pyramide des politiques de sécurité
2.4 Les dispositifs de protection

Des nombreuses solutions permettent d’éviter les menaces pèsent sur les infrastructures
informatiques. Dans cette section nous présentons les dispositifs indispensables pour la sécurité
informatique en entreprise.
2.4.1 La fonction de hachage

Une fonction de hachage est aussi appelée fonction de hachage à sens unique ou "one-way hash
function" en anglais. Ce type de fonction est très utilisé en cryptographie, elle permet d’extraire une
empreinte qui caractérise les données et avec une taille fixe indépendamment de la taille des données.
Il est pratiquement impossible de trouver deux données différentes ayant la même empreinte [4].
2.4.2 Le logiciel de protection (antivirus)

Les antivirus sont des programmes qui détectent les virus, les vers et les chevaux de Troie sur
l’ordinateur et les éliminent. Ils visitent les fichiers sur le disque dans le but de trouver des bouts de
programmes reconnus comme dangereux.
2.4.3 Réseaux privés virtuels

Le réseau privé virtuel (VPN) est un réseau privé connectant différents sites construit sur des
réseaux publics (ex. l’Internet) en utilisant les techniques de chiffrement et les protocoles de
tunnelisation (Tunneling). Il permet de circuler l’information de l’entreprise de façon cryptée d'un
bout à l'autre du tunnel.
Page | 13
Le réseau privé virtuel repose sur un protocole, appelé protocole de tunneling, c'est-à-dire un
protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des
algorithmes de cryptographie. L'expression tunnel chiffré est utilisée pour symboliser le fait qu'entre
l'entrée et la sortie du VPN, les données sont chiffrées (cryptées) et donc incompréhensibles pour
toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un
tunnel. Dans le cas d'un VPN établi entre deux machines, nous appelons client VPN l'élément
permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l'organisation. Le réseau privé virtuel est présenté dans la figure 4.
Figure 4: Réseau privé virtuel
Les principaux protocoles de tunneling sont les suivants :
- PPTP (point-to-point tunneling protocol) est un protocole de niveau 2, c’est le protocole

VPN le plus rapide disponible en raison de son cryptage faible,
- L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern
Telecom et Shiva. Il est désormais quasi obsolète,
- L2TP (Layer Two Tunneling Protocole) est l'aboutissement des travaux de l'IETF (Internet
Engineering Task Force), pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit
ainsi d'un protocole de niveau 2,
- IPSec est un protocole de niveau 3, issu des travaux de l’IETF permettant de transporter
des données chiffrées pour les réseaux IP.
2.4.4 Serveur proxy

Un serveur Proxy, aussi appelé serveur mandataire est à l'origine une machine faisant fonction
d'intermédiaire entre les ordinateurs d'un réseau local, utilisant parfois des protocoles autre que le
protocole TCP/IP et Internet. Un proxy est donc un ensemble de processus permettant d'éliminer la
Page | 14
connexion directe entre l’utilisateur et l’internet. La plupart du temps le serveur Proxy est utilisé pour
le web.
Son principal intérêt est de rendre l’utilisateur anonyme sur internet puisque c'est l'adresse IP et
le numéro de port sortant du serveur mandataire qui sont détectés par les sites web visités et non
l'adresse IP de la connexion internet (voir figure 5).
Le serveur proxy assure la sécurité et le filtrage, dans le cadre d'un réseau d'entreprise ou d'un
réseau dans un établissement scolaire, il va servir de filtre : le serveur peut par exemple choisir de
bloquer des sites web prédéfinis par des règles de filtrage (réseaux sociaux, etc...) [5].
Figure 5 : Serveur proxy
2.4.5 Systèmes de détection d’intrusion (IDS)

Un système de détection d'intrusions est un appareil ou une application qui alerte l'administrateur
en cas de faille de sécurité, de violation de règles ou d'autres problèmes susceptibles de compromettre
son réseau informatique.
Les attaques utilisées par les pirates sont très variées, puisque certaines utilisent des failles
réseaux et d’autres des failles de programmation. C’est la raison pour laquelle la détection d’intrusion
doit se faire à plusieurs niveaux. Donc, nous distinguons trois type d’IDS que nous détaillerons par
la suite ses principales caractéristiques.
2.4.5.1 Systèmes de détection d’intrusion réseau (NIDS)
Les IDS réseaux analysent en temps réel le trafic qu’ils aspirent à l’aide d’une sonde (carte réseau
en mode promiscues). Ensuite, les paquets sont décortiqués puis analysés. Il est fréquent de trouver
plusieurs IDS sur les différentes parties du réseau [6].
Page | 15
2.4.5.2 Systèmes de détection d’intrusion de type hôte (HIDS)

Les IDS systèmes analysent le fonctionnement de l’état des machines sur lesquelles ils sont
installés afin de détecter les attaques en se basant sur des démons (tels que syslogd par exemple) [6].
2.4.5.3 Systèmes de détection d’intrusion de type applications (AIDS)
Les IDS applications sont dédiés à des applications spécifiques, ils utilisent les informations
contenues dans les fichiers log et ils sont efficaces contre certaines attaques fondées sur le
dépassement de privilège [6].
2.4.6 Pare-feu
Un pare-feu, (appelé aussi Coupe-feu, Garde-barrière) l'anglais « firewall », est un logiciel et/ou
un matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur
passage en se basant sur un ensemble de règles appelées ACL (« Access Control List »). Il enregistre
également les tentatives d'intrusions dans un journal transmis aux administrateurs du réseau et permet
de contrôler l'accès aux applications et d'empêcher le détournement d'usage [7].
Un pare-feu dans un réseau a pour but de déterminer le type de trafic qui sera acheminé ou
bloqué, de limiter le trafic réseau et accroître les performances, contrôler le flux de trafic, fournir un
niveau de sécurité d'accès réseau de base, autoriser un administrateur à contrôler les zones auxquelles
un client peut accéder sur un réseau, filtrer certains hôtes afin de leur accorder ou de leur refuser
l'accès à une section de réseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les
interfaces réseau (cartes réseau) suivantes :
- Une interface pour le réseau à protéger (réseau interne),

- Une interface pour le réseau externe.
Figure 6 : Pare-feu
Page | 16
2.4.6.1 Les différentes catégories de pare-feu

Les pare-feu ont grandement évolué. Ils sont effectivement la première solution technologique
utilisée pour la sécurisation des réseaux. De ce fait, il existe maintenant différentes catégories de pare-
feu.
- Pare-feu sans états (stateless)
Ce sont les pare-feu les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies par
l'administrateur (généralement appelées ACL, Access Control Lists). Ces pare-feu interviennent sur
les couches réseau et transport. Les règles de filtrages s'appliquent alors par rapport à une des adresses
IP source ou destination, mais aussi par rapport à un port source ou destination.
- Pare-feu à états (stateful)
Les pare-feu à états sont une évolution des pare-feu sans états. La différence entre ces deux types
de pare-feu réside dans la manière dont les paquets sont contrôlés. Ils prennent en compte la validité
des paquets qui transitent par rapport aux paquets précédemment reçus. Ils gardent alors en mémoire
les différents attributs de chaque connexion, de leur commencement jusqu'à leur fin, c'est le
mécanisme de « stateful inspection ». De ce fait, ils seront capables de traiter les paquets non plus
uniquement suivant les règles définies par l'administrateur, mais également par rapport à l'état de la
session.
- Pare-feu authentifiant
Les pare-feu authentifiant permettent de mettre en place des règles de filtrage suivant les
utilisateurs. Il est alors possible de suivre l'activité réseau par utilisateur. Pour que le filtrage puisse
être possible, il y a une association entre l'utilisateur connecté et l'adresse IP de la machine qu'il utilise.
Il existe plusieurs méthodes d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui
effectue l'authentification par connexion.
- Pare-feu personnel
Les pare-feu personnels sont installés directement sur les postes de travail. Leur principal but est
de contrer les virus informatiques et logiciels espions (spyware). Leur principal atout est qu'ils
permettent de contrôler les accès aux réseaux des applications installées sur les machines. Ils sont
capables en effet de repérer et d'empêcher l'ouverture des ports par des applications non autorisées à
utiliser le réseau.
- Portail Captif
Page | 17
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de
consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés
pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. On
les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires ou
Wi-Fi.
Dans notre projet nous proposons de choisir le par feu comme un dispositif de protection à mettre
en place.
2.5 Présentation des solutions pare-feu

Dans cette partie, nous étudions quelques solutions pare-feu libres et commerciales qui existent
dans le marché afin de pouvoir par la suite choisir une solution adéquate à notre projet.
2.5.1 Les solutions pare-feu d’accès commerciales

Ce qui différencie les solutions open source et payantes est le matériel supporté, les
fonctionnalités principales, la documentation et la communauté dédiée à chaque solution. Nous
commençons par la présentation des solutions pare-feu d’accès commerciales.
2.5.1.1 La solution Cisco ASA
Le pare-feu Cisco ASA, série 5500-X est un pare-feu de nouvelle génération conçu pour aider à
trouver le juste équilibre entre l’efficacité et la productivité. Cette solution combine le pare-feu
dynamique le plus déployé de l'industrie à un éventail complet de services de sécurité réseau de
nouvelle génération [8].
2.5.1.2 La solution SonicWall
Les pare-feu SonicWall de nouvelle génération fournissent à l’entreprise la sécurité, le contrôle

et la visibilité réseau dont elle a besoin pour innover et croître rapidement. Ils s’intègrent parfaitement
à un grand éventail de produits, services et technologies afin de créer une solution de sécurité
complète et hautement performante qui répond aux besoins [9].
2.5.1.3 La solution Stone soft
La solution StoneGate est l’ensemble des services de la sécurité réseau qui sont le firewall (FW),
l'infrastructure privé virtuel (VPN), la prévention d'intrusion (IPS), le VPN secure sockets layer SSL,
la sortie de bout en bout, de même qu'un équilibre des charges, dans un système dont la gestion est
centralisée et unifiée. Elle a un très bon rapport prix/performances [10].
Page | 18
2.5.2 Les solutions pare-feu d’accès libres

Les pare-feu du domaine libre n'ont rien à envier aux pare-feu commerciaux. Nous présenterons
dans cette parie certaines solutions open source à savoir : Netfilter, IPCop et PfSense.
2.5.2.1 La solution Netfilter
Netfilter est une solution native de filtrage réseau sous Linux. Cette solution est plus connue sous
le nom iptables. Il filtre le trafic selon des critères très divers (sous-réseau d'origine, de destination,
ports, heure de la journée).
Netfilter dispose de modules permettant le suivi d'état de protocoles tels que FTP ou H.323, qui
nécessitent une inspection des paquets au niveau 7. Quand un colis vient sur une interface, Netfilter
regarde à l'en-tête IP pour voir si ce colis fait partie d'une session connue. Selon le cas, il fixe la
situation du colis au sein des cas suivants ; Nouveau, liée, invalide [11].
2.5.2.2 La solution IPCop
IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à
assurer la sécurité du votre réseau. Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre
un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local
par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci [12].
2.5.2.3 La solution PfSense
PfSense est une solution de pare-feu open source basée sur FreeBSD. La distribution est gratuite
à installer sur l’équipement propre du client ou l'entreprise derrière pfSense, NetGate, vend des pare-
feu préconfigurés. Il est utilisé principalement pour transformer un pc en pare-feu. C’est un fork de
mOnOwall (qui est aussi une distribution aux fonctionnalités similaires) [13].
2.6 Etude comparative des solutions existantes

L’étude comparative est une étape très importante pour le choix du pare-feu. Elle consiste à
déterminer les principaux concurrents des pare-feu afin d’extraire leurs aspects positifs et négatifs.
Ce qui différencie les solutions open source et payantes est le matériel supporté, les
fonctionnalités principales, la documentation, la communauté dédiée à chaque solution, l’interface
Web ergonomique.
Puisque les solutions disponibles (gratuite ou commerciale) sont diversifiées le choix dépend des
critères présentés dans le tableau 3.
Page | 19
Tableau 3 : Comparaison entre les solutions commerciales et libres
Solution open source Solution commerciale

SonicW
Les critères Cisco
Netfilter IPCop PfSense all Stone soft
ASA
Proxy oui oui oui oui oui oui
Stateful oui oui oui oui oui oui
NAT oui oui oui oui oui oui
VPN (site to site) oui oui oui oui oui oui
VPN (client to site) oui oui oui oui oui oui
Anti spam non non oui oui oui oui
Haut disponibilité non oui oui oui oui oui

Identification des
non non non oui non non
utilisateurs
IPS/IDS non oui oui oui oui oui
SSH
non oui oui oui oui oui
Le tableau 3 dresse une classification des solutions commerciales et libres du marché. La solution
Cisco ASA est située en premier comme leader dans le marché mais avec un cout très élevé, et
uniquement les équipements Cisco sont supportés alors qu’une architecture ouverte est exigée pour
ce projet : Support d’environnements multifournisseur.
Après la comparaison des outils disponibles, open source et commerciales, et vue que le réseau
du CERT est homogène et qu’il opte à la mise en place des outils open source, nous avons opté une
solution open source « PfSense ». C’est une solution complète et supporte différents types de
matériels. Elle intègre plus de fonctionnalités que les autres solutions open source et assure tous les
objectifs de la sécurité avec une interface Web très pratique.
2.7 Synthèse de la solution de sécurisation choisie

Après avoir opté pour la solution libre et gratuite « pfsense », nous détaillons notre solution et
ses outils dans cette section.
Page | 20
2.7.1 Présentation générale de PfSense

PfSense ou « Packet Filter Sense » est un applicatif qui fait office de routeur/pare-feu open source
basé sur le système d'exploitation FreeBSD. Il est une reprise du projet Monowall auquel il rajoute
ses propres fonctionnalités. Il utilise le pare-feu à états Packet Filter, des fonctions de routage et
de NAT lui permettant de connecter plusieurs réseaux informatiques. Il peut fonctionner sur du
matériel de serveur ou domestique, sur des solutions embarquées, sans toutefois demander beaucoup
de ressources ni de matériel puissant. La plate-forme doit être x86 ou x64, mais d'autres architectures
pourraient être supportées à l'avenir.
Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Ce qui séduit chez PfSense est sa facilité d'installation et de
configuration des outils d'administration réseau. [13].
2.7.2 Présentation des outils de PfSense

PfSense est une pare-feu open source qui dispose plusieurs fonctionnalités et outils. Parmi celles-
ci, nous citons :
- Le portail captif
Le portail captif est un moyen permettant aux utilisateurs de s’authentifier sur un réseau. Il oblige
tout utilisateur désirant naviguer sur internet de s'identifier grâce notamment à une redirection vers
une page de connexion [14].
- Snort
Utilisé par les 500 sociétés les plus grosses et les gouvernements, Snort est l’outil de
détection/prévention d’intrusion le plus utilisé au monde. Il permet de créer des règles de
journalisation et peut permettre une recherche sur le contenu en plus d’être utilisé pour détecter une
variété d’attaques et de sondes, tels que : buffer overflow, scan de ports furtif, attaques CGI, sondes
SMB, et bien plus [14].
- Ntopng
Ntop est un outil de test de réseau qui permet de contrôler l’utilisation des ressources de la même
façon que top fait pour les processus. En mode interactif, il affiche les statistiques réseau sur le
terminal de l’utilisateur. En mode Web, il agit comme un serveur HTTP, en créant un dump du statut
du réseau. Il inclut un émetteur / récepteur de flux NetFlow/sFlow, une interface client HTTP qui
permet de créer des applications de contrôle basées sur NTOP et RRD pour stocker de façon
persistante les données à des fins statistiques [14].
Page | 21
- Le proxy SQUID
C’est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est complet et
propose une multitude d’options et de services qui lui ont permis d’être largement adopté par les
professionnels, mais aussi dans un grand nombre d’école ou administrations travaillant avec les
systèmes de type Unix Squid est capable de manipuler les protocoles HTTP,FTP,SSL [15].
- SquidGuard
SquidGuard est un redirecteur URL utilisé pour les listes noires avec le logiciel proxy « Squid
». Il possède deux grands avantages: la rapidité et la gratuité cet outil est publié sous GNU Public
License, licence gratuite. Il est utilisé pour :
o Limiter l’accès Internet pour certains utilisateurs à une liste de serveurs Web ou des
URLs qui sont acceptés et bien connus,
o Bloquer l’accès à des URL correspondant à une liste d’expressions régulières ou des
mots pour certains utilisateurs.
Conclusion
Au cours de ce chapitre, nous avons pris connaissance des différents aspects liés à la sécurité des
réseaux informatiques ; nous avons découvert les attaques qui menacent cette dernière et comment se
protéger afin de réduire les intrusions et attaques des pirates ; nous avons étudié les pare-feu en
effectuant une étude comparative entre les solutions commerciales et gratuites. En fin nous avons
décrit avec détail la solution retenue pour la réalisation de notre projet (PfSense).
Page | 22
Chapitre 3: Conception et réalisation de la solution
proposée
Introduction
Dans ce chapitre, nous clôturons la mise en place de PfSense et nous introduirons l'environnement
matériel et logiciel utilisés pour la réalisation de ce projet. Ensuite, nous installons et configurons
PfSense, après nous effectuons le paramétrage d’un ensemble de packages nécessaires.
3.1 Préparation de l'environnement du travail

Vu l'importance des informations et des services fournis par les serveurs du CERT, nous sommes
obligés de travailler dans un environnement virtuel avec VMware, donc nous présentons dans cette
section l'environnement matériel et logiciel utilisés pour la réalisation de notre solution.
3.1.1 Environnement matériel

Nous avons installé Oracle VM Virtual Box sur un PC portable ASUS ayant les caractéristiques
suivantes :
- Processeur : Intel ® Core™ i5 CPU 2,5 GHz,

- RAM : 8 Go,
- Type du système : Système d'exploitation 64bits.
3.1.2 Environnement logiciel

Au cours de notre travail, nous avons utilisé divers services et outils nécessaires pour la mise en
place de notre solution et qui nous les décrivons moyennant le tableau 4.
Page | 23
Chapitre 3 Conception et réalisation de la solution proposée
Tableau 4 : Les versions des outils
Nom d’outil Version
Oracle VM VirtuelBox Oracle VM VirtuelBox 6.0.6
Ubuntu Ubuntu-18.04.3-desktop-amd64
PfSense PfSense.vbox-2.4.4
Squid proxy server 0.4.44_27
SquidGuand 1.16.18.6
Ntopng 0.8.13_5
Freeradius3 0.15.7-16
Pour arriver à la mise en œuvre de notre solution, nous avons créé d’abord 3 machines virtuelles
décrites par le tableau 5.
Tableau 5 : Les machines virtuelles utilisées
Machine
PfSense Ubuntu Red hat
Propriétés
Mémoire RAM 2048 Mo 2048 Mo 1Go
Nombre de processeurs 2 1 1
Nombre de cartes réseaux 3 1 1
Système d’exploitation FreeBSD Linux Red hat
- Machine PfSense: C'est sur cette machine que nous avons installé PfSense.
- Machine Ubuntu : Cette machine est utilisée pour simuler un utilisateur normal dans le
réseau interne disposant des paramètres de connexions.
- Machine Red hat: Cette machine est utilisée comme utilisateur dans le réseau externe.
Également nous avons utilisé le système d’exploitation Windows 10, sur notre hôte, comme
un utilisateur normal dans le réseau interne.
3.1.3 Architecture réseau de solution PfSense

Pour la mise en place de notre solution PfSense, nous avons adopté l’architecture représentée par
la figure 7. Nous pouvons noter la présence du pare-feu PfSense juste avant le routeur central qui a
Page | 24
pour but d'analyser et de filtrer les paquets sortants et entrants, d'authentifier les utilisateurs, ainsi de
superviser les activités.
Nous n’avons installé que deux ordinateurs dans la partie interne vue que nous avons utilisé une
machine virtuelle, qui ne supporte pas beaucoup de machines ouvertes simultanément.
Figure 7: Architecture réseau proposée
Pour le plan d’adressage nous avons attribué à chaque réseau la plage d’adresses suivante :
- Réseau WAN : 192.168.2.0 /24,

- Réseau LAN : 192.168.1.0 /24,
- Réseau DMZ : 192.168.56.0/24.
3.2 Installation de PfSense

Nous commençons par le téléchargement de l’image ISO de PfSense dans la section «Download»
de PfSense (http://www.pfsense.com). La version utilisée dans ce projet est la 2.4.4 [16].
Nous démarrons ensuite notre ordinateur à partir du CD de l’image; l’installation démarre

automatiquement.
Page | 25
Figure 8 : Ecran de démarrage de l'installation de PfSense
Par la suite, nous paramétrons notre système. PfSense détecte automatiquement les cartes réseaux
disponibles. Nous avons utilisé trois interfaces réseau :
em0 : Notre interface WAN (Internet, réseau externe),
em1 : Notre interface de notre réseau Interne.
em2 : Notre interface DMZ.
Après configuration des différentes interfaces, nous obtenons l'écran illustré par la figure 9.
Figure 9 : Menu de configuration de PfSense
3.3 Configuration de PfSense

Apres le téléchargement et l’installation de Pfsense, nous passons maintenant à la configuration
de notre pare-feu.
Page | 26
3.3.1 Paramètres généraux de PfSense

La configuration du pare-feu PfSense peut se faire soit en console ou à partir d'une interface web.
Nous avons configuré PfSense à partir de l'interface web pour plus de convivialité. Dans notre cas,
nous tapons http://192.168.1.12 pour accéder à l'interface de connexion, et c’est à partir de cette
adresse que toutes les manipulations vont se dérouler.
Nous nous connectons à l'interface de PfSense en entrant les paramètres par défaut : le nom
d'utilisateur (Admin) et le mot de passe (pfsense) pour se connecter en tant qu'administrateur (voir
figure 10).
Figure 10 : Page d'identification de PfSense
A ce niveau-là, nous configurons classiquement notre serveur, pour cela nous accédons au
« Setup Wizard » du menu « System » puis nous tapons « Nest », puis nous remplissons les
informations générales :
- Hostname : pfsense.
- Domaine CERT.tn.
- DNS : 8.8.8.8.
Ensuite, nous modifions le nom et le mot de passe permettant de se connecter à PfSense (voir
figure 11).
Page | 27
Figure 11 : Déclaration des informations générales
3.3.2 Configuration des interfaces

Nous configurons maintenant les interfaces LAN et WAN en détail :
- Interface WAN
Nous activons l'interface en cochant « Enable Interface ». Pour notre interface WAN, nous avons
assigné une adresse dynamique. Puis, nous laissons les autres paramètres par défaut. Cette étape est
représentée par la figure 12.
Figure 12 : Configuration de l'interface WAN
Page | 28
- Interface LAN :
Nous affectons l’adresse IP statique à notre interface LAN car sur laquelle sera activée le
serveur DHCP, donc il faut que son adresse soit fixée (voir figure 13).
Figure 13 : Configuration de l'interface LAN
- Interface DMZ
De même, nous activons et nous affectons l’adresse IP statique 192.168.56.1 à notre interface
DMZ.
Figure 14 : Configuration de l'interface DMZ
Page | 29
Maintenant, nous testons la connectivité entre les interfaces réseaux, exemple

WAN=>LAN (voir figure 15).
Figure 15 : Test de connectivité entre Wan et LAN
Ensuite, dans la section « DNS forwarder », nous activons l'option « Enable DNS forwarder ».
Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients (voir
figure 16).
Figure 16 : Activation l'option Enable DNS forwarder
Page | 30
3.3.3 Configuration du serveur DHCP

Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion
des clients. Pour cela, nous allons dans l'onglet « Service », puis dans la section « DHCP server »
nous cochons la case « Enable DHCP server on LAN interface ». Ensuite, nous entrons la plage
d'adresses IP qui sera attribuée aux clients. Avant d'activer le service DHCP, nous assurons qu'aucun
serveur DHCP n'est activé sur le réseau afin d'éviter les conflits d’adresses (voir figure 17).
Figure 17 : Configuration du serveur DHCP
3.3.4 Définition des règles du pare-feu

Nous fixons les règles de filtrage des paquets au niveau de chaque interface du PfSense comme
montre les figures 18, 19 et 20.
- L’interface réseau LAN
La figure 18 présente les règles de filtrage au niveau de notre interface LAN.
Page | 31
Figure 18 : Les règles de filtrage au niveau de LAN
- L’interface réseau WAN
Dans cette interface, nous bloquons tout réseau privé ou réseau présentant une menace.
Figure 19 : Les règles de filtrage au niveau de WAN
- Interface réseau DMZ
La figure 20 présente les droits d’accès des utilisateurs redirigés au réseau DMZ.
Page | 32
Figure 20 : Les règles de filtrage au niveau de DMZ
Maintenant, PfSense est correctement configuré. Pour le moment , il sert uniquement de

pare-feu et de routeur. Afin de développer notre pare-feu, et bien mettre en place notre solution,
nous devons intégrer les outils nécessaires.
3.4 Intégration des outils de PfSense

Les outils de contrôle d’accès et de sécurité sont divers, alors nous choisissons certains outils
compatibles à notre solution PfSense et répondrant aux besoins de l’entreprise.
3.4.1 Portail Captif avec FreeRADIUS

Le portail captif assure un accès sécurisé à Internet. Lorsque l'utilisateur essaie d'accéder à la
page Web pour la première fois, le portail captif capture la demande de connexion par un routage
interne et propose à l'utilisateur de s'identifier afin de pouvoir recevoir son accès. Une fois l'utilisateur
authentifié, celui-ci se voit alors autorisé à utiliser son accès pour une durée limitée par
l'administrateur. A la fin de la durée définie, l'utilisateur se verra redemander ses identifiants de
connexion afin d'ouvrir une nouvelle session [17].
Ainsi, trois méthodes d'authentification sont offertes :
- Sans authentification, les clients sont libres,

- Via un fichier local,
- Via un serveur RADIUS (Remote Authentication Dial-In User Service).
Page | 33
Pour notre solution, nous avons retenu l'authentification RADIUS.
Afin de configurer le portail captif (voir annexe A), nous installons tout d'abord le package
FreeRADIUS3 comme illustré par la figure 21.
Figure 21 : Installation du package FreeRADIUS3
L'étape suivante consiste à spécifier l'adresse IP à partir de laquelle les demandes

d'authentification viendront. Dans notre cas, les demandes d'accès au réseau internet arrivent via
l'interface LAN de PfSense (192.168.1.12).
Après, nous configurons les interfaces de FreeRADIUS comme la montre la figure 22.
Figure 22 : Les interfaces de FreeRADIUS
Ensuite, nous ajoutons un client NAS à partir duquel le serveur RADIUS doit accepter les
paquets : alors dans l'onglet « NAS/Client » nous entrons l'adresse IP LAN de notre PfSense et les
autres paramètres.
Après, pour tester la configuration, nous créons un compte utilisateur avec le nom client et
l’adresse de l’interface LAN comme illustré dans la figure 23.
Page | 34
Figure 23 : Création d'un compte utilisateur
Par la suite, nous renseignons le type d'authentification ‘Radius' (voir figure 24).
Figure 24 : Configuration du serveur d'authentification RADIUS
Pour tester la configuration, il suffit d'aller dans « Diagnostic », puis « Authentification » et de

renseigner les informations (nom, mot de passe et serveur d’authentification) pour valider le test
comme donné par la figure 25.
Figure 25 : Test d'authentification du client
Page | 35
Afin de mieux protéger l'accès à l'interface Web et de permettre le cryptage des mots de passe
des utilisateurs, nous devons utiliser un certificat.
Nous allons dans l'onglet « System » >> « Advanced », puis dans la session « Admin
Access » pour choisir le service HTTPS avec son numéro de port 443 (SSL) dans TCP port comme
le montre la figure 26.
Figure 26 : Activation de HTTPS
Pour activer HTTPS, nous créons notre certificat « FreeRADIUS » (voir figure27).
Figure 27 : Création du certificat
Après le téléchargement du certificat, nous allons dans « Service » puis « Captive Portal » pour
l'importer avec sa clé.
Page | 36
Maintenant, notre portail autorisera l'accès aux pages web sécurisées et sa sécurité semblera
renforcée dans la mesure où la récupération des mots sur le réseau est quasiment impossible.
3.4.2 Proxy Transparent Squid avec filtrage d’URL SquidGuard

Le proxy transparent est un proxy que l’utilisateur final ne voit pas, les requêtes (HTTP et HTTPS
en général) seront récupérées et analysées par le serveur sans que l’utilisateur ne soit mis au courant
pour être sûr que les utilisateurs ne puissent pas contourner les règles de sécurité en désactivant leur
proxy ou autre.
La mise en place d’un proxy transparent Squid avec filtrage d’URL SquidGuard permet de filtrer
les accès à Internet de l’ensemble des utilisateurs connectés au réseau interne, de bloquer l’accès aux
sites à caractère indésirables ou offensant.
3.4.2.1 Installation des packages Squid SquidGuard et LightSquid
Nous commençons la mise en place de proxy par l’installation des 3 packages (voir figure 28).
Figure 28 : Les paquets installés
3.4.2.2 Configuration de Squid
Après l'installation nous allons dans « Services » > « Proxy server | General » pour sélectionner
l’interface LAN concerner par Squid, après nous activons « Enable Squid Proxy » et « Resolve DNS
IPv4 First »,
Page | 37
Nous couchons aussi le mode transparent pour activer transparent http proxy comme indiqué dans
la figure 29.
Figure 29 : Activation de transparent HTTP proxy
Après, nous allons dans local cache et nous paramétrons le « Hard Disk Cache Size » à 500 Mo
puis nous cliquons sur « Save » (voir figure 30).
Figure 30 : Configuration de local cache
3.4.2.3 Configuration de SquidGuard
Nous allons dans « Services » > « Proxy filtre | General » setting pour activer SQUIDGARD.
Ensuite, nous activons « Enable Log » et « Enable log rotation » et nous insérons «
http://squidguard.mesd.k12.or.us/blacklists.tgz » dans « Blacklist URL » qui nous permet de saisir le
chemin d’accès à la liste noire, nous avons utilisé la blacklist« squidguard mesd » (voir figure 31).
Page | 38
Figure 31 : Activation de blacklist
Ensuite, nous revenons dans l’onglet « Blacklist » pour télécharger la liste de filtrage.
Une fois le téléchargement est terminé, nous configurons au niveau de l’onglet « Common ACL »
les options suivantes :
- Do not allow IP-Addresses in URL: permet de bloquer l’accès aux sites internet en utilisant
les adresses IP.
- Use SafeSearch engine : pour l’utilisation d’un moteur de recherche sécurisé.
- Log : pour activer la journalisation pour une ACL.
Finalement, il ne nous reste que d'indiquer les catégories a bloqué dans « Services » > « Proxy
filtre | Common ACL » et d'ajouter les domaines a bloqué dans « Services » > « Proxy filtre | Target
catégories ».
Dans notre cas, nous bloquons les catégories : drugs, gambling et hacking comme présente la
figure 32.
Page | 39
Figure 32 : Ajout des domaines bloqués
Pour valider les paramétrages, nous retournons sur l’onglet « General settings » et nous cliquons
sur « Apply ».
Figure 33 : Validation de configuration
En plus de la Blacklist «squidguard.mesd », il est possible de bloquer des sites autorisés et

filtrer les URLs en créant des ACLs (blacklist).
- Le filtrage d’URL en créant une ACL avec fragments de mots des URLs
Pour cela, dans l’onglet (Target catégories) nous configurons les options suivantes :
o Name : ACL_mots,
o Regular Expression : .exe|mail|downloads ,
o Log : permet d’activer la journalisation pour une ACL.
Page | 40
Figure 34 : Création d'ACL
La figure 35 montre l’insertion des fragments de mots des URLs.
Figure 35 : Insertion des fragments de mots des URLs
- Le filtrage d’URL en créant une ACL avec des noms de domaine
Nous pouvons aussi filtrer les URLs des utilisateurs par les noms de domaine, donc nous créons
dans l’onglet « Target catégories » une ACL avec l’insertion des noms de domaine.
Page | 41
Dans l’onglet apparu nous configurons les options suivantes :
- Name : ACL_domain,
- Domain List : www.facebook.com, www.instagram.com, www.youtube.com.
- Log : permet d’activer la journalisation pour une ACL.
La figure 36 montre la création de cette ACL :
Figure 36 : Création d'ACL_domain
3.4.2.4 Configuration du LightSquid
Pour la configuration du LightSquid, nous sélectionnons d’abord « Status » et « Squid Proxy

Reports », après nous décochons « LightSquid Web SSL » pour une connexion Web en HTTP et
enfin nous définirons le mot de passe admin comme présente la figure 37.
Page | 42
Figure 37 : Configuration du lightsquid
3.4.3 Supervision du trafic réseau avec « Ntopng »

Ntopng est une sonde de trafic réseau qui surveille l’utilisation du réseau. Cet applicatif libre est
basé sur libpcap et il a été écrit d’une manière portable afin de pratiquement fonctionner sur différente
plate-forme Unix, MacOSX et sur Windows ainsi.
Ntopng permet d'avoir une vue globale sur de trafic en temps réel et historique et sur la
consommation de la bande passante, il est capable de détecter jusqu'à ou les connexions ont été faites
par les ordinateurs locaux et combien de bandes passantes ont été utilisées sur des connexions
individuelles.
3.4.3.1 Installation et configuration de Ntopng
Nous installons le paquet Ntopng version 0.8.13_5 (voir figure 38).
Figure 38 : Installation de paquet Ntopng
Page | 43
Une fois l’installation est terminée, sous l'onglet « Général », nous activons le service Ntopng et
nous effectuons la configuration suivante (voir figure 39) :
- Ntopng Admin Password : Entrer un mot de passe fort,

- Confirmer le mot de passe administrateur Ntopng,
- Interface : l’interface LAN.
Figure 39 : Configuration de compte administrateur
Une fois la configuration est terminée, nous accédons à l'interface Web Ntopng. Alors sur le
tableau de bord PfSense, nous nous rendrons au menu Diagnostics et nous sélectionnons l'option
Ntopng. Un écran de connexion Ntopng s’affiche comme donné par la figure 40.
Page | 44
Figure 40 : Ecran de connexion Ntopng
En se connectant à cette adresse, nous accédons aux statistiques générales de notre réseau
comme présentés par la figure 41:
- Des informations concernant Ntopng (interface d'écoute, le nom de domaine, etc.),

- Un apport concernant le trafic sur l'interface d'écoute (paquet, trafic ou la charge),
- La répartition totale des protocoles, etc.
Figure 41 : Tableau de bord de Ntopng
Page | 45
Conclusion
En conclusion, ce chapitre a été consacré à la mise en place de PfSense. Cet outil se distingue
particulièrement des autres pare-feu par sa forte popularité et son efficacité. C'est un gestionnaire
central d'outils réseaux. Nous pouvons ainsi faire travailler ensemble un pare-feu, un routeur, un
proxy, un portail captif, etc. Nous avons utilisé dans ce chapitre l’outil Free Radius pour assurer
l’authentification des utilisateurs de notre réseau interne, l’outil Squid , Squidguard et Squidlight pour
filtrer les URLs des utilisateurs et bloquer les sites indésirables pendant la période de travail , aussi
nous avons ajouté l’outil Ntopng dans le but de superviser notre réseau interne.
Page | 46
Chapitre 4 : Test et évaluation
Introduction
Il ne fait aucun doute que la conception architecturale et l’implémentation des services sont deux
volets principaux dans notre projet. Mais, nous ne pouvons pas conclure sur son aboutissement
qu’après la réalisation des tests. Ainsi, l’étape de vérification du bon fonctionnement de la solution
proposée constitue la phase d’achèvement du projet. Alors dans ce dernier chapitre, nous proposons
de tester les différents services mis en place tout en évaluant les interfaces réalisées.
4.1 Interface d’authentification

La figure 41 présente l’interface d’authentification permettant aux utilisateurs de l’entreprise de
s’authentifier avant de se connecter au navigateur.
Figure 42 : Interface d'authentification
Si l’utilisateur n’effectue aucune activité et dépasse le délai d'expiration de session qui a été attribuée
par l’administrateur (5 min), il sera déconnecté et devrai s’authentifier une autre fois comme présente
la figure 43.
Page | 47
Chapitre 4 Test et évaluation
Figure 43 : Dépassement de délai d'expiration
4.2 Interface d’administration

Après authentification, l’administrateur a le droit
- La consultation du tableau de bord du firewall comme montre la figure 44.
Figure 44 : Tableau de bord du pfsense
- La configuration des interfaces réseau (LAN, WAN, DMZ) au niveau menu « Interfaces »,
- La supervision de l’état du réseau via les menus « Status » et « Diagnostics »,
Page | 48
- La gestion des utilisateurs : A travers cette interface l’administrateur peut crier, supprimer
ou modifier un compte utilisateur selon son besoin (voir la figure 45).
Figure 45 : Interface de gestion des utilisateurs
4.3 Interface de gestion des ressources internet

Pour le filtrage des sites indésirables, nous testons 3 types :
- Utilisation de blacklist «squidguard mesd »,

- Création ACL avec fragments de mots des URLs,
- Création ACL avec le nom de domaine.
Commençant par le filtrage d’URL en utilisant la blacklist, nous bloquons les

catégories suivantes : drugs, gambling et hacking. Ensuite, nous testons l’accès au
site « http://www.drugs.com ». La page de redirection, donnée par la figure 46, s’affiche.
Figure 46 : Test d'interdiction d'accès
Page | 49
Pour le filtrage d’URLs par ACL avec fragments de mots des URLs, nous testons l’accès au site
download.skype.com, une page de redirection s’affiche comme présente la figure 47.
Figure 47: Test d'interdiction d’accès pour l’ACL fragment
Pour le filtrage d’URLs par ACL avec le nom de domaine, nous testons l’accès au site instagram,
une page de redirection s’affiche comme présente la figure 48.
Figure 48 : Test d'interdiction d’accès pour l’ACL_domain
Page | 50
4.4 Interface de gestion d’accès

4.4.1 Consultation de l’historique d’utilisation du réseau
A travers la console Web d’outil LightSquid, nous pouvons consulter l’historique d’utilisation
du réseau des utilisateurs.
La figure 49 affiche le rapport détaillé d’accès du 26 juin 2020 incluant : le groupe des
utilisateurs, la bande passante consommée et le nombre d’accès.
Figure 49 : Rapport d'accès d'utilisateurs au réseau
4.4.2 Consultation des alertes

A l’aide de l’outil Ntopng, nous pouvons consulter les différentes alertes qui sont bien détaillées.
Cet outil les génère pour signaler l'occurrence des événements et des seuils configurables par
l'utilisateur.
Les alertes incluent:
o La détection d'un nouvel appareil,

o Le changement d'état d'un port de commutateur détecté via SNMP,
o Le contact d'un hôte de malware,
o Une activité utilisateur.
Les alertes passées
La figure 50 présente les alertes passées avec un détail complet (Date/heure, durée, gravité, type
d’alerte, description détaillée du problème).
Page | 51
Figure 50 : Les alertes passées
Alertes de flux
Lors de son exécution, Ntopng peut détecter des flux anormaux ou suspects pour lesquels il
déclenche des alertes de flux spéciales. Ces alertes transportent non seulement l'événement qui a
provoqué le déclenchement de l'alerte, mais également tous les détails du flux, y compris, la gravité
d’alerte, type d’alerte, le protocole d'application de couche 7 et la description. Les alertes de flux sont
illustrées via la figure 51.
Figure 51 : Les alertes de flux
Page | 52
4.4.3 Visualisation des flux actifs

Ntopng nous permet aussi de visualiser les informations de trafic en temps réel sur les flux
actuellement actifs. Plusieurs flux simultanés peuvent exister entre la même paire d'hôtes.
Les flux ont plusieurs champs d'informations : application, protocole de couche 4, hôtes client et
serveur, durée, répartition client et serveur, débit actuel, total d'octets et informations
supplémentaires. Les champs d'information sont brièvement présentés dans la figure 52.
Figure 52 : Flux actifs
4.5 Interface de supervision

Afin de surveiller l'utilisation du réseau, nous utilisons Ntopng comme outil de supervision du
réseau. Il fournit une vue en temps réel du trafic pour l'interface sélectionnée et surveillée.
Dans notre cas, nous supervisons notre interface LAN (192.168.1.0/24). La figure 53 présente la
page résumé des réseaux, les informations de cette page sont actualisés automatiquement selon
l’utilisation du notre réseau :
- Le nombre d'hôtes : quatre machines connectées,

- Les alertes déclenchées : zéro alerte,
- La date de découverte,
- Le débit : 1.95 Mbit/s,
- Le trafic : 720.43 MB.
Figure 53 : La page résumé des réseaux
Page | 53
Le tableau de bord de Ntopng, présenté par la figure 54, fournit des informations sur les locuteurs,
les hôtes, les ports, les applications, les ASN et les expéditeurs.
Figure 54 : Tableau de bord de Ntopng
Les locuteurs
Le diagramme de Sankey, présenté dans la figure 55, affiche les 2 hôtes actuellement actifs sur
l'interface LAN surveillée (192.168.1.47/192.168.1.34).
Les paires d'hôtes sont réunies par des barres colorées représentant les flux. L'hôte client est placé
sur le bord gauche de la barre, et le serveur est placé à droite. La largeur de la barre est proportionnelle
à la quantité de trafic échangée. Plus la barre est large, plus le trafic échangé entre la paire d'hôtes
correspondante est élevé.
Le diagramme est mis à jour toutes les 5 secondes.
Figure 55 : Le diagramme de Sankey des meilleurs orateurs
Hôtes
La vue Hôtes fournit une représentation graphique circulaire du notre trafic capturé, le graphique
à secteurs est actualisé automatiquement (voir figure 56).
Page | 54
Figure 56 : Graphique circulaire des meilleurs hôtes
Un double-clic sur un nom d'hôte nous redirige vers la page "Détails de l'hôte", qui contient de
nombreuses informations relatives à l'hôte comme illustre la figure 57.
Figure 57 : Détaille de l'hôte
Page | 55
Nous pouvons également afficher tous les hôtes locaux sur le réseau, comme le montre la figure
58.
Figure 58 : Les hôtes locaux
Ports
La vue Ports fournit deux graphiques à secteurs séparés avec les ports les plus utilisés, à la fois
pour les clients et pour les serveurs.
Chaque graphique à secteurs fournit des statistiques pour les ports client et les ports serveur
(voir figure 59).
Figure 59 : Graphique circulaire des principaux ports client et serveur
Page | 56
Applications
La vue d'application fournit un autre graphique circulaire qui représente une vue de l'utilisation
de la bande passante divisée par protocole d'application.
Les protocoles qui ne peuvent pas être identifiés sont marqués comme inconnus (voir figure
60).
Figure 60 : Graphique à secteurs des principales applications
La distribution de protocole TCP est représentée par le graphique de la figure 61.
Figure 61 : Distribution du protocole TCP
En conclusion, la figure 62 présente la page Statistique qui fournit des statistiques du trafic
historiques pour notre interface LAN pour un intervalle de temps de 5 min.
Page | 57
Figure 62 : Statistiques du trafic historiques
Conclusion
Au cours de ce chapitre, qui vient d’achever ce présent rapport, nous avons illustré les tests des
différents services implémentés dans notre solution pour vérifier si les fonctionnalités attendues de la
solution mise en place sont satisfaites et que les objectifs visés sont atteints.
Page | 58
Conclusion générale
Ce projet de fin d'études était proposé par CERT, l’organisme d'accueil, dont le but est
l'implémentation d'une plateforme de sécurité basée sur un pare-feu de nouvelle génération open
source, puissant et permettant la sécurisation du réseau de l'organisme.
Pour apporter une solution de sécurité pour cet organisme, nous avons analysé les objectifs à
atteindre permettant de disposer d'un système capable d'authentifier les utilisateurs tout en contrôlant
l'accès aux différentes ressources, de superviser le réseau et de filtrer les accès.
Pour atteindre ces objectifs, nous avons pris connaissance des réseaux informatiques, des
différents types d'attaques et des techniques de protection des systèmes informatique. Nous avons fait
une étude comparative de différentes solutions possibles après nous avons décrit avec détail Pfsense
qui est l'outil retenu pour la mise en place de la solution proposé.
Pour assurer l’efficacité de PfSense et agrandir plus son panel de fonctionnalités, nous avons
installé et configuré des outils complémentaires comme « Free Radius », qui est un système
d'authentification, « Squid » et « Squidguard », des outils du filtrage d’URLs, et « Ntopng », un outil
de supervision de la bande passante utilisateur et de leurs activités.
Au terme de ce stage, nous avons pu acquérir des connaissances et expériences en sécurité

informatique qui pourront être directement appliquées à des choix d'intégration et de conception
en milieu professionnel. En effet, ce projet nous a permis de prendre des initiatives et de nous rendre
compte de l’importance de la communication. Prendre en charge un tel travail nous a aidés à
développer nos facultés d’analyse, de réflexion et de décision.
Dans la perspective d’amélioration de notre projet, nous souhaitons introduire d’avantage des
composants à notre architecture système et d’implémenter un système de prévention d'intrusion,
l’intégration d’autres outils comme WebFilter, et la création d’un tableau de bord pour la supervision
du réseau.
Page | 59
Bibliographie
[1] «Introduction à la sécurité informatique». Disponible sur :

https://www.commentcamarche.net/contents/1033-introduction-a-la-securite-informatique, Consulté
le 3 Mars 2020.
[2] L. Hervé. Disponible sur: https://www.blogdumoderateur.com/cybersecurite-types-attaques-

informatiques/ , Consulté le 4 Mars 2020.
[3] M. DEMETTE. Disponible sur : https://www.promosoft.fr/mettre-en-place-politique-

securite-systemes-informatiques/, Consulté le 4 Mars 2020.
[4] «Les fonctions de Hachage en cryptographie,». Disponible sur :

https://www.securiteinfo.com/cryptographie/hash.shtml , Consulté le 10 Mars 2020.
[5] « ProxyVPN ». Disponible sur : https://www.proxyvpn.fr/qu-est-ce-qu-un-proxy, Consulté

le 15 Mars 2020.
[6] « Introduction aux IDS ». Disponible sur:

https://www.securiteinfo.com/conseils/choix_ids.shtml, Consulté le 15 Mars 2020.
[7] « Les systèmes pare-feu (firewall) », p. 15, Consulté le 20 Mars 2020.
[8] « pare-feu de nouvelle génération Cisco ASA, série 5500-X » Disponible sur:
https://www.cisco.com/c/fr_ca/products/security/asa-5500-series-next-generation-
firewalls/index.html, Consulté le 15 mai 2020.
[9] « sonicwall ». Disponible sur: https://www.sonicwall.com/fr- fr/products/firewalls/,

Consulté le 6 juin 2020.
[10] «stonesoft». Disponible sur: https://brainnetworks.fr/stonesoft.htm, Consulté le 6 juin

2020.
[11] «introduction à Netfilter». Disponible sur : https://connect.ed-diamond.com/GNU-Linux-

Magazine/GLMFHS-041/Introduction-a-Netfilter-et-iptables, Consulté le 6 juin 2020.
[12] «Firewall IPCop : sécuriser son réseau avec Linux». Disponible sur :
https://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-article-24818-1.html,
Consulté le 6 Juin 2020.
Page | 60
[13] « MISE EN PLACE D'UN PORTAIL CAPTIF PROFESSIONNEL». Disponible sur :
https://uvci-2018-memoire.blogspot.com/2019/10/rapport-de-stage-fin-premier-cycle-2018.html,
Consulté le 12 Mai 2020.
[14] « Liste Des Packages PfSense». Disponible sur : https://www.osnet.eu/fr/content/liste-

des-packages-pfsense%C2%AE, Consulté le 15 Juin 2020.
[15] « Proxy et reverse proxy ». Disponible sur:

https://web.maths.unsw.edu.au/~lafaye/CCM/lan/proxy.htm, Consulté le 18 Juin 2020.
[16] « pfsense ». Disponible sur : https://www.pfsense.org/download/, Consulté le Mars 2020.
[17] « LE PORTAIL CAPTIF». Disponible sur : https://www.supinfo.com/articles/single/2064-

portail-captif , Consulté le 20 juin 2020.
Page | 61
ANNEXE A : Configuration du portait captif
Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela nous
allons dans la section captive portal, ensuite, nous cochons la case « Enable Captive portal », puis
nous choisissons l'interface sur laquelle le portail captif va écouter.
Ici, nous avons choisi LAN puisque nous voulons que les utilisateurs de notre réseau local passent
par le portail captif pour aller sur Internet.
Figure 63 : Activation du portail captif
Nous effectuons la configuration suivante :
- Maximum concurrent connections : 1 (Limite le nombre de connexions simultanées d’un

même utilisateur),
- Idle timeout: 5 min (Les clients seront déconnectés après cette période d’inactivité),
- Activer “Enable logout popup window” (une fenêtre popup permet aux clients de se
déconnecter),
- Définir “After authentication Redirection URL” (URL de redirection après connexion) nous
choisissons www.google.com,
- Activer “Disable Concurrent user logins” (seule la connexion la plus récente par nom
d’utilisateur sera active).
Pour la méthode d’authentification nous avons adopté RADIUS comme présente la figure 64 :
Page | 62
Figure 64 : Méthode d'authentification
Nous passons maintenant à la configuration de l’utilisateur pour délégation du Portail Captif qui
aura pour fonction de créer des Utilisateurs autorisés à se connecter au Portail Captif.
Figure 65 : Création d'utilisateur pour délégation
Page | 63
La délégation pour l’utilisateur “IMEN” est autorisé à créer des utilisateurs pour connexion au
Portail Captif.
Figure 66 : User Manager
Page | 64
ANNEXE B : Configuration de Squidguard
Filtrage des sites indésirables
Figure 67 : Les catégories de la liste noire
Page | 65
Résumé
Compte tenu de l'émergence récente de diverses formes d'attaques informatiques, le renforcement
de la sécurité informatique est devenu une exigence primordiale. Ce sont les entreprises, les
institutions et les réseaux gouvernementaux qui ont le plus besoin de ce type de sécurité car ils sont
souvent la cible d'attaques d'intrusion.
Ce travail s’inscrit dans le cadre d’un projet de fin d’études. L’’objectif de ce projet est la mise
en place d’une solution de sécurité réseau basée sur le pare-feu open source PfSense. Ce pare-feu
offre des divers fonctionnalités, auquel nous avons ajouté le package « Free Radius» pour authentifier
les utilisateurs avant l'accès à Internet, le paquet « Ntopng » pour la supervision de la bande passante
et les paquets « Squid » et « Squidguard » pour filtrer les URL afin de restreindre l'accès à Internet.
Mots clés : sécurité, pare-feu, package, réseau, filtrage, virtualisation, authentification,

vulnérabilité, interface, configuration, adressage.
Abstract
Given the recent emergence of various forms of computer attacks, strengthening computer
security has become a primary requirement. It is businesses, institutions and government networks
that most need this type of security as they are often the target of intrusion attacks.
This work is part of a graduation project. The objective of this project is the implementation of a
network security solution based on the open source PfSense firewall. This firewall offers various
functionalities, to which we have added the “Free Radius” package to authenticate users before
accessing the Internet, the “Ntopng” package for monitoring bandwidth and the “Squid” and
“Squidguard” to filter URLs to restrict Internet access.
Keywords: security, firewall, package, network, filtering, virtualization, authentication,

vulnerability, interface, configuration, addressing.

Pfe Imeen

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Pfe Imeen

Transféré par

Droits d'auteur :

Formats disponibles

Département : STIC

Licence appliquée en Sciences et Technologies de l’Information

Projet de fin d’études

Conception et mise en place d'une

Réalisé par : Imen CHANOUFI

Encadré par : Mr Hatem GUESMI

Entreprise d’accueil : CERT

Année Universitaire : 2019-2020

Projet de Fin d’Études

A ma tendre mère Dalila et mon cher père Amor

santé et longue vie.

A ma chère sœur Ons et mon cher frère Mouhamed Amin

A mon adorable fiancé Mohamed Faouzi

ciel. Que dieu te garde et le bonheur te remplisse le cœur.

A tous mes amis

Pour vos amitiés et vos fraternités.

Que ce travail soit le témoignage de mon amour, De mon respect et de toute

l’affection que je leur port

Introduction Générale ........................................................................................... 1

Chapitre 1: Etude préalable .................................................................................. 2

1.1 Présentation de l’entreprise CERT ......................................................... 2

1.1.1 Architecture de réseau du CERT ........................................................ 2

1.1.2 Composants du réseau local du CERT ............................................... 3

1.2 Présentation du projet ............................................................................ 4

1.3 Etude de l’existant .................................................................................. 5

1.3.1 Description des équipements existants ............................................... 5

1.3.2 Présentation des utilisateurs ............................................................... 5

1.3.3 Critique de l’existant ........................................................................... 6

1.4 Problématique ........................................................................................ 6

1.5 Objectifs et résultats attendus du projet ................................................. 7

1.6 Méthodologie du travail .......................................................................... 7

1.7 Spécification des besoins ....................................................................... 7

1.7.1 Les besoins fonctionnels ..................................................................... 8

1.7.2 Les besoins non fonctionnels .............................................................. 8

1.8 Planning prévisionnel ............................................................................. 8

Chapitre 2: Etude de l’art de la sécurité de réseau d’entreprise .......................... 10

2.1 Notion générale sur la sécurité réseau ................................................. 10

2.2 Les attaques informatiques .................................................................. 10

2.3 Politique de sécurité ............................................................................. 12

2.4.1 La fonction de hachage..................................................................... 13

2.4.2 Le logiciel de protection (antivirus) .................................................... 13

2.4.3 Réseaux privés virtuels ..................................................................... 13

2.4.4 Serveur proxy ................................................................................... 14

2.4.5 Systèmes de détection d’intrusion (IDS) ........................................... 15

2.4.6 Pare-feu ............................................................................................ 16

2.5 Présentation des solutions pare-feu ..................................................... 18

2.5.1 Les solutions pare-feu d’accès commerciales .................................. 18

2.5.2 Les solutions pare-feu d’accès libres ................................................ 19

2.6 Etude comparative des solutions existantes ......................................... 19

2.7 Synthèse de la solution de sécurisation choisie ................................... 20

2.7.1 Présentation générale de PfSense ................................................... 21

2.7.2 Présentation des outils de PfSense .................................................. 21

Chapitre 3: Conception et réalisation de la solution proposée ............................ 23

3.1 Préparation de l'environnement du travail ............................................ 23

3.1.1 Environnement matériel .................................................................... 23

3.1.2 Environnement logiciel ...................................................................... 23

3.1.3 Architecture réseau de solution PfSense .......................................... 24

3.2 Installation de PfSense ........................................................................ 25

3.3 Configuration de PfSense .................................................................... 26

3.3.1 Paramètres généraux de PfSense .................................................... 27

3.3.2 Configuration des interfaces ............................................................. 28

3.3.3 Configuration du serveur DHCP ........................................................ 31

3.3.4 Définition des règles du pare-feu ...................................................... 31