Académique Documents
Professionnel Documents
Culture Documents
Référence :
Classe : STIC L3 SR C
Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, Je dédie ce
Pour vos affections, vos appuis, et vos compréhensions. Que dieu vous procure bonne
Pour vous remercier de l’amour que vous m’avez témoigné au cours des années et du
soutien que vous m’avez offert, que dieu vous protège et vous accorde santé et
bonheur.
Pour tes sacrifices, ton soutien moral et son profond attachement, tu es un cadeau du
i
Remerciements
C’est avec le plus grand honneur que j’ai réservé cette page en signe de gratitude et de
reconnaissance à tous ceux qui m’ont aidé de près ou de loin à la réalisation de ce rapport de stage.
Mes remerciements s’adressent à Mr Hatem Guesmi, Directeur et Ingénieur Général qui m’a
accueillie au sien du CERT et qui par sa réceptivité et ses qualités m’a permis d’effectuer ce projet
dans des meilleures conditions.
Mes remerciements vont aussi à mon encadrante Mme Jamila Ben Slimane qui a assuré mon
encadrement tout au long de ce stage, et par ses conseils et ses aides précieuses, m’a guidé pendant
notre projet.
Mon sincère gratitude s’adresse également à tous mes enseignants de l’Institut Supérieur des
Etudes Technologiques en Communications de Tunis qui ont assuré notre formation pendant ces trois
années d’études.
De même je tiens à remercier les membres de jury pour l’honneur qui m’ont fait en acceptant de
juger mon travail.
ii
Table des matières
Introduction ........................................................................................................... 2
Conclusion ............................................................................................................ 9
Introduction ......................................................................................................... 10
iii
2.4 Les dispositifs de protection ................................................................. 13
Conclusion .......................................................................................................... 22
Introduction ......................................................................................................... 23
iv
3.4.1 Portail Captif avec FreeRADIUS ....................................................... 33
Conclusion .......................................................................................................... 46
Introduction ......................................................................................................... 47
Conclusion .......................................................................................................... 58
Bibliographie ....................................................................................................... 60
v
Liste des figures
vi
Figure 30 : Configuration de local cache ....................................................................... 38
Figure 31 : Activation de blacklist ................................................................................ 39
Figure 32 : Ajout des domaines bloqués ........................................................................ 40
Figure 33 : Validation de configuration ........................................................................ 40
Figure 34 : Création d'ACL ......................................................................................... 41
Figure 35 : Insertion des fragments de mots des URLs .................................................. 41
Figure 36 : Création d'ACL_domain ............................................................................ 42
Figure 37 : Configuration du lightsquid........................................................................ 43
Figure 38 : Installation de paquet Ntopng ..................................................................... 43
Figure 39 : Configuration de compte administrateur .................................................... 44
Figure 40 : Ecran de connexion Ntopng ........................................................................ 45
Figure 41 : Tableau de bord de Ntopng ........................................................................ 45
Figure 42 : Interface d'authentification ........................................................................ 47
Figure 43 : Dépassement de délai d'expiration .............................................................. 48
Figure 44 : Tableau de bord du pfsense ........................................................................ 48
Figure 45 : Interface de gestion des utilisateurs ............................................................. 49
Figure 46 : Test d'interdiction d'accès .......................................................................... 49
Figure 47: Test d'interdiction d’accès pour l’ACL fragment ......................................... 50
Figure 48 : Test d'interdiction d’accès pour l’ACL_domain .......................................... 50
Figure 49 : Rapport d'accès d'utilisateurs au réseau ..................................................... 51
Figure 50 : Les alertes passées ...................................................................................... 52
Figure 51 : Les alertes de flux ...................................................................................... 52
Figure 52 : Flux actifs .................................................................................................. 53
Figure 53 : La page résumé des réseaux........................................................................ 53
Figure 54 : Tableau de bord de Ntopng ........................................................................ 54
Figure 55 : Le diagramme de Sankey des meilleurs orateurs ......................................... 54
Figure 56 : Graphique circulaire des meilleurs hôtes..................................................... 55
Figure 57 : Détaille de l'hôte ........................................................................................ 55
Figure 58 : Les hôtes locaux ......................................................................................... 56
Figure 59 : Graphique circulaire des principaux ports client et serveur ......................... 56
Figure 60 : Graphique à secteurs des principales applications ...................................... 57
Figure 61 : Distribution du protocole TCP.................................................................... 57
Figure 62 : Statistiques du trafic historiques ................................................................. 58
Figure 63 : Activation du portail captif ......................................................................... 62
Figure 64 : Méthode d'authentification ......................................................................... 63
vii
Figure 65 : Création d'utilisateur pour délégation ......................................................... 63
Figure 66 : User Manager ............................................................................................ 64
Figure 67 : Les catégories de la liste noire ..................................................................... 65
viii
Liste des tableaux
ix
Liste des acronymes
A
ACL: Access Control List
C
CA: Certification Authority
D
DHCP: Dynamic Host Configuration Protocol
F
FTP: File Transfer Protocol
H
HIDS: Host-based Intrusion Detection System
I
IDS: Intrusion Detection System
L
L2F: Layer Two Forwarding
x
N
NAT: Address Translation
P
PPTP: Point-to-Point Tunneling Protocol
R
RADIUS: Remote Authentication Dial-In User Service
S
SSH: Secure Shell
T
TCP/IP: Transmission Control Protocol/Internet Protocol
U
URL: Uniform Resource Locator
V
VoIP: Voix sur Internet Protocol
W
WAN: Wide Area Network
xi
Introduction Générale
Pour cela, une architecture sécurisée, dont le cœur est basé sur un pare-feu, est nécessaire. Cet
outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le
réseau ouvert sur Internet beaucoup plus sûr et de faire en sorte que les utilisateurs puissent utiliser
le système d'information en toute confiance.
C’est dans cette optique que le Centre d'Etudes et de Recherche des Télécommunications CERT
m’a proposé de mettre en place une solution de sécurité réseaux basé sur un pare-feu afin de corriger
et améliorer le niveau de sécurité de l’infrastructure de son système d’information.
Ainsi ce rapport est scindé sur quatre chapitres organisés comme suit :
Le deuxième chapitre intitulé « Etude de l’art de la sécurité de réseau d’entreprise» est un survol
sur les généralités de la sécurité informatique où nous présentons les outils nécessaires pour l’assurer
ainsi que les solutions déjà existantes et le choix de notre solution à mettre en place.
Le dernier chapitre « Test et évaluation » est réservé aux tests et évaluation des fonctionnalités
de la solution réalisée au cours de ce projet de fin d’études.
Page | 1
Chapitre 1 Etude préalable
Introduction
Le Centre d'Etudes et de Recherche des Télécommunications CERT agit depuis de nombreuses
années pour assurer la continuité de ses activités. Cette continuité qui appelle celle de système
d'information, ne peut être assurée que par la mise en place de mesures de protection de la sécurité
pour garantir un niveau de confidentialité adapté aux enjeux spécifiques du CERT.
Ce chapitre est alors dédié à l’exposition du contexte général de notre projet de fin d’études.
D’abord, nous présentons l'entreprise d'accueil CERT, ainsi que sa plateforme de sécurité. Ensuite,
nous étudions l’existant et nous dégageons la problématique liée à notre projet pour aboutir aux
objectifs fixés par l’entreprise. Par la suite, nous nous focaliserons sur la description et l’analyse du
projet.
Riche en ressources humaines qualifiées, le CERT s’est investi dans plusieurs créneaux du
secteur des télécommunications, à la fois stratégiques et innovants.
Page | 2
Chapitre 1 Etude préalable
liaison Frame Relay et les bureaux frontaliers sont connectés au site central par une liaison internet
publique sécurisée par VPN IPsec. Le réseau du CERT est également interconnecté avec plusieurs
partenaires tels que (voir figure 1):
- Les serveurs: Le réseau du CERT est un réseau en étoile, il comporte huit principaux
serveurs:
o Un contrôleur principal de domaine 2003 serveur : pour la gestion des comptes utilisateurs
et comptes machines,
o Un contrôleur secondaire du domaine NT: jouant aussi bien le rôle d'un backup pour le
contrôle principal ainsi qu'un serveur d'impression. L'un des deux répond aux clients
tandis que l'autre se tient à jour en permanence. Toute modification du premier est
produite sur le second. Si l'un tombe le deuxième prend le relais d’une façon transparente
pour les utilisateurs,
o Un serveur web: Windows server 2003 à deux interfaces gérant la connexion des
employés à internet,
o Un serveur d'application sous linux : ce serveur héberge des applications de gestion
critique pour le bon fonctionnement de l'entreprise,
Page | 3
Chapitre 1 Etude préalable
Page | 4
Chapitre 1 Etude préalable
limiter l’accès à internet et assurer la supervision de la bande passante afin de protéger le réseau
contre tout type d’attaques.
Dans cette partie, nous décrivons les équipements de l’architecture de notre réseau dont nous
trouvons :
Les utilisateurs qui accèdent au réseau local de la direction sont nombreux, nous pouvons les
classer en deux types :
- Les employés : Ce sont les techniciens (les superviseurs), les ingénieurs, et les
responsables (directeur, chef service, chef de bureau, chef projet,) ; ils sont autorisés à
accéder au réseau du CERT en utilisant ses ressources,
- Les invités : Ce sont les fournisseurs, les sous-traitants, les clients et les stagiaires, ils sont
autorisés à accéder seulement à l’internet.
Page | 5
Chapitre 1 Etude préalable
Suit a une étude organisationnelle et physique permettant d’avoir une vue globale de l’état de
sécurité du système d’information du CERT et d’identifier les risques potentiels, nous avons relevé
des failles de sécurité nécessitant une résolution :
- Absence d’une politique de sécurité assurant une utilisation adéquate et légale des ressources
partagées (serveurs, routeur …).
- Absence d’informations résumant l’état du fonctionnement du réseau informatique en temps
réel.
- Absence d’un système de comptabilisation des accès réseau : dans certains cas
d’investigation, il est impossible de déterminer quelle machine/quel utilisateur s’est
connecté(e) et quand ceci a été fait.
- Absence de gestion des droits d’accès des utilisateurs.
- Absence de contrôle sur les applications accessibles, les téléchargements effectués, les sites
visités et encore moins sur les plages horaires de ces activités.
- Accès lourd et débit trop faible dédiées aux stagiaires.
- Utilisation d'un simple pare-feu permettant d'assurer la sécurité des systèmes informatiques :
filtrer les informations en se basant uniquement sur les adresses IP et les ports comme c'est
le cas de tous les pare-feu traditionnels.
- Absence d'un système d'authentification sécurisée pour l'accès à Internet.
1.4 Problématique
Avec la croissance des utilisations internet, les environnements informatiques évoluent à un
rythme accéléré. Dans l’entreprise, il y a une utilisation massive de l’internet pour répondre aux
nouveaux besoins qui sont nés suite à l’apparition de nouvelles technologies, des data center, et de la
virtualisation. Les avantages de l’utilisation d’internet semblent clairs, mais il en résulte des risques
évidents de sécurité. L’infrastructure traditionnelle mise en place pour protéger le réseau devient
incapable de contrôler l’accès à tout type d’applications via une grande variété de dispositifs car les
menaces exploitent aujourd’hui les failles d’authentification et de la couche applicative.
Dans ce cadre, les responsables du CERT cherchent des solutions préventives de sécurité pour
garantir un réseau efficace aux employés. Pour ce faire le CERT propose l’étude et la mise en place
d’une solution de sécurité au sein de son réseau local ce qui permet de contrôler l’accès au réseau et
de résoudre les problèmes relevés.
Page | 6
Chapitre 1 Etude préalable
À la fin de ce projet, un pare-feu doit être mis en place. Les solutions proposées en termes de
résultats attendus sont :
- Un portail captif pour forcer les utilisateurs à s'authentifier avant l'accès à Internet,
- Un proxy Squid avec filtrage d’URL SquidGuard permettant de filtrer les accès à Internet
de l’ensemble des utilisateurs connectés au réseau interne, de bloquer l’accès aux sites à
caractère indésirables ou offensant,
- Supervision de la bande passante.
- Etude technique : généralités sur la sécurité réseau et leurs failles, et choix de la solution de
sécurité la plus adéquate,
- Analyse et conception : analyse concurrentielle des solutions et le choix du pare-feu à mettre
en œuvre suivie de la phase de conception de notre environnement de travail,
- Implémentation : la mise en place de la solution adéquate,
- Evaluation : il s’agit de tester et valider les différents modules de l’application.
Page | 7
Chapitre 1 Etude préalable
Les besoins fonctionnels permettent de décrire les fonctionnalités de la solution implémentée visé
par l’entreprise d’accueil. Les principaux besoins fonctionnels de la solution sont :
La solution mettre en place doit assurer les besoins non fonctionnels suivants :
- Adaptation du produit à son environnement : notre solution pourra être installée sur un
serveur ou un ordinateur personnel,
- La simplicité : notre solution doit être simple et facile à utiliser les interfaces graphiques en
supportant n’importe quel type de système ou équipements,
- La flexibilité : notre solution peut être mise sans touchant la topologie réseau et cela
gratuitement,
- La virtualisation : notre solution est implémentée en mode virtuel moyennant VMware
Workstation.
Page | 8
Chapitre 1 Etude préalable
Mois
Février Mars Avril Mai Juin Juillet
Tâches
Etude technique et
bibliographie
Analyse et
conception du
projet
Confinement
Mise en place de
la solution et son
évaluation
Rédaction du
rapport
Nous fixons le démarrage de notre projet au début du mois février 2020 et la durée des tâches est
fixée en nombre de semaines.
Le planning nous permet d'identifier et estimer les grandes étapes de notre projet de fin d'études.
Celles-ci vont de la préparation du projet, l'analyse et conception, jusqu'à l'implémentation et
l'évaluation de la solution. Chaque semaine, des objectifs sont proposés en réunion de projet pour
bien mener le projet de bout en bout.
Conclusion
Ce premier chapitre a été consacré à la présentation de l’organisme d’accueil et la mise du projet
dans son cadre général, en introduisant sa problématique et ses objectifs du projet. Nous avons aussi
annoncé la démarche et le planning prévisionnel qui vont être suivis tout au long de ce projet.
Page | 9
Chapitre 2: Etude de l’art de la sécurité de réseau
d’entreprise
Introduction
Avec l’avènement d’Internet et des moyens de communications modernes, une nouvelle forme
d’insécurité est apparue. En effet, toute entreprise ayant un accès à Internet risque de subir des
attaques réseaux. Ces menaces qui ne cessent d'augmenter en nombre et en complexité poussent les
sociétés à réviser ses stratégies de sécurité afin de contourner ces nouveaux risques.
Dans ce cadre, nous initions ce chapitre par une vue globale sur la sécurité réseau et la
présentation de ses notions fondamentales, ensuite nous présentons les solutions pare-feu existantes
sur le marché en effectuant une étude comparative, et nous clôturons par le choix de la solution la
plus adéquate.
La sécurité informatique vise généralement cinq services comme il est indiqué dans le tableau 2.
Assurer que celui qui se connecte est celui qui correspond au nom
L’authentification
indiqué.
Page | 10
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
potentiellement vulnérable à une attaque qui est l’exploitation d’une faille d’un système informatique
(système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non connues par l’exploitant
du système [2].
Pour contrer ces attaques, il est indispensable de connaître ses principaux types afin de mieux s’y
préparer. Nous pouvons donc les catégoriser de la manière suivante :
- Accès physique : il s’agit d’un cas où l’attaquant a accès aux locaux, éventuellement
même aux machines :
o Coupure de l’électricité,
o Extinction manuelle de l’ordinateur,
o Vandalisme,
o Ouverture du boîtier de l’ordinateur et vol de disque dur,
o Ajout d’éléments (clé USB, point d’accès Wifi..).
- Interception de communications :
o Vol de session,
o Usurpation d’identité,
o Détournement ou altération de messages.
- Dénis de service : il s’agit d’attaques visant à perturber le bon fonctionnement d’un
service. Nous distinguons habituellement les types de déni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP,
o Exploitation de vulnérabilité des logiciels serveurs.
- Intrusions :
o Balayage des ports,
o Ecoute du trafic sur le réseau,
o Elévation de privilèges : ce type d’attaque consiste à exploiter une vulnérabilité
d’une application,
o Malicieux : (virus, vers, et chevaux de Troie).
- Ingénierie sociale : dans la majeure partie des cas le maillon faible est l’utilisateur lui-
même, en effet, c’est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une
brèche dans le système, en donnant des informations (mot de passe par exemple) au pirate
informatique,
- Trappes : il s’agit d’une porte dérobée dissimulée dans un logiciel, permettant un accès
ultérieur à son concepteur.
Page | 11
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Nous mettons en place une politique de sécurité afin d’empêcher les violations de sécurité telles
que: accès non autorisé, perte de données, interruption de services. Une bonne politique de sécurité
se définit selon les 4 étapes-clés suivantes :
- Identification :
- Elaboration des règles et des démarches à mettre en place dans les différents services de
l’entreprise.
Les objectifs d'une politique de sécurité réseau, qui viennent en complément de la politique
générale de sécurité, sont identiques et utilisent les mêmes concepts, notamment les suivants:
Page | 12
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Les documents de sécurité peuvent être représentés par une structure pyramidale représentant le
positionnement respectif de chaque document, comme illustré par la figure 3.
Page | 13
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Le réseau privé virtuel repose sur un protocole, appelé protocole de tunneling, c'est-à-dire un
protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des
algorithmes de cryptographie. L'expression tunnel chiffré est utilisée pour symboliser le fait qu'entre
l'entrée et la sortie du VPN, les données sont chiffrées (cryptées) et donc incompréhensibles pour
toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un
tunnel. Dans le cas d'un VPN établi entre deux machines, nous appelons client VPN l'élément
permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l'organisation. Le réseau privé virtuel est présenté dans la figure 4.
Page | 14
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
connexion directe entre l’utilisateur et l’internet. La plupart du temps le serveur Proxy est utilisé pour
le web.
Son principal intérêt est de rendre l’utilisateur anonyme sur internet puisque c'est l'adresse IP et
le numéro de port sortant du serveur mandataire qui sont détectés par les sites web visités et non
l'adresse IP de la connexion internet (voir figure 5).
Le serveur proxy assure la sécurité et le filtrage, dans le cadre d'un réseau d'entreprise ou d'un
réseau dans un établissement scolaire, il va servir de filtre : le serveur peut par exemple choisir de
bloquer des sites web prédéfinis par des règles de filtrage (réseaux sociaux, etc...) [5].
Les attaques utilisées par les pirates sont très variées, puisque certaines utilisent des failles
réseaux et d’autres des failles de programmation. C’est la raison pour laquelle la détection d’intrusion
doit se faire à plusieurs niveaux. Donc, nous distinguons trois type d’IDS que nous détaillerons par
la suite ses principales caractéristiques.
Les IDS réseaux analysent en temps réel le trafic qu’ils aspirent à l’aide d’une sonde (carte réseau
en mode promiscues). Ensuite, les paquets sont décortiqués puis analysés. Il est fréquent de trouver
plusieurs IDS sur les différentes parties du réseau [6].
Page | 15
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Les IDS applications sont dédiés à des applications spécifiques, ils utilisent les informations
contenues dans les fichiers log et ils sont efficaces contre certaines attaques fondées sur le
dépassement de privilège [6].
2.4.6 Pare-feu
Un pare-feu, (appelé aussi Coupe-feu, Garde-barrière) l'anglais « firewall », est un logiciel et/ou
un matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur
passage en se basant sur un ensemble de règles appelées ACL (« Access Control List »). Il enregistre
également les tentatives d'intrusions dans un journal transmis aux administrateurs du réseau et permet
de contrôler l'accès aux applications et d'empêcher le détournement d'usage [7].
Un pare-feu dans un réseau a pour but de déterminer le type de trafic qui sera acheminé ou
bloqué, de limiter le trafic réseau et accroître les performances, contrôler le flux de trafic, fournir un
niveau de sécurité d'accès réseau de base, autoriser un administrateur à contrôler les zones auxquelles
un client peut accéder sur un réseau, filtrer certains hôtes afin de leur accorder ou de leur refuser
l'accès à une section de réseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les
interfaces réseau (cartes réseau) suivantes :
Figure 6 : Pare-feu
Page | 16
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Ce sont les pare-feu les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies par
l'administrateur (généralement appelées ACL, Access Control Lists). Ces pare-feu interviennent sur
les couches réseau et transport. Les règles de filtrages s'appliquent alors par rapport à une des adresses
IP source ou destination, mais aussi par rapport à un port source ou destination.
Les pare-feu à états sont une évolution des pare-feu sans états. La différence entre ces deux types
de pare-feu réside dans la manière dont les paquets sont contrôlés. Ils prennent en compte la validité
des paquets qui transitent par rapport aux paquets précédemment reçus. Ils gardent alors en mémoire
les différents attributs de chaque connexion, de leur commencement jusqu'à leur fin, c'est le
mécanisme de « stateful inspection ». De ce fait, ils seront capables de traiter les paquets non plus
uniquement suivant les règles définies par l'administrateur, mais également par rapport à l'état de la
session.
- Pare-feu authentifiant
Les pare-feu authentifiant permettent de mettre en place des règles de filtrage suivant les
utilisateurs. Il est alors possible de suivre l'activité réseau par utilisateur. Pour que le filtrage puisse
être possible, il y a une association entre l'utilisateur connecté et l'adresse IP de la machine qu'il utilise.
Il existe plusieurs méthodes d'association. Par exemple authpf, qui utilise SSH, ou encore NuFW qui
effectue l'authentification par connexion.
- Pare-feu personnel
Les pare-feu personnels sont installés directement sur les postes de travail. Leur principal but est
de contrer les virus informatiques et logiciels espions (spyware). Leur principal atout est qu'ils
permettent de contrôler les accès aux réseaux des applications installées sur les machines. Ils sont
capables en effet de repérer et d'empêcher l'ouverture des ports par des applications non autorisées à
utiliser le réseau.
- Portail Captif
Page | 17
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de
consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés
pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. On
les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires ou
Wi-Fi.
Dans notre projet nous proposons de choisir le par feu comme un dispositif de protection à mettre
en place.
Le pare-feu Cisco ASA, série 5500-X est un pare-feu de nouvelle génération conçu pour aider à
trouver le juste équilibre entre l’efficacité et la productivité. Cette solution combine le pare-feu
dynamique le plus déployé de l'industrie à un éventail complet de services de sécurité réseau de
nouvelle génération [8].
La solution StoneGate est l’ensemble des services de la sécurité réseau qui sont le firewall (FW),
l'infrastructure privé virtuel (VPN), la prévention d'intrusion (IPS), le VPN secure sockets layer SSL,
la sortie de bout en bout, de même qu'un équilibre des charges, dans un système dont la gestion est
centralisée et unifiée. Elle a un très bon rapport prix/performances [10].
Page | 18
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Netfilter est une solution native de filtrage réseau sous Linux. Cette solution est plus connue sous
le nom iptables. Il filtre le trafic selon des critères très divers (sous-réseau d'origine, de destination,
ports, heure de la journée).
Netfilter dispose de modules permettant le suivi d'état de protocoles tels que FTP ou H.323, qui
nécessitent une inspection des paquets au niveau 7. Quand un colis vient sur une interface, Netfilter
regarde à l'en-tête IP pour voir si ce colis fait partie d'une session connue. Selon le cas, il fixe la
situation du colis au sein des cas suivants ; Nouveau, liée, invalide [11].
IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à
assurer la sécurité du votre réseau. Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre
un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local
par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci [12].
PfSense est une solution de pare-feu open source basée sur FreeBSD. La distribution est gratuite
à installer sur l’équipement propre du client ou l'entreprise derrière pfSense, NetGate, vend des pare-
feu préconfigurés. Il est utilisé principalement pour transformer un pc en pare-feu. C’est un fork de
mOnOwall (qui est aussi une distribution aux fonctionnalités similaires) [13].
Ce qui différencie les solutions open source et payantes est le matériel supporté, les
fonctionnalités principales, la documentation, la communauté dédiée à chaque solution, l’interface
Web ergonomique.
Puisque les solutions disponibles (gratuite ou commerciale) sont diversifiées le choix dépend des
critères présentés dans le tableau 3.
Page | 19
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Le tableau 3 dresse une classification des solutions commerciales et libres du marché. La solution
Cisco ASA est située en premier comme leader dans le marché mais avec un cout très élevé, et
uniquement les équipements Cisco sont supportés alors qu’une architecture ouverte est exigée pour
ce projet : Support d’environnements multifournisseur.
Après la comparaison des outils disponibles, open source et commerciales, et vue que le réseau
du CERT est homogène et qu’il opte à la mise en place des outils open source, nous avons opté une
solution open source « PfSense ». C’est une solution complète et supporte différents types de
matériels. Elle intègre plus de fonctionnalités que les autres solutions open source et assure tous les
objectifs de la sécurité avec une interface Web très pratique.
Page | 20
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Ce qui séduit chez PfSense est sa facilité d'installation et de
configuration des outils d'administration réseau. [13].
- Le portail captif
Le portail captif est un moyen permettant aux utilisateurs de s’authentifier sur un réseau. Il oblige
tout utilisateur désirant naviguer sur internet de s'identifier grâce notamment à une redirection vers
une page de connexion [14].
- Snort
Utilisé par les 500 sociétés les plus grosses et les gouvernements, Snort est l’outil de
détection/prévention d’intrusion le plus utilisé au monde. Il permet de créer des règles de
journalisation et peut permettre une recherche sur le contenu en plus d’être utilisé pour détecter une
variété d’attaques et de sondes, tels que : buffer overflow, scan de ports furtif, attaques CGI, sondes
SMB, et bien plus [14].
- Ntopng
Ntop est un outil de test de réseau qui permet de contrôler l’utilisation des ressources de la même
façon que top fait pour les processus. En mode interactif, il affiche les statistiques réseau sur le
terminal de l’utilisateur. En mode Web, il agit comme un serveur HTTP, en créant un dump du statut
du réseau. Il inclut un émetteur / récepteur de flux NetFlow/sFlow, une interface client HTTP qui
permet de créer des applications de contrôle basées sur NTOP et RRD pour stocker de façon
persistante les données à des fins statistiques [14].
Page | 21
Chapitre 2 Etude de l’art de la sécurité de réseau d’entreprise
- Le proxy SQUID
C’est un serveur proxy/cache libre très connu de monde Open Source. Ce serveur est complet et
propose une multitude d’options et de services qui lui ont permis d’être largement adopté par les
professionnels, mais aussi dans un grand nombre d’école ou administrations travaillant avec les
systèmes de type Unix Squid est capable de manipuler les protocoles HTTP,FTP,SSL [15].
- SquidGuard
SquidGuard est un redirecteur URL utilisé pour les listes noires avec le logiciel proxy « Squid
». Il possède deux grands avantages: la rapidité et la gratuité cet outil est publié sous GNU Public
License, licence gratuite. Il est utilisé pour :
o Limiter l’accès Internet pour certains utilisateurs à une liste de serveurs Web ou des
URLs qui sont acceptés et bien connus,
o Bloquer l’accès à des URL correspondant à une liste d’expressions régulières ou des
mots pour certains utilisateurs.
Conclusion
Au cours de ce chapitre, nous avons pris connaissance des différents aspects liés à la sécurité des
réseaux informatiques ; nous avons découvert les attaques qui menacent cette dernière et comment se
protéger afin de réduire les intrusions et attaques des pirates ; nous avons étudié les pare-feu en
effectuant une étude comparative entre les solutions commerciales et gratuites. En fin nous avons
décrit avec détail la solution retenue pour la réalisation de notre projet (PfSense).
Page | 22
Chapitre 3: Conception et réalisation de la solution
proposée
Introduction
Dans ce chapitre, nous clôturons la mise en place de PfSense et nous introduirons l'environnement
matériel et logiciel utilisés pour la réalisation de ce projet. Ensuite, nous installons et configurons
PfSense, après nous effectuons le paramétrage d’un ensemble de packages nécessaires.
Page | 23
Chapitre 3 Conception et réalisation de la solution proposée
Ubuntu Ubuntu-18.04.3-desktop-amd64
PfSense PfSense.vbox-2.4.4
SquidGuand 1.16.18.6
Ntopng 0.8.13_5
Freeradius3 0.15.7-16
Pour arriver à la mise en œuvre de notre solution, nous avons créé d’abord 3 machines virtuelles
décrites par le tableau 5.
Machine
PfSense Ubuntu Red hat
Propriétés
Mémoire RAM 2048 Mo 2048 Mo 1Go
Nombre de processeurs 2 1 1
- Machine PfSense: C'est sur cette machine que nous avons installé PfSense.
- Machine Ubuntu : Cette machine est utilisée pour simuler un utilisateur normal dans le
réseau interne disposant des paramètres de connexions.
- Machine Red hat: Cette machine est utilisée comme utilisateur dans le réseau externe.
Également nous avons utilisé le système d’exploitation Windows 10, sur notre hôte, comme
un utilisateur normal dans le réseau interne.
Page | 24
Chapitre 3 Conception et réalisation de la solution proposée
pour but d'analyser et de filtrer les paquets sortants et entrants, d'authentifier les utilisateurs, ainsi de
superviser les activités.
Nous n’avons installé que deux ordinateurs dans la partie interne vue que nous avons utilisé une
machine virtuelle, qui ne supporte pas beaucoup de machines ouvertes simultanément.
Pour le plan d’adressage nous avons attribué à chaque réseau la plage d’adresses suivante :
Page | 25
Chapitre 3 Conception et réalisation de la solution proposée
Par la suite, nous paramétrons notre système. PfSense détecte automatiquement les cartes réseaux
disponibles. Nous avons utilisé trois interfaces réseau :
Après configuration des différentes interfaces, nous obtenons l'écran illustré par la figure 9.
Page | 26
Chapitre 3 Conception et réalisation de la solution proposée
Nous nous connectons à l'interface de PfSense en entrant les paramètres par défaut : le nom
d'utilisateur (Admin) et le mot de passe (pfsense) pour se connecter en tant qu'administrateur (voir
figure 10).
A ce niveau-là, nous configurons classiquement notre serveur, pour cela nous accédons au
« Setup Wizard » du menu « System » puis nous tapons « Nest », puis nous remplissons les
informations générales :
- Hostname : pfsense.
- Domaine CERT.tn.
- DNS : 8.8.8.8.
Ensuite, nous modifions le nom et le mot de passe permettant de se connecter à PfSense (voir
figure 11).
Page | 27
Chapitre 3 Conception et réalisation de la solution proposée
- Interface WAN
Nous activons l'interface en cochant « Enable Interface ». Pour notre interface WAN, nous avons
assigné une adresse dynamique. Puis, nous laissons les autres paramètres par défaut. Cette étape est
représentée par la figure 12.
Page | 28
Chapitre 3 Conception et réalisation de la solution proposée
- Interface LAN :
Nous affectons l’adresse IP statique à notre interface LAN car sur laquelle sera activée le
serveur DHCP, donc il faut que son adresse soit fixée (voir figure 13).
- Interface DMZ
De même, nous activons et nous affectons l’adresse IP statique 192.168.56.1 à notre interface
DMZ.
Page | 29
Chapitre 3 Conception et réalisation de la solution proposée
Ensuite, dans la section « DNS forwarder », nous activons l'option « Enable DNS forwarder ».
Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients (voir
figure 16).
Page | 30
Chapitre 3 Conception et réalisation de la solution proposée
Page | 31
Chapitre 3 Conception et réalisation de la solution proposée
Dans cette interface, nous bloquons tout réseau privé ou réseau présentant une menace.
La figure 20 présente les droits d’accès des utilisateurs redirigés au réseau DMZ.
Page | 32
Chapitre 3 Conception et réalisation de la solution proposée
Page | 33
Chapitre 3 Conception et réalisation de la solution proposée
Afin de configurer le portail captif (voir annexe A), nous installons tout d'abord le package
FreeRADIUS3 comme illustré par la figure 21.
Après, nous configurons les interfaces de FreeRADIUS comme la montre la figure 22.
Ensuite, nous ajoutons un client NAS à partir duquel le serveur RADIUS doit accepter les
paquets : alors dans l'onglet « NAS/Client » nous entrons l'adresse IP LAN de notre PfSense et les
autres paramètres.
Après, pour tester la configuration, nous créons un compte utilisateur avec le nom client et
l’adresse de l’interface LAN comme illustré dans la figure 23.
Page | 34
Chapitre 3 Conception et réalisation de la solution proposée
Par la suite, nous renseignons le type d'authentification ‘Radius' (voir figure 24).
Page | 35
Chapitre 3 Conception et réalisation de la solution proposée
Afin de mieux protéger l'accès à l'interface Web et de permettre le cryptage des mots de passe
des utilisateurs, nous devons utiliser un certificat.
Nous allons dans l'onglet « System » >> « Advanced », puis dans la session « Admin
Access » pour choisir le service HTTPS avec son numéro de port 443 (SSL) dans TCP port comme
le montre la figure 26.
Pour activer HTTPS, nous créons notre certificat « FreeRADIUS » (voir figure27).
Après le téléchargement du certificat, nous allons dans « Service » puis « Captive Portal » pour
l'importer avec sa clé.
Page | 36
Chapitre 3 Conception et réalisation de la solution proposée
Maintenant, notre portail autorisera l'accès aux pages web sécurisées et sa sécurité semblera
renforcée dans la mesure où la récupération des mots sur le réseau est quasiment impossible.
La mise en place d’un proxy transparent Squid avec filtrage d’URL SquidGuard permet de filtrer
les accès à Internet de l’ensemble des utilisateurs connectés au réseau interne, de bloquer l’accès aux
sites à caractère indésirables ou offensant.
Nous commençons la mise en place de proxy par l’installation des 3 packages (voir figure 28).
Après l'installation nous allons dans « Services » > « Proxy server | General » pour sélectionner
l’interface LAN concerner par Squid, après nous activons « Enable Squid Proxy » et « Resolve DNS
IPv4 First »,
Page | 37
Chapitre 3 Conception et réalisation de la solution proposée
Nous couchons aussi le mode transparent pour activer transparent http proxy comme indiqué dans
la figure 29.
Après, nous allons dans local cache et nous paramétrons le « Hard Disk Cache Size » à 500 Mo
puis nous cliquons sur « Save » (voir figure 30).
Nous allons dans « Services » > « Proxy filtre | General » setting pour activer SQUIDGARD.
Ensuite, nous activons « Enable Log » et « Enable log rotation » et nous insérons «
http://squidguard.mesd.k12.or.us/blacklists.tgz » dans « Blacklist URL » qui nous permet de saisir le
chemin d’accès à la liste noire, nous avons utilisé la blacklist« squidguard mesd » (voir figure 31).
Page | 38
Chapitre 3 Conception et réalisation de la solution proposée
Ensuite, nous revenons dans l’onglet « Blacklist » pour télécharger la liste de filtrage.
Une fois le téléchargement est terminé, nous configurons au niveau de l’onglet « Common ACL »
les options suivantes :
- Do not allow IP-Addresses in URL: permet de bloquer l’accès aux sites internet en utilisant
les adresses IP.
- Use SafeSearch engine : pour l’utilisation d’un moteur de recherche sécurisé.
- Log : pour activer la journalisation pour une ACL.
Finalement, il ne nous reste que d'indiquer les catégories a bloqué dans « Services » > « Proxy
filtre | Common ACL » et d'ajouter les domaines a bloqué dans « Services » > « Proxy filtre | Target
catégories ».
Dans notre cas, nous bloquons les catégories : drugs, gambling et hacking comme présente la
figure 32.
Page | 39
Chapitre 3 Conception et réalisation de la solution proposée
Pour valider les paramétrages, nous retournons sur l’onglet « General settings » et nous cliquons
sur « Apply ».
- Le filtrage d’URL en créant une ACL avec fragments de mots des URLs
Pour cela, dans l’onglet (Target catégories) nous configurons les options suivantes :
o Name : ACL_mots,
o Regular Expression : .exe|mail|downloads ,
o Log : permet d’activer la journalisation pour une ACL.
Page | 40
Chapitre 3 Conception et réalisation de la solution proposée
Nous pouvons aussi filtrer les URLs des utilisateurs par les noms de domaine, donc nous créons
dans l’onglet « Target catégories » une ACL avec l’insertion des noms de domaine.
Page | 41
Chapitre 3 Conception et réalisation de la solution proposée
- Name : ACL_domain,
- Domain List : www.facebook.com, www.instagram.com, www.youtube.com.
- Log : permet d’activer la journalisation pour une ACL.
Page | 42
Chapitre 3 Conception et réalisation de la solution proposée
Ntopng permet d'avoir une vue globale sur de trafic en temps réel et historique et sur la
consommation de la bande passante, il est capable de détecter jusqu'à ou les connexions ont été faites
par les ordinateurs locaux et combien de bandes passantes ont été utilisées sur des connexions
individuelles.
Page | 43
Chapitre 3 Conception et réalisation de la solution proposée
Une fois l’installation est terminée, sous l'onglet « Général », nous activons le service Ntopng et
nous effectuons la configuration suivante (voir figure 39) :
Une fois la configuration est terminée, nous accédons à l'interface Web Ntopng. Alors sur le
tableau de bord PfSense, nous nous rendrons au menu Diagnostics et nous sélectionnons l'option
Ntopng. Un écran de connexion Ntopng s’affiche comme donné par la figure 40.
Page | 44
Chapitre 3 Conception et réalisation de la solution proposée
En se connectant à cette adresse, nous accédons aux statistiques générales de notre réseau
comme présentés par la figure 41:
Page | 45
Chapitre 3 Conception et réalisation de la solution proposée
Conclusion
En conclusion, ce chapitre a été consacré à la mise en place de PfSense. Cet outil se distingue
particulièrement des autres pare-feu par sa forte popularité et son efficacité. C'est un gestionnaire
central d'outils réseaux. Nous pouvons ainsi faire travailler ensemble un pare-feu, un routeur, un
proxy, un portail captif, etc. Nous avons utilisé dans ce chapitre l’outil Free Radius pour assurer
l’authentification des utilisateurs de notre réseau interne, l’outil Squid , Squidguard et Squidlight pour
filtrer les URLs des utilisateurs et bloquer les sites indésirables pendant la période de travail , aussi
nous avons ajouté l’outil Ntopng dans le but de superviser notre réseau interne.
Page | 46
Chapitre 4 : Test et évaluation
Introduction
Il ne fait aucun doute que la conception architecturale et l’implémentation des services sont deux
volets principaux dans notre projet. Mais, nous ne pouvons pas conclure sur son aboutissement
qu’après la réalisation des tests. Ainsi, l’étape de vérification du bon fonctionnement de la solution
proposée constitue la phase d’achèvement du projet. Alors dans ce dernier chapitre, nous proposons
de tester les différents services mis en place tout en évaluant les interfaces réalisées.
Si l’utilisateur n’effectue aucune activité et dépasse le délai d'expiration de session qui a été attribuée
par l’administrateur (5 min), il sera déconnecté et devrai s’authentifier une autre fois comme présente
la figure 43.
Page | 47
Chapitre 4 Test et évaluation
- La configuration des interfaces réseau (LAN, WAN, DMZ) au niveau menu « Interfaces »,
- La supervision de l’état du réseau via les menus « Status » et « Diagnostics »,
Page | 48
Chapitre 4 Test et évaluation
- La gestion des utilisateurs : A travers cette interface l’administrateur peut crier, supprimer
ou modifier un compte utilisateur selon son besoin (voir la figure 45).
Page | 49
Chapitre 4 Test et évaluation
Pour le filtrage d’URLs par ACL avec fragments de mots des URLs, nous testons l’accès au site
download.skype.com, une page de redirection s’affiche comme présente la figure 47.
Pour le filtrage d’URLs par ACL avec le nom de domaine, nous testons l’accès au site instagram,
une page de redirection s’affiche comme présente la figure 48.
Page | 50
Chapitre 4 Test et évaluation
La figure 49 affiche le rapport détaillé d’accès du 26 juin 2020 incluant : le groupe des
utilisateurs, la bande passante consommée et le nombre d’accès.
La figure 50 présente les alertes passées avec un détail complet (Date/heure, durée, gravité, type
d’alerte, description détaillée du problème).
Page | 51
Chapitre 4 Test et évaluation
Alertes de flux
Lors de son exécution, Ntopng peut détecter des flux anormaux ou suspects pour lesquels il
déclenche des alertes de flux spéciales. Ces alertes transportent non seulement l'événement qui a
provoqué le déclenchement de l'alerte, mais également tous les détails du flux, y compris, la gravité
d’alerte, type d’alerte, le protocole d'application de couche 7 et la description. Les alertes de flux sont
illustrées via la figure 51.
Page | 52
Chapitre 4 Test et évaluation
Les flux ont plusieurs champs d'informations : application, protocole de couche 4, hôtes client et
serveur, durée, répartition client et serveur, débit actuel, total d'octets et informations
supplémentaires. Les champs d'information sont brièvement présentés dans la figure 52.
Dans notre cas, nous supervisons notre interface LAN (192.168.1.0/24). La figure 53 présente la
page résumé des réseaux, les informations de cette page sont actualisés automatiquement selon
l’utilisation du notre réseau :
Page | 53
Chapitre 4 Test et évaluation
Le tableau de bord de Ntopng, présenté par la figure 54, fournit des informations sur les locuteurs,
les hôtes, les ports, les applications, les ASN et les expéditeurs.
Les locuteurs
Le diagramme de Sankey, présenté dans la figure 55, affiche les 2 hôtes actuellement actifs sur
l'interface LAN surveillée (192.168.1.47/192.168.1.34).
Les paires d'hôtes sont réunies par des barres colorées représentant les flux. L'hôte client est placé
sur le bord gauche de la barre, et le serveur est placé à droite. La largeur de la barre est proportionnelle
à la quantité de trafic échangée. Plus la barre est large, plus le trafic échangé entre la paire d'hôtes
correspondante est élevé.
Hôtes
La vue Hôtes fournit une représentation graphique circulaire du notre trafic capturé, le graphique
à secteurs est actualisé automatiquement (voir figure 56).
Page | 54
Chapitre 4 Test et évaluation
Un double-clic sur un nom d'hôte nous redirige vers la page "Détails de l'hôte", qui contient de
nombreuses informations relatives à l'hôte comme illustre la figure 57.
Page | 55
Chapitre 4 Test et évaluation
Nous pouvons également afficher tous les hôtes locaux sur le réseau, comme le montre la figure
58.
Ports
La vue Ports fournit deux graphiques à secteurs séparés avec les ports les plus utilisés, à la fois
pour les clients et pour les serveurs.
Chaque graphique à secteurs fournit des statistiques pour les ports client et les ports serveur
(voir figure 59).
Page | 56
Chapitre 4 Test et évaluation
Applications
La vue d'application fournit un autre graphique circulaire qui représente une vue de l'utilisation
de la bande passante divisée par protocole d'application.
Les protocoles qui ne peuvent pas être identifiés sont marqués comme inconnus (voir figure
60).
En conclusion, la figure 62 présente la page Statistique qui fournit des statistiques du trafic
historiques pour notre interface LAN pour un intervalle de temps de 5 min.
Page | 57
Chapitre 4 Test et évaluation
Conclusion
Au cours de ce chapitre, qui vient d’achever ce présent rapport, nous avons illustré les tests des
différents services implémentés dans notre solution pour vérifier si les fonctionnalités attendues de la
solution mise en place sont satisfaites et que les objectifs visés sont atteints.
Page | 58
Conclusion générale
Ce projet de fin d'études était proposé par CERT, l’organisme d'accueil, dont le but est
l'implémentation d'une plateforme de sécurité basée sur un pare-feu de nouvelle génération open
source, puissant et permettant la sécurisation du réseau de l'organisme.
Pour apporter une solution de sécurité pour cet organisme, nous avons analysé les objectifs à
atteindre permettant de disposer d'un système capable d'authentifier les utilisateurs tout en contrôlant
l'accès aux différentes ressources, de superviser le réseau et de filtrer les accès.
Pour atteindre ces objectifs, nous avons pris connaissance des réseaux informatiques, des
différents types d'attaques et des techniques de protection des systèmes informatique. Nous avons fait
une étude comparative de différentes solutions possibles après nous avons décrit avec détail Pfsense
qui est l'outil retenu pour la mise en place de la solution proposé.
Pour assurer l’efficacité de PfSense et agrandir plus son panel de fonctionnalités, nous avons
installé et configuré des outils complémentaires comme « Free Radius », qui est un système
d'authentification, « Squid » et « Squidguard », des outils du filtrage d’URLs, et « Ntopng », un outil
de supervision de la bande passante utilisateur et de leurs activités.
Dans la perspective d’amélioration de notre projet, nous souhaitons introduire d’avantage des
composants à notre architecture système et d’implémenter un système de prévention d'intrusion,
l’intégration d’autres outils comme WebFilter, et la création d’un tableau de bord pour la supervision
du réseau.
Page | 59
Bibliographie
[8] « pare-feu de nouvelle génération Cisco ASA, série 5500-X » Disponible sur:
https://www.cisco.com/c/fr_ca/products/security/asa-5500-series-next-generation-
firewalls/index.html, Consulté le 15 mai 2020.
[12] «Firewall IPCop : sécuriser son réseau avec Linux». Disponible sur :
https://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-article-24818-1.html,
Consulté le 6 Juin 2020.
Page | 60
[13] « MISE EN PLACE D'UN PORTAIL CAPTIF PROFESSIONNEL». Disponible sur :
https://uvci-2018-memoire.blogspot.com/2019/10/rapport-de-stage-fin-premier-cycle-2018.html,
Consulté le 12 Mai 2020.
Page | 61
ANNEXE A : Configuration du portait captif
Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela nous
allons dans la section captive portal, ensuite, nous cochons la case « Enable Captive portal », puis
nous choisissons l'interface sur laquelle le portail captif va écouter.
Ici, nous avons choisi LAN puisque nous voulons que les utilisateurs de notre réseau local passent
par le portail captif pour aller sur Internet.
Pour la méthode d’authentification nous avons adopté RADIUS comme présente la figure 64 :
Page | 62
Figure 64 : Méthode d'authentification
Nous passons maintenant à la configuration de l’utilisateur pour délégation du Portail Captif qui
aura pour fonction de créer des Utilisateurs autorisés à se connecter au Portail Captif.
Page | 63
La délégation pour l’utilisateur “IMEN” est autorisé à créer des utilisateurs pour connexion au
Portail Captif.
Page | 64
ANNEXE B : Configuration de Squidguard
Page | 65
Résumé
Compte tenu de l'émergence récente de diverses formes d'attaques informatiques, le renforcement
de la sécurité informatique est devenu une exigence primordiale. Ce sont les entreprises, les
institutions et les réseaux gouvernementaux qui ont le plus besoin de ce type de sécurité car ils sont
souvent la cible d'attaques d'intrusion.
Ce travail s’inscrit dans le cadre d’un projet de fin d’études. L’’objectif de ce projet est la mise
en place d’une solution de sécurité réseau basée sur le pare-feu open source PfSense. Ce pare-feu
offre des divers fonctionnalités, auquel nous avons ajouté le package « Free Radius» pour authentifier
les utilisateurs avant l'accès à Internet, le paquet « Ntopng » pour la supervision de la bande passante
et les paquets « Squid » et « Squidguard » pour filtrer les URL afin de restreindre l'accès à Internet.
Abstract
Given the recent emergence of various forms of computer attacks, strengthening computer
security has become a primary requirement. It is businesses, institutions and government networks
that most need this type of security as they are often the target of intrusion attacks.
This work is part of a graduation project. The objective of this project is the implementation of a
network security solution based on the open source PfSense firewall. This firewall offers various
functionalities, to which we have added the “Free Radius” package to authenticate users before
accessing the Internet, the “Ntopng” package for monitoring bandwidth and the “Squid” and
“Squidguard” to filter URLs to restrict Internet access.