Académique Documents
Professionnel Documents
Culture Documents
Gloire à AllahSeigneur des mondes, le Tout Puissant pour Sa grâce, Son amour infini, Son assistance, Sa miséricorde grâce à qui j'ai pu arriver
A ma maman chérie RADJI Shérifa, celle qui n'a cessé de me soutenir, grâce à qui je ne baisserai jamais les bras. Tes prières et tes bénédictions m'o
secours pour mener à bien mes études. Aucune dédicace ne saurait être assez éloquente pour exprimer ce que tu mérites pour tous les sacrifices qu
m'accorder depuis ma naissance, durant mon enfance et même à l'âge adulte. Tu as fait plus qu'une mère puisse faire pour que ses enfants suivent le
leur vie et leurs études. Puisse Allah, le Tout Puissant, te préserve et t'accorde santé, longue vie et bonheur.
A mon père bien aimé, SHITOU OGUNGBEMI Issa, qui malgré les difficultés de la vie s'est engagé corps et âme dans mon éducatio
A ma très chère soeur SHITOU OGUNGBEMI Soifat, pour son apport moral.
A tous mes camarades de promotion qui ont toujours été là pour moi.
A tous ceux qui m'ont encouragé, je ne saurais citer tous les noms de peur d'en oublier, mais
REMERCIEMENTS
Avant tout développement sur cette expérience professionnelle, il apparaît opportun de commencer ce rapport de stage par des remerciements. N
cette occasion et adresser nos sincères remerciements et nos profondes reconnaissances à Allah le tout puissant et miséricordieux qui nous a d
puissance d'accomplir ce travail.
Nous adressons particulièrement nos remerciements aux membres du Jury, Dr. AMOU le Président du jury et Dr. TEPE qui nous ont fait l'honneur de
de notre soutenance. Nous profitons de l'occasion pour leur adresser nos sincères respects. Leurs remarques et suggestions nous ont été très utiles
la finalisation de notre formation.
Nous remercions ceux qui de près ou de loin, nous ont aidés ou soutenus d'une manière ou d'une autre pour l'élaboration de ce mémoire.
particulièrement à :
Ø Monsieur Venant Eyouleki PALANGA, Maitre-Assistant, Ex-Directeur Adjoint du CIC, pour son encadrement et ses efforts consentis pour la réuss
scolaire ;
Ø Monsieur Salomon ADJONYO, Responsable de la Sécurité des Systèmes d'Information à la B.T.C.I, Enseignant au Centre Informatique et de Calcu
Lomé, notre directeur de mémoire pour son implication, son suivi, son écoute et ses remarques judicieuses, qui malgré ses nombreuses occupat
encadré notre travail de mémoire pour l'orientation, la confiance, la patience qui ont constitué un apport considérable sans lequel ce travail n'aurait pa
bon port. Qu'il trouve dans ce travail un hommage vivant à sa haute personnalité ;
Ø Monsieur Guy DJADOU, informaticien Télécom et coordonnateur des interventions techniques à C.A.F.E I&T, notre maitre de stage pour son assista
tout le long du stage ;
Ø Ma mère Shérifa RADJI, pour son affection, son soutien et pour la confiance qu'elle a toujours dans ce que j'entreprends ;
Ø Tout le personnel de C.A.F.E I&T en particulier à tous les techniciens et stagiaires du département `support technique' ;
Ø Tout le personnel Enseignant, Administratif et Technique du CIC pour leur disponibilité et soutien durant notre période de formation ;
Ø Nos promotionnaires, avec qui nous avons connu et continuons par vivre des moments de partage et d'ambiance fraternelle.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 1/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
hosteur.com OUVRIR
Chapitre 1 : RESUME
Le renforcement de la sécurité informatique est devenu une nécessité primordiale vu l'apparition des diverses formes d'attaques informatiques de nos j
réseaux d'entreprises, d'institutions, de gouvernements qui ont le plus besoin de cette sécurisation car elles sont fréquemment les cibles des attaq
pare-feu sont très populaires en tant qu'outils permettant d'élaborer efficacement des stratégies pour sécuriser unréseau informatique. Un firewall of
protection d'un réseau interne, contre un certain nombre d'intrusions venant de l'extérieur, grâce à des techniques de filtrage rapides et intelligentes.
L'objectif de ce travail est la mise en place d'un firewall open source, pfsense comme solution. Ce pare-feu offre un panel de fonctionnalités de type
auquel nous avons ajouté le package « Ntopng » pour la supervision de la bande passante, le paquet « Snort » qui sert à la détection et la prévent
Free Radius» pour authentifier les utilisateurs avant l'accès à Internet. En somme le pare-feu est une solution de premier choix, mais il nécessite
intervention humaine.
Chapitre 2 : ABSTRACT
The reinforcement of computer security has become a primary necessity given the appearance of various forms of computer attacks these days.
networks of companies, institutions and governments that most need this security because they are frequently targets of intrusion attacks. Firewalls
tools for effectively developing strategies for securing a computer network. A firewall offers the system protection of an internal network, against a n
from outside, thanks to fast and intelligent filtering techniques.
The objective of this work is the establishment of an open source firewall, pfsense as a solution. This firewall offers a panel of NAT, DHCP, etc., feature
added the "Ntopng" package for the supervision of the bandwidth, the "Snort" package which serves for the detection and the prevention of Intrusions
authenticate users before accessing the Internet. In short, the firewall is a solution of choice, but it still requires human intervention.
Pages
DEDICACES i
REMERCIEMENTS ii
RESUME iii
ABSTRACT iii
GLOSSAIRE xii
INTRODUCTION GENERALE 1
Chapitre 1 : 2
1.1 Introduction 3
1.2.1 Présentation 3
1.2.2 Missions 4
1.2.3 Activités 4
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 2/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
1.2.5.2 Master professionnel 7
1.3.1 Présentation 7
1.3.2 Historique 8
1.3.3 Statut 9
1.3.4 Missions 10
1.3.5 Activités 10
1.4 Conclusion 12
Chapitre 2 : 13
PRSENTATION DU PROJET 13
2.1 Introduction 14
2.5 Problématique 20
2.6 Objectifs 20
2.10 Conclusion 22
Chapitre 3 : 23
3.1 Introduction 24
3.2.1 Définition 24
3.3.2.1 Le Sniffing 27
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 3/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
3.3.3.1 L'écran bleu de la mort 28
3.3.4.1 Exploit 29
3.3.4.3 Un « shellCode » 29
3.4.1 Définition 29
3.6.1 La cryptographie 34
3.6.3.1 Présentation 36
3.6.4.1 Présentation 40
3.6.6.1 Définition 43
3.6.7.1 Définition 46
3.6.8 Pare-feu 47
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 4/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
3.6.8.3 Zone démilitarisée (DMZ) 51
3.8 Conclusion 61
Chapitre 4 : 62
MISE EN OEUVRE 62
4.1 Introduction 63
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 5/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
4.9.2 Installation et configuration de Snort 81
4.11 Conclusion 87
CONCLUSION GENERALE 2
Pages
Figure 3. 7 : Pare-feu 48
Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T 60
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 6/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Figure 4. 24 : Interface d'administration de Ntopng 80
Pages
GLOSSAIRE
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 7/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
ICANN: Internet Corporation for Assigned Names and Numbers
Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le coeur d'une telle architecture doit êtrebasé sur un pare-feu. Cet
sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela représente une sécu
rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En plaçant un p
interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le pare-feu propose donc u
sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser, de gérer le trafic et ainsi d'utiliser le réseau de la façon pour laquelle il a
l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. C'est dans le but d'authen
les activités des utilisateurs, d'identifier les sources de menaces et ses dégâts informationnels au sein d'un réseau informatique, que le thèm
sécurisation d'un réseau par la mise en place d'un pare-feu open source », nous a été assigné. Pfsense est l'outil qui fait l'objet de ce mémoire de
Ce présent document comprend cinq chapitres : en premier lieu nous présenterons notre cadre de formation et de stage, ensuite nous ferons une
projet à la suite de laquelle nous entamerons les généralités sur la sécurité des réseaux informatiques ; il s'en suivra les généralités sur les pare-fe
fonctionnement, leurs composants et architectures suivi d'une étude technique de Pfsense ;et en dernier chapitre, nous clôturerons par la mise en oeuv
Chapitre 4 :
Chapitre 5 : Introduction
Dans ce chapitre introductif, il est question de présenter dans un premier temps, le CIC qui est notre cadre d'étude, et ensuite C.A.F.E
TELECOMMUNICATIONS, notre cadre de stage.
5.1.1 Présentation
Le Centre Informatique et de Calcul (CIC) est un établissement et un centre de ressources de l'Université de Lomé créés par arrêté N°67/MENRS du 2
pour apporter un appui logistique en informatique aux établissements et à l'administration de l'Université de Lomé et pour former des cadres supérieu
Comme le montre la figure 1.1 (à la page 3), le CIC se trouve dans l'enceinte de l'Université de Lomé (UL), et est situé entre la Faculté Des Sciences
des Sciences de la Santé (FSS)[2].
A ses débuts, il offrait une formation de deux ans couronnés par un diplôme de DUT (« Diplôme Universitaire de Technologie »). Après la ré
pédagogique et l'adoption du système LMD (Licence-Master-Doctorat) en 2009, le CIC forme pour le parcours Licence Professionnelle. Et depuis ma
ses portes au Master en collaboration avec l'Institut Africain d'Informatique (IAI) et l'Université de Technologie Belfort-Montbéliard (UTBM) en Fra
spécifier la formation de ses étudiants, a opté pour deux filières : Génie Logiciel (GL) et Maintenance et Réseaux Informatiques (MRI).
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 9/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Figure 1. 1 : Image satellite du CIC par Google Earth
5.1.2 Missions
Le CIC est le centre de formation en informatique de l'Université de Lomé. Parmi les objectifs du CIC on peut citer [2]:
Ø Résoudre des problèmes technologiques particulièrement dans le domaine du développement de logiciels et de la maintenance informatique à l'Univ
5.1.3 Activités
Des activités sont menées par le Centre Informatique et de Calcul (CIC) pour participer à l'émergence des TIC. Ce sont entre autres :
Ø L'académie CISCO pour la formation et la préparation du CCNA (CISCO Certified Network Associate) ;
Ø L'Association Togolaise des Utilisateurs de Logiciels Libres (ATULL) qui oeuvre pour la promotion des logiciels libres ;
Ø Le Centre Virtuel Africain (CVA) : destiné aux enseignants, il leur permet de partager leurs cours en ligne ;
Ø Le projet Pan Africain e-Network, un programme de télé-enseignement en partenariat avec quatre (4) Universités Indiennes dont les Universités
Amity International et Birla Institute of Technology and Science (BITS) pour des formations en Master en informatique, des MBA, des certifications en
électronique[2].
Le Centre Informatique et de Calcul (CIC) est dirigé par un directeur assisté d'un directeur adjoint. La structure administrative du CIC est composée de
Ø L'Assemblée d'établissement ;
Ø La Commission Pédagogique ;
Ø La Direction ;
Ø Division Système d'Information chargée de l'étude, de la conception, de la mise en oeuvre, de la gestion du système d'information global de l'Univ
Ø DivisionDéveloppement chargée des études informatiques nécessaires à l'informatisation des différentes entités de l'Université de Lomé, de l
développement des applications informatiques et de la maintenance des logiciels développés ;
Ø Division Maintenance Informatique, chargée de la maintenance des équipements informatiques de l'Université de Lomé, de la mise en oeuvre
d'assemblage de micro-ordinateurs initiés par le CIC, de la réalisation des différentes études nécessaires à l'informatisation de toutes les entités de l'
en collaboration avec les autres divisions.
Division
Enseignement
Division Système
d'Information
Division
Maintenance
Division
éveloppement
Comptabilité
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 10/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Secrétariat
Administrative et
pédagogique
Direction
djoint
Direction
La formation dure trois (03) ans et est couronnée par l'obtention de diplôme de Licence Professionnelle pour les deux filières (Génie Logiciel, Maint
Informatiques) après l'analyse, la conception et la réalisation d'un projet de fin de formation et d'une soutenance orale. L'admission à cette formation s
après l'obtention d'un baccalauréat scientifique (séries C, D, E, et F).
Cette formation concerne l'ensemble des méthodes, des techniques et outils permettant la production d'un logiciel. A la fin de cette formation, l'étudian
Cette filière offre une formation de base en maintenance informatique et en administration de réseau informatique. A la fin de cette formation, l'étudiant
Le parcours Master est proposé par le CIC en collaboration avec l'IAI (Institut Africain d'Informatique) et l'Université Technologique de Belfort-Montb
offre le choix entre 02 spécialités : le "Génie Logiciel" et les "Systèmes et Réseaux"[2].
Cette filière assure la formation pour l'obtention d'un master professionnel en informatique dans le domaine des systèmes et réseaux durant deu
suivies d'une soutenance. L'admission se fait aussi sur étude de dossier où ne sont autorisées que des personnes disposant au minimum d'une lic
technologies.
Cette filière assure la formation pour l'obtention d'un master professionnel en informatique dans le domaine du développement d'applications informa
années d'études, suivies d'une soutenance. L'admission se fait sur étude de dossier où ne sont autorisées des personnes disposant au minimum
science et technologies.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 11/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
5.2.1 Présentation
C.A.F.E Informatique & Télécommunications, créé en 1987 par M. et Mme NOAGBODJI, est le premier fournisseur privé d'accès Internet au Togo. Il
société de Formation Informatique agréée par le Ministère de l'enseignement technique et de la formation professionnelle et la FNAFPP ;
d'Apprentissage de Formation et de Perfectionnement Professionnels[3].
C.A.F.E Informatique & Télécommunications est une entreprise prestataire de services informatiques constituée de techniciens informaticiens sp
maintenance des équipements réseaux, la création informatique web (internet), intranet, logiciels pour entreprises, des serveurs de téléphon
surveillance, la programmation Télécom et GSM. Située à Lomé, dans le quartier Avenou, sur la Route de Kpalimé Cité Maman N'danida Aflao, CA
Télécommunications est joignable aux adresses suivantes :
Ø 07 BP : 12596 Lomé-Togo ;
Ø E-mail : cafe@cafe.tg ;
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 12/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
5.2.2 Historique
Créé en 1987 par Mme Ayélé ATAYI épouse NOAGBODJI, administrateur des PTT et M. Jean-Marie Yawo NOAGBODJI, Ingénieur Télécom d
Automate et électronique, la société C.A.F.E. Informatique & Télécommunications a rapidement développé ses potentiels en connectant dix ans
Internet.
En 1996, C.A.F.E. Informatique & Télécommunications a demandé et acquis auprès de l'INTERNIC (Internet's Network Information Center), devenu
(Internet Corporation for Assigned Names and Numbers), la gestion du domaine virtuel «.tg»[3]
En Septembre 1997, après l'obtention de la première licence d'opérateur Télécom au Togo, C.A.F.E. Informatique & Télécommunications a lancé sur
le premier réseau Internet, un système d'interconnexion de machines utilisant le même protocole de communication TCP/IP (Transmission Contro
Protocol).
En novembre 2001, suite à un appel à concourir, C.A.F.E. Informatique & Télécommunications obtint du gouvernement une licence d'exploitation de la
sur Internet). Un important investissement a été réalisé dans ce cadre, donnant ainsi naissance au produit Yom-LA.
Depuis le 15 Avril 2012, CAFE Informatique & Télécommunications s'est encore battu pour avoir le partenariat « LEARNING DE MICROSOFT » et est
center MICROSOFT (centre de formation certifié MICROSOFT)[3].
Pour atteindre son objectif, C.A.F.E. Informatique & Télécommunications initie de nombreuses actions, depuis 2004, dont les Journées Portes Ouvert
mieux faire connaître les NTIC (Nouvelles technologies de l'information et de la communication), et notamment l'Internet, aux jeunes, aux chefs d
autorités locales et nationales du Togo.
5.2.3 Statut
C.A.F.E Informatique & Télécommunications (Centre d'Assistance, de Formation et d'Etude), société anonyme au capital social de 225.000.000 F CFA
le Togo était à ses débuts dans l'informatique avec quelques centres spécialisés.
Il faut préciser que, la société soutient de nombreuses institutions togolaises en vue de leur assurer un développement par les TIC. Parmi ces institutio
dans toute sa diversité, la jeunesse à travers les institutions scolaires, etc...
Bref, depuis plus de trente(30) ans, C.A.F.E. Informatique & Télécommunications ne cesse de se développer de jour en jour avec une équipe d
compétente.
5.2.4 Missions
C.A.F.E. Informatique & Télécommunications s'est fixé deux objectifs : Relever le défi de la vulgarisation de l'informatique et des télécommunicatio
sous-région Ouest-Africaine, et de « faire des NTIC la clef de voûte du développement en Afrique », la principale mission.
Pour parvenir à la réalisation de cet objectif, C.A.F.E. Informatique & Télécommunications s'est doté de compétences variées touchant à l'in
télécommunications dans leurs ensembles. Ainsi en partant des activités d'audits et d'études, C.A.F.E. Informatique & Télécommunications, pro
concrètes selon les cas, pour parvenir à mettre en place des applications pour le développement économique du Togo et de l'Afrique toute entière.
Conscient de cette importante mission, C.A.F.E. Informatique & Télécommunications par la voix de son Président Directeur Général, Mr Jean-Marie
cessé de se battre pour obtenir des avancées notables au profit de l'Afrique dans le domaine des TIC. A cet effet, il se déplace personnellement
rencontres internationales en vue de partager ses expériences et de défendre les intérêts communs des pays africains sur la route de la marche vers
par les TIC[3].
5.2.5 Activités
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 13/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Ø la formation,
Ø le câblage, etc.
Au-delà de ses activités commerciales, C.A.F.E. Informatique & Télécommunications considère qu'aucun pays ne peut se permettre de rester en deho
des NTIC[5].
C.A.F.E. Informatique & Télécommunications met tout en oeuvre pour être au carrefour et rester la cheville ouvrière de ce développement par les TIC
ouest-africaine.
C.A.F.E. Informatique &Télécommunications, pour atteindre ses objectifs, est administrativement structuré comme l'indique l'organigramme de la figure
· La Direction Générale ;
· La Direction Financière ;
· La Direction Technique ;
· La Direction commerciale.
La Direction Technique a pour mission de mettre en oeuvre la politique des systèmes d'information et des technologies de l'information et de la commu
la Direction Générale et couvrant tous les domaines d'activité au sein de C.A.F.E. Informatique & Télécommunications. La Direction Technique est com
départements parmi ceux-ci, on note le département de la division Transmission de données.
La division Transmission de données gère l'ensemble des activités de fourniture de connexion, de supervision des bases radios et de dépannage ré
son sein trois services : Le service d'exploitation, le service support technique et le service `Grands travaux'.
Chapitre 6 : Conclusion
Le Centre Informatique et de Calcul (CIC) est une institution de l'Université de Lomé ayant pour mission d'apporter un appui logistique et technique
l'administration de l'université. C'est aussi un cadre de formation en informatique dans les spécialités Génie Logiciel et Maintenance et Réseau Info
Informatique &Télécommunications est une entreprise informatique qui a pour but principal de promouvoir le développement local participatif. Elle
stagiaires en fin de formation afin de leur faciliter l'insertion en entreprise. Dans le chapitre suivant, nous allons faire l'étude et la critique de l'existant.
Chapitre 7 :
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 14/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
PRSENTATION DU PROJET
Chapitre 8 : Introduction
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet et celle de la solution à implémenter. Il est alor
disposer d'un ensemble d'informations sur l'infrastructure informatique existante afin de déceler ses points forts et ses insuffisances. Dans ce chapitr
d'abord l'étude et critique de l'existant de C.A.F.E I&T pour faire ressortir la problématique et les objectifs à atteindre. Ensuite nous présenterons
adopter et enfin les résultats attendus du projet.
Le réseau IP de C.A.F.E I&T abrite différents services tels que les services web, DNS, DHCP, de messagerie, etc. De ce fait, C.A.F.E I&T sou
différentes plateformes, un service pour contrôler et sécuriser l'accès à son réseau. Le projet consiste à faire une étude pour une mise en place d'
sécurisation du réseau LAN de l'entreprise.
Le matériel qui constitue le système informatique de C.A.F.E I&T peut se présenter comme suit :
Ø Des postes de travail : Ce sont les ordinateurs fixes du réseau à partir desquels les utilisateurs accèdent à leurs sessions. Ils sont listés dans le tab
Ø Des Serveurs : Les serveurs matériels sont également des ordinateurs de plus grandes capacités que les stations ordinaires et disposent de mé
pour traiter simultanément les nombreuses tâches actives ou résidantes en mémoire. Les serveurs ont également besoin d'espace disque pour
partagés et pour servir d'extension à la mémoire interne du système. En résumé, ce sont des ordinateurs qui ont une grande puissance de traitem
robustes afin d'assurer la disponibilité des services réseau. Le tableau 2 récapitule les serveurs de C.A.F.E I&T.
serveurs
Serveur rack 1U HPE Processeur : Intel Xeon Serveur de messagerie
Réseau : 4 x 1GbE
Alimentation : 2 x 500W
Ø Des imprimantes : Outils bureautiques par excellence, les imprimantes peuvent constituées ainsi des noeuds d'un réseau. Les imprimantes sont
tableau 3.
Ø Les équipements d'interconnexions : Ce sont les éléments qui représentent le coeur du réseau dans une architecture. S'ils sont mal dimensionné
des effets négatifs sur le trafic du réseau, pouvant entrainer la détérioration de celui-ci. Dans notre cas d'étude, l'infrastructure du réseau local
comporte que deux commutateurs de 12 ports pour l'interconnexion des différents départements et un routeur permettant l'accès à Internet.Ils sont
tableau 4.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 15/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Tableau 3 : Liste des imprimantes et quelques caractéristiques techniques
matérielles
Imprimante HP Laser 500 feuilles 3
Simple
d'équipements
Switch CISCO 12 ports, 2
Séries
Il s'agit ici de faire l'inventaire des logiciels ainsi que des différents services ou applications installées. Le principal système d'exploitation utilisé sur le
de C.A.F.E I&T est Windows 7 pour les ordinateurs de bureau et Linux pour les serveurs.
Avant de dresser le tableau (tableau 5) des services installés, il convient d'expliquer et d'expliciter ce que c'est qu'un service réseau. Les serveurs
peu plus haut sont des machines conçues pour recevoir des applications (logiciels) appelées applications serveurs qui permettent aux autres postes du
clientes) d'accéder à des ressources (imprimantes, fichiers partagés,..) ou à des applications clientes. C'est donc par le terme de services qu'on désig
installées.
Suite
Le réseau local de C.A.F.E I&T sur lequel la solution va être implémentée est constitué des équipements d'interconnexion (routeur et switch) de l'éq
des dizaines d'ordinateurs qui sont interconnectés avec les paires torsadées de catégories 6 avec la technologie Ethernet et une sortie vers un rés
utilisateurs du réseau sans fil.
Notre réseau est constitué de deux switch et un routeur Cisco. Nous disposons des connexions avec les paires torsadées de catégorie 6 reliant le rés
partir d'un switch et reliant les départements de la direction technique, la direction financière et comptabilité, la direction générale, la direction comme
exploitation grâce au second switch. L'illustration de cette architecture est représentée par la figure (figure 2.1) suivante :
En effet, l'accès au réseau sans fil de C.A.F.E I&T se fait actuellement grâce à une authentification par mot de passe partagé (PSK). Bien qu'il exis
système d'authentification RADIUS, celui-ci ne couvre que le segment des serveurs et ne prend pas en compte les utilisateurs finaux ayant accès à
insuffisant si l'on considère les risques auxquels la technologie sans fil est exposée aujourd'hui, quand on sait surtout qu'il existe de nombreux logic
contournement des mesures de sécurité basées sur un mot de passe partagé et surtout dans un contexte où l'Homme (utilisateur) reste toujours un
ailleurs, la connexion par câble autorise sans contrôle ou sans authentification des machines externes à la structure, c'est-à-dire qu'un utilisateur qui
machine personnelle au réseau à partir d'un câble, pouvait se connecter à Internet sans qu'il ne lui soit demandé de s'authentifier.
Avec l'authentification par mot de passe, il n'est pas possible de pouvoir reconstituer l'historique des activités effectuées par les différents utilisate
d'information. De même, le pare-feu depar sa nature est incapable de relater en clair les trafics réseaux des utilisateurs et ne permet pas donc à lu
analyse intelligente des activités suspectes ;
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 16/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Ø L'utilisation d'un simple pare-feu permettant d'assurer la sécurité des systèmes informatiques
Le pare-feu actuel en exploitation à C.A.F.E I&T filtre les informations en se basant uniquement sur les adresses IP et les ports comme c'est le cas d
traditionnels. Il ne prend pas en compte le comportement de l'individu et les attaques identifiables à partir de leurs signatures, ce qui reste une faille co
8.4 Problématique
Aujourd'hui l'Internet apporte une réelle valeur ajoutée aux entreprises, en permettant la communication avec de nombreux partenaires, fournisseur
expose les systèmes des entreprises à de nouvelles formes de menaces. Le véritable défi est la sécurisation du réseau informatique pour conserve
fiabilité du trafic sur le réseau. Au cours de notre stage,suivant les remarques susmentionnées, nous avons constaté des anomalies au niveau de
réseau de C.A.F.E I&T. On en déduit les risques principaux qui pèsent sur ce dernier à ce jour, notamment ceux en lien avec l'authentification et la tra
pose entre autres un problème de non-conformité aux exigences légalesqui pourraient engendrer des conséquences fâcheuses suivant la loi sur la cy
Novembre 2018 [24].
Les questions importantes qui méritent une attention particulière sont les suivantes :
Ø Comment C.A.F.E Informatique & Télécommunications peut protéger son réseau des menaces et intrusions ?
Ø Qui attaque le réseau et quand est-ce que l'attaque a-t-elle eut lieu ?
Dans l'optique de trouver une solution adéquate à la problématique ainsi posée, il nous a été demandé de faire une étude en vue d'une mise en place
source qui sera associé au pare-feu existant suivant le principe de la défense en profondeur.
8.5 Objectifs
Au regard des risques identifiés, notre projet est poursuivi dans le but de :
Ø Assurer la disponibilité des ressources réseaux : les informations et services sont accessibles lorsque nécessaire ;
Ø Assurer la traçabilité des opérations : possibilité de tracer l'intrus et de reconstituer l'historique des opérations effectuées sur le système d'information
Ø Un portail captif pour forcer les utilisateurs à s'authentifier avant l'accès à Internet ;
Ø Généralités sur les réseaux sans fils et leurs failles dans la sécurité réseau ;
Ø Comparaison des solutions propriétaires et Open Source disponibles afin de faire un choix ;
Chapitre 9 : Conclusion
Nous avons présenté les problèmes de sécurité auxquels fait face le réseau informatique local de C.A.F.E I&T. Pour remédier aux problèmes posé
pour la mise en place d'un pare-feu. Nous avons eu à exposer les objectifs, les résultats attendus du projet et la démarche méthodologie à suivre. L
fera un bref aperçu sur les réseaux informatiques, la sécurité informatique, les menaces et les attaques que subissent les systèmes informatiques de
les mesures de protection.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 17/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Chapitre 10 :
Chapitre 11 : Introduction
Chaque ordinateur connecté à Internet et d'une manière plus générale à n'importe quel réseau informatique, est susceptible d'être victime d'une
informatique. Ainsi, il est nécessaire de se protéger de ces attaques réseaux en installant un dispositif de protection. Dans ce chapitre, nous verrons
les systèmes efficacement face à ces menaces. Mais avant cela, il est important, pour comprendre le rôle précis de ces systèmes, de faire un rap
informatiques, les menaces, les risques, les principales attaques et les moyens de protection.
11.1.1 Définition
Le réseau informatique est l'interconnexion d'équipements informatiques en vue d'échange et du partage des ressources (disque dur, imprimantes, d
ensemble est géré par des logiciels[6].
Le terme générique réseau définit un ensemble d'entités (objet, personnes, ...) interconnectées les unes avec les autres. Un réseau permet ainsi d
éléments matériels ou immatériels entre chacune de ses entités selon des règles bien définies[7]. Le « Network » ou réseau est l'ensemble
périphériques qui sont connectés les uns aux autres.
Un réseau sans fils (en anglais Wireless network) est, comme son nom l'indique, un réseau danslequel au moins deux terminaux peuvent commu
filaire. A la base, les réseaux sansfil peuvent être vus comme un ensemble de technologies permettant d'établir un réseau local sansl'utilisation d
liaisons entre les ordinateurs. Grâce aux réseaux sans fils, un utilisateur ala possibilité de rester connecter tout en se déplaçant dans un périmètre gé
moinsétendu, c'est la raison pour laquelle on entend parfois parler de "mobilité». Les réseaux sans fils sont basés sur une liaison utilisant des ond
(radio etinfrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisé
et la portée des transmissions. Lesprincipales technologies permettant de développer des réseaux sans fil sont celles appartenant aux normesIEEE 80
On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre géographiqueoffrant une connectivité (appelé zone de couver
Ø Les réseaux personnels sans fils (WPAN pour Wireless Personal Area Network) : de l'ordre de quelques dizaines mètres. Ces types de réseau serve
relier des périphériques (imprimante, téléphone portable, appareils domestiques, ...) ou un assistant personnel (PDA) à un ordinateur sans liaison filaire
permettre la liaison sans fils entre deux machines très peu distantes. On peut citer : la technologie Bluetooth, Zigbee, HomeRF,..
Ø Les réseaux locaux sans fils (WLAN pour Wireless Local Area Network) : Ce sont des réseaux permettant de couvrir l'équivalent d'un réseau local d
portée d'environ une centaine de mètres. Ils permettent de relier entre-eux les terminaux présents dans la zone de couverture. On peut citer c
technologie Wi-Fi.
Ø Les réseaux métropolitains sans fils (WMAN pour Wireless Metropolitan Area Network) : Ils sontconnus sous le nom de Boucle Locale Radio (BLR
basés sur la norme IEEE 802.16. La boucle locale radio offre un débit utile de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine p
technologie aux opérateurs de télécommunication.
Ø Les réseaux étendus sans fils (WWAN pour Wireless Wide Area Network) : Ils également connu sous le nom de réseau cellulaire mobile. Il s'agit de
les plus répandus puisque tous les téléphones mobiles sont connectés à un réseau étendu sans fils. On peut citer : la technologie GSM, GPRS, ...
Comme définition générale, un protocole réseaux est un langage utilisé pour communiquer entre les machines dans un réseau informatique. On pe
ICMP (Internet Control Message Protocol) qui permet de contrôler les erreurs de transmission et aide au débogage réseau, le protocole IP (Internet
protocole de base du réseau Internet, le protocole TCP (Transmission Control Protocol) qui permet aux applications de communiquer de façon sûre
d'accusés de réception ACK) indépendamment des couches inférieures, le protocole UDP (User Datagram Protocol) qui permet l'envoi des
datagrammes en évitant la surcharge du réseau, entre autres. Le protocole IP est le plus courant des protocoles utilisés.
Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux n'aient pas été conçus avec une prise en compte des pro
dès le départ. A cela, se rajoute les faiblesses issues de l'erreur humaine. Ainsi, on peut classifier les faiblesses réseaux comme suit [8]:
Ø Faiblesses des protocoles : les protocoles réseaux n'ont pas été conçus pour contrecarrer les attaques de sécurité potentielles ; ainsi les pro
s'appuient pas sur une couche "sécurité" et offrent donc plusieurs vulnérabilités ;
Ø Faiblesses d'authentification : la majorité des protocoles ne s'appuient sur aucun mécanisme d'authentification. Ceci facilite les attaques se bas
d'identité comme « IP Spoofing » ;
Ø Faiblesses d'implémentation : certains protocoles sont mal implémentés ou mal programmés ce qui offre certaines vulnérabilités exploitables com
Ping-of-the-death »;
Faiblesses de configuration : beaucoup d'attaques sont dues à l'erreur humaine qui se manifeste, par exemple par une mauvaise configuratio
serveurs, des routeurs ou des switchs.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 18/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Encore connu sous le nom de « l'attaque de l'homme du milieu », c'est une attaque qui a pour but d'intercepter les communications entre deux partie
ni l'autre ne puisse douter que le canal de communication entre elles a été compromis.
Lebalayage de port ou « port scanning » en anglais, est une technique qui consiste à rechercher les ports ouverts sur un serveur de réseau. Les p
technique pour tenter de trouver des failles dans les systèmes. Un balayage de port effectué sur un système tiers est généralement considéré co
d'intrusion, car un balayage de port sert à préparer une intrusion.
Les attaques par rebond constituent une famille d'attaques de systèmes informatiques qui consistent à utiliser un ou des systèmes intermédiaires, pa
et permettant à un assaillant de rester caché lors d'une intrusion.
Une « attaque par déni de service » (Denial of Service en anglais), est une attaque ayant pour but de rendre indisponible un service, d'empêcher les u
d'un service de l'utiliser. Il peut s'agir de :
ï La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
« L'usurpation d'adresse IP » (également appelé mystification ou en anglais « IP spoofing ») est une technique de piratage informatique qui cons
paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors
serveur, ou d'usurper en quelque sort l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.
Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples :
11.2.2.1 Le Sniffing
C'est l'attaque la plus classique. Par définition, un réseau sans fil est ouvert, c'est-à-dire non sécurisé. Cette attaque consiste à écouter les transmis
utilisateurs du réseau sans fil, et de récupérer n'importe qu'elles données transitant sur le réseau si celles-ci ne sont pas cryptées. Il s'agit d'
confidentialité. Pour un particulier la menace est faible car les données sont rarement confidentielles. En revanche, dans le cas d'un réseau d
stratégique peut être très important.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 19/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
11.2.2.2 Le brouillage radio
Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ay
proche de celle utilisée dans le réseau sans fil. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu'il foncti
d'action d'un point d'accès.
Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée d'un
potentiellement écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement c
n'est les données à caractère personnel. Pour une entreprise en revanche l'enjeu stratégique peut être très important.
Elle consiste à circuler dans des zones urbaines avec un équipement d'analyse Wi-Fi à la recherche des réseaux sans fils « ouverts ». Il existe des l
permettant de détecter des réseaux Wi-Fi et de les localiser géographiquement en exploitant un GPS (Global Positioning System). L'ensemble des in
au réseau découvert, est mis en commun sur des sites Internet dédiés au recensement. On y trouve généralement une cartographie des résea
associées les informations techniques nécessaires à la connexion, y compris le nom du réseau SSID et éventuellement la clé WEP de cryptage.
A ces types d'attaques, s'ajoutent le Denis de service et l'usurpation d'adresse IP qui seront décrits dans la partie suivante.
Elle se réfère à l'écran affiché par le système d'exploitation Windows lorsqu'il est au point Fork bombcritique d'une erreur fatale. En général, la vue d
que l'ordinateur est devenu complètement inutilisable. Pour certains « Black Hat », leur but est d'arriver à provoquer cet « écran bleu de la mort » su
possibles.
Une « fork bomb » fonctionne en créant un grand nombre de processus très rapidement afin de saturer l'espace disponible dans la liste des proce
système d'exploitation. Si la table des processus se met à saturer, aucun nouveau programme ne peut démarrer tant qu'aucun autre ne termine. Mê
est peu probable qu'un programme utile démarre étant donné que les instances de la bombe attendent chacune d'occuper cet emplacement libre. N
fork-bombs » utilisent de la place dans la table des processus, mais elles utilisent chacune du temps processeur et de la mémoire. En conséquence
programmes tournant à ce moment-là ralentissent et deviennent même impossibles à utiliser.
Les attaques applicatives se basent sur des failles dans les programmes utilisés, ou encore des erreurs de configuration.
11.2.4.1 Exploit
Un « exploit » est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique
d'exploitation ou dans un logiciel que ce soit à distance ou sur la machine sur laquelle cet exploit est exécuté ; ceci, afin de prendre le contrôle d'un
réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou encore d'effectuer une attaque par déni de service.
Un « dépassement de tampon » est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon
informations nécessaires au processus. Lorsque le bug se produit, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un bloca
voire de tout le système. Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de sécurité d'un système. C
couramment utilisée par les pirates.
11.2.4.3 Un « shellCode »
Un « shellCode » est une chaîne de caractères qui représente un code binaire exécutable. À l'origine destiné à lancer un « Shell » (interface utilis
d'exploitation), le mot a évolué pour désigner tout code malveillant qui détourne un programme de son exécution normale. Un « shellCode » peut
hacker voulant avoir accès à la ligne de commande.
11.3.1 Définition
Une politique de sécurité réseau est un document générique qui définit les règles à suivre pour les accès au réseau informatique et pour les flux
détermine comment les politiques sont appliquées et présente une partie de l'architecture de base de l'environnement de sécurité du réseau. La m
politique de sécurité adéquate est essentielle à la bonne sécurisation des réseaux et systèmes d'information.
La définition d'une politique de sécurité n'est pas un exercice de style, mais une démarche de toute l'entreprise visant à protéger son personnel et se
incidents de sécurité dommageables pour son activité. La définition d'une politique de sécurité réseau fait intégralement partie de la démarche sécurit
Elle s'étend à de nombreux domaines, dont les suivants :
Ø Audit des éléments physiques, techniques et logiques constituant le système d'information de l'entreprise ;
Ø Sensibilisation des responsables de l'entreprise et du personnel aux incidents de sécurité et aux risques associés ;
Ø Structuration et protection des locaux abritant les systèmes informatiques et les équipements de télécommunication, incluant le réseau et les matérie
Ø Ingénierie et maîtrise d'oeuvre des projets incluant les contraintes de sécurité dès la phase de conception ;
Ø Gestion du système d'information de l'entreprise lui permettant de suivre et d'appliquer les recommandations des procédures opérationnelles en mat
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 20/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Ø Définition du cadre juridique et réglementaire de l'entreprise face à la politique de sécurité et aux actes de malveillance, 80% des actes malvei
l'intérieur de l'entreprise ;
Ø Sécurité de l'infrastructure : couvre la sécurité logique et physique des équipements et des connexions réseaux, aussi bien internes que celle
fournisseurs d'accès internet (FAI).
Ø Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux ressources de l'entreprise, ainsi que la gestion des utilisateur
d'accès au système d'informations de l'entreprise.
Ø Sécurité du réseau intranet face à Internet ou aux autresparties : couvre la sécurité logique des accès aux ressources de l'entreprise (Intra
ressources extérieures (Extranet).
Pour résumer, la définition d'une politique de sécurité réseau vise à la fois à définir les besoins de sécurité de l'entreprise, à élaborer des stratégies
protéger les biens les plus critiques et à définir le référentiel des contrôles de sécurité.
Diverses méthodes permettent d'élaborer des stratégies de sécurité. Nous décrivons ici la méthodologie générique à savoir :
Ø Prédiction des attaques potentielles et analyse de risque : La première étape consiste à déterminer les menaces qui pèsent sur les biens de l'e
les impacts de ces menaces sur l'activité de l'entreprise si elles devaient se concrétiser. Le rapprochement entre les ressources critiques de l'entrepris
sécurité associés, déterminés par le triptyque menace/vulnérabilité/conséquence, permet de définir la stratégie sécurité de l'entreprise[8]. Afin de
critiques des menaces identifiées, l'entreprise doit aussi analyser les techniques d'attaque utilisées pour enfreindre les contrôles de sécurité
vulnérabilités. Ce deuxième niveau d'analyse permet de définir des stratégies de sécurité proactives, visant à diminuer les probabilités d'occurrence de
Ø Analyse des résultats et amélioration des stratégies de sécurité : Les différentes simulations sont l'occasion d'améliorer les contre-mesures d
les remettre en question. Par exemple, si l'on constate que certains types d'attaques ne sont pas détectés par un pare-feu, les règles de filtrage définie
même doivent être remis en cause. Il faut aussi valider l'efficacité des stratégies de sécurité mises en place face aux simulations exécutées. Enfin, da
stratégie existante n'a pas apporté de résolution satisfaisante, il est nécessaire de la modifier ou d'en créer une nouvelle ;
Ø Règles élémentaires d'une stratégie de sécurité réseau : Lors de la conception d'une stratégie de sécurité, il faut toujours garder à l'esprit
principes élémentaires afin de se prémunir des erreurs possibles dans le choix de contre-mesures. Voici quelques-uns :
· Simplicité : Plus une stratégie est complexe, plus il est difficile de l'appliquer, de la maintenir dans le temps ou de la faire évoluer. La simplicité et le
des critères de réussite d'une stratégie de sécurité ;
· Le maillon le plus faible : Un réseau est composé d'un ensemble d'équipements, ayant ou non une fonction de sécurité implémentée. Pour qu'une s
recouvre le périmètre de l'entreprise, il faut s'assurer que toutes les méthodes d'accès fournissent un même niveau de sécurité, faute de quoi le maillo
privilégié pour attaquer le réseau d'entreprise ;
· Variété desprotections : La variété des solutions mises en place pour assurer la sécurité ne doit pas se fonder sur un seul type de logiciel de pare-
d'intrusion ;
· L'implémentation en profondeur des mécanismes desécurité : La sécurité ne doit jamais reposer sur un seul mécanisme de sécurité.
mécanismes offre une garantie de sécurité bien supérieure, pour peu que le premier élément de sécurité vienne à faillir[8]. L'implémentation de méca
en profondeur doit être comprise et perçue comme une assurance de sécurité à plusieurs niveaux. Plus le système à protéger est critique, plus le nom
de sécurité doit être important.
Pour proposer une bonne stratégie de sécurité, il faut procéder étape par étape en prenant en compte les éléments suivants :
Le réseau d'entreprise est découpé en périmètres de sécurité logiques regroupant des entités ou fonctions afin de mettre en place des niveaux d
imbriqués et séparés. On définit un périmètre autour du réseau d'entreprise (intranet) face au réseau Internet. Nous définissons également des pér
pour chacun des sous-réseaux inclus dans le réseau intranet. L'objectif est de compartimenter le réseau et de créer une imbrication des périmètres
rendre plus difficile une pénétration éventuelle.
Cette stratégie des périmètres de sécurité doit être couplée avec celle des goulets d'étranglement, qui vise à mettre en place un nombre limité de
d'accès de ces périmètres.
Des contrôles d'accès différenciés et en nombre limité sont implémentés pour permettre l'accès à chaque périmètre de sécurité du réseau de l'entre
d'accès définissent ce qui est autorisé à rentrer ou à sortir d'un périmètre de sécurité. Nous partons du postulat que « tout ce qui n'est pas autorisé
contrôles d'accès définissent par ailleurs les conditions à respecter pour avoir le droit d'entrer dans le périmètre de sécurité.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 21/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Des contrôles d'authentification sont mis en place afin d'authentifier les accès aux périmètres de sécurité. Dans cette stratégie, des sys
d'authentification sont insérés au sein d'un périmètre de sécurité. Les contrôles d'authentification des utilisateurs s'effectuent à plusieurs passages, au
Internet, où chaque utilisateur doit s'authentifier pour avoir accès à Internet, mais aussi au niveau de chaque serveur pour accéder au réseau in
fichiers, serveurs d'impression, etc.). Chaque fois qu'un utilisateur s'authentifie, un ticket est créé sur un système chargé de stocker les traces (logs) a
de l'utilisateur soit connu à tout moment de manière précise. Cette logique peut être généralisée et entraîner la création d'une trace pour chaque actio
chaque serveur (création, consultation, modification, destruction de fichier, impression de document, URL visitée par l'utilisateur, etc.). On parle dans
AAA (Authentication, Authorization, Accounting), autrement dit authentification, autorisation et comptabilité des événements[8].
La stratégie du moindre privilège consiste à s'assurer que chacun dispose de tous les privilèges et seulement des privilèges dont il a besoin. Par la s
privilège, la portée de tout acte de malveillance se trouve réduite par défaut aux privilèges dont dispose la personne qui le commet. Un moyen de ren
technique consiste à augmenter le nombre d'autorisations nécessaires afin qu'une opération soit possible. Le principe est que « Un utilisateur n
privilèges dont il a besoin ». La mise en oeuvre de ce principe simple à énoncer est assez lourde pour l'entreprise en termes de ressources et de coûts
Tout message qui doit être émis à l'extérieur ou vers d'autres réseaux doit être protégé. Pour y parvenir, le message doit être chiffré. « Toute comm
transitant sur des réseaux publics est chiffrée si elle contient des données confidentielles »[8]. Cette stratégie est généralement appliquée aux ré
répartis sur plusieurs sites distants communiquant entre eux par l'intermédiaire de réseaux publics tels qu'Internet, liaisons spécialisées, etc.
La stratégie de contrôle régulier consiste à simuler des tentatives de pénétration surprises afin de vérifier le bon fonctionnement des mécanis
L'application de la politique de sécurité est validée par un contrôle de sécurité régulier. » Lorsque l'entreprise s'interconnecte à Internet, elle fait so
tierce partie consultante, censée maîtriser la mise en place de ce service. Comme l'entreprise ne peut juger de la pertinence de la sécurité impléme
contrôler régulièrement la sécurité par une tierce partie afin de détecter et de corriger les faiblesses de sécurité éventuelles.
Après avoir défini les politiques et stratégies de sécurité réseau, il est important de sensibiliser les utilisateurs sur l'importance du respect de la politiq
sécurité afin qu'ils soient conscients de leurs responsabilités. Dans la suite nous détaillons l'ensemble des solutions techniques qu'il est possible de m
de protéger le réseau et ses services des attaques informatiques.
11.5.1 La cryptographie
La cryptographie permet l'échange sûr des renseignements privés et confidentiels. Un texte compréhensible est converti en texte inintelligible (chiffrem
transmission d'un poste de travail à un autre. Sur le poste récepteur, le texte chiffré est reconverti en format intelligible (déchiffrement). On peut é
cryptographie pour assurer l'authentification, la non-répudiation et l'intégrité de l'information, grâce à un processus cryptographique spécial appelé si
Celle-ci permet de garantir l'origine et l'intégrité de l'information échangée, et aussi de confirmer l'authenticité d'un document.
La cryptographie à clé symétrique a très longtemps été utilisée pour le chiffrement de messages confidentiels. Son usage a été progressivement rédui
de la cryptographie à clé publique (cryptographie asymétrique) même si les deux techniques sont encore parfois utilisées conjointement. Dans l
symétrique ou clé secrète, c'est la même clé qui sert à la fois à chiffrer et à déchiffrer un message. C'est exactement le même principe qu'une clé de p
qui sert à ouvrir et à fermer une serrure. Il existe plusieurs algorithmes de cryptographie symétrique dont les plus utilisés sont :
· Advanced Encryption Standard (AES)ou « standard de chiffrement avancé » en français, aussi connu sous le nom de « Rijndael ». C'est un algorit
actuellement le plus utilisé et le plus sûr ;
· Data Encryption Standard (DES), est un algorithme de chiffrement symétrique par bloc utilisant des clés de 56 bits. Son emploi n'est plus recomma
fait de sa lenteur à l'exécution et de son espace de clés trop petit permettant une attaque systématique en un temps raisonnable ;
· Le Triple DES aussi appelé 3DES est un algorithme de chiffrement symétrique par bloc, enchaînant 3 applications successives de l'algorithme DE
de données de 64 bits, avec 2 ou 3 clés DES différentes ;
· International Data Encryption Algorithm (IDEA) est un algorithme de chiffrement symétrique par blocs utilisé pour chiffrer et déchiffrer des donné
blocs de texte en clair de 64 bits. Une clé de chiffrement longue de 128 bits (qui doit être choisie aléatoirement) est utilisée pour le chiffrement des don
secrète est requise pour les déchiffrer. L'algorithme consiste à appliquer huit fois une même transformation (ou ronde) suivi d'une transformation fin
ronde) ;
· Blowfish est un algorithme de chiffrement par blocs conçu par Bruce Schneier en 1993. Elle est basée sur l'idée qu'une bonne sécurité con
cryptanalyse peut être obtenue en utilisant de très grandes clés pseudo-aléatoires. Blowfish présente une bonne rapidité d'exécution excepté lors d'un
; il est environ 5 fois plus rapide que Triple DES et deux fois plus rapide que IDEA. Malgré son âge, il demeure encore solide du point de vue cry
relativement peu d'attaques efficaces sur les versions avec moins de tours.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes qui en principe sont les seules qui doivent
Pour surmonter cette faiblesse, d'autres algorithmes de cryptographie ont été élaborés, notamment la cryptographie asymétrique.
La cryptographie asymétrique appelée également cryptographie à clé publique est une méthode utilisée pour transmettre et échanger des messages
en s'assurant de respecter les principes suivants :
Ø Authentification de l'émetteur ;
Ø Garantie d'intégrité ;
Ø Garantie de confidentialité.
Cette technique repose sur le principe de « paire de clés » (ou bi-clés) composée d'une clé dite « privée » conservée totalement secrète et ne doit ê
personne et d'une clé dite « publique » qui, comme son nom l'indique peut-être transmise à tous sans aucune restriction. Ces deux clés sont mathé
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 22/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Dans la pratique, la clé publique sert à crypter les messages, et la clé privée sert à les décrypter. Une fois le message crypté, seul le destinataire e
décrypter. Parlant des algorithmes de la cryptographie asymétrique les plus utilisés, nous pouvons citer :
Ø Le chiffrement RSA, est le premier système à clé publique solide à avoir été inventé, et le plus utilisé actuellement. Publié en 1977 par Ron Ri
Leonard Adleman de l'Institut de technologie du Massachusetts (MIT), le RSA est fondé sur la difficulté de factoriser des grands nombres, et la fonc
utilisée est une fonction "puissance" ;
Ø Le cryptosystème d'ElGamal, ou chiffrement El Gamal (ou encore système d'El Gamal) est l'oeuvre de Taher ElGamal et construit à partir du prob
discret en 1985. Il est en particulier utilisé dans certains logiciels libres de messagerie ;
Ø DSA signifie Digital Signature Algorithm (Algorithme de Signature Digitale). Il s'agit d'un algorithme inventé en 1991 aux Etats-Unis par le « N
Standards and Technology (NIST) » et adopté par le « Federal Information Processing Standard (FIPS) » en 1993. L'algorithme DSA fut utilisé en prem
électroniquement des données, mais on l'utilise désormais à la fois comme algorithme de signature et de chiffrement dans les certificats SSL[10];
Ø « Elliptic Curve Cryptography » ou ECC (Cryptographie sur les Coubes Elliptiques), est la méthode de chiffrement la plus récente, elle offre u
rapide et plus sécurisée que les méthodes RSA et DSA. L'ECC est en effet 12 fois plus puissante que la méthode RSA : un chiffrement 3072 bits ave
correspond à un chiffrement 256 bits en ECC. L'ECC offre également des longueurs de clés plus courtes, qui requièrent moins de bande-passante
stockage. Il s'agit donc d'une méthode beaucoup plus adaptée aux connexions mobiles[11].
Les différents types de cryptographies présentées dans les sections précédentes sont utilisés dans divers protocoles de sécurité, tels que IPsec, S
SSL (Secure Sockets Layer), etc. Pour faire face aux faiblesses de sécurité du protocole IPv4 (faiblesse d'authentification des paquets IP, faiblesse de
paquets IP), une suite de protocoles de sécurité pour IP, appelée IPsec (IP Security), a été définie par l'IETF (Internet Engineering Task Force) afin d'o
chiffrement et d'authentification. IPsec est issu d'études menées sur la future génération du protocole IPv6, appelée IPNG (Internet Protocol Next G
faire face, entre autres, à la pénurie future d'adresses IP et à l'impossibilité d'allouer de la bande passante pour les applications multimédias. Cett
s'impose aujourd'hui comme une solution majeure pour créer des réseaux privés virtuels, sur Internet par exemple. IPsec offre des services d
d'intégrité des données, d'authentification de l'origine des données, de parade contre les attaques de type paquets rejoués (replay) et de confide
encapsule nativement tous les protocoles IP (TCP, UDP, ICMP, etc.).
11.5.3.1 Présentation
Un serveur Proxy, aussi appelé serveur mandataire est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau local,
protocoles autre que le protocole TCP/IP et Internet. Un proxy est donc un ensemble de processus permettant d'éliminer la connexion directe entre l
clients et les serveurs. La plupart du temps le serveur Proxy est utilisé pour le web, il s'agit alors d'un Proxy HTTP. Toutefois il peut exister des s
chaque protocole applicatif (FTP, etc.).
Le principe de fonctionnement d'un serveur Proxy est assez simple : il établit en lieu et place de l'utilisateur le service invoqué par celui-ci (FTP, etc.
lorsqu'un utilisateur se connecte à l'aide d'une application cliente configurée pour utiliser un serveur Proxy, celle-ci va se connecter en premier lieu au
donner sa requête. Le serveur Proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête (le serveu
serveur externe sollicité sur internet avec sa propre adresse ou une adresse issue d'un pool d'adresses IP libres). Le serveur va ensuite donner sa rép
va à son tour la transmettre à l'application cliente[10]. Le Proxy cache de la sorte toute l'infrastructure du réseau local et ne dévoile en aucun ca
machines internes (masquage d'adresse).
Avec l'utilisation de TCP/IP au sein des réseaux locaux, le rôle de relais du serveur proxy est directement assuré par les passerelles et les routeurs. L
sont toujours d'actualité grâce à un certain nombre d'autres fonctionnalités.
· Cache
La plupart des Proxys assurent ainsi une fonction de cache (caching), c'est-à-dire la capacité à garder en mémoire (en « cache ») les pages les plus s
les utilisateurs du réseau local afin de pouvoir les leur fournir le plus rapidement possible. En effet, en informatique, le terme de « cache » désigne un e
temporaire de données (le terme de « tampon » est également parfois utilisé). Un serveur Proxy ayant la possibilité de cacher (néologisme signifiant «
cache ») les informations sont généralement appelé serveur Proxy-cache. Cette fonctionnalité implémentée dans certains serveurs Proxys permet d
l'utilisation de la bande passante vers Internet ainsi que de réduire le temps d'accès aux documents pour les utilisateurs. Toutefois, pour mener à bien
nécessaire que le Proxy compare régulièrement les données qu'il stocke en mémoire cache avec les données distantes afin de s'assurer que les don
toujours valides.
· Filtrage
D'autre part, grâce à l'utilisation d'un Proxy, il est possible d'assurer un suivi des connections via la constitution des journaux d'activités (log
systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à Internet. Il est ainsi possible de filtrer les connexions à in
d'une part les requêtes des clients, d'autre part les réponses des serveurs. Le filtrage basé sur l'adresse des ressources consultées est appelé filtrage
filtrage est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste blanche, lorsqu'il s'agit d'une liste de sites i
liste noire. En fin l'analyse des réponses des serveurs conformément à une liste de critères (mots-clés...) est appelée filtrage de contenu.
· Authentification
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 23/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Dans la mesure où le Proxy est l'intermédiaire indispensable des utilisateurs du réseau interne pour accéder à des ressources externes, il est parfois
pour authentifier les utilisateurs, c'est-à-dire de leur demander de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est a
l'accès aux ressources externes aux seules personnes autorisées à le faire et de pouvoir enregistrer dans les fichiers journaux des accès ide
mécanisme lorsqu'il est mise en oeuvre pose bien évidement de nombreux problèmes relatifs aux libertés individuelles et aux droits des personnes.
Son principe consiste à modifier l'adresse IP source ou destination, dans l'en-tête d'un datagramme IP lorsque le paquet transite dans le Pare-feu (Pr
l'adresse source ou destination et du port source ou destination. Lors de cette opération, le Pare-feu garde en mémoire l'information lui perme
transformation inverse sur le paquet de retour. La traduction d'adresse permet de masquer le plan d'adressage interne (non routable) à l'entreprise p
adresses routables sur le réseau externe ou sur Internet. Cette technologie permet donc de cacher le schéma d'adressage réseau présent dans une
un environnement protégé.
· Translation statique
Le principe du NAT statique consiste à associer une adresse IP publique à une adresse IP privée interne au réseau. La passerelle permet donc d'asso
IP privée (Par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modi
le paquet IP. La translation d'adresse statique permet ainsi de connecter des machines du réseau interne à Internet de manière transparente ma
problème de la pénurie d'adresse dans la mesure où n adresses IP routables sont nécessaires pour connecter n machines du réseau interne.
· Translation dynamique
Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage
les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même adresse IP. Afin de pouvoir « multiplexer » (partager) les différen
une ou plusieurs adresses IP routables le NAT dynamique utilise le mécanisme de translation de port (PAT, Port Address Translation), c'est-à-dire l'a
source différent à chaque requête de telle manière à pouvoir maintenir une correspondance entre les requêtes provenant du réseau interne et les répo
sur Internet, toutes adressées à l'adresse IP de la passerelle.
On appelle Reverse-Proxy (en français le terme de relais inverse est parfois employé) un serveur Proxy-cache « monté à l'inverse », c'est-à-dire
permettant non pas aux utilisateurs d'accéder au réseau Internet, mais aux utilisateurs d'internet d'accéder indirectement à certains serveurs internes.
Le Reverse-Proxy sert ainsi de relais pour les utilisateurs d'Internet souhaitant accéder à un site web interne en lui transmettant indirectement les
Reverse-Proxy, le serveur web est protégé des attaques directes de l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la fonction du
Proxy peut permettre de soulager la charge du serveur pour lequel il est prévu, c'est la raison pour laquelle un tel serveur est parfois appelé « acc
accelerator). Enfin, grâce à des algorithmes perfectionnés, le Reverse-Proxy peut servir à répartir la charge en redirigeant les requêtes vers
équivalents ; on parle alors de répartition de charge, (load balancing).
11.5.4.1 Présentation
Il arrive ainsi souvent que les entreprises éprouvent le besoin de communiquer avec les filiales, des clients ou même du personnel géographiqu
internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une
chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents
n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de t
telles conditions des informations sensibles pour l'organisation ou l'entreprise. La solution consiste à utiliser Internet comme support de transmis
protocole d'encapsulation (tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (
Virtual Private Network) pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux « physiques » (résea
liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent voir les données[6].
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunneling, c'est-à-dire un protocole permettant aux données passant d'une e
l'autre d'être sécurisées par des algorithmes de cryptographie. L'expression tunnel chiffré est utilisée pour symboliser le fait qu'entre l'entrée et la
données sont chiffrées (cryptées) et donc incompréhensibles pour toute personne située entre les deux extrémités du VPN, comme si les données
tunnel. Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté
serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 24/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
De cette façon, lorsqu'un utilisateur a besoin d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui v
réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors
au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données sero
transmises à l'utilisateur.
Ø PPTP (point-to-point tunneling protocol) est un protocole de niveau 2 développé par Microsoft, 3 Com, Ascend, US Robotics et ECI Telematics ;
Ø L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi obsolète ;
Ø L2TP (Layer Two Tunneling Protocole) est l'aboutissement des travaux de l'IETF ( RFC 2661) pour faire converger les fonctionnalités de PPTP e
d'un protocole de niveau 2 ;
Ø IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.
Les accès distants au réseau d'entreprise offrent de nombreuses possibilités de pénétration. Les faiblesses de sécurité classiques reposent à la fo
d'authentification des utilisateurs et sur des failles des protocoles utilisés pour ces accès distants. Pour les outils de protection d'accès distant nous avo
La commande SSH est une version sécurisée de RSH (« Remote Shell ») et rlogin. Elle se situe au niveau de la couche application du modèle OSI et
interprète de commande (« shell ») distant sécurisé avec un système cible donné. Le protocole SSH s'insère entre les couches applicatives et la couc
d'offrir ses services de sécurité.
Conçu et développé par Netscape, le protocole SSL a été développé au-dessus de la couche TCP afin d'offrir aux navigateurs Internet la possibilité d'é
authentifiées et chiffrées. La première version de SSL date de 1994. La version actuelle est la version 3. Afin de standardiser officiellement le protoc
de travail TLS (« Transport Layer Security ») a été formé au sein de l'IETF afin de faire de SSL un standard d'internet. SSL s'insère entre les couche
couche réseau TCP afin d'offrir ses services de sécurité.
La sécurité physique vise à définir des périmètres de sécurité associés à des mesures de sécurité de plus en plus strictes suivant la nature des équip
D'une manière générale, tout équipement réseau ou lié au réseau doit être situé dans des locaux dédiés, réservés au personnel habilité (badge, cl
etc.). De plus, tous les accès doivent être archivés à des fins d'investigation en cas d'incident de sécurité. Tout local contenant des équipements de t
doit être protégé des menaces telles que l'humidité, le feu, les inondations, la température, le survoltage, les coupures de courant, etc. La localisatio
suivre des règles de sécurité précises. Il est préférable qu'il ne soit ni au rez-de-chaussée ni au dernier étage d'un immeuble et qu'il ne se situe p
géographique réputée à risque (inondations, orages, etc.). D'autres règles peuvent être définies selon les critères de sécurité de l'entreprise, telles qu
matériels, un plan de maintenance pour les pièces de rechange, des normes de sécurité centrales, etc.
La sécurité physique mérite que chaque entreprise s'y attarde, afin de définir une politique de sécurité adaptée pour protéger ses équipements les plus
Pour présenter le concept d'IDS, nous allons tout d'abord présenter les différentes type d'IDS, chacun intervenant à un niveau différent ensuite nous ét
de fonctionnement, c'est à dire les modes de détection utilisés et les réponses apportées par les IDS.
11.5.6.1 Définition
« Intrusion Detection System », signifie système de détection d'intrusion. C'est un logiciel, un matériel ou une combinaison des deux utilisé pour dé
intrus[15].
La diversité des attaques utilisées par les pirates et des failles exploitées par ces attaques sur les différents niveaux des systèmes d'informations ju
plusieurs types d'IDS.
Le rôle essentiel d'un « Network IDS » est l'analyse et l'interprétation des paquets circulant sur un réseau informatique. Ce type d'IDS écoute tout le tra
de manière passive les flux et détecte les intrusions en temps réel afin de générer des alertes.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 25/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
L'implantation d'un NIDS sur un réseau se fait de la façon suivante : des capteurs sont placés aux endroits stratégiques du réseau et génèrent des al
une attaque. Ces alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement. Cette console est généralement située s
qui relie uniquement les capteurs et la console sur ce réseau.
Un capteur est une machine dont la carte réseau est configurée en mode « promiscuous ». Pour cela, un capteur possède en général deux cartes rése
mode furtif sur le réseau, l'autre permettant de le connecter à la console de sécurité. Du fait de leur invisibilité sur le réseau, il est beaucoup plus difficil
de savoir qu'un IDS est utilisé sur ce réseau.
Il s'agit des systèmes de détection d'intrusion basés sur les hôtes. Les HIDS analysent le fonctionnement et l'état des machines sur lesquelles ils so
détecter les attaques en se basant sur des démons de services. L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent être g
Comme ils n'ont pas à contrôler le trafic du réseau, mais "seulement" les activités d'un hôte, ils se montrent habituellement plus précis sur les types d'a
exemple dans le cas d'une attaque réussie par un utilisateur, les HIDS utilisent deux types de sources pour fournir une information sur l'activité de la m
les traces d'audit du système d'exploitation. Les traces d'audit sont plus précises et détaillées et fournissent une meilleure information.
Ces types d'IDS sont utilisés dans des environnements décentralisés. Ils centralisent les informations en provenance de plusieurs emplacements (capt
Le but de ce type d'IDS est d'avoir une vision globale sur les composants constituant un système d'information en permettant une supervision cen
d'alertes d'intrusions remontées par les NIDS et les HIDS présents sur l'architecture du réseau supervisé. Les IDS hybrides présentent les avantages
sans leurs inconvénients avec la normalisation des formats et centralisation des événements.
En dehors des IDS précédents, d'autres types de systèmes de détection d'intrusion ont vu le jour afin de contrer les nouvelles attaques des pirates, à
de détection d'intrusion basée sur une application (ABIDS), les systèmes de détection d'intrusion de noeud réseau (NNIDS).
Les systèmes de détection d'intrusion basés sur une application, sont des IDS sous-groupe des HIDS. Ils ont pour rôle de contrôler l'interaction entre
programme. Puisque les ABIDS opèrent entre un utilisateur et une application, il est beaucoup plus facile de filtrer tout comportement suspect et anor
surveillée afin de fournir des informations sur les activités du service proposé par l'application.
Les systèmes de détection d'intrusion de noeud réseau, sont de nouveaux types d'IDS qui fonctionnent comme les NIDS classiques, c'est-à-dire l'anal
trafic réseau. Mais ceci ne concerne que les paquets destinés à un noeud du réseau (d'où le nom). Une autre différence entre NNIDS et NIDS vient
fonctionne en mode « promiscuous », ce qui n'est pas le cas du NNIDS. Celui-ci n'étudie que les paquets à destination d'une adresse ou d'une plage d
tous les paquets ne sont pas analysés, les performances de l'ensemble sont améliorées.
De nouveaux types d'IDS sont conçus actuellement, comme les IDS basés sur la pile, qui étudient la pile d'un système. Le secteur des IDS est en ple
le besoin des entreprises en sécurité réseaux étant de plus en plus pressant, du fait de la multiplication des attaques. Actuellement, les IDS les plus
NIDS et HIDS, de plus en plus souvent en association. Les ABIDS restent limités à une utilisation pour des applications extrêmement sensibles. No
étudier le mode de fonctionnement d'un IDS.
Il faut distinguer deux aspects dans le fonctionnement d'un IDS : le mode de détection utilisé et la réponse apportée par l'IDS lors de la détection d'u
Pour la détection, il existe deux modes de détection qui sont l'approche par scénario ou approchepar signature basée sur un modèle constitué de
contrairement à l'approche comportementale qui est basé sur un modèle constitué des actions autorisées.
De même, il existe deux types de réponses qui sont la réponse passive et la réponse active. Nous allons tout d'abord étudier les méthodes de détec
de présenter les réponses possibles à une attaque.
· Méthode de détection
Il faut noter que la reconnaissance de signature est le mode de fonctionnement le plus implémenté par les IDS présents sur le marché. Cependant, les
tendent à combiner les deux méthodes pour la détection d'intrusion.
Ø La détection d'anomalies : Les détecteurs d'intrusion comportementaux reposent sur la création d'un modèle de référence qui représente le comp
surveillée en situation de fonctionnement normale. Ce modèle est ensuite utilisé durant la phase de détection afin de pouvoir mettre en évidence d'éve
comportementales. Pour cela, le comportement de l'entité surveillée est comparé à son modèle de référence. Le principe de cette approche est
comportement n'appartenant pas au modèle de comportement normal comme une anomalie symptomatique d'une intrusion ou d'une tentative d'intrusi
Ø Approche par signature : Dans cette approche, les détecteurs d'intrusion reposent sur la création d'une base de motifs qui représente des scénario
au préalable et qui sera utilisé par la suite, le plus souvent en temps réel, sur les informations fournies par les sondes de détection. C'est do
reconnaissance de motifs qui permet de mettre en évidence dans ces informations la présence d'une intrusion connue par la base de signature.
Une fois une attaque détectée, un IDS a le choix entre deux types de réponses : réponse passive et réponse active.
Les types de réponses d'un IDS varient suivant les IDS utilisés. La réponse passive est disponible pour tous les IDS et la réponse active est moins imp
Ø Réponse passive : la réponse passive d'un IDS consiste à enregistrer les intrusions détectées dans un fichier de log qui sera analysé par l'administ
Ø Réponse active : la réponse active, au contraire, a pour but de stopper une attaque au moment de sa détection. Pour cela on dispose de deux tech
reconfiguration du « firewall » et l'interruption d'une connexion TCP.
Pour présenter le concept d'IPS, nous allons tout d'abord présenter les différents types d'IPS, chacun intervenant à un niveau différent ensuite nous ét
de fonctionnement.
11.5.7.1 Définition
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 26/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Les systèmes de prévention d'intrusions sont des systèmes de détection d'intrusions particuliers qui permettent, en plus de repérer les tentatives d'intru
d'agir pour contrer ces tentatives. En effet, les IPS constituent des IDS actifs qui tentent de bloquer les intrusions. Pour mieux comprendre le c
étudierons le mode de fonctionnement des IPS et présenterons les différents types d'IPS.
Un système IPS est placé en ligne et examine en théorie tous les paquets entrants ou sortants. Il réalise un ensemble d'analyses de détection, non se
paquet individuel, mais également sur les conversations et motifs du réseau, en visualisant chaque transaction dans le contexte de celles qui précède
le système IPS considère le paquet inoffensif, il le transmet sous forme d'un élément traditionnel de couches 2 ou 3 du réseau. Les utilisateurs fin
ressentir aucun effet. Cependant, lorsque le système IPS détecte un trafic douteux il doit pouvoir activer un mécanisme de réponse adéquat en un tem
Tout comme les IDS, on distingue plusieurs types d'IPS tels que :
Ø Les HIPS
« Host-based Intrusion Prevention System », sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillen
drivers, entre autres. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements.
Ø Les NIPS
« Network Intrusion Prevention System », un NIPS est un logiciel ou matériel connecté directement à un segment du réseau. Il a comme rôle d'analys
circulant dans ce réseau.
Ø Les KIPS
Il s'agit de « Kernel Intrusion Prevention System » ou systèmes de prévention d'intrusions au niveau du noyau. Grâce à un KIPS, tout accès suspe
directement par le noyau, empêchant ainsi toute modification dangereuse pour le système. Le KIPS peut reconnaître des motifs caractéristiques d
mémoire, et peut ainsi interdire l'exécution du code. Le KIPS peut également interdire le système d'exploitation d'exécuter un appel système qui o
commandes. Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution. C'est pourquoi ce sont des solutions rarement utilisées sur des
sollicités.
11.5.8 Pare-feu
Un pare-feu, (appelé aussi Coupe-feu, Garde-barrière) l'anglais « firewall », est un logiciel et/ou un matériel qui inspecte les paquets entrants et sort
d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles appelées ACL (« Access Control List »). Il enregistre également les te
dans un journal transmis aux administrateurs du réseau et permet de contrôler l'accès aux applications et d'empêcher le détournement d'usage. U
réseau a pour but de déterminer le type de trafic qui sera acheminé ou bloqué, de limiter le trafic réseau et accroître les performances, contrôler le flux
niveau de sécurité d'accès réseau de base, autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau, filtrer ce
leur accorder ou de leur refuser l'accès à une section de réseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rése
suivantes :
Figure 3. 7 : Pare-feu''[13]
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (stateless packet filtring). Il analyse les en-têtes de chaque p
(datagramme) échangé entre une machine du réseau interne et une machine extérieure.
Ainsi, les paquets de données échangés entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et pos
suivants, systématiquement analysés par le pare-feu :
Ø Numéro de port (rappel : un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numé
une indication sur le type de service utilisé.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 27/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
· Filtrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle
des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombr
une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la mach
serveur et la machine client.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir des ports à laisser passer ou à interdire. Pour y remédier, le système de filtra
paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur.
· Filtrage applicatif
Le filtrage applicatif permet comme son nom l'indique de filtrer les communications application par application. Ce filtrage opère donc au niveau 7 (cou
modèle OSI. Le filtrage applicatif suppose donc, une connaissance des applications présentes sur le réseau, et notamment de la manière don
échangées (ports, etc.).
Un pare-feu effectuant un filtrage applicatif est appelé généralement passerelle applicative (ou Proxy), car il sert de relais entre deux réseaux en
effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et
subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes, précédant le message applicatif, ce qui permet d
de sécurité supplémentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. E
analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communicatio
devant être finement analysé. Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et connaître l
pour être efficace.
Depuis leur création, les pare-feu ont grandement évolué. Ils sont effectivement la première
solution technologique utilisée pour la sécurisation des réseaux. De ce fait, il existe maintenant
différentes catégories de pare-feu. Chacune d'entre-elles disposent des avantages et des inconvénients quilui sont propres. Le choix d'un type de p
autre dépendra de l'utilisationque l'on souhaite en faire, mais aussi des différentes contraintes imposées par le réseau devant êtreprotégé.
Ce sont les pare-feu les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôlede chaque paquets indépendamment des autres e
règles prédéfinies parl'administrateur (généralement appelées ACL, Access Control Lists).Ces pare-feu interviennent sur les couches réseau et trans
filtrages s'appliquentalors par rapport à une des adresses IP source ou destination, mais aussi par rapport à un port sourceou destination.
Les pare-feu à états sont une évolution des pare-feu sans états. La différence entre ces deux typesde pare-feu réside dans la manière dont les paquet
prennent encompte la validité des paquets qui transitent par rapport aux paquets précédemment reçus. Ilsgardent alors en mémoire les différents
connexion, de leur commencementjusqu'à leur fin, c'est le mécanisme de « stateful inspection ». De ce fait, ils seront capables de traiter lespaquets n
suivant les règles définies par l'administrateur, mais également parrapport à l'état de la session :
Ø RELATED : Peut-être une nouvelle connexion, mais elle présente un rapport direct avec uneconnexion déjà connue ;
· Pare-feu applicatif
Le pare-feu applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la couche 7 du modèle OSI. Cela suppose que le
l'ensemble des protocolesutilisés par chaque application. Chaque protocole dispose d'un module spécifique à celui-ci. C'est à dire que, par exemple,
sera filtré par un processus proxy HTTP.Ce type de pare-feu permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ilsfont transit
rejeter toutes les requêtes non conformes aux spécifications duprotocole. Ils sont alors capables de vérifier, par exemple, que seul le protocole HTTP
port 80. Il est également possible d'interdire l'utilisation de tunnels TCP permettant decontourner le filtrage par ports. De ce fait, il est possible d'interdi
utilisateursd'utiliser certains services, même s'ils changent le numéro de port d'utilisation des services (commepar exemple les protocoles de peer to pe
· Pare-feu authentifiant
Les pare-feu authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurset non plus uniquement suivant des machines à
est alors possible de suivrel'activité réseau par utilisateur.Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur connecté
machine qu'il utilise. Il existe plusieurs méthodes d'association. Par exemple authpf, quiutilise SSH, ou encore NuFW qui effectue l'authentification par
· Pare-feu personnel
Les pare-feu personnels sont installés directement sur les postes de travail. Leur principal but est decontrer les virus informatiques et logiciels espi
principal atout est qu'ils permettent de contrôler les accès aux réseaux des applicationsinstallées sur la machines. Ils sont capables en effet de rep
l'ouverture de ports pardes applications non autorisées à utiliser le réseau.
· Portail Captif
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de consultation afin de leur présenter une page web spéc
avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer la traçabilité de
limiter l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires ou
Les systèmes pare-feu (Firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises ont géné
sous-réseaux avec des politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des architectures de
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 28/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
permettant d'isoler les différents réseaux de l'entreprise : on parle ainsi de cloisonnement des réseaux (le terme isolation est parfois également utilisé
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, serveur de messagerie, serveur FTP public,
nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer
sécurité de l'entreprise. On parle ainsi de Zone démilitarisée (notée DMZ, Demilitarised Zone) pour désigner cette zone isolée hébergeant des a
disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques de
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au
contraire. Les pare-feu n'offrent une protection que dans la mesure où l'ensemble des
communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont
correctement configurées. Ainsi, les accès au réseau extérieur par contournement du pare-feu
sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du
réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du
pare-feu.
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distin
deux types de politiques de sécurité permettant''[13] :
Ø Soit d'autoriser uniquement les communications ayant été explicitement autorisées : « tout ce qui n'est pas explicitement autorisé est interdit » ;
La première méthode est sans doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.
La façon de configurer un pare-feu et de le gérer est tout aussi importante que les
capacités intrinsèques qu'il possède.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 29/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Toutefois, lorsque le choix s'impose, on prendra en considération les critères suivants :
Ø Type de filtres, niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité decombiner ces niveaux),
Ø Son prix.
On retrouve sur le marché comme solutions pare-feu, des « Appliances » (matériels et logicielsdéjà prêt pour l'usage) et des logiciels (qui nécessiten
configuration). Il fautégalement noter que certains pare-feu sont propriétaires etd'autres viennent du monde des logiciels libres.Afin de déterminer la s
au mieux à notre situation, nous présenterons danscette partie certaines solutions commerciales et Open Source.
Les solutions propriétaires sont proposées par des éditeurs de logiciels ou des constructeurs
d'équipements informatiques. Du coté des solutions commerciales, les principaux acteurs du
marché sont :
Internet Security
Norton Security Standard Propriétaire 39.99
ZoneAlarm PRO Firewall Propriétaire 29.95
11.6.3.2 Quelques solutions libres
Les pare-feu du domaine libre n'ont rien à envier aux pare-feu commerciaux. Nous présenterons dans cette parie certaines solutions open source à
Express, IPCop, m0n0wall, PFSense et NuFW.
· Smoothwall Express
Smoothwall est un projet qui a été initié au Royaume-Uni à l'été 2000 par Lawrence Manning (principal développeur de code) et Richard Morrell (Mana
idée de base était de créer une distribution Linux qui pouvait convertir un ordinateur personnel en un équipement pare-feu Il faut noter que la distribut
Open Source et distribué sous licence GPL. C'est un système d'exploitation basé sur RedHat Linux (devenu plus tard Fedora Core Project).Parm
communauté Smoothwall, nous citerons surtout l'attribution en 2008 du prix du meilleur pare-feu Open Source des BOSSIES (Best Open Source S
Smoothwall Express.
Les fonctionnalités assurées par défaut par Smoothwall Express sont les suivantes :
· Consultation de l'état de la machine sur laquelle est installé le pare-feu (état de la mémoire et les disques durs).
· de trafic et QoS,.....
· IPCop
IPCop est à l'origine un fork de Smoothwall Express. Ceci signifie qu'IPCop est basé sur linux Red hat. La première version est sortie en décembre 2
est à la version 1.4.21, qui a été mise à disposition du grand public en Juillet 2008. IPCop est distribué sous licence GPL. Il fonctionne aussi s
propriétaire.
IPCop partage avec Smoothwall plusieurs fonctionnalités et s'en démarque par d'autres. Par exemple, IPCop ne propose pas de proxy IM ou de proxy
par contre le « VLAN trunking » définit par la RFC 802.1Q, le protocole Telnet et le protocole d'encapsulation de niveau 2 L2TP. La supervision de
n'est aussi pas possible sur IPCop. Plusieurs fonctionnalités peuvent être ajoutées au pare-feu IPCop via des add-on afin de mieux le personnaliser.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 30/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
· M0n0wall
M0n0wall est un système d'exploitation pare-feu libre basée sur le noyau FreeBSD et non pas linux. La particularité de m0n0wall est qu'il est
d'exploitation de type UNIX démarrant à partir d'une séquence de boot basée exclusivement sur des fichiers d'extension .php au lieu des scrip
M0n0wall est aussi le premier pare-feu à stocker l'intégralité de sa configuration dans un unique fichier (de type xml).
M0n0wall est destiné à être embarqué sur une appliance. Il existe aussi sous forme de live-CD. Les possibilités d'exploitations sont ainsi réduites afin
le système pour qu'il soit facilement portable sur du matériel... On ne trouve par exemple pas d'IDS ou d'IPS qui demandent des ressources mémoires
ne trouve pas aussi de serveur FTP, proxy, serveur de temps, analyseur de log...
· PFSense
PFSense est le descendant de m0n0wall. C'est donc un système d'exploitation pare-feu basé sur le noyau FreeBSD et sur le module de filtrage « ipfw
de PFSense est stockée dans un seul fichier xml à l'instar de m0n0wall. La séquence de démarrage est aussi fondée sur des fichiers php.
Néanmoins, PFSense n'est pas vraiment orienté à l'embarqué. Ceci explique la panoplie de fonctionnalités offertes par cette distribution. Par rappo
ancêtre), Pfsense offre en plus les possibilités suivantes :
· Common Address Redundency Protocol (CARP) et PFsync (synchronisation entre machines PFSense)
· Configuration XML de synchronisation entre maître et hôte de backup permettant de faire un point unique d'administration pour un cluster pare-feu.
est assurée via XML-RPC.
· Serveur PPPoE.
La solution pare-feu de la société Vyatta existe en deux exemplaires. Le premier est payant, le second est libre. On note que la version commercia
maintenue et mise à jour que la solution libre (environ une mise à jour tous les six mois). Le produit commercialisé est en outre toujours stable ce qui
le cas pour la version libre, dénommée Vyatta Community Edition et dont la dernière version est la version 5.0 issue en Mars 2009.
Au sujet des fonctionnalités, on peut dire que Vyatta Community Edition se distingue des autres produits libres qu'on vient d'énumérer. En effet et co
Community Edition offre des services de haute disponibilité, beaucoup plus de services de routage, possibilités de VPN SSL... Bref, toutes les fonction
dans les produits Cisco (ou presque) sont présentes dans la solution Vyatta. A noter la présence d'un IPS (système de prévention d'intrusions) au li
(système de détection d'intrusions).
Nous présentons ci-dessous un tableau comparatif des différentes solutions pare-feu libre qu'on vient de présenter. Notez aussi que « x » signifie que
présente et que le signe « _ » signifie qu'elle est absente :
Services Solutions
Smoothwall Express Vyatta Community IPCop PFSense M0n0wall
Proxy X X X Ajouter Squid _
web
Proxy IM, POP3, SIP X _ _ _ _
DNS X X X X X
VPN, WebGUI via HTTP X _ X X X
Possibilité de détection d'intrusions X _ X X _
A partir du tableau 7, on constate que deux produits ressortent de cette recherche : PFSense et
Smoothwall Express. Ce sont tous les deux des outils libres. Les avantages de pfsense sont sa popularité, sadisponibilité sur plusieurs systèmes
communauté très active. Parmi les solutions informatiques existantes pour la mise en place d'un pare-feu, notre choix s'est porté sur pfsense.
Développé par Chris Buechler et Scott UlIrich, Pfsense ou « Packet Filter Sense » est un
applicatif qui fait office de routeur/pare-feu open source basé sur le système d'exploitation
FreeBSD. Il est une reprise du projet Monowall auquel il rajoute ses propres fonctionnalités. Il utilise le pare-feu à états Packet Filter, des fonct
de NAT lui permettant de connecter plusieurs réseaux informatiques. Il peut fonctionner sur du matériel de serveur ou domestique, sur des solutions
toutefois demander beaucoup de ressources ni de matériel puissant. La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être su
Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels propriétaires. Pfsense convient pour la sécu
domestique ou de petite entreprise. C'est une distribution dédiée qui peut être installée sur un simple poste de travail, un serveur ou même sur un
embarquée. Ce qui séduit chez Pfsense est sa facilité d'installation et de configuration des outils d'administration réseau. Après une brève installa
assigner les interfaces réseaux, il s'administre ensuite à distance depuis l'interface web et gère nativement les VLAN (802.1q)[18].
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 31/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Pfsense, un routeur/pare-feu open source dispose plusieurs fonctionnalités. Parmi celles-ci, on peut noter [18]:
Ø Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP
· Pfsense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d'exploitation qui initie la connexion ;
Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour les adresses IP individuelles ou des sous-réseaux
NAT Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN multiples, le NAT redirige le trafic sorta
de l'interface WAN utilisée. NAT réflexion : dans certaines configurations, NAT réflexion est possible si les services sont accessibles par IP publique
internes.
Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe d'hôtes sur un même segment réseau de partager une
CARP est en fait un sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance D'Adresse), à ne pas confo
Array Routing Protocol » utilisé pour faire de la répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce protoc
pour faire de la redondance et de la répartition de charge. Il supporte IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense
Ø Pfsync :
Pfsync assure la table d'état du pare-feu qui est répliquée sur tous les pare-feu configurés de basculement. Cela signifie que vos connexions
maintenues dans le cas d'échec, ce qui est important pour prévenir les perturbations du réseau.
La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour assurer la répartition de charge et des capacités de bascul
dirigé vers la passerelle souhaitée ou le groupe d'équilibrage local.
Ø VPN
Pfsense offre quatre options de connectivité VPN : IPSec, OpenVPN, PPTP et L2TP.
Ø Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services D
Ø Captive Portal
Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès au réseau. Ceci est communément utilisé sur les
chauds (Hot Spots), mais est également largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur l'accès san
qui suit est une liste des fonctionnalités du portail captif de Pfsense.
Etant donné que l'architecture réseau sera modifiée, il convient ici de montrer quelle sera la nouvelle disposition des équipements dans le réseau. V
s'intéresse aux menaces provenant du réseau internet, on propose d'ajouter au pare-feu existant un second pare-feu (Pfsense) de nature différen
jouant également le rôle d'un routeur. Donc avec ces deux pare-feu, on dispose de deux couches de sécurité (de manière qu'au cas où un pr
compromis, que le second ne l'est pas), ce qui est recommandé en ce qui concerne une protection en profondeur. Par ailleurs, le pare-feu initia
segment du réseau des serveurs (pour se protéger des utilisateurs) et remplacé par le second pare-feu qui est à présent positionné juste derrière le rou
Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T
Ø Un pare-feu doit être protégé et sécurisé contre des accès non autorisés (notion de systèmede confiance possédant un système d'exploitation sécur
Ø Seul le trafic défini par la politique de sécurité comme étant valide et autorisé peut
traverser le pare-feu ;
Ø Si les données du réseau interne sont vraiment sensibles, il faut alors accéder à Internet pardes machines détachées du réseau interne ;
Ø Un pare-feu ne peut pas protéger l'environnement à sécuriser contre des attaques ou des
accès illicites qui ne passent pas par lui. Il n'est d'aucune efficacité en ce qui concerne desdélits perpétrés à l'intérieur de l'entreprise ;
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 32/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Chapitre 12 : Conclusion
Au cours de ce chapitre, nous avons pris connaissance des différents aspects liés à la sécurité des réseaux informatiques ; nous avons découve
menacent cette dernière et comment se protéger afin de réduire les intrusions et attaques des pirates ; nous avons étudié les Pare-feu en ef
comparative et une présentation de l'outil de la mise en place qui est pfsense. La sécurité des systèmes informatiques est vitale pour le bon fonctionne
d'information. Il est donc nécessaire d'assurer sa protection. Dans le chapitre suivant, nous débuterons la mise en place du pare-feu pfsense.
Chapitre 13 :
MISE EN OEUVRE
Chapitre 14 : Introduction
Ce chapitre constitue le corps essentiel de ce mémoire, dans lequel nous allons
clôturer la mise en place de Pfsense. Nous effectuons le paramétrage de quelques packages
qu'il présente, et ce, en effectuant les tests nécessaires à la vérification de la sécurité au
niveau des multiples échanges effectués sur le réseau.
Comme nous pouvons le remarquer, la figure 5.1 présente une différence par rapport à la figure 2.1. Nous pouvons noter la présence du pare-feu pfse
routeur central qui a pour but d'analyser et de filtrer les paquets sortants et entrants, d'authentifier les utilisateurs, de superviser les activités et de dé
sur le réseau.
Ø Pfsense : C'est sur cette machine que nous allons installer Pfsense. Ses caractéristiques sont les suivantes :
· Nombre de processeurs : 2 ;
· Nombre de cartes réseaux : 2 (1 pour servir de passerelle par défaut d'un réseau et l'autre pour fournir l'Internet) ;
Ø Attaquant : Cette machine sera utilisée pour faire des tests d'attaque sur le réseau afin de tester le fonctionnement de la partie détection d'intrusion f
Pfsense. Ses caractéristiques sont les suivantes :
· Nombre de processeurs : 1 ;
· Système d'exploitation : Kali Linux (pour son efficacité en matière de test d'intrusions).
Ø Client 1 : Cette machine sera utilisée pour simuler un utilisateur normal dans le réseau interne disposant des paramètres de connexions. Ses caracté
suivantes :
· Nombre de processeurs : 1 ;
Ø Client 2 : Cette machine sera également configurée comme unsecond utilisateur normal dans le réseau interne .Ses caractéristiques sont les suivan
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 33/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
· Mémoire RAM : 1Go ;
· Nombre de processeurs : 1 ;
· Disque dur : 20 Go ;
· Installation et configuration du package Snort et téléchargement du oinkcode pour la détection et blocage des activités suspectes sur le réseau.
Pour une mise en oeuvre pratique, nous allons pas à pas étaler les différentes étapes de l'installation. En effet, on peut utiliser le logiciel de deu
directement sur le disque dur ou utiliser le logiciel via un live CD sans l'installer. Pour notre cas, l'installation se fera sous une machine virtuelle VMwar
Pfsense utilisée dans ce mémoire est le 2.4.4.
Tout d'abord, il faut se rendre sur le site http://www/pfsense.org afin de récupérer l'image ISO à graver sur CD pour installer Pfsense : pfSense-C
amd64.iso
Puisqu'on a déjà gravé l'image, on boot sur le CD et on arrive aux menus suivant :
On laisse le système démarrer de lui-même et après quelques secondes, on arrive à l'écran suivant :
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 34/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
A présent, il est question de configurer le type de clavier pour le système. On défile le curseur vers le bas pour sélectionner la langue française puis rev
with default keyMap » après on valide par la touche « Entrée ».
Le choix suivant porte sur le type de partitionnement du disque spécifié pour l'installation de Pfsense. On laisse le choix par défaut en validant pour
automatiquesur « Auto (UFS) ».
Après, toutes ces étapes préliminaires, on procède maintenant au redémarrage du système pour que ça prenne en compte toutes nos manipulations.
Si l'installation s'est bien déroulée, la machine démarre sur le nouveau système, et après configuration des différentes interfaces on obtient l'écran suiv
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 35/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
La configuration du pare-feu Pfsense peut se faire soit en console ou à partir d'une interface web. Nous avons configuré Pfsense à partir de l'interfac
convivialité. Pour se faire, on connecte un PC à l'interface LAN de Pfsense. Commençons par ouvrir un navigateur web et entrons l'adresse IP L
(Pfsense) dans la barre d'adresse : http://ip_pfsense. Dans notre cas, nous ferons http://192.168.25.1 pour accéder à l'interface de connexion (f
demandé d'entrer un nom d'utilisateur et un mot de passe. On se connecte à l'interface de Pfsense entrant les paramètres par défaut : le nom d'utilis
mot de passe (pfsense) pour se connecter en tant qu'administrateur[20].
On accède au menu général de Pfsense (figure 5.9) qui donne les informations globales sur le logiciel (version, date de sortie, version du noyau, le n
connectées, etc.) :
Pour le paramétrage général, allons dans l'onglet System, puis General Setup pour voir la configuration générale de Pfsense. Entrons ici le nom
domaine et l'adresse IP du serveur DNS (dans notre cas le nom : pfsense-NAC, domaine : cafe.test, l'IP du DNS : 192.168.25.1). Ensuite modifions
passe permettant de se connecter à Pfsense.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 36/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Dans l'onglet Interfaces, sélectionnons WAN puis activons l'interface en cochant « Enable Interface » ; sélectionnons ensuite le type d'adressage S
nous avons assigné une adresse dynamique. Puis laissons les autres paramètres par défaut. Cette étape est représentée par la figure 5.11 :
Il faut maintenant activer l'interface LAN de la même manière qu'on l'a fait avec le WAN mais cette interface doit être nécessairement en « St
d'adressage car, étant celle sur laquelle sera activée le serveur DHCP, il faut que son adresse soit fixée. Ceci est illustré par la figure suivante :
Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allons dans l'onglet « Service », p
« DHCP server » cochons la case « Enable DHCP server on LAN interface ». Ensuite, nous allons entrer la plage d'adresses IP qui sera attribuée
d'activer le service DHCP, on s'assure qu'aucun serveur DHCP n'est activé sur le réseau afin d'éviter les conflits d'adresse. Nous avons par la suite e
serveur DNS, le nom de domaine qui sera attribué aux clients, la passerelle puis les autres paramètres sont laissés par défaut (figure 5.13).
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 37/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Pfsense étant un pare-feu, il faut définir certaines règles élémentaires sur les interfaces pour leur permettre de communiquer entre elles. Par défau
Pfsense un trafic totalement bloqué sur l'interface WAN et un trafic entièrement autorisé sur le LAN. Il ne faut cependant pas toucher aux règles sur
moins seulement pour autoriser un accès à un trafic entrant via un VPN ou pour une DMZ par exemple.
Pour l'interface WAN, il faut tout simplement ajouter les deux règles suivantes en plus des deux règles déjà créées :
Etant donné que tout est autorisé en terme de trafic sur le LAN, il est judicieux de mettre en place une règle qui bloque tout le trafic puis créer des règl
à un les protocoles ou les ports.
Dans l'onglet Firewall/Rules/LAN, par défaut il y a 3 règles créées par Pfsense, nous allons ensuite créer une règle qui bloque tout le trafic.
Un portail captif est une structure permettant un accès rapide à Internet. Lorsqu'un utilisateur cherche à accéder à une page Web pour la première f
capture la demande de connexion par un routage interne et propose à l'utilisateur de s'identifier afin de pouvoir recevoir son accès. Cette demande d
fait via une page Web stockée localement sur le portail captif grâce à un serveur HTTP. La connexion au serveur est sécurisée par SSL grâce au proto
garantit l'inviolabilité de la transaction. Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stockés dans une base
hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles du firewall le concernant sont modifiées et celui-ci se v
utiliser son accès pour une durée limitée par l'administrateur. A la fin de la durée définie, l'utilisateur se verra redemander ses identifiants de connexi
nouvelle session[18].
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 38/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Pour activer le portail captif sur l'interface LAN de Pfsense, allons à l'onglet « Service » puis dans la section « Captive portal ». Ensuite, cochon
Captive portal », puis choisissons l'interface sur laquelle le portail captif va écouter. Ici, nous avons choisi LAN puisque nous voulons que les utilisate
local passent par le portail captif pour aller sur Internet. Dans les options suivantes, il faut d'abord définir le nombre de clients demandant la page d'
fois, ensuite le temps au bout duquel le client sera automatiquement déconnecté s'il est inactif et le temps au bout duquel, il sera déconnecté quel qu
se voir redemander les paramètres d'authentification. Ensuite, il est également possible d'activer ou non une fenêtre popup qui va servir aux clients de
rediriger un client authentifié vers une URL spécifiée, sinon il est redirigé vers la page demandée initialement. Nous avons choisi de rediriger le client v
http://www.cafe.tg.
Pour configurer le portail captif nous distinguons de plusieurs options. On distingue également des paramètres (Pass-through MAC) servant à définir
autorisées à traverser Pfsense sans authentification, à définir les noms d'hôtes autorisés à traverser Pfsense sans authentification (Allowed IP address
à définir des groupes d'utilisateurs autorisés à se connecter à Pfsense. En revanche, ces paramètres ne sont pas utilisés à l'étape actuelle de notre étu
Nous avons à la figure suivante (figure 5.17), la représentation du portail captif de Pfsense avec l'utilisateur `testuser' qui vient de se connecter au rése
Il faut noter qu'on peut aussi modifier l'apparence de la page d'authentification avec des thèmes, couleurs et images.
L'authentification est un point essentiel de Pfsense puisqu'elle définit l'autorisation d'accès vers l'extérieur ; une sorte de portail physique fermée acces
trois méthodes d'authentification sont offertes :
Ø Sans authentification (No authentification) : les clients sont libres, ils verront le portail mais il ne leur sera pas demandé de s'authentifier ;
Ø Authentification via un fichier local (Local User Manager) : les paramètres des comptes utilisateurs sont stockés dans une base de données local
Ø Authentification via un serveur RADIUS (RADIUS authentification) : à ce niveau, nous avons le choix entre utiliser un serveur embarqué Free R
serveur RADIUS distant du serveur Pfsense.
Pour ce projet, nous avons testé les trois types d'authentification avec succès et nous avons retenu l'authentification RADIUS embarqué car non seu
de gérer un grand nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A ce stade, le portail est déjà accessible, c'est-à-dire que pour u
connecte au réseau local à partir de son navigateur demandant une page web, sera redirigée vers la page captive qui lui demandera de s'authentifier
à la page demandée initialement.
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. Le clie
NAS (Network Access Server) fait office d'intermédiaire entre l'utilisateur final et le serveur. C'est le standard utilisé aujourd'hui surtout par les fournis
est très malléable et très sécurisé.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 39/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Pfsense intègre un paquet radius libre (FreeRadius) couplé avec une base de données pour stocker les informations des utilisateurs. Mais on peut aus
de données externe pour stocker les données des utilisateurs, de même qu'on peut utiliser un serveur RADIUS distant. Dans tous les cas, le serve
(RADIUS) sera l'intermédiaire entre le portail captif et la base de données (locale ou distante). Pour la phase de test, nous avons exploité le seco
installer un serveur embarqué FreeRadius sur le serveur Pfsense.
Pour installer le paquet FreeRadius sur Pfsense, allons dans l'onglet « System », puis « Package Manager », puis « Available Package », puis « Fr
l'installation (ici nous avons installé FreeRadius2), la configuration se fait en quatre étapes :
Ø D'abord configurer l'interface d'écoute (ici LAN) : pour cela allons dans l'onglet « Service », puis « FreeRadius », puis dans le sous onglet Inter
« + » permet d'ajouter de nouvelles interfaces ; puis entrons l'adresse IP de l'interface (LAN), puis enregistrons ;
Ø Ensuite ajoutons un client NAS : alors dans l'onglet « NAS/Client » entrons l'adresse IP LAN de notre Pfsense et les autres paramètres ;
Ø Ensuite créons un compte utilisateur pour tester la configuration : alors dans l'onglet « Users », cliquons sur le symbole « + » pour ajouter u
utilisateur puis entrons un nom d'utilisateur et un mot de passe.
Ø Enfin nous allons renseigner le type d'authentification dans la rubrique `System > User Manager', dans notre cas c'est le type `Radius'.
Et pour tester la configuration, il suffit d'aller dans « Diagnostic », puis « Authentification » et de renseigner les informations (username, password
server) pour valider le test.
Pour ajouter un compte avec l'authentification Radius, allons dans l'onglet « Service », puis « FreeRadius », puis « Users » pour entrer les paramètre
Dans cette partie, il est question d'une part de sécuriser l'accès à l'interface web de configuration de Pfsense par le protocole SSL et d'autre pa
cryptage des mots de passe des utilisateurs pour assurer une certaine confidentialité des transactions après authentification. Pour se faire, l'utilisatio
plus que nécessaire. Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) est vu comme une carte d'identité num
principalement pour identifier une entité physique ou morale, mais aussi pour chiffrée les échanges. Il est signé par un tiers de confiance qui atteste du
physique et l'entité numérique (virtuel). Le standard le plus utilisé pour la création des certificats numériques est le X.509.
Ainsi, le certificat va permettre de crypter les données échangées entre le navigateur et le serveur d'authentification Pfsense. Pour la sécurisation de
Web, allons dans l'onglet System>Advanced de la figure (suivante), puis dans la session Admin Access pour activer le service HTTPS avec son n
(SSL) dans TCP port.
De même pour crypter les mots de passe des utilisateurs et les échanges après leur authentification, il faut créer un certificat pour pouvoir activer HT
en trois étapes : choix du type de certificat, création et téléchargement du certificat puis activation du certificat sur le portail. Pour se faire, allons dans
puis « Cert Manager » (figure 4.20)
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 40/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Après le téléchargement du certificat, allons dans « Service » puis « Captive Portal » pour l'insérer avec sa clé. Cochons ensuite « Enable HTTPS lo
nom du serveur HTTPS (HTTPS server Name).
A présent, le portail autorisera l'accès aux pages web sécurisées et sa sécurité semble renforcée dans la mesure où la récupération des mots sur le ré
impossible. Cependant pour le test nous n'avons pas utilisé de certificat car la plupart sont payants mais nous espérons que l'entreprise se dotera
d'une mise en place.
Ø Traffic Shapper qui permet de contrôler le volume des échanges sur le réseau ;
Ø Bandwitch qui liste les usages du réseau et construit des fichiers HTML sous forme de graphique et de résumés ;
Ø Pftop qui donne une vue en temps réel des connexions au pare-feu, et la quantité de données qui sont envoyées et reçues. Il peut aider à identifier
utilisent actuellement de la bande passante ;
Ø Ntopng qui permet aussi d'avoir vue globale sur la consommation de la bande passante, les activités des utilisateurs du réseau.[18].
Ntopng est un applicatif libre écrit de manière portable afin de pouvoir fonctionner sur toutes les plateformes Unix. Il permet d'avoir une vue globale su
de la bande passante, il est capable de détecter jusqu'à ou les connexions ont été faites par les ordinateurs locaux et combien de bandes passantes
des connexions individuelles. Il fait partie des paquets disponibles sur Pfsense et nous l'avons à cet effet exploité.
Comme l'installation de tout autre paquet de Pfsense, se connecter sur l'interface de Pfsense à partir du LAN, le WAN étant connecté à Internet
System >Package Manager>Available Package (figure 4.22) pour voir les paquets disponibles et sélectionner Ntopng pour l'installer.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 41/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Une fois l'installation terminée, il faut se rendre dans l'onglet Diagnostics>Ntopng Settings de la figure (suivante) pour initialiser Ntopng e
correspondant. Les paramètres disponibles ici sont moindres, et permettent seulement de configurer le mot de passe administrateur pour accéde
avancée de Ntopng, ainsi qu'à l'interface d'écoute.
Désormais, Ntopng est accessible à l'adresse suivante : Erreur ! Référence de lien hypertexte non valide. (mais aussi en cliquant directement sur
ntop » ci-dessus, ou encore via le menu Pfsense Diagnostic > Ntopng).Voici comment se présente l'interface d'authentification de Ntopng :
En se connectant à cette adresse, nous accédons aux statistiques générales de notre réseau comme :
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 42/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Sur l'interface de Ntopng, se trouvent beaucoup d'autres options qui ne sont pas détaillées ici, mais restent relativement simples et sont fonction des be
Snort est un système de détection d'intrusion libre qui peut fonctionner comme IDS (NIDS ou HIDS) et IPS (NIPS ou HIPS) crée par Martin Roesch
développé par Sourcefire. Snort analyse le réseau, le trafic en temps réel, et peut logger des paquets. Les alertes peuvent être logger sous forme de
être également stockées dans une base de données. Snort permet une normalisation des principaux protocoles mis en oeuvre dans les réseaux IP
ainsi que les protocoles les plus courants (SMTP, POP, IMAP, http, SSL, etc.). Nous allons à cet effet exploité Snort car c'est un outil qui peut être inst
dans le but d'analyser en temps réel les paquets qui circulent sur les intervalles de celui-ci.
Sur l'interface de Pfsense, allons dans l'onglet System>Package Manager et installons le paquet snort :
Snort utilise des règles pour effectuer ses analyses. Pour utiliser ces règles, nous avons utilisé un code Oinkmaster. Pour cela, nous avons procédé
compte sur http://snort.org/, afin de pouvoir récupérer le code Oinkcode pour prédéfinir ses règles en temps voulu.
Une fois l'installation de Snort terminée, allons ensuite dans l'onglet Services >Snort>Global Settings et activons Snort VRT et collons le code Oi
l'onglet « Updates », on clique sur « Update rules » pour la mise à jour des règles. Toutes les règles ainsi téléchargées et mises à jour sont regroup
catégories dans l'onglet « WAN Categories ».
Pour entamer la configuration, nous avons activé Snort sur nos interfaces d'écoute. Notre cas est illustré par la figure suivante :
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 43/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Une fois l'interface d'écoute activée, on poursuit toujours notre configuration par rapport aux différents types de signatures qui protégeront notre résea
configuration. Ici, le choix sera fait en cause des objectifs définis par l'entreprise.
Nous concernant, afin de tester l'efficacité de la solution, nous nous contentons de la règle « scan.rules » qui nous permettra de détecter et bl
effectuant un scan de port sur un hôte distant.
Comme décrit précédemment, nous pouvons le remarquer à la figure 4.29 que notre environnement de travail est un environnement virtuel const
machines virtuelles et d'une machine physique sur laquelle les machines virtuelles sont créées. Nous allons effectuer les tests d'intrusions en int
disposons pas d'adresse IP public pour assigner aux machines virtuelles afin d'effectuer des attaques depuis internet. En plus de cela, effectuer
internet nécessite des compétences d'un « hacker ».
Le test va se reposer sur le schéma de la figure présenté précédemment. Un Attaquant va effectuer un scan de port Nmap sur le routeur/pare-feu Pfse
la durée, l'Attaquant effectue en parallèle du scan de port un ping vers Pfsense, afin de vérifier en permanence la connectivité vers Pfsense et clairem
le moment où il sera bloqué par Snort. Une capture du scan est représentée par la figure 4.30 :
Une fois le scan de port lancé, Snort peut très rapidement constater des alertes. Allons à l'onglet Services>Snort >Alert ; on a des informations sur l
comme : l'adresse IP source, Protocole utilisé, date, etc.
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 44/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Nous proposons un Serveur HP ProLiant DL360 Gen9 avec les caractéristiques suivantes :
- 15Mo de mémoire cache avec six coeurs pour des performances optimisées ;
Le coût de la réalisation du projet est la somme des coûts liés à l'achat des matériels, coûts liés à l'implémentation, coûts liés à la formation sur l'utilis
les coûts liés à l'entretien de l'outil mis en place.
Cout Total = Total (1) + Total (2) + Total (3) + Total (4)
= 2.177.500
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 45/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
Chapitre 16 : Conclusion
En conclusion, ce chapitre a été consacré à la mise en place de Pfsense. Cet outil se distingue particulièrement des autres pare-feu par sa fort
efficacité. C'est un gestionnaire central d'outils réseaux. On peut ainsi faire travailler ensemble un pare-feu, un routeur, un système de détection d'
captif, etc. Nous avons utilisé dans ce chapitre une stratégie de détection et de prévention d'intrusion en se servant de la solution libre Snort, une strat
réseaux à l'aide de Ntopng et une autre pour l'authentification , Free Radius.
Cependant comme n'importe quel pare-feu, Pfsense présente également quelques insuffisances, par exemple on note la non disponibilité en IPv
filtrage applicatif. Pfsense étant capable de fournir plusieurs services, sa force va dépendre des différents services qui lui sont intégrés. Comme pers
nous préconisons de faire une configuration de Traffic shapper pour le partage de la bande passante, une amélioration de l'authentification à
(Authentification double facteur) et de mettre en place un système dans le but de pouvoir notifier l'administrateur par mail en cas d'intrusions sur le rése
[1] « «?Les entreprises africaines ne réalisent toujours pas le danger des cyber-attaques?» ». [En ligne]. Disponible sur: https://afrique.latribune.fr/a
26/les-entreprises-africaines-ne-realisent-toujours-pas-le-danger-des-cyber-attaques-722984.html. [Consulté le: 16-nov-2018].
[2] « Centre Informatique et de calcul | CIC ». [En ligne]. Disponible sur: https://cic.univ-lome.tg/fr/node/30. [Consulté le: 16-nov-2018].
[3] « A PROPOS DE NOUS - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/cafe-it/. [Consulté le: 16-nov-2018].
[4] « Formations Archives - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/cat/formation/. [Consulté le: 16-nov-2018].
[5] « Hébergement Web - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/solutions-web/hebergement-web/. [Consulté le: 16-nov-20
[7] « Transmissions et réseaux - S. Lohier, D. Présent - 4e édition - Librairie Eyrolles ». [En ligne].
https://www.eyrolles.com/Informatique/Livre/transmissions-et-reseaux-9782100513819. [Consulté le: 16-nov-2018].
[8] « Tableaux de bord de la sécurité réseau - Denis Valois - 2e édition - Librairie Eyrolles ». [En ligne].
https://www.eyrolles.com/Informatique/Livre/tableaux-de-bord-de-la-securite-reseau-9782212119732. [Consulté le: 16-nov-2018].
[9] A. Essaidi, V. Boistuaud, et N. Diop, « Conception d'une Zone Démilitarisée (DMZ) », p. 35, 2000.
[10] J.-F. Pillou et J.-P. Bay, Tout sur la sécurité informatique. Paris: Dunod, 2016.
[11] J. Burton, Éd., Cisco security professional's guide to secure intrusion detection systems: your complete guide to Cisco Enterprise IDS manag
coverage of the Cisco Secure Policy Manager (CSPM)?; step-by-step instructions for installing, configuring, and using the Cisco Intrusion Detection
coverage of the Cisco Secure Instrusion Detection Systems Exam (CSIDS 9E0-100). Rockland, Mass: Syngress, 2003.
[14] « cours_parefeux.pdf ». .
[18] S. Konané, « Etude et mise en place d'un portail captif sur le réseau de l'Université Polytechnique de Bobo-Dioulasso : Cas du Campus Numé
Partenaire », p. 83.
[20] « Konané - Etude et mise en place d'un portail captif sur le .pdf ».
[23]«https://saboursecurity.wordpress.com/2010/12/30/quelques-solutions-pare-feu-open-
source/»
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 46/47
02/11/2020 Memoire Online - Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open source: cas de C.A.F.E. informati…
[24] «http://www.artp.tg/Download/Telecommunication/Loi/Loi_n2018_026_du_07_dece mbre_2018_cybersecurite_et_cybercriminalite.pdf
Grammarly
DOWNLOAD
Free English Writing Assistant
01:44
https://www.memoireonline.com/11/19/11308/Etude-pour-la-securisation-dun-reseau-par-la-mise-en-place-dun-pare-feu-open-source-cas-de.ht… 47/47