Vous êtes sur la page 1sur 112

REPUBLIQUE TOGOLAISE

************
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET
DE LA RECHERCHE
************
ECOLE SUPERIEURE DE GESTION
D’INFORMATIQUE ET DES SCIENCES
************
MEMOIRE DE FIN D’ETUDES

MASTER EN INGENIERIE INFORMATIQUE ET RESEAUX


Option : Systèmes, Réseaux et Sécurité

THEME

DOCUMENT TUTORE
(Société Technologique de Géolocalisation du Togo)
THEME

Présenté par ALAGBE Akètouwè, le 07 Novembre 2019

Directeur de mémoire : Jury composé :

M. DOURMA KALGORA - Hillah Ayite Mawusse


Consultant IT
Ingénieur Système, réseaux et Sécurité
- Emmanuel M. SAMA
IT manager

Année académique 2018-2019


Dédicace Sécurité réseau

DEDICACE
A nos parents, camarades de promotion et tous ceux qui ont contribué de loin ou de
prêt à l’élaboration de ce.

AKETOUWE ALAGBE Page |[I] ANNEE 2019


Remerciement Sécurité réseau

REMERCIEMENTS

Je tiens à adresser mes remerciements les plus sincères à tout le corps professoral et

administratif de L’école Supérieure de Gestion, d’Informatique et de Sciences (Esgis).

Je souhaite exprimer ma gratitude et remerciement à mon encadrant M. DOURMA

kalgora qui a su ménager son temps sa disponibilité et surtout sa patience et ses conseils à

notre égard pour la réussite de ce document.

Mes remerciements vont à l’endroit du corps enseignant d’Esgis, pour avoir bien

enseigné, dirigé et conseillé tout au long de nos études à Esgis.

Je tiens également à adresser mes plus sincères remerciements à l’ensemble du corps

du service technique de la Société de Technologies de Géolocalisation du Togo, à mes

proches et collègues de Master2 en Système Réseau et Sécurité qui ont apporté un soutien

moral et physique au cours de mes recherches.

AKETOUWE ALAGBE Page |[II] ANNEE 2019


Sommaire Sécurité réseau

SOMMAIRE

DEDICACE .................................................................................................................... I
REMERCIEMENTS .................................................................................................... II
SOMMAIRE................................................................................................................ III
RESUME ...................................................................................................................... V
LISTE DES FIGURES ................................................................................................ VI
LISTE DES TABLEAUX ........................................................................................... IX
SIGLES ET ABREVIATIONS .................................................................................... X
INTRODUCTION GENERALE ................................................................................... 2

PARTIE I : ENVIRONNEMENT DU TRAVAIL ......................................................... 7

1.1 - Introduction : ........................................................................................................................................8

1.2 - Présentation de la STGT .................................................................................................................8

1.3 - Etude de l’architecture ................................................................................................................11

1.4 - Diagnostique de l’architecture de la S.T.G.T .................................................................13

1.5 - Solutions possibles ...........................................................................................................................15

1.6 - Conclusion : ..........................................................................................................................................17

PARTIE 2 : LES PARE-FEUX RESEAUX ET VPN .................................................. 18

2.1 - Introduction : ......................................................................................................................................19

2.2 - Les pare-feux ......................................................................................................................................19

2.3 - Les VPN ...............................................................................................................................................27

2.4 - Avantages et inconvénients du VPN : .....................................................................................32

AKETOUWE ALAGBE Page |[III] ANNEE 2019


Sommaire Sécurité réseau

2.5 - Les pare-feu réseaux au cœur des entreprises ......................................................................33

2.6 - Motivation du choix de la solution ...........................................................................................36

2.7 - Conclusion : ........................................................................................................................................38

PARTIE 3 : IMPLEMENTATION DE LA SOLUTION ............................................ 39

3.1 - Introduction : ......................................................................................................................................40

3.2 - Environnement d’implémentation.............................................................................................40

3.3 - Architecture optimisée ...................................................................................................................42

3.4 - Mise en œuvre pratique .................................................................................................................44

3.5 - Présentation et Analyse des résultats .......................................................................................72

3.6 - Limites de l’étude .............................................................................................................................78

3.7 - Conclusion ...........................................................................................................................................79

AKETOUWE ALAGBE Page |[IV] ANNEE 2019


Résume Sécurité réseau

RESUME

La société de technologie de géolocalisation du Togo (STGT) est une structure qui


traite de l’information hautement sensible. Elle doit à cet effet garantir la sécurité de son
réseau. En tant que structure technologique elle doit avoir la sécurité au centre de toutes
ses entreprises afin de créer un climat de confiance avec ses clients. Il s’avère donc
nécessaire de renforcer les mesures de sécurités, dans le but maintenir la confidentialité,
l’intégrité et la disponibilité du service.
L’objet de ce travail est l’étude et la mise en place d’un pare-feu, la création d’un VPN
site à site et d’un VPN d’accès à distance au niveau de la STGT.

AKETOUWE ALAGBE Page |[V] ANNEE 2019


Liste des Figures Sécurité réseau

LISTE DES FIGURES


Figure 1-1 Organigramme général de STGT .............................................................. 11
Figure 1-2 Architecture informatique de STGT .......................................................... 12
Figure 2-1 Autorisation de paquet ............................................................................... 21
Figure 2-2 Topologie filtrage de paquets .................................................................... 25
Figure 2-3 Topologie Bastion host .............................................................................. 26
Figure 2-4 Topologie DMZ ......................................................................................... 27
Figure 2-5 le fonctionnement d’un VPN poste a site .................................................. 29
Figure 2-6 Architecture VPN LAN to LAN ................................................................ 29
Figure 3-1 Interface de connexion Eve-Ng community Edition 1 .............................. 41
Figure 3-2 Eve-Ng community Edition Lab................................................................ 42
Figure 3-3 Architecture Optimisée .............................................................................. 43
Figure 3-4 Architecture réseau optimisée STGT sur Eve-Ng ..................................... 45
Figure 3-5 Authentification et Accès au FortiGate ..................................................... 46
Figure 3-6 Adressage IP du port 3 de FortiGate ......................................................... 47
Figure 3-7 Autorisation des protocoles ....................................................................... 47
Figure 3-8 Vérification des configurations ................................................................. 48
Figure 3-9 Authentification et Accès au FortiGate ..................................................... 49
Figure 3-10 Adressage IP du port 3 de FortiGate ....................................................... 49
Figure 3-11 Autorisation des protocoles ..................................................................... 50
Figure 3-12 Vérification des configurations ............................................................... 50
Figure 3-13 Interface de connexion Graphique FortiGate .......................................... 51
Figure 3-14 Topologie VPN site à site ........................................................................ 51
Figure 3-15 configuration du tunnel coté siège ........................................................... 53
Figure 3-16 Authentification ....................................................................................... 54
Figure 3-17 politique de sécurité et Routage coté Siege ............................................. 54
Figure 3-18 récapitulatif de la configuration .............................................................. 55
Figure 3-19 interface des VPN coté SIEGE ................................................................ 55

AKETOUWE ALAGBE Page |[VI] ANNEE 2019


Liste des Figures Sécurité réseau

Figure 3-20 interface VPN coté SIEGE ...................................................................... 55


Figure 3-21 itinéraire VPN coté SIEGE ...................................................................... 55
Figure 3-22 les règles IPv4 du VPN coté SIEGE ........................................................ 56
Figure 3-23 configuration du tunnel coté Technicien ................................................. 56
Figure 3-24 configuration du tunnel coté Technicien ................................................. 57
Figure 3-25 politique de sécurité et Routage coté Technicien .................................... 58
3-26 Récapitulatif de la configuration ......................................................................... 58
Figure 3-27 interface VPN coté technicien ................................................................. 59
Figure 3-28 itinéraire VPN coté technicien ................................................................. 59
Figure 3-29 règles IPv4 du VPN coté technicien ........................................................ 59
Figure 3-30 topologie d’un VPN Ipsec ....................................................................... 63
Figure 3-31 Ajout d’un utilisateur sur le FortiGate Siège ......................................... 64
Figure 3-32 création d’un groupe d’utilisateur............................................................ 64
Figure 3-33 Assignation adresse au port lan ............................................................... 65
Figure 3-34création de sous réseau ............................................................................. 66
Figure 3-35 Création d’un groupe d’adresse ............................................................... 66
Figure 3-36 Configuration du port tunnel ................................................................... 67
Figure 3-37 Création d’une plage d’adresse................................................................ 67
Figure 3-38 Création interface phase1 ........................................................................ 68
Figure 3-39 Méthode de chiffrement et authentification ............................................ 68
Figure 3-40 gestion de mot de passe du tunnel ........................................................... 69
Figure 3-41 Création de l’interface phase 2 ................................................................ 69
Figure 3-42 Mise en place des règles de sécurité ........................................................ 70
Figure 3-43 interface du tunnel IPsec crée .................................................................. 71
Figure 3-44Liste des sous réseaux associés au tunnel IPsec ....................................... 71
Figure 3-45 Groupe d’adresse du tunnel IPsec ........................................................... 71
Figure 3-46 Etat du tunnel IPsec ................................................................................. 71
Figure 3-47 VPN Site à Site actif au siège .................................................................. 72
Figure 3-48 VPN Site à Site actif au site des Techniciens .......................................... 72

AKETOUWE ALAGBE Page |[VII] ANNEE 2019


Liste des Figures Sécurité réseau

Figure 3-49 Ping réussi Siège à Technicien ................................................................ 73


Figure 3-50 Ping réussi Techniciens au Siège............................................................. 73
Figure 3-51 Capture paquets Icmp Siège → Technicien ............................................ 74
Figure 3-52 Capture des paquets Icmp Techniciens → Siège..................................... 74
Figure 3-53 ping du pc technicien vers le pc Dg du Siège .......................................... 75
Figure 3-54 ping du Pc DG vers le site technicien ...................................................... 75
Figure 3-55 Page d'authentification du Forticlient ...................................................... 76
Figure 3-56 Connexion du Forticlient au siège ........................................................... 77
Figure 3-57 Test du pc client vers le pc DG du siège ................................................. 77

AKETOUWE ALAGBE Page |[VIII] ANNEE 2019


Liste des Tableaux Sécurité réseau

LISTE DES TABLEAUX


Tableau 2-1 Classification des pare-feux selon les fonctionnalités ............................ 37
Tableau 3-1 Composants utilisés dans le Lab ............................................................. 44
Tableau 3-2 Configuration de base FortiGate siège .................................................... 46
Tableau 3-3 Configuration de bas FortiGate Techniciens .......................................... 49

AKETOUWE ALAGBE Page |[IX] ANNEE 2019


Sigles et Abréviations Sécurité réseau

SIGLES ET ABREVIATIONS
ACL : Access Control List.

DLP : Data Loss Prevention.

DMI : Direction du Management Intégré.

DMZ : zone démilitarisée.

DNS : Domain Name System.

IP: Internet Protocol.

ISA: Internet Security and Acceleration.

ISO: International Organization for Standardization.

LAN: Local Area Network.

L2F: Layer 2 Forwarding

L2tp: Layer 2 Tunneling Protocol

PPTP: Point-to-point tunneling protocol

PC: Personnel Computer.

SMTP: Simple Mail Transfer Protocol.

SNMP: Simple Network Management Protocol.

SSL: Secure Sockets Layer.

TCP: Transmission Control Protocol.

VLAN: Virtual Local Area Network.

VPN: Virtual Private Network.

WAN: Wide Area Network.

WIFI: Wireless Fidelity

AKETOUWE ALAGBE Page |[X] ANNEE 2019


Introduction générale Sécurité réseau

INTRODUCTION GENERALE

AKETOUWE ALAGBE Page | [1] ANNEE 2019


Introduction générale Sécurité réseau

INTRODUCTION GENERALE
Contexte

Les réseaux informatiques sont devenus beaucoup plus importants qu’ils en aient il y
a quelques années. De nos jours les entreprises dès leur création n’hésitent pas à agrandir leur
système d’informatique qu’elles utilisent de façon croissante. Tout ceci est effectif grâce à la
vulgarisation des outils informatiques et l’apport extraordinaire qu’apporte les réseaux dans
la circulation et traitement des données. La gestion de ces systèmes est exposée donc exposée
à des contraintes, des attaques, des menaces et d’autres problèmes d’ordre opérationnel. C’est
pourquoi la sécurité de ces réseaux constitue un enjeu crucial.

Ainsi grâce à ces systèmes, il est possible de n’importe quel point du globe aux
personnes concernées de pouvoir se connecter sans crainte et en sécurité. Cette sécurité doit
être garantie par un solide mécanisme d’authentifications et de contrôle permettant d’assurer
aux utilisateurs l’unique droit d’accès aux ressources de l’entreprise auxquelles ils sont
associés. Il est très important voire indispensable de définir des politiques de sécurité afin de
bien protéger les données auxquelles l’on a accès.

Dans le but de faire accroitre donc la production et d’être plus crédible vis avis de leur
partenaire et de surpasser la concurrence ; dans le but de fonctionner pleinement et en
permanence pour garantir la fiabilité et l’efficacité exigées, la maitrise et la sécurisation des
systèmes informatiques deviennent primordiaux pour toute entreprise. De ce fait les
administrateurs réseaux font appel à des équipements et à des logiciels de supervision réseau
afin de surveiller, de contrôler les entrées et les sorties en temps réel de tout leur système
informatique

AKETOUWE ALAGBE Page | [2] ANNEE 2019


Introduction générale Sécurité réseau

Cependant notons que l’utilisation des outils informatiques reste indispensable au sein
des entreprises, institutions qu’elles soient publiques ou privées. Ces entreprises Sont
exposées aux menaces et attaques qui peuvent être en interne ou en externe. Ces menaces
représentent aujourd’hui un réel danger. La sécurisation des données informatiques doit
devenir une priorité pour toutes entreprises qui cherchent à garantir un lendemain meilleur.

Problématique
La société de technologies de de géolocalisation du Togo (STGT), cette société qui utilise
constamment internet dans l’exercice de ses activités, offre à ses clients un service de
géolocalisation, des données extrêmement importantes. Consciente, la société doit faire de la
sécurisation des données confidentielles des clients, la sécurisation de son périmètre, la
sécurisation de son réseau et les échanges entre ses sites annexes, une de ces grandes priorités.
Elle doit assurer à ses clients et partenaires un accès continuel et sécurisé aux données car il
est crucial qu’ils aient une continuité de travail quel que soit l’endroit où l’heure.

Cependant pour des raisons bien entendu de sécurité et de protection des actifs
informationnels de l’entreprise, les données ne doivent pas être accessibles depuis un réseau
étranger à celui de l’entreprise. La STGT doit à tout prix éviter la perdre de ces données en
anticipant les pannes et en évitant les arrêts de longue durée qui peuvent causer de lourdes
conséquences aussi bien financières qu’organisationnelles. Il s’agit dans ce cas de garantir la
confidentialité et l’intégrité des échanges effectués entre les différents sites et l’entreprise elle-
même. C’est ainsi nous avons donc suggéré à mettre en place un réseau virtuel privé virtuel
(VPN) ; car pour nous une entreprise de cette taille doit disposer d’une nouvelle technologie
afin de bien sécuriser son périmètre. Toutefois la question se pose à savoir quel type de
solution peut-on apporter pour améliorer le système informatique existant.

AKETOUWE ALAGBE Page | [3] ANNEE 2019


Introduction générale Sécurité réseau

Nous parlons de la sécurité, c’est-à-dire la protection des données clients en local soit sur
internet ou les échanges d’information sur les différents sites de la société. Les questions qu’il
faut se poser dans un premier temps est de savoir si la STGT dispose déjà d’un réseau virtuel
c’est-à-dire un VPN. Si oui lequel ? Si non, comment procéder à une implémentation ? Au
cours de nos recherches nous avions découvert de différents types de VPN. Ainsi Plusieurs
offres sont disponibles en fonction de l’architecture et de la solution à proposer. Parmi ces
offres laquelle choisir ? Pourquoi ce choix ? En plus diverses solutions de cryptage et de
chiffrement sont disponibles pour permettre d’optimiser un réseau. Cela nous amène à un
concept que nous avions l’habitude d’abréger sous le sigle VPN. C’est quoi un VPN ? Quelles
sont ses avantages ? Son utilisation respecte-t-il les normes en sécurité aujourd’hui ? Il est à
croire que la technologie a évolué de nos jours et les systèmes d’implémentation de ces VPN
aussi ont évolué. Tous ces outils et méthodes répondent -ils parfaitement aux besoins des
entreprises comme la STGT ?

Dans une deuxième interrogation, quelle serait la possibilité d’une sécurisation maximale
des interconnexions entre les sites distants, comment arriver à sécuriser les clients qui se
connectent aux ressources de l’entreprise. D’une façon plus simple la STGT doit maintenir
secrètes les informations de ses clients et doit arriver à contrôler l’accès des utilisateurs au
réseau grâce aux pare-feux ou encore mur de protection (firewall) pour la survie des services
qu’elle offre. Ces pare-feux permettront de protéger les données échangées entre les sites. A
cet effet, les pare-feux restent-ils la meilleure solution et appropriée pour la sécurité des
données de la STGT ? Qu’est-ce qu’un pare-feux, comment fonctionne-t-il, en quoi son
implémentation peut-elle apporter comme avantage pour la sécurité du réseau de la STGT ?

Notre travail pour finir s’articulera autour des différentes questions suivantes :

➢ Qu’est-ce que les VPN en général ? les types de VPN qu’on peut trouver ?
comment les implémenter ?
➢ Qu’est-ce qu’un pare-feux ? Comment fonctionne-t-il ? comment sécuriser un périmètre
d’une entreprise avec ?

AKETOUWE ALAGBE Page | [4] ANNEE 2019


But et objectifs Sécurité réseau

Ces questions auxquelles nous apporterons des réponses dans notre de recherche
sous le thème intitulé « Etude et amélioration de l’architecture et sécurité du réseau de
la STGT ».

But et Objectifs
Notre travail a pour but de pouvoir garantir en effet une sécurité maximale à tout prix entre
les différents sites distants, mais aussi au sein de la société elle-même. Assurer et mettre en
place une politique de sécurité qui garantira une confidentialité non seulement entre le siège
et les partenaires de la société mais aussi pour les clients voulant accéder aux services ou aux
données auxquelles ils sont autorisés.

L’intérêt de cette étude et analyse est de permettre à la société de prendre connaissance et


de pouvoir corriger les failles liées à son réseau, de sécuriser les informations qu’elle traite et
les données qu’elle héberge. Elle lui permettra d’avoir des notions sur la technologie ici
utilisée sur la sécurité de périmètre.

Cette étude permettra non seulement à l’entreprise de pouvoir sécuriser son périmètre mais
aussi elle présente un très grand atout aux apprenants tels que les étudiants en sécurité réseaux
à découvrir les différentes failles que peut présenter un réseau, les menaces auxquelles l’on
est exposé et les risques qu’on encourt quand rien n’est fait pour sécuriser le système
informatique.

Enfin, pour bien organiser les étapes de la réalisation de notre document, il est primordial
de choisir une méthodologie de travail que nous allons décrire dans la section suivante

Méthodologie
Le développement de notre document s’appuiera sur les deux procédés suivants : La
documentation et l’implémentation.

Dans la documentation, nos recherches se baseront sur les analyses effectuées sur de
différents sites et documents, ou nous recueillerons d’importantes informations sur le choix
de l’équipement et un guide d’utilisation complet du produit. Nous nous appuierons également

AKETOUWE ALAGBE Page | [5] ANNEE 2019


Méthodologie Sécurité réseau

sur des exemples déjà élaborés dans sur les pare-feux, des livres en sécurité réseau et dans
quelques archives de mémoire en Master2 des années précédentes qui présentent pas mal de
renseignements sur la sécurité informatique.

L’expérimentation quant à elle se déroulera dans un environnement virtuel sur une


machine serveur de grande capacité bien équipée qui nous permettra à faire des simulations
de la solution proposée. Cette simulation se déroulera sur le simulateur EVE-NG qui nous
fournira des composantes nécessaires au bon fonctionnement de notre architecture Réseau
proposé. Il nous reviendra de mettre à jour ce simulateur avec des équipements virtuels tels
que : les commutateurs cisco, les routeurs cisco, les systèmes d’exploitation et les pare-feux.

Structure du mémoire

Notre document se subdivise en trois grands chapitres.

Dans le Chapitre (1) nous aurons dans un premier temps une notion de la structure
d’accueil de la STGT afin de mieux connaitre la structure organisationnelle de cette entreprise
qui est leader dans le domaine de la géolocalisation, faire le descriptif de son réseau sur lequel
nous allons ensuite analyser et enfin énumérer les failles, les menaces qu’elle présente et les
principaux mécanismes qu’il faut pour maintenir la sécurité de tout le système informatique.

Dans le Chapitre (2) nous allons également tenter de présenter l’étude des différentes
propositions pour la sécurisation de l’ensemble du réseau, ce qui nous motive pour le choix
de cette solution. Nous aurons à faire un aperçu global sur les pare-feux et les Réseaux virtuels
Sécurisés (VPN).

Dans le chapitre (3) pour finir, il sera question de l’implémentation de la nouvelle solution
proposée, la mise en œuvre, l’analyse des résultats obtenus et enfin les limites de notre étude
pendant l’exécution du document.

AKETOUWE ALAGBE Page | [6] ANNEE 2019


Chapitre I Sécurité réseau

PARTIE I : ENVIRONNEMENT DU TRAVAIL

AKETOUWE ALAGBE Page | [7] ANNEE 2019


Chapitre I Sécurité réseau

ENVIRONNEMENT DU TRAVAIL
1.1 - Introduction :

Ce chapitre est réservé à la présentation de la STGT, à la découverte de sa structure


organisationnelle et à ses objectifs. Ensuite nous passerons à l’étude du réseau existant en
vue de présenter au mieux les failles de son système informatique, les menaces auxquelles
l’entreprise est exposée et les réels dangers qu’elle encourt. Enfin, nous passerons la
présentation de la solution proposée pour d’éventuelles améliorations.

1.2 - Présentation de la STGT

1.2.1 - HISTORIQUE DE LA STGT

La S.T.G.T (Société Technologique de la Géolocalisation du Togo) joue un rôle très


important dans le suivi et dans les transactions internationales des marchandises prévenant
des pays étrangers et desservant toute l’Afrique vu sa place, sa position géographique et sa
stratégie de contrôle au port Autonome de Lomé. Aujourd’hui, elle est classée deuxième
en matière de la géolocalisation en Afrique de l’ouest. Elle est également la première
Société sur le plan national certifié par ISO 9001 et 270001 pour l’ensemble de ses
prestations et pour avoir ainsi installé un système de management d’une grande qualité.
Cela est très important pour le processus d’amélioration des prestations, pour le bénéfice
de ses clients. L’entreprise a connu d’autres succès depuis, qu’elle est notamment présente
au port pour la sécurité et le transfert des marchandises vers d’autres pays.

1.2.2 - MISSION ET SERVICES OFFERTS

MISSION DE LA STGT

La STGT dans sa fonction de géolocalisation a pour mission :

- Assurer le transfert des marchandises provenant des autres pays et passant par le port
Autonome de Lomé en toute sécurité
- Assurer le transfert légal et sans déversement sur le territoire togolais.
- Assurer le respect du temps de transit autorisé pour chaque marchandise sur le sol
togolais.

AKETOUWE ALAGBE Page | [8] ANNEE 2019


Chapitre I Sécurité réseau

- S’assurer que tous les déclarants en douanes paient les fonds de garantie pour chaque
marchandise en transite sur le sol togolais.
- S’assurer que chaque marchandise en transit a été certifié et balisée pour permettre
un traçage au cours du transit sur le sol togolais.
- Assurer que tous les T1(de transit) émis pour chaque marchandise au port soit apuré
une fois arrivée au frontière

SERVICES OFFERTS

La STGT est une entreprise de Géolocalisation au Togo. Au rang de premier e n


matière de localisation, l’entreprise fournit deux types de services tel que : Suivi en
temps réel des véhicules, le tracking par GPS pour engins à deux roues et autres
engins lourds (Bus, bulldozer, niveleuse, pelleteuse, bétonnière, dameuse). Dans ces
types de services nous pouvons citer :
• Contrôle de consommation de carburant
• Gestion à distance de flotte de véhicules
• Contrôle de vitesse du véhicule
• Contrôle du niveau d’huile
• Contrôle de temps d’arrêt
• Contrôle de temps de conduite
• Alertes sonores d’excès de vitesse
• SOS : (Antivol, alarmes d’urgence)
1.2.3 - ORGANISATION ET FONCTIONNNEMENT

Placé sous l’autorité du président de la chambre de commerce et de l’industrie, le


Directeur de la STGT est le responsable et le garant de toute activité de l’entreprise.

Dans sa tâche il assure l’exploitation et le déploiement des solutions fournies aux


petites et grandes entreprises. Il est chargé de superviser les travaux relatifs aux poses et
déposes de la STGT.

• La secrétaire et la commerciale, travaillant en étroite collaboration elles assurent


l’assistance du directeur dans la coordination des activités de la STGT. Elles

AKETOUWE ALAGBE Page | [9] ANNEE 2019


Chapitre I Sécurité réseau

organisent et suivent les évolutions des programmes dans le cadre des documents et
des services offerts aux clients et partenaires de la STGT.
• La responsable financière, elle gère le service administratif et financier de
l’entreprise. Elle contrôle la comptabilité, la bonne gestion de la trésorerie,
développe les outils d’aide à la prise de décision et valide les stratégies adoptées.
Elle anticipe les différents investissements et financement nécessaire, communique
les services fiscaux et sociaux.
• Les techniciens de suivi et monitoring, sous la responsabilité directe du Directeur
de la STGT, ils ont pour mission de surveiller et de veiller au transit des
marchandises sur le territoire. Ils analysent les diverses informations et génèrent des
rapports pour le compte des clients et partenaires de l’entreprise.
• Les agents de pose de balise, constitués d’un groupe expérimenté de techniciens ils
assurent la pose des balises sur les camions en transit au port. Ils recueillent des
informations et renseignent l’administration de toute activité effectuée.
• Les agents de dépose de balise, ils effectuent l’opération dépose de balise une fois
que le camions arrivent à destination. Ils vérifient et s’assurent que tous les camions
en transit sortant au niveau de chaque frontière disposent de balise de la société. Ils
enlèvent ensuite la balise du camion et le consigne dans un cahier.
• Nos filiales, c’est l’ensemble des sites partenaires qui jouent un rôle important dans
la sécurisation des marchandises au cours des transits sur le territoire. Parmi eux nous
pouvons citer l’OTR (Office Togolaise des Recettes), la Douane togolaise, la
Chambre de Commerce et d’industrie.

AKETOUWE ALAGBE Page | [10] ANNEE 2019


Chapitre I Sécurité réseau

1.2.4 - ORGANIGRAMME DE LA STGT

RESPONSABLE

FINANCIER

Figure 1-1 Organigramme général de STGT

1.3 - Etude de l’architecture

1.3.1 - Analyse du réseau

Le réseau de la S.T.G.T s’étend du siège à l’OTR, du quai2 au quai3 du port Autonome


de Lomé. La salle machine au siège contient principalement une armoire de brassage et
une autre armoire optique de moyenne taille, un ensemble de trois serveurs : un serveur
web, un serveur de fichier, un serveur de base de données. Ces deux armoires servent à
relier les différents sites de l’entreprise au département informatique par des faisceaux.

AKETOUWE ALAGBE Page | [11] ANNEE 2019


Chapitre I Sécurité réseau

Chaque site a une armoire de brassage contenant un routeur et un Switch cisco où les
différents équipements sont reliés entre eux par des câbles réseaux.

1.3.2 - Présentation de l’architecture de la S.T.G.T

Figure 1-2 Architecture informatique de STGT

Connexion Internet - L’entreprise STGT s’est dotée d’une connexion fibre optique
haut débit 100Mbts/s de Togo télécom. Cette connexion permet de se connecter à
Internet et de traiter de différentes données.

• Sécurité - La sécurité est assurée par un serveur Proxy qui agissent comme un filtre
afin de définir les règles d’accès au réseau local de la STGT et d’éviter l’accès à
certains sites web. On peut également énumérer quelques antivirus logiciels pour

AKETOUWE ALAGBE Page | [12] ANNEE 2019


Chapitre I Sécurité réseau

appliquer. Les stratégies d’accès et les règles de routages déterminant la manière


dont les clients accèdent à Internet.
• Salle machine - La salle machine est le cœur du réseau. Toutes les activités du port
reposent sur cette salle, elle regroupe en un seul endroit les ressources nécessaires au
bon fonctionnement du réseau LAN, en plus des Switch elle renferme les différentes
machines serveurs qui permettent de centraliser les données.
• Serveur MySQL : ce serveur de base de données répond à des demandes de
manipulation de données stockées dans une ou plusieurs bases de données.
• Le contrôleur de domaine DC1 (Active Directory) : sous Windows Server 2008
l’objectif principal d’Active Directory est de fournir des services centralisés
d’identification et d’authentification réseau d’ordinateur utilisant le système
Windows. Il répertorie les éléments de ce réseau administré tels que les comptes des
utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les
imprimantes...etc.
• Le contrôleur de domaine redondant DC2 (Active Directory) : il permet de conserver
des réplicas de données de l’annuaire sur un autre contrôleur de domaine, cela
garantit la disponibilité et la continuité du travail en cas d’un sinistre
• Serveur application/fichier : c’est un serveur sur lequel sont installées les
applications pour les agents de terrain.
• Serveur de sauvegarde : il a pour rôle de sauvegarder en continue les données
générées par l’entreprise, les partenaires et les clients.

1.4 - Diagnostique de l’architecture de la S.T.G.T

L’étude que nous avons menée sur l’architecture réseau de la STGT nous a permis
d’énumérer quelques faiblesses qui sont les suivantes :

1.4.1 - Plateforme dépassée quant à l’utilisation de Windows serveur 2008

• Les supports techniques des mises à jour et les supports des applications utilisées sur ces
serveurs ne seront plus garantis. Ceci rend le système d’exploitation très instable et
vulnérable face aux nouveaux virus informatiques

AKETOUWE ALAGBE Page | [13] ANNEE 2019


Chapitre I Sécurité réseau

• Explosion des coûts de maintenance de serveurs obsolètes à long terme.

• Arrêt des patchs de sécurité : le réseau est exposé aux failles de sécurité énormes

• Des risques potentiellement importants liés à la non-conformité avec les standards


et les règlementations en vigueur.

1.4.2 - Pare-feux logiciels ne sont plus supportés

• Protection obsolète contre les nouvelles menaces.


• Fin de support de mise à jour sécurité
• Les fonctionnalités d u système sont devenues limitées et basiques.
• Contrôle de flux entrant et sortant restreint quasiment inexistant.
• Certaines données que l’on peut qualifier de très confidentielles sont envoyées par
WhatsApp, ce qui expose les informations de l’entreprise
• Les mots de passe de ces points d’accès wifi mal sécurisés.

1.4.3 - Technologie de stockage dépassés DAS

• Dans le cadre d’un réseau d’entreprise on comprend vite les limitations induites par
une Architecture DAS.
• Les périphériques de stockages sont gérés indépendamment les uns des autres, ce qui
Complique l’administration et la gestion de parc informatique et la compilation des
données envoyées des différents sites.
• Sauvegarde décentralisée et non sécurisée des données et difficulté de gestion des ressources
de l’entreprise.

1.4.4 - Plan d’adressage statique

Un adressage par IP fixe du style 10.0.0.0/24, qui ne permettait que de connecter qu’un
minimum de machines, cette plage a atteint ses limites vu le nombre croissant de machines
clientes au réseau de la S.T.G.T, cet adressage ne permet pas une évolutivité du parc
informatique. De ce fait, une nouvelle machine ne peut avoir d’adresse IP ni se connecter
au réseau.

AKETOUWE ALAGBE Page | [14] ANNEE 2019


Chapitre I Sécurité réseau

1 . 4 . 5 - Architecture

L’architecture du réseau de la STGT mal structurée et les tâches mal réparties. L’on
peut également noter une absence totale des réseaux locaux virtuels (VLAN). Les switchs
et routeurs en place sont mal configurés et sous exploités. Ceci engendre une saturation du
réseau local du siège, voire un accès aux sites distants très difficile. Les salles serveurs non
conforme aux règles en sécurité informatique. Absence totale d’un serveur redondant pour
assurer la continuité des services et la disponibilité des ressources informationnelles.

1.5 - Solutions possibles

Afin d’assurer les besoins de l’entreprise il est nécessaire d’améliorer les performances
du réseau en sécurisant au maximum tout le système informatique. Pour cela il faudra
passer en revue tous les aspects intervenant dans ce système, notamment :

1. Amélioration de la sécurité du réseau de la STGT, du siège aux différents sites et


partenaires de la société.
2. Améliorer la sauvegarde la disponibilité des données et des performances réseau.
3. Amélioration du câblage interne.
4. Amélioration du plan d’adressage IP.
5. Mise à niveau régulière des systèmes d’exploitation et des anti-virus
6. Amélioration de la qualité du matériel (serveurs, commutateurs et hôtes).
7. Maitrise de l’impact des trafics générés par les serveurs d’authentification - des médias
d’inter- connexion.

1.5.1 - Amélioration de la sécurité et des performances réseau

Les performances d’un réseau dépendent de nombreux facteurs :

• La quantité de machines connectées simultanément au même segment.


• Les canaux sécurisés déployés pour acheminer les données (VPN).
• Les pare-feux installés pour la sécurisation du périmètre.

Pour améliorer les performances d’un tel réseau informatique, il faut dans un premier
temps chercher à accélérer la transmission des données (un bon débit de connexion) ou à

AKETOUWE ALAGBE Page | [15] ANNEE 2019


Chapitre I Sécurité réseau

augmenter la capacité des supports de transmission tout en assurant l’intégrité et la


confidentialité des informations transmises entre les sites.

1.5.2 - Déploiement du pare-feux pour contrôler le trafic réseau

La sécurité du système informatique de la société dépend de divers aspects. Ainsi pour


garantir une sécurité maximale des biens et personnes, il faut éviter les intrusions dans le
système grâce aux filtres, chercher à mettre en œuvre une stratégie de cyber sécurité tout
en déployant des pare-feux sur tous les sites de la société. Surveiller le réseau en temps réel
et générer des rapports journaliers si possible. Il faut équilibrer la charge des connexions
internet et mettre en place un mécanisme de contrôle total des flux entrants et sortants.
1.5.3 - Assurer la confidentialité du réseau et des connexions externes

La sécurité informatique d’une manière générale consiste à assurer que les ressources
matérielles ou logicielles d’une organisation soient utilisées uniquement dans le cadre
prévu. Ainsi nous pouvons dire de la confidentielle qu’elle assure que toutes personnes
autorisées aient accès aux ressources échangées.

Pour assurer la confidentialité des données envoyées et traitées sur l’ensemble des sites
et garantir une sécurisation maximale des informations clients, la société doit pouvoir
observer et détecter les échanges illicites sur le réseau. Elle doit faire des sauvegardes en
temps réel pour éviter les pertes de données considérables et minimiser les temps de
reprises. Elle doit contrôler et gérer les fuites d’informations, les menaces provenant des
réseaux tiers ou même local (Sécurisation des communications avec Ipsec, Confidentialité
grâce au chiffrement). La société doit penser à la segmentation de son réseau et à la
virtualisation de ses serveurs ; assurer la sécurité du matériel informatique, des
applications, de tout le système d’information complexe et évolutif.

Après l’étude du réseau de la STGT , nous avons énumérer les faiblesses, les menaces
auxquelles fait face l’entreprise, les dangers qu’elle encourt et les améliorations possibles
à effectuer sur le système informatique, nous allons mettre l’accent plus sur sa sécurité
notamment la mise en place d’un Pare-feu pour améliorer la sécurité du réseau dans son

AKETOUWE ALAGBE Page | [16] ANNEE 2019


Chapitre I Sécurité réseau

ensemble, améliorer l’accès à distance des clients via un réseau privé virtuel (VPN).Toutes
ces améliorations apporteront un grand avantage dans la gestion de l’infrastructure en
notamment la gestion du temps ,la gestion du personnel, la gestion de tout le système
informatique.

1.6 - Conclusion :

Dans ce chapitre il a été question de la présentation de la STGT sous tous les angles.
Nous avons mis l’accent sur son architecture réseau et présenté quelques différentes failles
liées de la sécurité de son réseau. Nous avions décrit brièvement les menaces auxquelles
s’expose la société. Pour finir nous avions apporté quelques propositions de solution dont
la mise en place d’un pare-feux et l’accès à distance sécurisé via un réseau privé virtuel
(VPN) afin de rendre le réseau plus fiable, plus sécurisé.

AKETOUWE ALAGBE Page | [17] ANNEE 2019


Chapitre II Sécurité réseau

PARTIE 2 : LES PARE-FEUX RESEAUX ET VPN

AKETOUWE ALAGBE Page | [18] ANNEE 2019


Chapitre II Sécurité réseau

LES PARE-FEUX RESEAUX ET VPN


2.1 - Introduction :

Ce chapitre sera réservé à l’étude théorique de l’objet de notre travail, les pare-feux
réseaux et les VPN proposés pour l’amélioration de la sécurité au niveau de
l’environnement informatique de la société STGT, d’abord nous allons évoquer un bref
aperçu sur la généralité sur le pare-feux et les VPN et les différentes solutions
d’implémentation.

2.2 - Les pare-feux

2.2.1 - Définition :

Lorsqu’ un réseau informatique privé se connecte à un réseau public, son intégrité peut
être affecté par des intrusions. Pour contrer donc ces intrusions il est souhaitable de placer
des équipements réseaux appelés barrières des sécurités c’est-à-dire des pare-feux (ou
Firewalls en anglais) à la frontière de ce réseau. Le but de ces barrières de sécurités est de
filtrer tout le trafic échangé entre le réseau extérieur et de ne laisser passer que le trafic
autorisé.

L’objectif premier des pare-feux est donc de protéger les machines utilisateurs contre
les attaques et les intrusions sur le réseau ou ils sont déployés. Il existe dans ce cas d’autres
objectifs bien souvent mis en avant. Il s’agit principalement d’améliorer la productivité
dans l’entreprise en contrôlant l’accès à internet par les employés. Il permet dans ce cas
précis de filtrer et de mieux contrôler les utilisateurs qui accèdent au réseau.

C’est donc un élément de sécurité réseau qui peut être :

• Un ordinateur

• Un routeur

• Un matériel physique ou un logiciel

AKETOUWE ALAGBE Page | [19] ANNEE 2019


Chapitre II Sécurité réseau

En résumé nous pouvons dire, un système pare-feux est une combinaison d’éléments
matériels et logiciels.1

Selon la nature et le fonctionnement d’un firewall, il existe différents types. Ils se


distinguent le plus souvent en fonction du niveau de filtrage des données auxquelles ils
opèrent : le niveau 3 (IP), le niveau 4 (TCP, UDP), le niveau 7 (FTP, HTTP) du modèle
OSI. Dans le cas de la fonction des routeurs (firewall routeur) ils analysent chaque paquet
de donnée transitant sur le réseau selon les informations contenant dans le paquet2.

Les peu-feux de base opèrent sur un faible nombre du modèle TCP/IP, tandis que les
plus sophistiqués couvrent un grand nombre et sont plus efficaces. En complément d’une
architecture utilisant ces équipements, il existe d’autres services additionnels tels que : les
réseaux privés virtuels (VPN) et la traduction d’adresse réseau (NAT).

2.2.2 - Les différents types de filtrage :

Les pare-feux ont considérablement évolué et restent de nos jours les premières
solutions technologiques utilisées pour sécuriser un réseau informatique. Ainsi il existe de
différents types de pare-feux. Ils disposent tous des avantages et inconvénients. Disons que
le choix d’un pare-feu se fera en fonction de son utilisation, en fonction du prix et parfois
des contraintes du réseau qu’il doit protéger.

Le principe fonctionnement d’un pare-feux est qu’il joue le rôle de filtre et donc agit à
plusieurs niveaux du modelé OSI et sur toute la couche. On distingue deux grands types de
pare-feux :
• Les firewalls fonctionnant au niveau de la couche réseau : par filtrage de paquets, les
iptables
• Les firewalls fonctionnant au niveau applicatif ou proxy : Ce sont les filtres mandatés
(ou application)

1
C’est quoi un firewall matériel ? (2019, avril 19). Consulté le 5 septembre 2019, à l’adresse https://le-
routeur-wifi.com/firewall-matériel-routeur/
2
C’est quoi un firewall matériel ? (2019, avril 19). Consulté le 5 septembre 2019, à l’adresse https://le-routeur-
wifi.com/fonctionnement d’un firewall/

AKETOUWE ALAGBE Page | [20] ANNEE 2019


Chapitre II Sécurité réseau

Les pare-feux niveau réseau ou filtrage de parquets:

C’est un procédé de filtrage simple. Elle s’opère sur deux couches du modèle OSI : la
couche réseau et transport. La plupart des routeurs de nos jours utilisent ce filtrage de
paquet qui consiste à autoriser ou à refuser la transmission des paquets d’un réseau à un
autre. Ce type de filtrage se base sur les adresses IP sources et de destinations d’une part et
les numéros de port sources et de destinations d’autre part, cependant une seule erreur peut
causer une faille dans le réseau. Ce système de filtrage ne peut identifier l’utilisateur par
son mot de passe mais uniquement par son adresse IP.

2.2.2.1.1 - Avantages :

Avec ce filtrage, l’on peut avoir un Gain de temps en termes de mise en place, les Coûts
d’achat et de maintenances faibles. Ils sont considérés comme performants.

2.2.2.1.2 - Limites :

Il nous revient d’assurer la bonne implémentation de ce pare-feux car il arrive parfois


qu’il ne soit pas bien implémenté par le constructeur. Nous pouvons aussi noter une
absence de contrôle sur les paquets envoyés ou reçus par les clients et serveurs du réseau.
On peut noter également une élaboration difficile des règles surtout pour les grands
réseaux ; une possibilité de tunneling (création des tunnels dans le réseau). Car plus il y’a
des règles plus les performances diminuent.

Figure 2-1 Autorisation de paquet

Les pare-feux niveau application ou filtrage applicatif:

Le filtrage applicatif s’effectue tout en haut de la pile OSI c’est-à-dire sur la couche
application. Il peut interdire non seulement en fonction de l’entête IP mais aussi en fonction
de l’information contenue. Le filtrage d’application permet de contrôler l’accès en fonction

AKETOUWE ALAGBE Page | [21] ANNEE 2019


Chapitre II Sécurité réseau

de l’utilisateur et de ce qu’il veut faire, pour cela il utilise un programme spécial un


mandataire pour chaque application pour laquelle il contrôle l’accès. 3

Un principe identique à celui du proxy quand un utilisateur veut se connecter, il se connecte


d’abord au programme mandataire, qui lui va se connecter au serveur extérieur demandé.
Les serveurs mandataires voient tout et peuvent garder une trace du trafic, donc ils savent
qui fait quoi. Avec ce genre de filtre, une seule machine envoie des requêtes vers l’extérieur
(proxy), ils sont plus efficaces car le contenu de leurs paquets est analysé, ce qui permet au
filtre de laisser passer ou non suivant les règles applicables au contenu.

2.2.2.2.1 - Avantages :

Ce type de filtrage permet d’assurer un contrôle total des services utilisables. Il permet
à l’administrateur d’avoir un œil sur le réseau et sur chaque service des commandes
effectuées. Il permet de donner la possibilité aux utilisateurs de s’authentifier sur le réseau
et d’avoir les détails de connectivités. Il est facile à configurer que le filtrage par paquet.

2.2.2.2.2 - Limites :

Pour ce type de filtrage l’on note des couts plus élevés : matériels, temps passé. Il se
pose parfois des problèmes dus à la finesse du filtrage réalisé par le proxy.

Cependant il faut connaitre les bonnes règles protocolaires ce qui peut causer un
problème d’adaptation. Ceci peut exclure l’utilisation a très grande échelle des proxys sur
des réseaux où les trafics sont importants. 4

Quoi choisir pour son Reseaux

En matière du choix d’un pare-feu, il faut néanmoins arriver à mettre la différence entre
les deux types de filtrages. Les proxys de par leur efficacité sont suffisamment bons pour
contrôler, assurer la fiabilité et stabilité du réseau tout en limitant les champs d’action des
intrusions pouvant nuire considérablement au système informatique ; ce pendant il faut

3
(2019,01). Sécurité-informatique. Sécurité-informatique. Récupérée 08, 2019, à partir de
https://www.ipe.fr/securite-informatique-categories-pare-feu/
4
(2019, 01). Firewall. Firewall. Récupérée 08, 2019, à partir de https://www.frameip.com/firewall/

AKETOUWE ALAGBE Page | [22] ANNEE 2019


Chapitre II Sécurité réseau

avoir de très bonnes connaissances solides des protocoles intervenant dans la gestion des
pare-feux. Un proxy dans les normes doit toujours être protégé par un pare-feu dit de type
Stateful inspection (garder l’état de la connexion en mémoire). Aussi il faut éviter
d’implémenter les deux types de filtrage dans un même pare-feu car la compromission de
l’un entraine celle de l’autre.

2.2.3 - Les différents types de firewalls

On distingue trois grandes familles de firewalls : les firewalls bridge, les firewalls
matériels et les firewalls logiciels

Les Firewalls bridge

C’est l’un des firewalls le plus répandu dans le domaine informatique. Il se présente
sous forme de câble de connexion qui intègre la fonction de filtrage d’où le nom firewall.
En général ils ne présentent pas d’adresse IP à leur interface et ont pour fonction principale
la transmission des paquets d’un réseau à un autre grâce aux règles préalablement définies.
L’absence de son adresse IP le rend indétectable sur le réseau et par le pirate informatique.
En plus son adresse IP, son adresse Mac non plus ne circule pas sur le réseau, ceci le rend
donc invulnérable contre certaines attaques sauf dans le cas où ils sont contournés par des
règles de drop.

2.2.3.1.1 - Avantages :

Tous les paquets qui circulent sur le réseau passeront par lui donc impossible de
l’éviter, il est peu couteux et facilement manipulable.

2.2.3.1.2 - Inconvénient :

Possibilité de le contourner par d’autres règles, il présente des fonctionnalités basiques.

Les Firewalls matériels

Un firewall matériel se définit comme un appareil ou une machine destinée à effectuer


un type de filtrage selon le besoin auquel il a été configuré. Il est donc autonome et présente
pour la plupart des cas au moins deux interfaces réseaux lui permettant de pouvoir contrôler
et analyser toutes les données qui transitent dans le réseau. Les firewalls matériels de nos

AKETOUWE ALAGBE Page | [23] ANNEE 2019


Chapitre II Sécurité réseau

jours permettent de mettre en place des règles d’accès strictes à certains sites web, dans
d’autres cas ils permettent de gérer les authentifications.5 Ces firewalls ont un niveau de
sécurité bien élevé et leur configuration est souvent difficile mais présentent tout de même
des avantages dans leurs interactions avec d’autres équipements réseaux et aussi ils sont
peu vulnérables.

2.2.3.2.1 - Avantage :

L’atout essentiel qu’offrent ces firewalls matériels est qu’ils sont facilement intégrables
au réseau, présentent des fonctionnalités relativement simples à mettre en œuvre. Ils
présent un niveau de sécurité que l’on peut qualifier de bon et acceptable.

2.2.3.2.2 - Inconvénients :

L’inconvénient majeur de ces firewalls matériels est qu’on reste toujours dépendant du
fabricant pour les mises à jour du matériel. Ils restent aussi peu flexibles

Les Firewalls logiciels

C’est les firewalls qu’on retrouve pour la plupart des temps sur les serveurs réseaux et
dans certains routeurs. On distingue ainsi plusieurs catégories :

2.2.3.3.1 - Les firewalls Personnels

Ce sont des firewalls utilisés pour sécuriser les ordinateurs des particuliers. Ils sont
parfois gratuits ou payants et présentent peu d’efficacité en matière de sécurité. Ils sont
simples à utiliser et présentent pas trop de complication afin de permettre à toute personne
de pouvoir l’utiliser sans contrainte.

Avantages

Ils sont efficaces pour une sécurisation poste client, personnalisable et simple à utiliser.

Les firewalls Plus

Ce sont des firewalls avec un niveau de sécurité élevée. Ils tournent généralement sur

5
(2018, 01). Firewall. Firewall-matériel-routeur. Récupérée 08, 2019, à partir de https://le-routeur-
wifi.com/firewall-matériel-routeur

AKETOUWE ALAGBE Page | [24] ANNEE 2019


Chapitre II Sécurité réseau

des systèmes linux et ont les mêmes fonctionnalités que les firewalls matériels que l’on
retrouve dans les routeurs. Le plus usuel est le iptables qui tourne sur le noyau linux.

Les avantages

En ce qui concerne ces types de firewalls, disons qu’ils ont un niveau de sécurité élevée
et sont manipulables.

Inconvénients

L’inconvénient majeur de ces firewalls logiciels est qu’ils n’utilisent pas la couche
réseau. Il suffit juste de contourner le noyau en ce qui concerne la récupération des paquets
en utilisant des librairies spéciales6.Leur gestion nécessite des aptitudes et connaissances
supplémentaires.

2.2.4 - Les différents types de topologies :

La topologie étant la représentation de l’architecture réseau, nous avons plusieurs


schémas d’implémentation d’un pare-feux.

Le filtrage de paquets par routeur:

Le firewall le plus simple un routeur qui filtre les paquets entre internet et le réseau
local. Le routeur assure ses fonctions en ne redistribuant que les paquets autorisés d’après
mes règles de filtrages qu’on lui a indiqué. Généralement les règles de filtrage sont définies
de manière à permettre que les machines du réseau local puissent avoir accès à internet,
tandis que les machines externes n’ont qu’un accès limité au réseau interne.

Figure 2-2 Topologie filtrage de paquets

6
(2018, 01). Firewall. Firewall-matériel-routeur. Récupérée 10, 2019, à partir de https://le-routeur-
wifi.com/firewall-matériel-routeur

AKETOUWE ALAGBE Page | [25] ANNEE 2019


Chapitre II Sécurité réseau

Le pseudo - serveur d’accueil:

Un bastion Host ou la machine rempart est une machine en interne qui joue le rôle de
pare-feux. Il s’agit d’une machine directement exposée aux attaques. Ainsi, un serveur
ayant une adresse IP publique, et par conséquent accessible depuis Internet, est assimilé à
une machine Bastion.

Nous considérons ici que la menace vient uniquement d’Internet et non pas de
l’intérieur du réseau (ce qui est bien sûr restrictif). Ce type de serveur est donc critique
pour la confidentialité, l’intégrité et la disponibilité du réseau. Une attention particulière
doit être portée sur sa sécurité. En effet, si cette machine venait à être compromise, la
sécurité du réseau (totalement ou en partie) serait menacée.

Figure 2-3 Topologie Bastion host

La DMZ (Demilitarized Zone):

Une zone démilitarisée est un sous-réseau se trouvant entre le réseau local et le réseau
extérieur.
Propriétés :

- Les connexions à la DMZ sont autorisées de n’importe où.


- Les connections à partir de la DMZ ne sont autorisées que vers l’extérieur.
Intérêt :
- Rendre des machines accessibles à partir de l’extérieur (possibilité de mettre en
place des serveurs (DNS, SMTP, …)

AKETOUWE ALAGBE Page | [26] ANNEE 2019


Chapitre II Sécurité réseau

Figure 2-4 Topologie DMZ

2.3 - Les VPN

2.3.1 - Définition :

VPN, pour Virtual Privat Network (réseau privé virtuel) désigne un réseau crypté dans
le réseau Internet, qui permet à une société dont les locaux seraient géographiquement
dispersés de communiquer et partager des s de manière complétement sécurisée, comme
s’il n’y avait qu’un local avec un réseau interne. Les VPN sont très utilisés par les
multinationales et grandes sociétés. Ils permettent de garantir la sécurité et la
confidentialité des données qui circulent dans le réseau d’une manière cryptée, afin qu’une
personne malintentionnée ne puisse intercepter les informations.7

2.3.2 - Le principe de fonctionnement :

Le VPN repose sur un protocole de tunneling qui est un protocole permettant de chiffrer
les données par un algorithme cryptographique entre les deux réseaux.

Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié


l’´émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en
empruntant ce chemin virtuel. Les VPN simulent un réseau prive alors qu’ils utilisent une
infrastructure partagée et ceci afin d’assurer un accès aisé et peu couteux à l’intranet ou
aux extranets.

7
(2018, 01). le-VPN. C’est-quoi-le-VPN. Récupérée 08, 2019, à partir de https://www.le-VPN.com/fr/C’est-
quoi-le-VPN-ou-réseau-prive-virtuel

AKETOUWE ALAGBE Page | [27] ANNEE 2019


Chapitre II Sécurité réseau

2.3.3 - Caractéristique d’un VPN :

Un réseau VPN doit supporter tous les protocoles afin de réaliser un vrai tunnel comme
s’il y avait réellement un câble entre les deux réseaux. Il doit pouvoir garantir les
fonctionnalités suivantes :

1. Authentification d'utilisateur : Seuls les utilisateurs autorisés doivent pouvoir


s'identifier sur le réseau virtuel. De plus, un historique des connexions et des actions
effectuées sur le réseau doit être conservés.

2. Gestion d'adresses : Chaque client sur le réseau doit avoir une adresse IP privée. Cette
adresse privée doit rester confidentielle. Un nouveau client doit pouvoir se connecter
facilement au réseau et recevoir une adresse.
3. Cryptage des données : Lors de leurs transports sur le réseau public les données
doivent être protégées par un cryptage efficace :
- Gestion de clés : Les clés de chiffrement du client et du serveur doivent pouvoir
être générées et régénérées.
- Prise en charge multi protocole : La solution VPN doit supporter les protocoles les
plus utilisés sur les réseaux publics en particulier IP.

2.3.4 - Types de VPN :


On peut dénombrer deux grands types de VPN, chacun d’eux caractérise une utilisation
bien particulière de cette technologie :

Le VPN d’accès (poste à site):

Ce type nomade, également appelé Road Warrior permet à un utilisateur distant de son
entreprise de se connecter à celle-ci pour pouvoir profiter de ses services.

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au
réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN.
Nous distinguons deux cas pour ce type de VPN :

AKETOUWE ALAGBE Page | [28] ANNEE 2019


Chapitre II Sécurité réseau

Type 1 : L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée
vers le serveur distant : il communique avec le NAS (Network Access Server) du
fournisseur d'accès et qui à son tour lui établit la connexion cryptée.
Type 2 : L'utilisateur possède son propre logiciel client pour le VPN qui lui permet de
pouvoir dans ce cas d’établir directement la communication de manière cryptée vers le
réseau de l'entreprise.

Figure 2-5 le fonctionnement d’un VPN poste a site

Site à site (LAN to LAN):

Ce réseau permet de relier deux réseaux d’entreprises entre eux de façon transparente.

Il est utilisé pour relier deux ou plusieurs sites d’une même entreprise entre eux. Ce
type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité
des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN
(ex : base de données clients, informations financières, etc.…).

Figure 2-6 Architecture VPN LAN to LAN

Protocoles de réseaux associés au VPN:

Les principaux protocoles utilisés dans le cadre d’un VPN sont de deux types à savoir :
• Les protocoles PPTP ou L2TP du niveau 2.

AKETOUWE ALAGBE Page | [29] ANNEE 2019


Chapitre II Sécurité réseau

• Les protocoles IPSec ou MPLS du niveau 3.


Le protocole PPTP (Point-to-Point Tunneling Protocol)

C’est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics


et ECI Telematics.Il est utilisé pour des connexions PPP (protocole point à point) à travers
des réseaux IP pour créer des VPN c’est une solution très utilisée pour les produits VPN
commerciaux à cause de son intégration facile pour les systèmes d’exploitation Windows.
Le protocole PPTP Il utilise le protocole Ms-Chap pour l’authentification et permet
l’encapsulation des données et leur compression8

Son principe est de créer des paquets sous le protocole PPP et de les encapsuler sous
un diagramme IP. Au cours de l’établissement d’une connexion le client se connecte à son
fournisseur internet dans un premier temps ; cette connexion effectuée par le client établit
une autre connexion de type PPP lui permettant de transiter les données sur internet.
Ensuite une deuxième est établie pour encapsuler les paquets PPP dans des diagrammes
IP. Le tunnel PPTP est donc formé par cette deuxième connexion. Ainsi le protocole PPTP
peut être l’association de plusieurs protocoles. Ces divers protocoles permettent de réaliser
une connexion VPN complète.

Le protocole L2F (Layer Two Forwarding)

C’est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est
implémenté dans le système IOS (International Operating System) équipant les
équipements de marque tel que Cisco. Ce protocole permet à un serveur d’accès distant de
véhiculer le traffic sur PPP, et de transmettre les données jusqu’au serveur L2F.Le serveur
à son tour désencapsule les paquets et les envoie sur le réseau. Notons que ce protocole est
désormais quasi-obsolète et inutilisable de nos jours.

8
(2017, 01). Le-VPN. Les protocoles. Récupérée 08, 2019, à partir de https://www.frameip.com/vpn/ les
Protocoles d’un VPN l

AKETOUWE ALAGBE Page | [30] ANNEE 2019


Chapitre II Sécurité réseau

Le protocole L2TP (Layer Two Tunneling Protocol)

C’est l’aboutissement des travaux de l’IETF (RFC 2661) pour faire converger les
fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de niveau 2 s’appuyant sur
PPP (protocole point à point). Il est actuellement développé et évalué conjointement par
Cisco, Microsoft, 3Com ainsi que d’autres acteurs du réseau.Il transporte des données sur
le réseau IP et est utilisé pour le tunneling sur internet. Les concentrateurs d’accès L2TP
(Lac : L2Tp Access concentrator) et les serveurs réseaux L2TP (Lns : L2TP Network
server) n’intégrant pas directement un protocole capable de chiffrer la donnée, le L2TP
forme un tunnel entre deux points de connexion L2TP, et un second VPN comme le
protocole IPsec qui crypte les données et permet sa sécurisation entre les tunnels 9.Ainsi
l’IETF préconise l’utilisation conjointe d’Ipsec et de L2TP.

Le protocole IPSec (Internet Protocol Security)

C’est un protocole de niveau 3, défini par le la Rfc 2401, permettant de transporter des
données chiffrées et sécurisées sur les réseaux IP. Le Ipsec sécurise le protocole de
communication sur internet tout en vérifiant les sessions avec un cryptage propre associé à
chacun des paquets de données pendant la connexion. On distingue deux modes opératoires
d’un VPN Ipsec : le mode transport et le mode Tunnel. Ces deux modes servent
habituellement à la protection lors du transfert des données entre deux sites distants. Le
mode tunnel assure le cryptage des données tandis que le mode transport, seul le message
dans le paquet est crypté.

L’association d’autres protocoles au VPN Ipsec pour la sécurisation renforcée des


systèmes est un grand atout qu’offre le Ipsec. Il reste de nos jours un bon VPN certes, son
installation nécessite un temps assez long.

Le protonncole MPLS (Multi-Protocol Label Switching)

Le MPLS est un VPN utilisé généralement pour effectuer des connexions site à site, il
est très adaptable et flexible. C’est un une ressource normalisée qui sert à accélérer la

9
(2016, 01). Le VPN. Les VPN. Récupérée 08, 2019, à partir de https://www.frameip.com/VPN l

AKETOUWE ALAGBE Page | [31] ANNEE 2019


Chapitre II Sécurité réseau

distribution de paquets dans un réseau avec de multiples protocoles. Un VPN PMLS est un
système basé sur les fournisseurs d’accès. Dans ce cas un site ou plusieurs sont
interconnectées pour former un VPN avec le même fournisseur d’accès ISP. Il permet de
construire également des VPN qui ne nécessitent pas de modifications supplémentaires au
plan d’adressage IP clients.

Le principe fonctionnement d’un MPLS est basé sur la commutation de Labels. Les
chemins sont établis de façon manuelle entre les PE (Provider Edge) ou d’une façon
automatique. Lesdits chemins sont appelés des LSP (Label Switched patchs).

L’inconvénient pour un VPN MPLS est qu’il n’est pas du tout facile de le mettre en
œuvre comme les autres VPN et reste peu maniable. Notons de mémé qu’il est cher et peu
de personnes arrivent à s’en approprier

Le protocole SSL (Secure Sockets layer) TLS (transport Layer Security)

Le SSL et le TLS fonctionnent ensemble comme un protocole ils sont utilisés pour
construire des connexions VPN. L’internet sert de client et les accès utilisateurs restreints
à certaines applications. Ils sont dédiés aux fournisseurs de services et pour la plupart les
sites de vente en ligne. Notons aussi que nos navigateurs internet intègrent le SSL et le TLS
ce qui offre une meilleure sécurisation de nos ²²ordinateurs.

2.4 - Avantages et inconvénients du VPN :

Dans ce qui suit, nous allons introduire certains avantages et inconvénients des VPN
comme suit

2.4.1 - Avantages :

• La possibilité de réaliser des réseaux privés à moindre coût par rapport à tout autre
type de connexion, l’entreprise ne paye que l’accès à Internet, il n’est pas nécessaire
de payer une communication nationale ou internationale.
• La mise en œuvre d’un Intranet étendu et homogène permettant à tous les utilisateurs
d’accéder à distance à des ressources partagées ou des services de types ASP
(application service provider), quelle que soit leur localisation.

AKETOUWE ALAGBE Page | [32] ANNEE 2019


Chapitre II Sécurité réseau

• L’utilisation de tunnels de communication cryptés pour l’extension des réseaux


locaux. La possibilité de communiquer entre vos partenaires ou vos clients en toute
sécurité.

2.4.2 - Inconvénients :

• Dépendance du réseau : contrairement aux connexions à la demande, les performances


de l’abonnement internet de l’un ou l’autre des deux parties (société ou nomade) ont
un impact non négligeable sur la qualité des transmissions. Tout problème chez le
fournisseur d’accès de l’un ou de l’autre peut provoquer une incapacité totale à
communiquer.
• Sécurité des données : Si le VPN est mal configuré, les fuites seront plus
fréquentes, ce qui permettra aux pirates de s’introduire dans le réseau.10Notons aussi
que le protocole de sécurité peut être difficile à mettre en place selon le type de VPN,
alors une mauvaise configuration entrainera des failles de sécurité.

2.5 - Les pare-feu réseaux au cœur des entreprises

Les différentes méthodes de hacking et des cyberattaques poussent les entreprises à


s’intéresser aux pare-feux et généralement de nouvelle génération pour améliorer la
sécurité de leur système d’information Ces inquiétudes ont été suscité par la montée des
logiciels malveillants basés sur le web et les tentatives d’intrusion qui contourne jour et
nuit les périmètres de protection afin de nuire .tout ceci poussent les chercheurs changé et
à réexaminer la capacité des pare-feux nouvelle génération et à se pencher sur la prévention
des menaces actuelles .

Le marché mondial des pare-feux nouvelles génération (NGHW) doit avoisiner près de
4.69 milliards en 2023, soit une progression d’environ 11,4% du TCAC entre 2017-2023.

10
(2018, 01). Le VPN. Avantages-et-inconvénients-des-vpn/. Récupérée 08, 2019,
à partir de https://fr.vpnmentor.com/blog/avantages-et-inconvenients-des-vpn/

AKETOUWE ALAGBE Page | [33] ANNEE 2019


Chapitre II Sécurité réseau

De nos jours le marché des pare-feux réseaux d’entreprise propose des capacités de
nouvelle génération, mais les fournisseurs diffèrent selon l’étendue et la profondeur de
l’offre.

2.5.1 - Principes et caractéristiques des pare-feux NGFW

Les NGFW (Next Génération Firewalls) se caractérisent notamment par la


connaissance de l’identité, le support pour les pare-feux d’entreprise individuels, entreprise
avec filaires, zone démilitarisées (DMZ) à plusieurs niveaux, ainsi que des versions
virtuelles qui peuvent être déployées dans le cloud. Les NGFW sont dotés des fonctions de
sensibilisations aux applications, de capacité de production de rapports, d’outils de gestion
complet, de contrôle des utilisateurs, de préventions des intrusions, de mise en œuvre de
politique pour les applications, d’alerte et intègre des flux de renseignements sur les
menaces.

2.5.2 - Quelques pare-feux de nouvelle génération

Les pare-feux de nouvelle génération à considérer pour l’année 2019 tout en incluant
leurs caractéristiques, se différencient par les fonctionnalités supplémentaires et des
interfaces flexibles. Parmi les plus importants et renommés sur le marché mondial nous
pouvons citer les trois meilleurs fournisseurs de NGFW pour l’année 2019 :

1. Fortinet FortiGate

Grace à sa volonté d’appliquer une approche architecturale de la sécurité sur


l’ingénierie, Fortinet assure une innovation continue, fournissant aux clients l’accès aux
outils de sécurité de ponte dont ils ont besoin pour réussir dans la nouvelle économie
numérique. Le pare-feu nouvelle génération FortiGate est une appliance de sécurité réseau
très performante qui ajoute des fonctions de préventions des intrusions, de contrôle des
applications et d’anti-malware à la combinaison traditionnelle de pare-feu/VPN. FortiGate
intègre des fonctionnalités de sécurité et de SD-WN. La solution SD-Wan sécurisé
FortiGate intègre toutes les fonctionnalités proposées par ls fournisseurs de SD-WAN, y

AKETOUWE ALAGBE Page | [34] ANNEE 2019


Chapitre II Sécurité réseau

compris des fonctions de sécurité avancée dans une seule et même offre FortiGate procure
une plateforme de sécurité de bout n bout couvrant l’ensemble d’un réseau11.

2. Palo Alto Networks PA-Séries

Les pare-feux nouvelle génération de Pal Alto Networks sont basés sur une single pass
architecture cohérente. Gatner a cité pour la septième fois Palo Alto Networks dans son
Magic Quadrant 2018 consacré aux pare-feux réseaux d’entreprise, en le classant à la plus
haute place dans la capacité d’exécution et l’exhaustivité de la vision pour les pare-feux
réseaux d’entreprise. Palo Alto intègre des services de sécurité mobile GlobalProtect étant
la sécurité basée sur les politiques aux appareils mobiles. Les pare-feux de nouvelle
génération PA séries de Palo Alto réduisent les temps de réponse en appliquant une
méthode automatique basée sur les politiques et l’automatisation des workfllows se fait par
intégration aux outils

3. Forcepoint NGFW

Le NGFW de Forcepoint fournit la connectivité SD-WAN et la sécurité NGFW pour


les entreprises. Il inclut des fonctionnalités de surveillance centralisée, de gestion et de
rapport de drivers environnements virtuels, physiques et cloud. Le NGFW aide également
à comprendre le risque associé aux applications cloud non associés aux applications, pour
rediriger plus facilement les utilisateurs vers des applications plus appropriées ou les
bloquer complétement. Un autre avantage est que les politiques d’accès peuvent établir une
liste blanche ou liste noire d’application endpoint, de niveaux de correctifs ou d’états
spécifiques. Les actions des utilisateurs sont consolidées dans des tableaux de bord
exploitables12.

11
(2019, 01). Firewall. Fortinet. Récupérée 17, 2019, à partir de http://configgroup.com/actualite-fortinet-leader-
dans-le-magic-quadrant-de-gartner-pour-les-network-firewalls/
12
(2019, 01). Firewall ngfw. Fortinet. Récupérée 17, 2019, à partir de https://www.infradata.be/fr/actualite-et-
blog/le-top-5-des-fournisseurs-de-pare-feux-nouvelle-generation- ngfw

AKETOUWE ALAGBE Page | [35] ANNEE 2019


Chapitre II Sécurité réseau

2.6 - Motivation du choix de la solution

Apres l’analyse très minutieuse du réseau de la STGT nous avons donc décidé comme
proposition la mise en place d’un ensemble de pare-feux et des canaux sécurisés (VPN)
pour améliorer à cet effet la sécurité du système informatique, car un pare-feux est la
sécurité optimale la plus urgente dans l’immédiat et un VPN pour un accès à distance
sécurisé. Ceci enfin de permettre aux clients et autres sites de se connecter à la direction en
toute sécurité. L’implémentation du pare-feux et du VPN comme énoncé plus haut se fera
grâce à la solution FortiGate que nous jugeons plus efficace dans ce document.

2.6.1 - Pourquoi nous avons préféré la solution FortiGate ?

Avant tout il faut s’intéresser aux différents atouts que nous offre FortiGate.

Fortinet reconnu pour la dixième fois de suite comme leader dans le Magic Quadrant de
Gartner pour les Networks Firewalls. C’est un leader mondial des solutions de
cybersécurités parmi tant autre. Il est élevé pour l’exhaustivité de sa vision et sa capacité
d’exécution. Son classement dans le Magic Quadrant est en grande partie attribuable à son
engagement à permettre une approche de réseau axée sur la sécurité, qui intègre la sécurité
à chaque élément du réseau.

Les pare-feux FortiGate assurent une protection de bout en bout et d’une façon cohérente.
Ce qui permet aux utilisateurs d’architecturer le réseau orienté sécurisé pour en tirer un
certain nombre d’avantages :

• Secure SD-WAN (Sécurité basée sur le SD-WAN) : le SE-WAN intègre une sécurité
avancée pour les sites d’entreprise distribués afin d’améliorer l’expérience utilisateur
et réduire les coûts WAN sans compromettre la sécurité de l’entreprise.
• Cloud Security (Sécurité cloud) : FortiGate Network Firewalls sécurisent les
environnements multi-cloud en prenant en charge les six principaux fournisseurs
Iaaas.
• Accelerate the cloud On Ramp : Le centre de données hybride haute performance et
les solutions SD-WAN accélèrent le cloud on-ramp en fournissant une connectivité

AKETOUWE ALAGBE Page | [36] ANNEE 2019


Chapitre II Sécurité réseau

haute vitesse sécurisée et une inspection SSL profonde aux environnements multi-
cloud. Fortinet est également le seul fournisseur à effectuer l’inspection des flux
cryptés qui utilisent la nouvelle norme de cryptage TLS 1.3.

À ses avantages s’ajoute sa richesse fonctionnelle, plusieurs boucliers incorporés (IPS


intégré, Control applicatif, Bouclier Anti-DDOS, Anti spam…), à sa puissance autrement
dit sa capacité à gérer assez d’utilisateurs, à ses fonctionnalités de gestion du réseau et de
son interface utilisateur convivial.

2.6.2 - Choix d’un pare-feu selon les critères

Le tableau suivant résume l’analyse de quelque pare-feu. Ce choix est fait en fonction
des différentes fonctionnalité et atouts que présente le pare-feu tel que : la performance de
la sécurité mise en place, la valeur, les difficultés liées à l’implémentation, la gestion ou le
management, le support de suivi et les services associés à la solution.

Ce tableau énumère un groupe de dix pare-feux de nouvelle génération mondialement


connus y compris les trois premiers qui figurent dans le classement le Magic Quadrant de
Gartner 2019.

N°3
N°1

N°2

Tableau 2-1 Classification des pare-feux selon les fonctionnalités

AKETOUWE ALAGBE Page | [37] ANNEE 2019


Chapitre II Sécurité réseau

2.7 - Conclusion :

Dans cette partie nous avons vu les des différentes notions, concepts et généralité
associés aux pare-feux et VPN. Ce qu’il faut comprendre de l’intérêt qu’ils apportent dans
le domaine des réseaux et ce qui pourront apporter comme un plus dans l’architecture et la
sécurisation du réseau de la société STGT.

En conclusion disons qu’il peut être difficile de faire un bon choix lorsqu’il est question
de VPN. Ainsi il nous revient d’abord de faire une profonde analyse en définissant le niveau
de sécurité que nous cherchons, déterminer le coût total que cela peut engendrer et la main
d’œuvre nécessaire pour la mise en place de la solution choisie.

Dans la prochaine partie nous allons commencer l’implémentation du pare-feux et du


VPN pour l’accès à distance. La solution choisie dans notre recherche se basera sur
FortiGate pour la mise en place d’un VPN site à site c’est-à-dire permettre aux sites tels
que le port Autonome de Lomé, la Douane Togolaise à se connectés au siège de la S.T.G.T
d’une part et un VPN poste à site pour permettre aux clients de la société de pouvoir se
connecter aux services dont ils sont autorisés.

AKETOUWE ALAGBE Page | [38] ANNEE 2019


Chapitre III Sécurité réseau

PARTIE 3 : IMPLEMENTATION DE LA SOLUTION

AKETOUWE ALAGBE Page | [39] ANNEE 2019


Chapitre III Sécurité réseau

IMPLEMENTATION
3.1 - Introduction :

Pour l’implémentation de la solution, nous allons dans un premier temps définir notre
l’environnement de travail Eve-Ng qui nous permettra de virtualiser et de simuler
l’architecture de la société, ensuite nous passerons à la configuration du pare-feux et des
VPN sur les différents sites. Le choix dans notre recherche s’est basé sur FortiGate qui
nous permettra de réaliser les différents contrôles d’accès aux données et ensuite de faire
un commentaire sur les résultats obtenus.

3.2 - Environnement d’implémentation

Eve-Ng est un outil gratuit (version communautaire) que nous utilisons, elle nous
permet de simuler de différentes architectures réseaux à l’aide d’images (composants) de
différents fabricants de périphériques réseaux.

Eve-Ng en d’autres termes est un environnement qui permet donc de virtualiser, de


simuler des réseaux informatiques ou télécom. Elle nous permet donc de faire des tests et
configuration en toute sécurité avant tout autre déploiement physique.13Eve-Ng est facile
d’utilisation mais nécessite une très bonne machine c’est-à-dire un ordinateur puissant en
ressource matériel : un bon processeur de préférence un core i7, des barrettes mémoires au
minimum huit gigabit de Ram en fonction de l’architecture à implémenter, une bonne carte
graphique au minimum un gigabit dédié.

Pour cette implémentation, la simulation de l’architecture réseau est réalisée dans un


environnement virtuel sous VMware Workstation 15.1.0 édition professionnelle. Cet
environnement de virtualisation est déployé sur un ordinateur portatif dont les
caractéristiques sont les suivantes :

• Pc HP Envy touchSmart 15

13
eve-ng. (s. d.). Consulté le 19 juillet 2019, à l’adresse http://www.eve-ng.net/documentation/

AKETOUWE ALAGBE Page | [40] ANNEE 2019


Chapitre III Sécurité réseau

• Processeur Intel core i5-6200M @ 2.5 GHz


• Mémoire Ram Installée 16 Go
• Système d’exploitation Windows 10 professionnel 64 bits
• Carte graphique intégrée Intel (R) HD 4600
• Capacité du disque dure interne ssd Scandisk 512Go SATA

3.2.1 - INSTALATION ET CONFIGURATION DE Eve-Ng

Notre environnement de simulation Eve-Ng sera installer sur la plateforme de


virtualisation ici VMware Workstation. Nécessitant une capacité de stockage assez élevée,
l’espace alloué pour notre station de travail c’est-à-dire notre simulateur est estimé à 160
Go et 10 Gb de Ram allouées.

La figure ci-dessous illustre le démarrage de notre simulateur Eve-Ng nous permettant


d’accéder à son interface graphique :

Figure 3-1 Interface de connexion Eve-Ng community Edition 1

L’image ci-dessous montre la première interface de travail de notre simulateur. Dans


la barre gauche on n’y voit les différents dossiers et lab. Un dossier FortiGate contiendrait
tous nos Lab et configurations. L’interface Lab où nous représenterons notre architecture
de la solution proposée. Le reste du travail en ce qui concerne l’implémentation se
poursuivra sur cette interface.

AKETOUWE ALAGBE Page | [41] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-2 Eve-Ng community Edition Lab

3.3 - Architecture optimisée

Notre architecture proposée de la figure suivante est plus optimisée et plus fiable. Nous
avons ajouté deux firewall FortiGate, grâce aux deux pare-feux le réseau global est plus
sûr qu’au départ.

AKETOUWE ALAGBE Page | [42] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-3 Architecture Optimisée

Cette nouvelle architecture permettra de faire respecter la politique de sécurité du


réseau de la STGT. Les deux pare-feux situés de part et d’autre sur les deux sites
permettront de mettre en place un VPN site à site (entre le Siège et le site Tech) dans un
premier temps .Dans un deuxième temps un autre VPN d’accès distant sera mis en place
toujours sur le pare-feu du siège dans le but de permettre aux partenaires de la société et
aux clients de se connecter aux ressources dont ils ont besoin .Une politique de sécurité
sera mise en place par la suite sur le pare-feu siège définissant les règles d’accès aux
données .

AKETOUWE ALAGBE Page | [43] ANNEE 2019


Chapitre III Sécurité réseau

3.4 - Mise en œuvre pratique

Dans un premier temps nous allons représenter l’architecture optimisée sur notre de la
solution proposée. Pour une parfaite réussite de cette simulation nous avions choisi
quelques composants que nous énumérons comme suit :

• 7 Routeurs,
• 10 VPC,
• 4 postes,
• Linux,
• 1 Network

MODELES UTILISATION
• 4 ROUTEURS 3725 • Utilisés en tant que switch par
l’extension NM-16ESW
• 10 VPC • Utilisés en tant que Pc pour le
test de connectivité Ping.
• 4 PC LINUX • Utilisés en tant que Pc à
interface graphique pour des
test aux sites et aux
applications
• 2 ROUTEURS 3725 • Utilisés respectivement
comme routeur
• 1 ROUTEUR • Utilisé pour simuler le nuage
internet
• 1 NETWORK • Utilisé pour l’administration
graphique des deux FortiGate

Tableau 3-1 Composants utilisés dans le Lab

Cependant pour des raisons de performance, nous n’exécuterons uniquement que


quelques équipements pour les tests. Nous représentons donc l’architecture sur l’outil de
travail de Eve-Ng.

AKETOUWE ALAGBE Page | [44] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-4 Architecture réseau optimisée STGT sur Eve-Ng

3.4.1 - Configuration de Base

Ici nous montrerons la configuration de base des deux FortiGate utilisés sur les deux
sites à savoir au siège de la société et au bureau des techniciens de suivi.

Configuration du FortiGate Siege (site administratif)

Dans cette configuration de base de l’équipement FortiGate 1, c’est de donner


principalement les paramètres initiaux nous permettant d’administrer en mode graphique
l’équipement et la réinitialisation du coup des comptes admin. Le tableau ci-après résume
les commandes effectuées en ligne de commande.

AKETOUWE ALAGBE Page | [45] ANNEE 2019


Chapitre III Sécurité réseau

COMMANDE UTILITE
• LOGIN • Elle permet de s’identifier
• MOT DE PASSE • Elle permet de s’authentifier
dans un premier temps le
champ est vide.
• CONFIG SYSTEM INTERFACE • Elle permet de se mettre en
code de configuration des
interfaces.
• EDIT PORT3 • Ici on fait le choix de
configurer le port 3 du
pare-feux.
• SET IP 192.168.1.110 255.255.255.0 • Cette commandé permet
d’attribuer une adresse IP
qu’on utilisera pour
l’administration en mode
graphique.
• SET ALLOWACCESS HTTPS HTTP SSH • Cette ligne permettra
PING d’activer tous ces protocoles
au niveau du port 3.
• SHOW • Permettre de visualiser les
configurations sur le port.
• END • Permet de mettre fin aux
configurations
Tableau 3-2 Configuration de base FortiGate siège

• Démonstrations sur le FortiGate 1 (Site Administratif)

Etape 1 : Connexion au FortiGate 1 et accès à l’interface d’authentification primaire.

Figure 3-5 Authentification et Accès au FortiGate

AKETOUWE ALAGBE Page | [46] ANNEE 2019


Chapitre III Sécurité réseau

Etape 2 : Edition du port et Adressage IP ici 192.168.1.110 255.255.255.0

Figure 3-6 Adressage IP du port 3 de FortiGate

Etape 3 : Autorisation des protocoles tels que le Https, le http, ssh et le ping sur le port

Figure 3-7 Autorisation des protocoles

AKETOUWE ALAGBE Page | [47] ANNEE 2019


Chapitre III Sécurité réseau

Etape 4 : Vérification des configurations effectuées et clôture de session.

Figure 3-8 Vérification des configurations

Configuration du FortiGate sur le Site des Techniciens de suivi

La configuration de base du second FortiGate est identique avec le premier mais


avec une adresse IP différente qui permettra aussi l’administration en mode
graphique du FortiGate 2.
COMMANDE UTILITE
• LOGIN • Elle permet de s’identifier
• MOT DE PASSE • Elle permet de s’authentifier dans
un premier temps le champ est
vide.
• CONFIG SYSTEM INTERFACE • Elle permet de se mettre en mode
de configuration des interfaces.
• CONFIG SYSTEM INTERFACE • Elle permet de se mettre en mode
de configuration des interfaces.
• EDIT PORT3 • Ici on fait le choix de configurer le
port 3 du pare-feux.
• SET IP 192.168.1.120 255.255.255.0 • Cette commande permet d’attribuer
une adresse IP qu’on utilisera pour
l’administration en mode
graphique.

AKETOUWE ALAGBE Page | [48] ANNEE 2019


Chapitre III Sécurité réseau

• SET ALLOWACCESS HTTPS HTTP • Cette ligne permettra d’activer tous


SSH PING ces protocoles au niveau du port 3.
• SHOW • Permettre de visualiser les
configurations effectuées.
• END • Permet de mettre fin aux
configurations

Tableau 3-3 Configuration de bas FortiGate Techniciens

Etape 1 : Connexion au FortiGate 2 et accès à l’interface d’authentification primaire.

Figure 3-9 Authentification et Accès au FortiGate

Etape 2 : Edition du port et Adressage IP ici 192.168.1.100 255.255.255.0

Figure 3-10 Adressage IP du port 3 de FortiGate

AKETOUWE ALAGBE Page | [49] ANNEE 2019


Chapitre III Sécurité réseau

Etape 3 : Autorisation des protocoles tels que le Https, le http, ssh et le ping sur le port

Figure 3-11 Autorisation des protocoles

Etape 4 : Vérification des configurations effectuées et clôture de session.

Figure 3-12 Vérification des configurations

Ces premières configurations nous permettent de continuer en mode (Lan, Wan,


VPN…) en mode graphique. Pour accéder au mode graphique du FortiGate siège

AKETOUWE ALAGBE Page | [50] ANNEE 2019


Chapitre III Sécurité réseau

entrons l’adresse IP de l’interface destinée à cet effet. Dans notre cas actuel l’interface 3
avec pour adresse IP : 192.168.1.120

Figure 3-13 Interface de connexion Graphique FortiGate

3.4.2 - Création du lien VPN entre le Siege Administratif et le site des Techniciens

Pour garantir l’accès à distance aux équipements ou encore aux données disponibles au
siège administratif, nous avons choisi de mettre en place un VPN Ipsec site à site selon la
configuration du schéma ci-dessous.

Wan
Wan
172.10.10.110 172.10.10.120

Figure 3-14 Topologie VPN site à site

AKETOUWE ALAGBE Page | [51] ANNEE 2019


Chapitre III Sécurité réseau

Nous allons dans un premier temps configurer les deux FortiGate de part et d’autre
afin de donner les autorisations nécessaires pour l’interconnexion des deux sites (le site
Administratif et le site des techniciens de suivi).

Configuration du FortiGate coté Siège:

La configuration du VPN site à site coté siège se déroulera en trois étapes :

1. La création d’un nouveau tunnel


2. L’authentification
3. La politique de sécurité

3.4.2.1.1 - Description des différentes étapes :

• La création d’un nouveau tunnel sur le FortiGate siège


Dans la définition formelle d’un VPN qui est, l’établissement d’un tunnel entre un point
A et un point B pour l’échange sécurisé de données. Donc pour établir ce type de VPN, il
faut nécessairement au préalable créer « un tunnel » et après ajouter les spécificités
voulues. Nous avons deux types de tunnels VPN : le point to point et d’accès.

Nous préconisons dans notre configuration actuelle un tunnel pour le point to point car
nous avons des équipements de même nature sur les deux sites connectés.

1 Pour créer un nouveau tunnel VPN Ipsec sur la branche siège, nous allons dans un
premier temps nous connecter à l’interface graphique, renseigner le nom d’utilisateur
et le mot de passe ensuite accéder à VPN → Assistant → créer nouveau tunnel.
2 Dans l’étape de configuration de ce tunnel VPN Ipsec nous allons définir le type de
modèle sur Site à Site, pour type de périphérique sur FortiGate et définir la
configuration NAT sur Aucun entre les sites14 .le schéma si dessous représente la
description de cette configuration que nous venons d’énumérer :

14
(2018, 01). Fortinet. Training. Récupérée 09, 2019, à partir de https://www.fortinet.com/support-and-
training/training.htm

AKETOUWE ALAGBE Page | [52] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-15 configuration du tunnel coté siège

• L’authentification
L’importance d’un lien VPN est la sécurité, l’unicité du lien qu’il procure, pour cela il
faut renseigner les informations « uniques » de l’équipement distant, en d’autres termes
l’adresse IP publique (172.10.10.0/24) des deux FortiGate ainsi que les interfaces de sortie
où l’adresse est assignée.

Cependant ces informations ne suffisent pas à sécuriser le lien, ils renseignent juste les
coordonnées de l’autre site pour garantir les échanges. On a eu à ajouter une clé partage la
« pre-shared key » pour sécuriser le tunnel.15

1 Dans l’étape d’authentification, définir l’adresse IP sur l’IP publique du site


TECHNICIEN, dans notre cas actuel (172.10.10.120)
2 Choisir l’interface de sortie dans le menu déroulant
3 Définir ensuite une clé-partagée sécurisée.

15
(2018, 01). Fortinet. Training. Récupérée 09, 2019, à partir de https://www.fortinet.com/support-and-
training/training.htm

AKETOUWE ALAGBE Page | [53] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-16 Authentification

• Politique et Routage
Dans cette étape il est question de routage, il faut donc renseigner l’interface du réseau
local du siège, le sous-réseau est automatiquement ajouté (192.168.100.0/24) et le sous
réseau local du site distant (192.168.200.0/24).

A la validation des informations, le tunnel est ainsi créé avec les politiques, règles pour
le lien Siège-Technicien (Local-Distant) et Technicien-Siège (Distant-Local) qui seront
donc utilisées pour le routage.

1 Dans cette étape Policy & Routing, définir Local interface sur Lan. L’assistant
ajoutera automatiquement le sous-réseau local. Définir ensuite les sous-réseaux
distants sur le sous réseau du réseau du site technicien dans notre exemple
(192.168.200.0/24)
2 Ensuite définir l’Accès Internet sur Aucun

Figure 3-17 politique de sécurité et Routage coté Siege

AKETOUWE ALAGBE Page | [54] ANNEE 2019


Chapitre III Sécurité réseau

Une page affiche la configuration créée par l’assistant : les interfaces, les adresses, les
stratégies et itinéraires

Figure 3-18 récapitulatif de la configuration

• Affiche de l’interface VPN créée par l’assistant aller dans Réseau →Interface

Figure 3-19 interface des VPN coté SIEGE

• Afficher les itinéraires de pare-feux crée aller à Réseau → Itinéraires statiques


Figure 3-20 interface VPN coté SIEGE

Figure 3-21 itinéraire VPN coté SIEGE

• Afficher les règles IPv4 du pare-feux créé par l’assistant, aller à Stratégie &
objets→ règle IPv4

AKETOUWE ALAGBE Page | [55] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-22 les règles IPv4 du VPN coté SIEGE

Configuration du FortiGate coté technicien:

La configuration du VPN site à site coté technicien se passe également en trois


étapes :
• La création d’un nouveau tunnel
• L’authentification
• La politique de sécurité
3.4.2.2.1 - Description des différentes étapes :

• La création d’un nouveau tunnel

Dans la définition formelle d’un VPN qui est, l’établissement d’un tunnel entre un point
A et un point B pour l’échange sécurisé de données. Donc pour établir un VPN il faut
nécessaire au préalable créer « ce tunnel » et après lui ajoutés les spécificités voulues.

Nous avons deux types de tunnels VPN : le point to point et d’accès.

Dans notre configuration actuelle le type de notre tunnel est le point to point car nous
avons des équipements de même nature sur les deux sites (siège te technicien)

Figure 3-23 configuration du tunnel coté Technicien

AKETOUWE ALAGBE Page | [56] ANNEE 2019


Chapitre III Sécurité réseau

• L’authentification
L’importance d’un lien VPN est la sécurité, l’unicité du lien qu’il procure, pour cela il
faut renseigner les informations « uniques » de l’équipement distant, en d’autres termes
l’adresse IP publique (172.10.10.110 /24) du FortiGate du siège ainsi que l’interface de
sortie où l’adresse est assignée.

Cependant ces informations ne suffisent pas à sécuriser le lien, ils renseignent juste les
coordonnées de l’autre site pour garantir les échanges. Dans cette étape d’authentification,
il faut définir l’adresse IP sur l’IP publique du site SIEGE, dans notre cas actuel
(172.10.10.110)

1. Choisir l’interface de sortie dans le menu déroulant

Définir ensuite une clé-partagée sécurisée.

Figure 3-24 configuration du tunnel coté Technicien

• Politique et Routage
Dans cette étape il est question de routage, il faut donc renseigner l’interface locale du
réseau local, le sous-réseau est automatiquement ajouté (192.168.200.0/24) et le sous
réseau local du site distant (192.168.100.0/24).16

A la validation des informations, le tunnel est ainsi créé également avec les politiques,
les règles pour le lien Technicien-Siège (Local-Distant) et Siège-Technicien (Distant-
Local) qui seront donc utilisés pour le routage.

16
(2018, 01). Fortinet. vpn-configuration-guide. Récupérée 09, 2019, à partir de
https://help.zscaler.com/zia/ipsec-vpn-configuration-guide-fortigate-60d-

AKETOUWE ALAGBE Page | [57] ANNEE 2019


Chapitre III Sécurité réseau

1. Dans cette étape Policy & Routing, définir Local interface sur Lan. L’assistant
ajoutera automatiquement le sous-réseau local. Définir ensuite les sous-réseaux
distants sur le sous réseau du réseau du site Siege dans notre exemple
(192.168.100.0/24)
2. Ensuite définir l’Accès Internet sur Aucun

Figure 3-25 politique de sécurité et Routage coté Technicien

Une page affiche la configuration créée par l’assistant : les interfaces, les adresses, les
stratégies et itinéraires.

3-26 Récapitulatif de la configuration

AKETOUWE ALAGBE Page | [58] ANNEE 2019


Chapitre III Sécurité réseau

• Affiche de l’interfaces VPN créée par l’assistant aller dans Réseau →Interface

Figure 3-27 interface VPN coté technicien

• Afficher les itinéraires de pare-feux crée : Réseau → Itinéraire statiques

Figure 3-28 itinéraire VPN coté technicien

• Afficher les règles ipv4 du pare-feux créé par l’assistant, aller dans Stratégie &
objets→ règle ipv4

Figure 3-29 règles IPv4 du VPN coté technicien

3.4.3 - Création du lien VPN entre le Siège Administratif et les Clients :

La société étant à but lucratif offre des services à une clientèle. Elle doit donc assurer
les échanges d’informations entre elle et ses clients, car elle dispose de précieuses données
personnelles et financières liées aux clients. Pour ce faire il faut donc mettre en place un
VPN (d’accès) entre le siège et ces clients. Ceci pour permettre aux partenaires et aux
clients de se connecter en toute sécurité aux données auxquelles ils ont accès. Dans ce cas
deux possibilités s’offrent à nous : le protocole Ipsec ou SSL.

+La création du VPN d’accès distant est regroupée en deux grandes étapes :

• La création des utilisateurs et groupe utilisateur du lien

AKETOUWE ALAGBE Page | [59] ANNEE 2019


Chapitre III Sécurité réseau

• La configuration du VPN d’accès (Ipsec ou SSL) proprement dite

Description des étapes à suivre :

La création des utilisateurs et groupe utilisateur du lien

Le VPN d’accès distant à la différence du VPN site à site, ce dernier a besoin d’une
authentification forte de la part de l’utilisateur ainsi qu’une traçabilité car il offre au client
qui se connecte un accès total ou partiel des ressources. Il faut donc une gestion rigoureuse.

Dans un premier temps, il faut donc créer les utilisateurs avec un nom d’utilisateur et
un mot de passe (login et password) ensuite créer un groupe qui contiendrait l’ensemble
des utilisateurs crées et autorisés à se connecter au VPN.

La configuration du VPN d’accès (Ipsec, SSL) proprement dite

3.4.3.2.1 - La configuration du VPN via Ipsec

L’étape de création et configuration du VPN d’accès distant via Ipsec s’effectue en


cinq sous étapes qui sont :

1. Ajout de l’adresse du réseau local

L’étape consiste à créer au niveau des politiques & objets l’adresse local du réseau en
définissant le Type d’IP/Masque, sous-réseau/IP Range pour ce sous-réseau local et de
l’interface du port interne.

Cette adresse sera utilisée au niveau de la politique et du routage décrit plus bas

2. Création du VPN

Cette étape consiste donc à créer « le tunnel » dont le type ici est l’accès distant, de
choisir le type d’équipement distant ici le Forticlient qui servira aux utilisateurs pour
pouvoir se connecter au siège via le tunnel.

3. L’authentification
Cette étape à renseigner l’interface directement connecté à l’internet, le nœud partagé
par le siège et les clients, la méthode d’authentification (pre-shared) en donnant la clé ainsi
partagée et enfin le groupe d’utilisateurs du tunnel créé plus haut.

AKETOUWE ALAGBE Page | [60] ANNEE 2019


Chapitre III Sécurité réseau

4. La politique et le routage
Elle renseigne ici l’interface local, l’adresse local, la plage d’adresse des clients ainsi
que le masque de sous réseau. Ces éléments du réseau seront utilisés lors du routage.

5. Les options du client


Elle donne le choix de choisir les options de connexion comme la sauvegarde du mot
de passe, de la connexion automatique ou encore toujours up (Always Up keep alive).

Ces cinq étapes permettent uniquement de créer le tunnel VPN d’accès distant. Ce
cependant pour transiter des données ou les informations sur le tunnel il faut une politique
de sécurité.

Cette politique créée permet de transiter des données sur le tunnel grâce au lien crée
sur l’interface entrant et celui connecté à internet vers le réseau local.

La configuration du tunnel d’accès distant ainsi que la politique de sécurité permettent


l’envoi et la réception des données sur le tunnel via le Forticlient défini plus haut comme
interface qui permettra aux utilisateurs de s’authentifier afin d’avoir accès aux ressources
disponibles au siège.

Il revient donc de choisir au niveau de l’application Forticlient le type de VPN, donner


un nom à la connexion, une description au besoin, le Gateway du FortiGate siège, la
méthode d’authentification (pre-shared) ainsi que le mot de passe partagé pour finir
l’option de connexion et l’identifiant de l’utilisateur.

La configuration du VPN via SSL

L’étape de création et configuration du VPN d’accès distant via SSL s’effectue


en cinq étapes qui sont :

1. Ajout de l’adresse du réseau local

L’étape consiste à créer au niveau des politiques & objets l’adresse local du réseau en
définissant le Type d’IP/Masque, sous-réseau/IP Range pour ce sous-réseau local et de
définir l’interface du port interne. Cette adresse sera utilisée au niveau de la politique de
routage décrit plus bas

AKETOUWE ALAGBE Page | [61] ANNEE 2019


Chapitre III Sécurité réseau

2. Activation du portail d’accès complet le full Access portal

Cette étape permet uniquement d’activer le portail pour l’accès complet « le full Access
portal » permettant l’utilisation du mode tunnel et/ou du mode web.

3. Configuration des paramètres du VPN

La configuration des paramètres est de renseigner l’interface d’écoute du portail (Wan),


le port d’écoute qui par défaut est 443 généralement en conflits avec le port Https. Il faut
donc changer ce port.

Pour l’authentification et le mappage, les utilisateurs du groupe créé plus haut auront
droit à un accès complet (mode web et tunnel) tandis que les autres auront uniquement un
accès au web.17

4. Création de route(s) pour le VPN

Cette étape permet de créer une stratégie de routage des paquets du réseau local vers la
destination en renseignant l’adresse de destination ainsi que l’interface qui sera connectée
au tunnel « SSL. root ».

5. Création de la politique Lan et Wan pour le VPN


• La politique Lan

Elle permet donc d’autoriser l’accès du réseau local (Lan) depuis le tunnel dont la
source est l’ensemble des utilisateurs du groupe autorisé crée plus haut. Ces utilisateurs
une fois connectés ont droit à tous les services que l’on peut restreindre au besoin.

L’on peut aussi configurer les profils de sécurité, ajouter un contrôle d’antivirus, un filtrage
web et autre service nécessaire.

17
(2018, 01). fortinet. vpn-configuration-guide. Récupérée 09, 2019, à partir de
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/783623/configuring-ipsec-vpn-on-hq

AKETOUWE ALAGBE Page | [62] ANNEE 2019


Chapitre III Sécurité réseau

• La politique Wan

Elle permet d’autoriser les sorties vers le Wan depuis le tunnel VPN en y renseignant
également des règles de sécurité. On peut permettre au FortiGate siège de vérifier ou non
qu’un utilisateur une fois connecté dispose d’un antivirus.

Dans notre recherche nous avions préféré la mise ne place d’un VPN Ipsec.

La configuration du tunnel Ipsec au Siege

Il est possible de créer un VPN Ipsec commuté avec un client FortiGate à l’aide de
l’interface graphique ou par des invites de commandes.

SIEGE CLIENT

173.10.10.123
Port 4 →

192.168.100.0/24
Port1→

Figure 3-30 topologie d’un VPN Ipsec

Passons à la configuration du VPN IPsec avec le Forticlient en tant que client d’accès
à distance en mode console ou CLI. Cette configuration se déroulera en sept grandes
étapes : Nom = user1 et Mot de passe = 1234

1. Ajout d’un utilisateur


• config user local
• edit "user1"
• set type password
• set passwd 1234

AKETOUWE ALAGBE Page | [63] ANNEE 2019


Chapitre III Sécurité réseau

• next
• end

Figure 3-31 Ajout d’un utilisateur sur le FortiGate Siège

2. Ajout d’un Groupe d’utilisateur


Dans notre Exemple Groupe d’utilisateur = VPNgroup

• config user group


• edit "VPNgroup"
• set member "user1"
• next
• end

Figure 3-32 création d’un groupe d’utilisateur

AKETOUWE ALAGBE Page | [64] ANNEE 2019


Chapitre III Sécurité réseau

3. Nous allons dans cette retape configurer l’interface interne du FortiGate du Siege. Le
lan se connecte au réseau local de l’entreprise. Création d’un groupe d’adresse pour
le réseau protégé du FortiGate qui forcera le trafic à transit par le tunnel Ipsec

• Assignation d’adresse locale au port1 (lan)


• config system interface
• edit "port1"
• set vdom "root"
• set ip 173.10.10.2 255.255.255.0
• next
• end

Figure 3-33 Assignation adresse au port lan

• Création de sous réseau "local_subnet_1" et "local_subnet_2"


• config firewall address
• edit "local_subnet_1"
• set subnet 173.10.10.0/24
• next
• end
• config firewall address
• edit "local_subnet_2"
• set subnet 173.10.11.0/24

AKETOUWE ALAGBE Page | [65] ANNEE 2019


Chapitre III Sécurité réseau

• next
• end

Figure 3-34création de sous réseau

• Création d’un groupe d’adresse associant "local_subnet_1" et "local_subnet_2"


• config firewall addrgrp
• edit "local_network"
• set member "local_subnet_1" "local_subnet_2"
• next
• end

Figure 3-35 Création d’un groupe d’adresse

4. Nous allons configurer le port4 du FortiGate (interface Wan) qui sera connecté à
internet. Ce port peut fonctionner en mode DHCP, en mode statique ou bien même
en PPOE. Le tunnel Ipsec sera établi donc sur ce port4 du FortiGate du Siege
• Config system interface
• edit "port4"

AKETOUWE ALAGBE Page | [66] ANNEE 2019


Chapitre III Sécurité réseau

• set vdom "root"


• set ip 172.20.120.123 255.255.255.0
• next
• end

Figure 3-36 Configuration du port tunnel

5. Ajout d’une plage d’adresse pour le pare-feux et qui sera attribué


automatiquement aux clients
• config firewall address
• edit "client_range"
• set type iprange
• set start-ip 10.10.2.1
• set end-ip 10.10.2.200
• next
• end

Figure 3-37 Création d’une plage d’adresse

6. Dans cette étape, la méthode d’authentification utilisé sera le PSK.


L’authentification par signature reste aussi une option. Configurons donc
l’interface Ipsec phase1
• config VPN ipsec phase1-interface

AKETOUWE ALAGBE Page | [67] ANNEE 2019


Chapitre III Sécurité réseau

• edit "for_client"
• set type dynamic
• set interface "port4"
• set mode aggressive
• set peertype any
• set net-device enable
• set mode-cfg enable

Figure 3-38 Création interface phase1


• set proposal des-sha1 des-sha256
• set dpd on-idle
• set xauthtype auto
• set authusrgrp "VPNgroup"
• set assign-ip-from name

Figure 3-39 Méthode de chiffrement et authentification

AKETOUWE ALAGBE Page | [68] ANNEE 2019


Chapitre III Sécurité réseau

• set ipv4-name "client_range"


• set dns-mode auto
• set ipv4-split-include "local_network"
• set save-password enable
• set psksecret your-psk
• set dpd-retryinterval 60
• next
• end

Figure 3-40 gestion de mot de passe du tunnel

7. Configuration de l’interface Ipsec phase 2


• config VPN ipsec phase2-interface
• edit "for_client"
• set phase1name "for_client"
• set proposal des-sha1 des-sha256
• next
• end

Figure 3-41 Création de l’interface phase 2

AKETOUWE ALAGBE Page | [69] ANNEE 2019


Chapitre III Sécurité réseau

8. Mise espace en d’une stratégie du pare-feux pour autoriser le trafic client sur le
tunnel VPN Ipsec crée18
• config firewall policy
• edit 1
• set name "inbound"
• set srcintf "for_client"
• set dstintf "lan"
• set srcaddr "client_range"
• set dstaddr "local_network"
• set action accept
• set schedule "always"
• set service "ALL"
• next
• end

Figure 3-42 Mise en place des règles de sécurité

18
(2018, 01). Fortinet. Vpn-configuration-guide. Récupérée 09, 2019, à partir de
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/783623/configuring-ipsec-vpn-on-hq

AKETOUWE ALAGBE Page | [70] ANNEE 2019


Chapitre III Sécurité réseau

3.4.3.4.1 - Vérification des étapes des créations du tunnel VPN IPsec

Après donc la configuration de notre tunnel IPsec observons donc le résultat


obtenu sur l’interface graphique du pare-feux :

Figure 3-43 interface du tunnel IPsec crée

Figure 3-44Liste des sous réseaux associés au tunnel IPsec

Figure 3-45 Groupe d’adresse du tunnel IPsec

Figure 3-46 Etat du tunnel IPsec

AKETOUWE ALAGBE Page | [71] ANNEE 2019


Chapitre III Sécurité réseau

3.5 - Présentation et Analyse des résultats

• Validation des configurations

-VPN Site à Site entre le siège et le site Techniciens

Après avoir terminé les configurations intermédiaires des deux sites nous pouvons
constater que le lien entre eux est actif.

La figure ci-dessous nous montre que le siège est connecté au site des Techniciens :
nous voyons bien le Statuts de la connexion est ‘UP’.

Figure 3-47 VPN Site à Site actif au siège

La figure ci-dessous nous montre que le site des Techniciens est connecté au siège :

Figure 3-48 VPN Site à Site actif au site des Techniciens

1. Test d’interconnexion site à site

Pour confirmer la connexion des deux sites nous allons faire des tests par la commande
Ping et ensuite faire des captures Wireshack.

AKETOUWE ALAGBE Page | [72] ANNEE 2019


Chapitre III Sécurité réseau

Ping du siège au site des Techniciens :

Figure 3-49 Ping réussi Siège à Technicien

Ping du site Techniciens au siège :

Figure 3-50 Ping réussi Techniciens au Siège

AKETOUWE ALAGBE Page | [73] ANNEE 2019


Chapitre III Sécurité réseau

Capture des paquets via Wireshack

Nous allons ici utiliser le logiciel Wireshack pour capturer les paquets des Ping aux
entrés des réseaux Lan des deux sites cela permettra de confirmer ou non si les paquets
sont cryptés.

Siège (Pc) → Technicien (Pc) :

Figure 3-51 Capture paquets Icmp Siège → Technicien

Technicien (Pc) → Siège

Figure 3-52 Capture des paquets Icmp Techniciens → Siège

AKETOUWE ALAGBE Page | [74] ANNEE 2019


Chapitre III Sécurité réseau

Au regard de ces deux tests par commande Ping nous pouvons dire que le lien VPN
site à site est opérationnel.

Effectuons de nous un test du PC technicien vers un pc du siège prouvant effectivement


que tout pc du site technicien peut se connecter aux ressources du Siège.

La figure ci-dessous montre le test ping réussi du site technicien vers le siège.

Figure 3-53 ping du pc technicien vers le pc Dg du Siège

La figure suivante montre le test ping réussi du siège vers le site technicien.

Figure 3-54 ping du Pc DG vers le site technicien

2. VPN distant entre les clients et le siège

Apres configuration et les limites rencontrées au cours de nos recherches nous avons
préféré le IPsec VPN. Pour qu’un client se connecte aux ressources du Siège, il faut au

AKETOUWE ALAGBE Page | [75] ANNEE 2019


Chapitre III Sécurité réseau

préalable installer et configurer un Forticlient. Il faut renseigner le nom d’utilisateur et le


mot de passe fournis au cours de la configuration du tunnel IPsec sur le pare-feux, du Siège.

La figure uivante montre l’interface de connexion du Forticlient installer sur la machine


d’un client voulant accéder au Siège

Figure 3-55 Page d'authentification du Forticlient

L’utilisateur ‘’ user1’’ crée plus haut dans le groupe d’utilisateur du VPN IPsec une
fois authentifié aura l’accès aux données dont il a droit.

La figure suivante montre l’état de la connexion du Forticlient.

AKETOUWE ALAGBE Page | [76] ANNEE 2019


Chapitre III Sécurité réseau

Figure 3-56 Connexion du Forticlient au siège

L’on constate que l’utilisateurs user1 est bien connecté au siège comme le montre
la figure 57. Nous allons donc essayer de faire un test ping du pc client vers un pc du
siège prouvant une éventuelle possibilité au client de pouvoir se connecter aux
ressources dont il a accès depuis sa position et disposant d’une connexion internet.

La figure suivante montre l’état du test ping du client vers le pc DG du siège.

Figure 3-57 Test du pc client vers le pc DG du siège

AKETOUWE ALAGBE Page | [77] ANNEE 2019


Chapitre III Sécurité réseau

3.6 - Limites de l’étude

Une œuvre humaine n’étant toujours pas parfaite, dans notre étude et quel que
soit le domaine d’étude, des difficultés ont été objet de réflexion. Ainsi au cours de
nos recherches nous avions rencontré à plusieurs étapes de petites difficultés dont les
plus importantes sont :

✓ Le choix de l’énoncé du thème


✓ A la collecte des données, la documentation
✓ La rédaction du document
✓ La variation de la configuration selon la version de l’Appliance utilisé dans
l’environnement virtuel.

3.6.1 - Le choix de l’énoncé du thème

Un mémoire est un exercice de réflexion sur un sujet ou un problématique précis. Le


thème choisi doit répondre alors à la problématique énoncée qu’on peut rencontrer dans
une entreprise. Ce thème doit être pertinent et surtout présenter un intérêt commun pour
l’entreprise et les lecteurs

C’est dans ce contexte et avec toutes ces conditions réelles, le choix de ce thème a été
complexe et pénible. C’est après de longs entretiens et réflexion que ce thème a été retenu
en parfaite harmonie avec notre Directeur de mémoire.

3.6.2 - La collecte des données, la documentation

Au niveau de la collecte des données, la documentation qui est l’une des difficultés
majeures dans l’élaboration d’un document. Les données fournies par la société n’étaient
pas à la hauteur de nos attentes. Les données reçues étaient exclusivement sur
l’organisation administrative de la société et le schéma du réseau informatique. En ce qui
concerne les configurations basiques des équipements déployés dans le réseau de la société,
Une autre difficulté est la documentation sur la technologie et des services qu’il offre.

AKETOUWE ALAGBE Page | [78] ANNEE 2019


Chapitre III Sécurité réseau

3.6.3 - La rédaction du document

Sans la disponibilité du matériel qui est indispensable pour la conduite de ce document


dont nous avons cruellement manqué pour la rédaction de ce.

En effet nous avons su jauger le temps dans la conduite de l’étude dans la mesure où
l’on doit répondre aux exigences du travail en même temps que celles des recherches.

Cependant la volonté et la persévérance n’ont jamais fait défaut, elles nous ont permis
de faire aboutir tant bien que mal ce document dans les temps et les résultats auxquels nous
nous sommes fixés.

3.6.4 - Certaines configurations diffèrent d’une version à une autre.

Tout au long de notre étude nous avons remarqué que certaines configurations sur les
équipements FortiGate diffères selon la version du micrologiciel intégré dans au pare-feux.

Ce constat a été fait lors de la configuration du VPN d’accès qu’elle soit par Ipsec ou SSL,
l’on n’arrivait pas à se connecter via le Forticlient même après toutes les configurations
effectuées par interface graphique. Ce problème lié au chiffrement et la méthode
d’authentification lors de la configuration par interface graphique.

3.7 - Conclusion

Dans ce dernier chapitre nous avions exécuté notre document dans environnement
virtuel ou nous avions implémenté la solution proposée. Un VPN site à site c’est-à-dire un
réseau virtuel sécurisé entre le site Technicien et le Siège de la société dans un premier
temps et par la suite un VPN Ipsec c’est à dire un tunnel permettant à tous clients de la
société disposant d’une connexion internet de pouvoir se connecter au siège grâce aux
identifiants pré-enregistrés.

AKETOUWE ALAGBE Page | [79] ANNEE 2019


CONCLUSION GENERALE ANNEE 2018

CONCLUSION GENERALE

AKETOUWE ALAGBE Page | [80] ANNEE 2019


CONCLUSION GENERALE ANNEE 2018

CONCLUSION GENERALE
L’outil informatique de nos jours a évolué d’une manière exponentielle, cette évolution
a occasionné l’apparition de nouvelles techniques d’attaque et d’intrusion qui menacent le
bon fonctionnement des systèmes informatiques dans les entreprises publiques, privées ou
des particuliers. Les administrateurs sont nombreux aujourd’hui à implémenter de diverses
solutions qu’offrent les pare-feux dans leur environnement de travail. Il était vraiment
pénible par le passé de pouvoir garantir la sécurité liée aux outils informatiques, d’autre la
non maitrise des systèmes de sécurisations rendait plus compliquée la gestion des SI.

Avec l’apparition des pare-feux de nouvelle génération (NGFW), la sécurisation des


outils informatiques devient de plus en plus performante qu’elle n’a jamais été. Non
seulement que le travail et les charges ont diminué mais la sécurité dans l’entreprise est
devenue plus sereine et plus efficace car ces pare-feux offrent plus avantages. Ils
permettent de sécuriser nos infrastructures informatiques, accélèrent les processus,
protègent au mieux les données utilisateurs et rassurent les clients.

Nous avons tout au long de notre travail mis en œuvre un système qui permettra de
sécuriser les données de l’entreprise sur tous les sites et de contrôler avec efficience les
entrées et sorties des utilisateur du réseau.

Ce document de fin d’études en Master 2 nous a permis de mettre en pratique ce que


nous avions appris en Sécurité Réseau Système (SRS) en d’autres termes, la sécurité de
périmètre et surtout de la technologie FortiGate.

Notons que la sécurité dans une entreprise permet de garantir sa réalisation


opérationnelle, elle doit être dynamique et remise en question de manière permanente afin
de suivre l’évolution des systèmes d’informations et d’évaluer en tout temps les risques.

Notre travail de rédaction s’est subdivisé en trois grandes parties :

• Environnement du travail

Dans un premier temps nous avons fait l’étude de l’environnement de la société de


technologie de géolocalisation du Togo (STGT). Il était question dans cette partie de la

AKETOUWE ALAGBE Page | [81] ANNEE 2019


CONCLUSION GENERALE ANNEE 2018

présentation du métier de l’organisation de l’entreprise, d’une analyse de l’architecture de


tout le parc informatique et en relevant les irrégularités observées. Nous avons fait état des
motivations qui nous ont amené à travailler sur les différentes failles observées dans le
réseau de la société, des difficultés d’accès distants et pour finir pourquoi le choix de la
technologie FortiGate.

• Point de vue sur les VPN et les pare-feux de nouvelle génération

Dans ce chapitre nous avons abordé l’aspect théorique des pares-feux, les différents
types, leur configuration permettant de sécuriser le réseau de la société contre les menaces
qu’elles soient internes ou externes et ainsi que le concept de VPN (Virtual Private
Network), également les différents types et configuration possibles. Ceci nous a conduit à
évaluer et à comparer les différents types de pare-feux existants de nos jours, les
fonctionnalités et les avantages qu’ils offrent. Ainsi il sera donc facile de faire un choix
bien adapter aux menaces auxquelles fait face l’entreprise.

• Recherche d’une solution et implémentions

Dans la dernière partie, pour l’implémentation de la solution nous avons optimisé


l’architecture réseau de la société en y ajoutant un pare-feu FortiGate sur chaque site distant
et de configurer les accès sécurisés site à site et site à poste pour les clients utilisateurs.
Nous avons ensuite déployé un environnement de travail virtuel de notre projet sous le
VMware Workstation 15pro, sur lequel nous avions configuré les deux pare-feux FortiGate
de nouvelle génération de le but de sécuriser les accès clients et les données auxquelles ils
ont droit.

Ce document m’a permis d’acquérir plus de connaissance dans le monde de la sécurité


informatique et surtout la maitrise de l’environnement FortiGate. La mise en place de cette
solution m’a permis également d’approfondir mes connaissances sur le déploiement des
canaux sécurisés tel que les VPN (Virtual Private Network) et la découverte de nouvelles
formes de technologie de sécurité réseau. La sécurisation des systèmes informatiques est
devenue un enjeu important pour toutes les entreprises en raison du développement
croissant des systèmes d’information. Cependant notons aussi qu’il ne nous a pas été

AKETOUWE ALAGBE Page | [82] ANNEE 2019


CONCLUSION GENERALE ANNEE 2018

possible de nous procurer tout le matériel physique nécessaire pour implémenter le système
comme il le faut. La seule solution qui s’offrait à nous était une implémentation dans un
environnement virtuel sous Eve-Ng.

Soulignons qu’aucun travail n’est parfait nous restons favorables à tout critique, toutes
suggestions et apport pouvant améliorer au mieux ce document afin de le rendre plus utile.

En termes de perspective, nous envisageons mettre en place un système sans fil basé
sur la technologie FortiGate qui permettra de centraliser les utilisateurs afin de sécuriser
l’accès en interne de chaque site. Si possible une segmentation du réseau et affectation
automatique des Vlan en fonction des utilisateurs en vue d’intégrer la mobilité et flexibilité
de l’ensemble du réseau.

AKETOUWE ALAGBE Page | [83] ANNEE 2019


BIBLIOGRAPHIE ANNEE 2018

BIBLIOGRAPHIE

1. [1-2] C’est quoi un firewall matériel ? C’est dans mon routeur ? - Routeur-Wifi.
(2019, avril 19). Consulté le 5 septembre 2019, à l’adresse https://le-routeur-
wifi.com/firewall-materiel-routeur/
2. C’est-quoi-le-VPN-ou-réseau-prive-virtuel/. (S. d.). Consulté le 9 août 2019, à
l’adresse https://www.le-VPN.com/fr/cest-quoi-le-VPN-ou-reseau-prive-virtuel/
3. setup-FortiClient-remote-access-VPN-in-FortiGate-firewall/. (s. d.). Consulté le 20
septembre 2019, à l’adresse http://itadminguide.com/setup-forticlient-remote-
access-VPN-in-fortigate-firewall/
4. https://www.certilience.fr/2019/05/pourquoi-securiser-son-reseau-avec-un-pare-
feux-fortigate-de-fortinet/. (S. d.). Consulté à l’adresse
https://www.certilience.fr/2019/05/pourquoi-securiser-son-reseau-avec-un-pare-
feux-fortigate-de-fortinet/
5. https://www.scribbr.fr. (S. d.). Consulté à l’adresse
http://www.ordinateur.cc/r%C3%A9seaux/R%C3%A9seaux-virtuels/80962.html
6. ipsec-VPN-configuration-guide-fortigate-60d-firewall. (S. d.). Consulté le 20
septembre 2019, à l’adresse https://help.zscaler.com/zia/ipsec-VPN-configuration-
guide-fortigate-60d-firewall
7. Le pare-feux, un élément clé de la sécurité de votre réseau. (S. d.). Consulté le 4
septembre 2019, à l’adresse https://www.eset.com/fr/pare-feux/
8. Les Firewall - FRAMEIP.COM. (2018a, novembre 24). Consulté le 4 septembre
2019, à
9. Les Firewall - FRAMEIP.COM. (2018b, novembre 24). Consulté le 4 septembre
2019, à l’adresse https://www.frameip.com/firewall/
10. Pare-feux. (S. d.). Consulté le 9 septembre 2019, à l’adresse
11. Récupérée 11, 2019, à partir de https://www.infradata.be/fr/actualite-et-blog/le-top-
5-des-fournisseurs-de-pare-feux-nouvelle-generation-ngfw-en-
2019/http://assiste.com.free.fr/p/abc/a/pare-feux.html/

AKETOUWE ALAGBE Page | [84] ANNEE 2019


BIBLIOGRAPHIE ANNEE 2018

Sites web

Les VPN

https://www.frameip.com/VPN/

https://www.le-VPN.com/fr/cest-quoi-le-VPN-ou-reseau-prive-virtuel/

https://support.microsoft.com/fr-dz/help/20510/windows-10-connect-to-VPN

https://desgeeksetdeslettres.com/VPN/les-differents-types-de-VPN

https://how-to.watch/fr/quest-ce-quun-VPN/

https://www.futura-sciences.com/tech/definitions/connection-VPN-1819/

https://www.pureVPN.fr/blog/acces-distant-VPN/

https://www.VPNconnexion.fr/blog/lexique-VPN/

Pare feux
http://alois.aubel.online.fr/form/admin/firewall/firewall3.html

https://www.cisco.com/c/fr_fr/products/security/firewalls/what-is-a-firewall.html

https://www.ipe.fr/securite-informatique-categories-pare-feux/

https://web.maths.unsw.edu.au/~lafaye/CCM/protect/firewall.htm

http://assiste.com.free.fr/p/abc/a/pare-feux.html

http://assiste.com.free.fr/p/abc/a/pare-feux.html

https://web.maths.unsw.edu.au/~lafaye/CCM/protect/firewall.htm

https://www.kaspersky.fr/resource-center/definitions/firewall

https://www.cci-numerique-moselle.fr/quest-ce-quun-pare-feux/

FortiGate
https://www.fortinet.com/fr/products/next-generation-firewall/mid-range.html

AKETOUWE ALAGBE Page | [85] ANNEE 2019


BIBLIOGRAPHIE ANNEE 2018

https://www.certilience.fr/2019/05/pourquoi-securiser-son-reseau-avec-un-
pare-feux-fortigate-de-fortinet/

https://docs.fortinet.com//fortigate/5.6.0/cookbook/281288/site-to-site-ipsec-
VPN-with-two-fortigates

https://paretape.com/VPN-site-a-site-entre-deux-fortinet/

https://help.zscaler.com/zia/ipsec-VPN-configuration-guide-fortigate-60d-
firewall

https://medium.com/tensult/fortigate-ipsec-remote-VPN-aws-9783ade723cd

https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-a-
main-mode-VPN-between-a-sonicwall-and-fortinet-
firewall/171127020714600/

http://itadminguide.com/setup-forticlient-remote-access-VPN-in-fortigate-
firewall/

https://docs.fortinet.com//forticlient/5.2.0/cookbook/521733

https://docs.fortinet.com//fortigate/6.0.0/cookbook/589121/ipsec-VPN-with-
forticlient

AKETOUWE ALAGBE Page | [86] ANNEE 2019


TABLE DES MATIERES ANNEE 2018

TABLE DES MATIERES

....................................................................................................................................... 1
DEDICACE .................................................................................................................... I
REMERCIEMENTS .................................................................................................... II
SOMMAIRE................................................................................................................ III
RESUME ...................................................................................................................... V
LISTE DES FIGURES ................................................................................................ VI
LISTE DES TABLEAUX ........................................................................................... IX
SIGLES ET ABREVIATIONS .................................................................................... X
INTRODUCTION GENERALE ................................................................................... 2

PARTIE I : ENVIRONNEMENT DU TRAVAIL ......................................................... 7

1.1 - Introduction : ....................................................................................................... 8


1.2 - Présentation de la STGT .................................................................................... 8
1.2.1 - HISTORIQUE DE LA STGT ........................................................................ 8
1.2.2 - MISSION ET SERVICES OFFERTS ............................................................... 8
MISSION DE LA STGT......................................................................... 8
SERVICES OFFERTS ............................................................................ 9
1.2.3 - ORGANISATION ET FONCTIONNNEMENT ........................................... 9
1.2.4 - ORGANIGRAMME DE LA STGT ............................................................ 11
1.3 - Etude de l’architecture .................................................................................. 11
1.3.1 - Analyse du réseau ........................................................................................ 11
1.3.2 - Présentation de l’architecture de la S.T.G.T .............................................. 12
1.4 - Diagnostique de l’architecture de la S.T.G.T ............................................. 13
1.4.1 - Plateforme dépassée quant à l’utilisation de Windows serveur 2008 ...... 13
1.4.2 - Pare-feux logiciels ne sont plus supportés .................................................. 14
1.4.3 - Technologie de stockage dépassés DAS ...................................................... 14

AKETOUWE ALAGBE Page | [92] ANNEE 2019


TABLE DES MATIERES ANNEE 2018

1.4.4 - Plan d’adressage statique............................................................................. 14


1 . 4 . 5 - Architecture.............................................................................................. 15
1.5 - Solutions possibles ............................................................................................. 15
1.5.1 - Amélioration de la sécurité et des performances réseau............................ 15
1.5.2 - Déploiement du pare-feux pour contrôler le trafic réseau ...................... 16
1.5.3 - Assurer la confidentialité du réseau et des connexions externes .............. 16
1.6 - Conclusion : ......................................................................................................... 17

PARTIE 2 : LES PARE-FEUX RESEAUX ET VPN .................................................. 18

2.1 - Introduction : ..................................................................................................... 19


2.2 - Les pare-feux ..................................................................................................... 19
2.2.1 - Définition : ................................................................................................... 19
2.2.2 - Les différents types de filtrage : ................................................................... 20
Les pare-feux niveau réseau ou filtrage de parquets:............................ 21
2.2.2.1.1 - Avantages : ..................................................................................... 21
2.2.2.1.2 - Limites : ......................................................................................... 21
Les pare-feux niveau application ou filtrage applicatif: ....................... 21
2.2.2.2.1 - Avantages : ..................................................................................... 22
2.2.2.2.2 - Limites : ......................................................................................... 22
Quoi choisir pour son Reseaux ............................................................. 22
2.2.3 - Les différents types de firewalls .................................................................. 23
Les Firewalls bridge .............................................................................. 23
2.2.3.1.1 - Avantages : ..................................................................................... 23
2.2.3.1.2 - Inconvénient : ................................................................................. 23
Les Firewalls matériels ......................................................................... 23
2.2.3.2.1 - Avantage : ...................................................................................... 24
2.2.3.2.2 - Inconvénients : ............................................................................... 24
Les Firewalls logiciels .......................................................................... 24

AKETOUWE ALAGBE Page | [93] ANNEE 2019


TABLE DES MATIERES ANNEE 2018

2.2.3.3.1 - Les firewalls Personnels................................................................. 24


Avantages ................................................................................. 24
Les firewalls Plus ..................................................................... 24
Les avantages ........................................................................... 25
Inconvénients ........................................................................... 25
2.2.4 - Les différents types de topologies :.............................................................. 25
Le filtrage de paquets par routeur: ........................................................ 25
Le pseudo - serveur d’accueil: .............................................................. 26
La DMZ (Demilitarized Zone):............................................................. 26
2.3 - Les VPN.............................................................................................................. 27
2.3.1 - Définition : ................................................................................................... 27
2.3.2 - Le principe de fonctionnement : .................................................................. 27
2.3.3 - Caractéristique d’un VPN : .......................................................................... 28
2.3.4 - Types de VPN : ............................................................................................ 28
Le VPN d’accès (poste à site): .............................................................. 28
Site à site (LAN to LAN): ..................................................................... 29
Protocoles de réseaux associés au VPN: ............................................... 29
Le protocole PPTP (Point-to-Point Tunneling Protocol) ...................... 30
Le protocole L2F (Layer Two Forwarding).......................................... 30
Le protocole L2TP (Layer Two Tunneling Protocol) ........................... 31
Le protocole IPSec (Internet Protocol Security) ................................... 31
Le protonncole MPLS (Multi-Protocol Label Switching) .................... 31
Le protocole SSL (Secure Sockets layer) TLS (transport Layer
Security)..................................................................................................................... 32
2.4 - Avantages et inconvénients du VPN : ............................................................. 32
2.4.1 - Avantages : ................................................................................................... 32
2.4.2 - Inconvénients : ............................................................................................. 33
2.5 - Les pare-feu réseaux au cœur des entreprises ................................................ 33
2.5.1 - Principes et caractéristiques des pare-feux NGFW ..................................... 34

AKETOUWE ALAGBE Page | [94] ANNEE 2019


TABLE DES MATIERES ANNEE 2018

2.5.2 - Quelques pare-feux de nouvelle génération ................................................. 34


2.6 - Motivation du choix de la solution................................................................... 36
2.6.1 - Pourquoi nous avons préféré la solution FortiGate ? ................................... 36
2.6.2 - Choix d’un pare-feu selon les critères.......................................................... 37
2.7 - Conclusion : ....................................................................................................... 38

PARTIE 3 : IMPLEMENTATION DE LA SOLUTION ............................................ 39

3.1 - Introduction : ..................................................................................................... 40


3.2 - Environnement d’implémentation................................................................... 40
3.2.1 - INSTALATION ET CONFIGURATION DE Eve-Ng ............................... 41
3.3 - Architecture optimisée ...................................................................................... 42
3.4 - Mise en œuvre pratique .................................................................................... 44
3.4.1 - Configuration de Base .................................................................................. 45
Configuration du FortiGate Siege (site administratif) .......................... 45
Configuration du FortiGate sur le Site des Techniciens de suivi ......... 48
3.4.2 - Création du lien VPN entre le Siege Administratif et le site des Techniciens
....................................................................................................................................... 51
Configuration du FortiGate coté Siège: ................................................ 52
3.4.2.1.1 - Description des différentes étapes : ............................................... 52
Configuration du FortiGate coté technicien:......................................... 56
3.4.2.2.1 - Description des différentes étapes : ............................................... 56
3.4.3 - Création du lien VPN entre le Siège Administratif et les Clients :.............. 59
La création des utilisateurs et groupe utilisateur du lien....................... 60
La configuration du VPN d’accès (Ipsec, SSL) proprement dite ......... 60
3.4.3.2.1 - La configuration du VPN via Ipsec ............................................... 60
La configuration du VPN via SSL ........................................................ 61
La configuration du tunnel Ipsec au Siege ............................................ 63
3.4.3.4.1 - Vérification des étapes des créations du tunnel VPN IPsec .......... 71

AKETOUWE ALAGBE Page | [95] ANNEE 2019


TABLE DES MATIERES ANNEE 2018

3.5 - Présentation et Analyse des résultats .............................................................. 72


3.6 - Limites de l’étude .............................................................................................. 78
3.6.1 - Le choix de l’énoncé du thème .................................................................... 78
3.6.2 - La collecte des données, la documentation .................................................. 78
3.6.3 - La rédaction du document ............................................................................ 79
3.6.4 - Certaines configurations diffèrent d’une version à une autre. ..................... 79
3.7 - Conclusion .......................................................................................................... 79

AKETOUWE ALAGBE Page | [96] ANNEE 2019


ANNEXES ANNEE 2018

ANNEXES

Configuration du FortiGate site à site en mode console

1. configuration des interfaces


config system interface

edit "port1"

set vdom "root"

set ip 192.168.100.100 255.255.255.0

set allowaccess ping https ssh http fgfm

set type physical

set role lan

set snmp-index 1

next

edit "port2"

set vdom "root"

set ip 172.10.10.110 255.255.255.0

set allowaccess ping https ssh snmp fgfm

set type physical

set estimated-upstream-bandwidth 2048

set estimated-downstream-bandwidth 2048

set role wan

set snmp-index 2

next

edit "port3"

set vdom "root"

set ip 192.168.1.110 255.255.255.0

set allowaccess ping https ssh http fgfm

set type physical

AKETOUWE ALAGBE Page | [97] ANNEE 2019


ANNEXES ANNEE 2018

set snmp-index 3

next

edit "port4"

set vdom "root"

set ip 173.10.10.123 255.255.255.0

set allowaccess ping https ssh snmp fgfm capwap ftm

set type physical

set lldp-reception enable

set fortiheartbeat enable

set role wan

set snmp-index 4

next

2.Configuration du DNS.
config system dns

set primary 208.91.112.53

set secondary 208.91.112.52

3.Activation du DHCP du DNS


config system settings

end

config system dhcp server

edit 1

set dns-service default

set default-gateway 192.168.100.100

set netmask 255.255.255.0

set interface "port1"

config ip-range

edit 1

set start-ip 192.168.100.101

AKETOUWE ALAGBE Page | [98] ANNEE 2019


ANNEXES ANNEE 2018

set end-ip 192.168.100.254

next

end

4.Configuration strategies authentication


config firewall address

edit "FIREWALL_AUTH_PORTAL_ADDRESS"

set uuid 25f28c84-cf9b-51fb-ffbe-f969ad89f1b8

set visibility disable

next

edit "FABRIC_DEVICE"

set uuid 25f28e14-cf9b-51fb-38a1-e349d613ca99

set comment "IPv4 addresses of Fabric Devices."

next

edit "SSLVPN_TUNNEL_ADDR1"

set uuid 32233942-cbe8-51fb-fc45-355bd89783a6

set type iprange

set associated-interface "SSL.root"

set start-ip 10.212.134.200

set end-ip 10.212.134.210

next

edit "SIEGE_TO_TECH_local_subnet_1"

set uuid 3aa3be6e-dbb0-51e9-799b-5358419f2520

set subnet 192.168.100.0 255.255.255.0

next

edit "SIEGE_TO_TECH_remote_subnet_1"

set uuid 3aadd48a-dbb0-51e9-18ae-ea9eaa3eea1f

set subnet 192.168.200.0 255.255.255.0

next

AKETOUWE ALAGBE Page | [99] ANNEE 2019


ANNEXES ANNEE 2018

edit "local_subnet_1"

set uuid d4010a42-d0c4-51fb-5070-fb81f75a7347

set subnet 192.168.100.0 255.255.255.0

next

edit "local_subnet_2"

set uuid ed9ebf30-d0c4-51fb-5358-a9c909a99abf

set subnet 192.168.101.0 255.255.255.0

next

edit "client_range"

set uuid 4ab5ad1e-d0c5-51fb-6e6a-efb735fa2f64

set type iprange

set start-ip 10.10.2.1

set end-ip 10.10.2.254

next

end

5.Configuration du d’un groupe d’adresse


config firewall addrgrp

edit "SIEGE_TO_TECH_local"

set uuid 3aa66060-dbb0-51e9-09a7-2710d82a1c18

set member "SIEGE_TO_TECH_local_subnet_1"

set comment "VPN: SIEGE_TO_TECH (Created by VPN wizard)"

next

edit "SIEGE_TO_TECH_remote"

set uuid 3ab06894-dbb0-51e9-fb74-7df541fc5944

set member "SIEGE_TO_TECH_remote_subnet_1"

set comment "VPN: SIEGE_TO_TECH (Created by VPN wizard)"

next

edit "local_network"

AKETOUWE ALAGBE Page | [100] ANNEE 2019


ANNEXES ANNEE 2018

set uuid 0978b7ba-d0c5-51fb-21a4-dacb075290ab

set member "local_subnet_1" "local_subnet_2"

next

end

config user peer

edit "SIEGE"

set ca "Fortinet_CA"

next

end

config user group

edit "SSO_Guest_Users"

next

edit "Guest-group"

set member "guest"

next

edit "VPNgroup"

set member "user1"

next

end

6.Configuration des règles de sécurité


config firewall policy

edit 1

set name "VPN_SIEGE_TO_TECH_local"

set uuid 3ab47f7e-dbb0-51e9-45f5-38dda0eb0fba

set srcintf "port1"

set dstintf "SIEGE_TO_TECH"

set srcaddr "SIEGE_TO_TECH_local"

set dstaddr "SIEGE_TO_TECH_remote"

AKETOUWE ALAGBE Page | [101] ANNEE 2019


ANNEXES ANNEE 2018

set action accept

set schedule "always"

set service "ALL"

set comments "VPN: SIEGE_TO_TECH (Created by VPN wizard)"

next

edit 2

set name "VPN_SIEGE_TO_TECH_remote"

set uuid 3ad6a8ce-dbb0-51e9-6d09-e4ed0cfce80d

set srcintf "SIEGE_TO_TECH"

set dstintf "port1"

set srcaddr "SIEGE_TO_TECH_remote"

set dstaddr "SIEGE_TO_TECH_local"

set action accept

set schedule "always"

set service "ALL"

set comments "VPN: SIEGE_TO_TECH (Created by VPN wizard)"

next

edit 3

set name "inbound"

set uuid 7503dc10-d0c7-51fb-fdbc-bdbce5d28d1b

set srcintf "for_client"

set dstintf "port1"

set srcaddr "client_range"

set dstaddr "local_network"

set action accept

set schedule "always"

set service "ALL"

set fsso disable

AKETOUWE ALAGBE Page | [102] ANNEE 2019


ANNEXES ANNEE 2018

set nat enable

next

end

Configuration du FortiGate en mode Accès

1. Dans la CLI, configurez l'utilisateur et le groupe.


config user local

edit "VPNuser1"

set type password

set passwd your-password

next

end

config user group

edit "VPNgroup"

set member "VPNuser1"

next

end

2. Configurez l'interface interne. L'interface LAN se connecte au

réseau interne de l'entreprise


config system interface

edit "lan"

set vdom "root"

set ip 10.10.111.1 255.255.255.0

next

end

config firewall address

edit "local_subnet_1"

set ip 10.10.111.0 255.255.255.0

next

AKETOUWE ALAGBE Page | [103] ANNEE 2019


ANNEXES ANNEE 2018

end

config firewall address

edit "local_subnet_2"

set ip 10.10.112.0 255.255.255.0

next

end

config firewall addrgrp

edit "local_network"

set member "local_subnet_1" "local_subnet_2"

next

end

3. Configurez l'interface WAN. L’interface WAN est l’interface


config system interface

edit "wan1"

set vdom "root"

set ip 172.20.120.123 255.255.255.0

next

end

4. Configurez le pool d'adresses du client.


address pool.

config firewall address

edit "client_range"

set type iprange

set comment "VPN client range"

set start-ip 10.10.2.1

set end-ip 10.10.2.200

next

AKETOUWE ALAGBE Page | [104] ANNEE 2019


ANNEXES ANNEE 2018

end

5. Configurez l'interface IPsec phase1.


config VPN ipsec phase1-interface

edit "for_client"

set type dynamic

set interface "wan1"

set mode aggressive

set peertype any

set net-device enable

set mode-cfg enable

set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1

set dpd on-idle

set xauthtype auto

set authusrgrp "VPNgroup"

set assign-ip-from name

set ipv4-name "client_range"

set dns-mode auto

set ipv4-split-include "local_network"

set save-password enable

set psksecret your-psk

set dpd-retryinterval 60

next

end

6. Configurez l'interface IPsec phase2


config VPN ipsec phase2-interface

edit "for_client"

set phase1name "for_client"

AKETOUWE ALAGBE Page | [105] ANNEE 2019


ANNEXES ANNEE 2018

set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm

aes256gcm chacha20poly1305

next

end

7. Configurez la stratégie de pare-feu


config firewall policy

edit 1

set name "inbound"

FortiOS Cookbook Fortinet Technologies Inc.VPN 917

set srcintf "for_client"

set dstintf "lan"

set srcaddr "client range"

set dstaddr "local network"

set action accept

set schedule "always"

set service "ALL"

next

end

AKETOUWE ALAGBE Page | [106] ANNEE 2019