Académique Documents
Professionnel Documents
Culture Documents
UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-----------------------
DEPARTEMENT TELECOMMUNICATION
« Je tiens à remercier Le Seigneur tout puissant, de tout mon cœur de m’avoir donné sa grâce et sa
bonté durant la réalisation de ce travail de mémoire de fin d’étude».
Ce mémoire n’est peut-être réalisé que sans la participation des nombreuses personnes. Ainsi mes
sincères remerciements s’adressent aux personnes suivantes :
En premier lieu, à:
- Monsieur ANDRIANAHARISON Yvon Dieu Donné, Professeur titulaire,
Directeur de l’Ecole Supérieure Polytechnique d’Antananarivo de m’avoir permis
d’effectuer mes études au sein de l’école durant ces années.
- Monsieur, RAKOTOMALALA Mamy Alain, Maître de Conférences, Chef du
Département Télécommunication et président du jury.
Nous témoignons également notre reconnaissance aux membres du jury qui ont bien voulu consacrer
une partie de leur temps, malgré leurs lourdes tâches, pour juger ce travail. Je leur suis entièrement
reconnaissant de l’intérêt qu’ils ont porté sur ce mémoire:
- Monsieur M. RAKOTONDRAINA Tahina Ezéchiel, Maitre de conférences et Enseignant
chercheur en Télécommunication
- Monsieur ANDRIANANDRASANA Boto Jean Espérant, Assistant d’enseignement et de
recherche au sein du département de la Télécommunication
- Monsieur RANDRIAMIHAJARISON Jimmy, Assistant d’enseignement et de recherche au sein
du département de la Télécommunication
J’exprime ma profonde reconnaissance à Monsieur RANDRIAMANAMPY Samuel,
Assistant d’enseignement et de recherche au sein du département Télécommunication de l’ESPA,
pour m’avoir encadré durant la longue période qu’a nécessité la réalisation de ce mémoire. Il a fait
tous ses efforts possibles pour mener à terme ce travail: son encadrement, ses conseils introuvables
concernant la rédaction ainsi que ses relectures m’ont été d’une aide précieuse.
Mes vifs remerciements s’adressent également à tous les enseignants et les personnels
administratifs à l’Ecole Supérieure Polytechnique d’Antananarivo
Je n’oublierai pas non plus ma famille pour leurs soutiens bienveillants et leurs
encouragements, plus particulièrement, mes parents pour leurs sacrifices durant ces longues années
afin que je puisse arriver à ce niveau, et mes amis qui m’ont toujours soutenu.
I
TABLE DE MATIERE
REMERCIEMENT ........................................................................................................................................I
TABLE DE MATIERE ................................................................................................................................ II
ABREVIATION ........................................................................................................................................... V
INTRODUCTION GENERALE.................................................................................................................. 1
CHAPITRE 1 :GENERALITES SUR LES RESEAUX LOCAUX .......................................................... 2
1.1 Introduction ......................................................................................................................................... 2
1.2 Les réseaux informatiques.................................................................................................................. 2
1.3 Similitudes entre types de réseaux ..................................................................................................... 2
1.4 Les différents types de réseaux .......................................................................................................... 3
1.4.1 LAN (local area network) ............................................................................................................. 3
1.4.2 MAN (metropolitan area network) ............................................................................................... 4
1.4.3 WAN (wide area network) ............................................................................................................ 4
1.4.4 Internet, extranet et intranet ........................................................................................................ 5
1.5 Topologies des Réseaux ...................................................................................................................... 5
1.5.1 réseau en bus................................................................................................................................. 5
1.5.2 Le réseau en étoile ........................................................................................................................ 6
1.5.3 Réseau en anneau ......................................................................................................................... 6
1.5.4 Topologie maillé............................................................................................................................ 7
1.6 Équipements nécessaires en réseau ................................................................................................... 7
1.6.1 La carte réseau .............................................................................................................................. 7
1.6.2 Le serveur ...................................................................................................................................... 8
1.6.3 Le hub (concentrateur) et le switch (commutateur) .................................................................... 8
1.7 Protocole de transport utilisé dans un réseau................................................................................... 8
1.7.1 Présentation du protocole TCP .................................................................................................... 8
1.7.2 L’adresse IP .................................................................................................................................. 9
1.7.3 Adresse routable – adresse non routable ..................................................................................... 9
1.7.4 Adresse IP fixe ou adresse IP dynamique.................................................................................... 9
1.7.5 Le routeur.................................................................................................................................... 10
1.8 Conclusion ......................................................................................................................................... 10
CHAPITRE 2 :CONCEPTION D’UN RESEAU D’ENTREPRISE ....................................................... 11
2.1 Introduction ....................................................................................................................................... 11
2.2 Base de conception réseau ................................................................................................................ 11
2.2.1 Spécifications du réseau ............................................................................................................. 11
2.2.2 Conception d’un réseau viable ................................................................................................... 11
2.2.3 Objectifs de conception fondamentaux ...................................................................................... 11
2.3 Réseau Hiérarchique......................................................................................................................... 12
II
2.3.1 Couche cœur de réseau............................................................................................................... 12
2.3.2 Couche de distribution de réseau ............................................................................................... 14
2.3.3 couche d’accès de réseau ............................................................................................................ 15
2.4 Méthodologies de conception réseau ............................................................................................... 18
2.4.1 Identification des besoins du réseau .......................................................................................... 18
2.4.2 Caractéristiques du réseau actuel .............................................................................................. 18
2.4.3 Conception de la topologie du réseau ........................................................................................ 18
2.4.4 Définition de l’étendue du projet................................................................................................ 19
2.4.5 Conséquences sur l’ensemble du réseau.................................................................................... 19
2.4.6 Conséquences sur une section spécifique du réseau ................................................................. 19
2.5 Conception du réseau MPTDN ........................................................................................................ 20
2.5.1 Réseau actuel du ministère de MPTDN ..................................................................................... 20
2.5.2 Problème dans le réseau ............................................................................................................. 21
2.5.3 Conception de la topologie de réseau ......................................................................................... 21
2.6 Conclusion ......................................................................................................................................... 22
CHAPITRE 3 : SECURITE INFORMATIQUE ET RESEAU .............................................................. 23
3.1 Introduction ....................................................................................................................................... 23
3.2 Définition ........................................................................................................................................... 23
3.2.1 sécurité informatique .................................................................................................................. 23
3.2.2 sécurité des réseaux .................................................................................................................... 23
3.3 Principes de sécurité ......................................................................................................................... 23
3.3.2 Disponibilité ................................................................................................................................ 24
3.3.3 Intégrité ....................................................................................................................................... 25
3.3.4 Confidentialité............................................................................................................................. 26
3.4 notions de sécurité ............................................................................................................................. 26
3.4.1 Menaces, risques et vulnérabilités.............................................................................................. 26
3.4.2 Aspects techniques de la sécurité informatique ......................................................................... 27
3.4.3 Définir risques et objets à protéger ............................................................................................ 27
3.4.4 Identifier et authentifier ............................................................................................................. 29
3.4.5 Empêcher les intrusions ............................................................................................................. 29
3.5 Différentes intrusion ......................................................................................................................... 30
3.5.1 Piratage en informatique et internet .......................................................................................... 30
3.5.2 Type d’intrusion .......................................................................................................................... 30
3.5.3 Techniques de Hacking .............................................................................................................. 31
3.5.4 IP Spoofing ................................................................................................................................. 34
3.5.5 TCP Session Hijacking ............................................................................................................... 34
3.6 Conclusion ......................................................................................................................................... 34
CHAPITRE 4 :SECURISATION ET MONITORING D’UN RESEAU LOCAL SOUS PFSENSE .. 35
III
4.1 Préambule .......................................................................................................................................... 35
4.2 Présentation du pf sense ................................................................................................................... 35
4.2.1 Historique.................................................................................................................................... 35
4.2.2 Fonctionnalité ............................................................................................................................. 35
4.3 Présentation du projet ...................................................................................................................... 36
4.4 Configuration de pfsense .................................................................................................................. 40
4.5 Sécurisation et configuration des paquets et services ................................................................... 42
4.5.1 Installation des outils squid et squidgard : ................................................................................ 42
4.5.2 Configuration proxy serveur : .................................................................................................... 43
4.5.3 Configuration proxy filter : ........................................................................................................ 45
4.5.4 Captive Portal.............................................................................................................................. 48
4.6 Surveillance ou monitoring .............................................................................................................. 51
4.6.1 Trafic Graph ............................................................................................................................... 51
4.6.2 RRD Graphs ................................................................................................................................ 52
4.7 Conclusion ......................................................................................................................................... 54
CONCLUSION GENERALE .................................................................................................................... 55
ANNEXE 1 :PROTOCOLE UTILISE DANS LE NOUVEAU RESEAU .............................................. 56
ANNEXE 2 :CISCO ASA ........................................................................................................................... 61
BIBLIOGRAPHIE ...................................................................................................................................... 63
FICHE DE RENSEIGNEMENTS ............................................................................................................. 65
IV
ABREVIATION
ID Identity
IP Internet Protocol
V
MAU Multistation Access Unit
PoE Power-over-Ethernet
QS Qualité de service
RJ Registered Jack
VI
INTRODUCTION GENERALE
Avant l'apparition des réseaux informatiques, la transmission des données entre ordinateurs était
difficile. Actuellement, avec l'évolution de la technologie, les réseaux sont omniprésents et nous
pouvons partager des applications, échanger des informations, consulter des bases de données et
effectuer des transferts de fichiers entre plusieurs postes à distance. Toutes ces applications sont
possibles grâces aux réseaux informatiques nées du besoin de faire communiquer des terminaux
distants avec un site central, des ordinateurs entre eux et des stations de travail avec leurs serveurs.
Il s’avère nécessaire pour nous, de rechercher parmi la différente solution existante, la meilleure qui
permettrait de contrôler tous trafics réseaux et l’augmentation des coûts de consommation internet
dû au mauvais usage de l’internet, à savoir : téléchargement, accès à des sites inutiles, etc. C’est
dans cette perspective que s’inscrit la présente étude intitulée : « sécurisation et monitoring d’un
réseau sous serveur linux pfsense ». Afin de permettre d’approfondir ce thème, il faut entamer en
premier lieu les généralités sur les réseaux locaux ; en second lieu, il serait utile d’examiner la
conception d’un réseau d’entreprise ; puis la sécurité informatique et réseau ; en dernier lieu, il est
intéressant d’aborder la sécurisation et monitoring du réseau local sous PFsense.
1
CHAPITRE 1 :
1.1 Introduction
La connexion entre les différents éléments constitutifs d’un réseau, peut s’effectuer à l’aide de liens
permanents comme des câbles, mais aussi à travers des réseaux de télécommunications publics,
comme le réseau téléphonique. Les dimensions de ces réseaux sont très variées, depuis les réseaux
locaux, reliant quelques éléments dans un même bâtiment, jusqu’aux ensembles d’ordinateurs
installés sur une zone géographique importante.
Le terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.) interconnectées
les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments matériels ou
immatériels entre chacune de ces entités selon des règles bien définies. Un réseau est un ensemble
d'infrastructures bien organisées permettant de rendre des services à un ou plusieurs usagers. [1]
Le réseau informatique est l’ensemble d'ordinateurs reliés entre eux grâce à des lignes physiques
et échangeant des informations sous forme de données numériques.
Un ordinateur est une machine permettant de manipuler des données. L'homme, en tant qu'être
communiquant, a rapidement compris l'intérêt qu'il pouvait y avoir à relier ces ordinateurs entre-
eux afin de pouvoir échanger des informations.
Un réseau informatique peut servir plusieurs buts distincts :
- Le partage de ressources (fichiers, applications ou matériels, connexion à internet, etc.)
- La communication entre personnes (courrier électronique, discussion en direct, etc.)
- La communication entre processus (entre des ordinateurs industriels par exemple)
- La garantie de l'unicité et de l'universalité de l'accès à l'information (bases de données en réseau)
- Le jeu vidéo multijoueurs. [2]
Les différents types de réseaux ont généralement les points suivants en commun :
2
- Serveurs : ordinateurs qui fournissent des ressources partagées aux utilisateurs par un serveur de
réseau
- Clients : ordinateurs qui accèdent aux ressources partagées fournies par un serveur de réseau
- Support de connexion : conditionne la façon dont les ordinateurs sont reliés entre eux.
- Données partagées : fichiers accessibles sur les serveurs du réseau
Imprimantes et autres périphériques partagés : fichiers, imprimantes ou autres éléments utilisés par
les usagers du réseau
- Ressources diverses : autres ressources fournies par le serveur. [3]
On distingue différents types de réseaux selon leur taille (en terme de nombre de machines), leur
vitesse de transfert des données ainsi que leur étendue.
On fait généralement trois catégories de réseaux :
- LAN (local area network)
- MAN (metropolitan area network)
- WAN (wide area network)
LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un ensemble d'ordinateurs
appartenant à une même organisation et reliés entre eux dans une petite aire géographique par un
réseau, souvent à l'aide d'une même technologie (la plus répandue étant Ethernet).
Un réseau local est donc un réseau sous sa forme la plus simple. La vitesse de transfert de données
d'un réseau local peut s'échelonner entre 10 Mbps (pour un réseau Ethernet par exemple) et 1 Gbps
(en FDDI ou Gigabit Ethernet par exemple). La taille d'un réseau local peut atteindre jusqu'à 100
voire 1000 utilisateurs.
En élargissant le contexte de la définition aux services qu’apporte le réseau local, il est possible de
distinguer deux modes de fonctionnement :
- dans un environnement d'"égal à égal" (en anglais peer to peer), dans lequel il n'y a pas d'ordinateur
central et chaque ordinateur a un rôle similaire
- dans un environnement "client/serveur", dans lequel un ordinateur central fournit des
services réseau aux utilisateurs
3
1.4.2 MAN (metropolitan area network)
Les MAN (Metropolitan Area Network) interconnectent plusieurs LAN géographiquement proches
(au maximum quelques dizaines de km) à des débits importants. Ainsi un MAN permet à deux
nœuds distants de communiquer comme si ils faisaient partie d'un même réseau local.
Un MAN est formée de commutateurs ou de routeurs interconnectés par des liens hauts débits (en
général en fibre optique).
Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à travers
de grandes distances géographiques.
Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons (qui augmente
avec la distance) et peuvent être faibles.
Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus approprié
pour atteindre un nœud du réseau.
Le plus connu des WAN est Internet qui est la suite du réseau militaire américain ARPANET.
Le but était de concevoir un réseau résistant aux attaques : les communications ne passent plus selon
un mode linéaire, mais peuvent à chaque endroit emprunter plusieurs routes.
Les informations peuvent continuer à circuler, même en cas de destruction majeure d'une partie du
territoire (on est en pleine guerre froide).
Internet a donc été conçu dès l'origine comme une toile d'araignée, d'où son nom anglais web (qui
veut dire tissage et toile d'araignée).
4
1.4.4 Internet, extranet et intranet
Lʼinternet est un inter-réseau, cʼest-à-dire un ensemble de réseaux, mais il sʼagit dʼun système très
particulier :
Il se compose de systèmes informatiques totalement indépendants les uns des autres ; nʼimporte qui
peut accéder à ces systèmes ; mais il nʼy a que deux canaux dʼaccès : les protocoles HTTP (web) et
SMTP (e-mail).
Un intranet est un internet privé, cʼest-à-dire un internet dont lʼaccès est réservé aux employés de
lʼentreprise concernée.
Les notions de réseau local et dʼintranet nʼont rien à voir lʼune avec lʼautre :
si les ordinateurs dʼun site sont reliés par des câbles ou des ondes et fonctionnent ensemble, cʼest
un réseau local ; si les utilisateurs des ordinateurs dʼune organisation ont accès à un site web réservé
aux employés de lʼentreprise, cʼest un intranet.
Lʼintranet dʼune multinationale couvre le monde entier. Si un intranet réunit plusieurs entreprises,
cʼest un extranet. Lʼun des plus grands extranets est ENX ((European Network Exchange), qui réunit
des fabricants dʼautomobiles européens et leurs Fournisseurs. [1] [7]
Un réseau de type bus est ouvert à ses extrémités. Chaque PC y est connecté par l'intermédiaire d'un
connecteur spécial. Certains périphériques, comme des imprimantes, peuvent également être
directement reliés au réseau. ils doivent alors comporter une carte adaptateur réseau.
A chaque extrémité, le réseau est terminé par une résistance (appelé bouchon) pour empêcher
l'apparition de signaux parasites.
L'exemple le plus courant de ce type de réseau est le réseau Ethernet.
Avantage : ce type de montage est simple à mettre en oeuvre et peu coûteux.
Inconvénient : s'il y a rupture du câble, tout le réseau tombe en panne
5
1.5.2 Le réseau en étoile
Dans un réseau en étoile, chaque nœud du réseau est relié à un contrôleur (ou hub) par un câble
différent. Le contrôleur est un appareil qui recoit un signal de données par une de ses entrées,va
retransmettre ce signal à chacune des autres entrées sur lesquelles sont connectés des ordinateurs ou
périphériques, voir d'autres contrôleurs.
Avantage : Un nœud peut tomber en panne sans affecter les autres nœuds du réseau.
Inconvénient : Ce type d'architecture est plus coûteux que les réseaux en bus et en anneau.
En effet, la longueur du câblage est importante, ce qui entraîne un coût supplémentaire. De plus le
contrôleur est un élément relativement cher. D'autre part, une panne du contrôleur provoque la
déconnexion du réseau de tous les nœuds qui y sont reliés.
Il s'agit d'un réseau local dans lequel les nœuds sont reliés en boucle fermée développée par IBM,
cette architecture est principalement utilisée par les réseaux Token Ring. Elle utilise la technique
d’accès par «jeton». Les informations circulent de station en station, en suivant l’anneau. Un jeton
circule autour de l’anneau. La station qui a le jeton émet des données qui font le tour de l’anneau.
Lorsque les données reviennent, la station qui les a envoyées les élimine du réseau et passe le jeton
à son voisin, et ainsi de suite… Cette topologie permet d’avoir un débit proche de 90% de la bande
passante. De plus, le signal qui circule est régénéré par chaque station. En réalité les ordinateurs
d'un réseau en anneau ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU,
Multi-station Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en
donnant à chacun d'entre eux un temps de parole. [4] [6]
6
Figure 1.04 : Réseau en anneau
La carte réseau se présente sous la forme d’une carte d’extension connectée à un bus (généralement
PCI). Elle permet le raccordement du PC au réseau et prend en charge la gestion des collisions (une
collision se produit lorsque deux machines émettent en même temps). Chaque carte réseau comporte
7
une adresse physique unique (adresse MAC). Une carte réseau doit être installée : - sur chaque poste
du réseau - sur le serveur - sur chaque imprimante reliée directement au réseau
1.6.2 Le serveur
Le serveur est une machine plus performante que les autres. Il comporte donc des caractéristiques
et des périphériques spécifiques :
- Microprocesseur
- RAM
-Disque dur SCSI (généralement les serveurs sont équipés de deux ou plusieurs disques et d’un
contrôleur RAID qui répartit les données entre les différents disques pour prévenir au maximum les
défaillances de disques) ; Lecteur de DAT ou de DLT : périphérique de sauvegarde utilisant des
cartouches magnétiques de grande capacité (en GO) pour la sauvegarde des données et leur
restauration en cas de panne L’alimentation du serveur.
Dans un réseau en étoile, les postes sont connectés soit à un hub soit à un switch : - Le hub est plus
économique mais il répartit la bande passante entre tous les postes (si un poste envoie un message
sur le réseau, tous les postes le reçoivent (quitte à le rejeter s’ils n’en sont pas destinataires) ) - Le
switch en revanche permet de segmenter le trafic , la bande passante reste la même (un message
envoyé par un poste sera transmis directement au destinataire sans passer par l’ensemble des
postes).[6][8]
La communication entre les machines dans un réseau local s’établit grâce à un protocole qui garantit
un acheminement fiable des données. Le protocole TCP /IP = (Transport Control Protocol / Internet
Protocol) reste le plus utilisé dans les réseaux locaux. C’est le protocole aussi (et d’abord) utilisé
sur l’Internet.
Les données émises par une station sont découpées en paquets ce qui permet un meilleur trafic
(toutes les stations du réseau peuvent alors envoyer des données sans que l’une d’elle ne monopolise
la bande passante, obligeant les autres stations à attendre la fin de l’envoi des données).
8
1.7.2 L’adresse IP
Toute machine d’un réseau local utilisant TCP/IP est identifiée par une adresse IP unique composée
de 4 octets. Un masque de sous-réseau composé également de 4 octets permet de déterminer d’une
part l’adresse de réseau (ou de sous-réseau) et l’adresse de la machine d’autre part.
Les adresses IP se répartissent principalement en 3 classes d’adresses, chaque classe comportant un
masque de sous-réseau par défaut :
Classes Adresse IP commençant par Masque de sous-réseau par défaut
A De 1 à 126 255. 0. 0. 0
B De 127 à 191 255. 255. 0. 0
C De 191 à 223 255. 255. 255. 0
Comme Internet utilise l’adressage IP, en réseau local on ne peut utiliser que quelques plages
d’adresses réservées (on parle d’adresses non routables car elles ne seront jamais vues sur Internet),
ces plages d’adresses sont : Classe A : 10.0.0.0, Classe B : de 172.16.0.0 à 172.31.0.0,
Classe C : de 192.168.0.0 à 192.168.255.0
Chaque poste d’un réseau peut se voir attribuer une adresse IP permanente : c’est l’adresse IP fixe
(configuré manuellement). Chaque poste peut être configuré pour obtenir une adresse dynamique :
un serveur DHCP (Dynamics Host Control Protocol) délivre alors une adresse IP à chaque demande
de connexion au réseau. Cette adresse change à chaque connexion. Le serveur est lui configuré en
adresse IP fixe.
9
1.7.5 Le routeur
Le routage est la technique qui permet d’échanger des informations d’un poste d’un réseau vers un
autre poste situé sur un autre réseau. Le routage fait appel à un équipement matériel : le routeur. Le
routeur comporte trois fonctions principales.
Permettre la communication entre des machines n’appartenant pas au même réseau
Offrir un accès Internet à des utilisateurs d’ordinateur en réseau local
Il comporte un système de filtrage des paquets IP qui bloque les accès non autorisés
à un réseau, ce système s’appelle un pare-feu (firewall) [4][5][8]
1.8 Conclusion
Le réseau local est cœur de la majeure partie de l’activité informatique de notre organisme. A ce
titre tout effort de sécurisation s’y répercute avec d’autant plus d’effet. Une politique de sécurité
prend en compte non seulement la sécurisation de l'accès aux données mais aussi la protection
des données et de l’outil de production face à des évènements éventuellement comme le vol.
10
CHAPITRE 2 :
2.1 Introduction
Pour optimiser la bande passante d'un réseau d'entreprise, celui-ci doit être organisé afin que le trafic
reste local et ne soit pas propager inutilement vers d'autres portions du réseau. L'utilisation d'un
modèle de conception hiérarchique à trois couches permet d'organiser le réseau
L’économie actuelle, fortement basée sur Internet, exige des services clients disponibles en
permanence. Ceci implique une entière disponibilité des réseaux d’entreprise, 24 heures sur 24. Ces
réseaux doivent également être suffisamment « intelligents » pour se protéger automatiquement
contre les incidents de sécurité imprévus. Ils doivent aussi être capables de s’adapter aux
fluctuations du trafic, afin d’offrir des temps de réponse homogènes pour les applications. À l’heure
actuelle, il n’est plus possible de bâtir un réseau simplement en reliant des unités autonomes, sans
conception ni planification préalables.
Un réseau viable et de qualité ne se crée pas par accident. Il est le fruit du travail des concepteurs et
des techniciens réseau, qui identifient les besoins de l’entreprise et choisissent les solutions les
mieux adaptées pour y répondre.
Les utilisateurs d’un réseau ne se rendent généralement pas compte de sa complexité sous-jacente.
Pour eux, le réseau n’est rien d’autre qu’un moyen d’accéder aux applications dont ils ont besoin,
au moment où ils en ont besoin. [11]
Si l’on examine ces exigences en détail, on s’aperçoit qu’elles se résument à quatre objectifs
fondamentaux en matière de conception :
extensibilité
disponibilité
11
sécurité
facilité de gestion.
La couche d'accès fournit une connectivité pour les utilisateurs. La couche de distribution est utilisée
pour transférer le trafic entre plusieurs réseaux locaux. Enfin, la couche cœur de réseau constitue
une couche de réseau fédérateur haut débit entre des réseaux dispersés. Le trafic utilisateur est initié
au niveau de la couche d'accès et circule par les autres couches, si les fonctionnalités de ces couches
sont requises.
Bien que le modèle hiérarchique compte trois couches, certains réseaux d'entreprise plus modestes
peuvent implémenter une conception hiérarchique à deux niveaux. Dans une conception
hiérarchique à deux niveaux, les couches de distribution et cœur de réseau sont regroupées en une
seule couche, ce qui permet de réduire les coûts et la complexité Couche cœur de réseau.
La couche cœur de réseau est aussi appelée réseau fédérateur. Elle se compose de périphériques
réseau à grande vitesse, par exemple les Cisco Catalyst 6500 ou 6800. Ils sont conçus pour
transmettre les paquets le plus rapidement possible et pour connecter entre eux plusieurs composants
du campus, par exemple les modules de distribution, les modules de service, le data center et la
périphérie WAN.
Comme on a présenté dans la figure 2.01, la couche cœur de réseau est cruciale pour la connexion
entre périphériques de la couche de distribution, par exemple, l'interconnexion entre le bloc de
distribution vers le WAN et la périphérie Internet. Le cœur doit être extrêmement disponible et
redondant. La couche cœur de réseau regroupe le trafic provenant de tous les périphériques de la
12
couche de distribution. Elle doit donc être capable d'effectuer la transmission rapide d'importantes
quantités de données.
Mise à l'échelle avec un équipement plus rapide, et non en rajoutant des éléments
13
routeurs ou commutateurs multicouche combinant routage et commutation dans un même
périphérique ;
redondance et équilibrage de la charge ;
liaisons haute vitesse et agrégées ;
protocoles de routage évolutifs offrant une convergence rapide, tels que les protocoles
EIGRP (Enhanced Interior Gateway Routing Protocol) et Open Shortest Path First (OSPF).
La couche de distribution est une frontière de routage entre la couche d’accès et la couche cœur de
réseau. Elle agit également comme point de connexion entre les sites distants et la couche cœur de
réseau.
14
Les périphériques de la couche de distribution servent également à gérer les files d’attente et la
hiérarchisation du trafic, avant la transmission via le cœur du campus. [12]
2.3.2.2 Agrégations
Des liaisons agrégées sont souvent configurées entre les périphériques de mise en réseau des
couches d’accès et de distribution. Elles servent à acheminer le trafic appartenant à plusieurs
réseaux locaux virtuels entre différents périphériques, sur la même liaison. Lors de la conception
des liaisons agrégées, le concepteur du réseau prend en compte la stratégie de réseau local virtuel
globale et les modèles de trafic réseau.
2.3.2.3 Liaisons redondantes
Les périphériques de la couche de distribution entre lesquels il existe des liaisons redondantes
peuvent être configurés de manière à équilibrer la charge du trafic entre les différentes liaisons.
L’équilibrage de charge augmente la bande passante disponible pour les applications.
15
Figure 2.03 : couche accès
16
Les commutateurs multicouche proposent parfois des fonctions de pare-feu et de protection contre
les intrusions, ainsi que des fonctions de couche 3.
2.3.3.4 Impact d’une mise en réseau convergent
Les réseaux informatiques modernes ne se composent plus simplement d’ordinateurs et
d’imprimantes connectés à la couche d’accès. De nombreux autres périphériques peuvent se
connecter à un réseau IP, notamment :
téléphones IP ;
caméras vidéo ;
systèmes de vidéoconférence.
Tous ces services peuvent être convergés en une infrastructure de couche d’accès physique unique.
Cependant, une conception du réseau logique permettant leur prise en charge est beaucoup plus
complexe, en raison des éléments supplémentaires à prendre en compte, tels que la qualité de
service, la séparation du trafic et le filtrage. Ces nouveaux types de périphérique terminal, ainsi que
les applications et services associés, modifient les exigences en termes d’extensibilité, de
disponibilité, de sécurité et de facilité de gestion au niveau de la couche d’accès. [11][12]
2.3.3.5 Exigences en matière de disponibilité
Dans les premiers réseaux, les seuls endroits à haute disponibilité étaient le cœur du réseau, la
périphérie et les réseaux de centre de calcul. Avec la téléphonie IP, chaque téléphone doit être
disponible en permanence.
Des composants redondants et des stratégies de basculement peuvent être mis en œuvre au niveau
de la couche d’accès, afin d’améliorer la fiabilité et la disponibilité pour les périphériques finaux.
17
2.3.3.6 Administration de la couche d’accès
Faciliter la gestion de la couche d’accès est un souci majeur pour les concepteurs de réseau. Cette
gestion est en effet cruciale dans les cas suivants :
Augmentation du nombre et des types de périphériques connectés à la couche d’accès
Introduction de points d’accès sans fil dans le réseau local
Les projets de conception de réseaux de grande envergure se divisent généralement en trois étapes
distinctes :
Étape 1 : identification des besoins du réseau.
Étape 2 : caractéristiques du réseau actuel.
Étape 3 : conception de la topologie et des solutions de réseau.
Afin de bien comprendre les étapes ci-dessus, on va les développer et les expliquer dans les
paragraphes suivant
Le concepteur travaille en étroite collaboration avec le client afin de documenter les objectifs du
projet. Ceux-ci se divisent généralement en deux catégories :
Objectifs commerciaux : de quelle façon le réseau peut-il contribuer au succès de l’entreprise ?
Spécifications techniques : de quelle façon la technologie est-elle mise en œuvre au sein du réseau ?
Une équipe réunit des informations sur le réseau et les services existants, puis les analyse. La
fonctionnalité du réseau existant doit être comparée aux objectifs définis pour le nouveau projet. Le
concepteur détermine quels équipements, infrastructures et protocoles existants peuvent être
réutilisés, le cas échéant, puis quels nouveaux équipements et protocoles doivent être ajoutés en
complément.
L’approche descendante constitue l’une des stratégies les plus courantes de la conception de réseau.
Selon cette méthode, le concepteur détermine tout d’abord les besoins en matière d’applications et
de services réseau, puis conçoit un réseau capable de les prendre en charge.
18
Une fois la conception terminée, un prototype est créé ou un test de faisabilité est réalisé. Cette
approche garantit que le nouveau réseau est conforme aux attentes du client et ce, avant la mise en
œuvre.
L’une des erreurs les plus courantes des concepteurs de réseau est leur incapacité à évaluer
correctement l’envergure du nouveau réseau. [11]
Lorsqu’il définit les besoins de la nouvelle structure, le concepteur identifie les problèmes pouvant
affecter l’ensemble du réseau et ceux affectant uniquement certaines sections. Une évaluation
incorrecte de l’impact d’un besoin donné a tendance à accroître l’étendue du projet, par rapport aux
estimations initiales. Cette erreur peut avoir des conséquences graves sur la mise en œuvre du
nouveau réseau, en termes de coût et de respect des délais.
Les besoins ayant un impact sur une partie du réseau uniquement incluent :
amélioration de la connectivité Internet et ajout de bande passante ;
mise à jour du câblage du réseau local de la couche d’accès ;
redondance des services clés ;
prise en charge de l’accès sans fil dans des zones spécifiques ;
mise à niveau de la bande passante du réseau étendu.
Ces besoins n’impliquent pas nécessairement de nombreux utilisateurs et n’exigent pas
obligatoirement une modification de l’équipement installé. Il est parfois possible d’intégrer des
changements de conception au niveau d’un réseau existant, sans interrompre le fonctionnement
19
normal de ce réseau pour la majorité des utilisateurs. Cette méthode permet de réduire les coûts
d’interruption de service et d’accélérer la mise en œuvre de la mise à niveau du réseau. [12]
D’abord, les techniciens ont utilisé un routeur afin de donner un accès internet à l’entreprise de
MPTDN, ce routeur est relier avec le commutateur (switch 0), ce dernier qui relie tous les réseaux ;
le serveur est branché avec le switch 0 avec un périphérique qui a pour rôle de configurer et
manipuler le serveur.
A droite de la figure 3.01 (wireless router) un wimax est relié avec le commutateur afin de donner
un accès internet aux périphéries mobile et au département à distant.
Quatre switch sont utilisés comme couche de distribution pour chaque direction :
S.N 01 ; le switch qui donne l’accès au ministre et au SG
S.N 02 ; le switch qui donne l’accès au PRMP, DSI, secrétariat DGNT
S.N 03 ; le switch qui donne l’accès au BUDGET, DIRCAB, service TIC
S.N 04 ; le switch qui donne l’accès au SOLDE, DRH, RDP, Dir TCO
20
2.5.2 Problème dans le réseau
Le commutateur réseau ou switch est un équipement qui relie plusieurs segments (câbles ou fibres)
dans un réseau informatique. Il s'agit le plus souvent d'un boîtier disposant de plusieurs ports
Ethernet.
L’architecture du réseau informatique de MPTDN n’est pas hiérarchique, les techniciens ont utilisé
un seul commutateur pour relier tous les directions dans le ministère, ce switch est relier avec le
serveur afin de donner un accès internet à tous les départements. La présence de la connexion wimax
favorise également l’accès pour les périphéries mobile et la liaison avec les directions à distant.
Le commutateur est la partie du réseau joue un plus grand rôle car s’il parvient un problème au
niveau du commutateur, la liaison du réseau MPTDN et de chaque département sont coupés.
Les câbles utilisés dans le réseau MPTDN sont les RJ45 qui sont le nom usuel du connecteur 8P8C
(8 positions et 8 contacts électriques) utilisé couramment pour les connexions Ethernet, et plus
rarement pour les réseaux téléphoniques. Ce câble a un débit entre 10 et 1000 Mbps qui est
insuffisant pour l’échange des données dans le réseau.
21
Figure 2.06 : réseau hiérarchique du MPTDN
2.6 Conclusion
En résumé, la conception du réseau est très important dans une entreprise afin de facilité la tâche
d’administrer le réseau. Mais le plus difficile dans ce domaine c’est l’application de différentes
étape afin d’avoir un réseau fiable et performent qui permettent d’échanger les données et les
ressources à un débit élevé.
22
CHAPITRE 3 :
SECURITE INFORMATIQUE ET
RESEAU
3.1 Introduction
3.2 Définition
Prototype d’une architecture de sécurité basé sur des outils du monde des logiciels libres (firewalls,
détection d’intrusions, contrôle d’intégrité, etc.), présentation des solutions de corrélation de
vulnérabilités.
23
Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les critères suivant
:
la disponibilité;
l’intégrité;
la confidentialité.
À ces trois critères s’ajoutent ceux qui permettent de prouver l’identité des entités (notion
d’authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu (notions de
non-répudiation, d’imputabilité voire de traçabilité)
(Figure 3.01).
3.3.2 Disponibilité
Pour un utilisateur, la disponibilité d’une ressource est la probabilité de pouvoir mener correctement
à terme une session de travail.
La disponibilité d’une ressource est indissociable de son accessibilité: il ne suffit pas qu’elle soit
disponible, elle doit être utilisable avec des temps de réponse acceptables.
Elle est mesurée sur la période de temps pendant laquelle le service offert est opérationnel. Le
volume potentiel de travail susceptible d’être pris en charge durant la période de disponibilité d’un
service, détermine la capacité d’une ressource (serveur ou réseau par exemple).
La disponibilité des services, systèmes et données est obtenue:
– par un dimensionnement approprié et une certaine redondance;
– par une gestion opérationnelle efficace des infrastructures, ressources et services.
Dans le cas d’un réseau grande distance de topologie maillée par exemple, la disponibilité des
ressources réseau sera réalisée à condition que l’ensemble des liaisons ait été correctement
dimensionné et que les politiques de routage et de gestion soient satisfaisantes. [15] [17]
24
Dans un contexte de système d’information d’entreprise, des tests de montée en charge sont
généralement effectués pour évaluer le comportement des systèmes sous certaines conditions
extrêmes et contribuer ainsi à mieux définir leur dimensionnement.
Un service nominal doit être assuré avec le minimum d’interruption, il doit respecter les clauses de
l’engagement de service établi sur des indicateurs dédiés à la mesure de la continuité de service.
Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les procédures
d’enregistrement et les supports de mémorisation ne sont pas gérés correctement. Ce risque majeur
est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la sécurité est importante
mais ne peut constituer un palliatif à une indispensable mise en place de procédures centralisées de
sauvegarde effectuées par les services compétents en charge des systèmes d’information de
l’entreprise.
De nombreux outils permettent de sauvegarder périodiquement et de façon automatisée les données,
cependant, une définition correcte des procédures de restitution des données devra être établie afin
que les utilisateurs sachent ce qu’ils ont à faire s’ils rencontrent un problème de perte de données.
Une politique de sauvegarde ainsi qu’un arbitrage entre le coût de la sauvegarde et celui du risque
d’indisponibilité supportable par l’organisation seront établis afin que la mise en œuvre des mesures
techniques soit efficace et pertinente.
3.3.3 Intégrité
Le critère d’intégrité est relatif au fait que des ressources, données, traitements, transactions ou
services n’ont pas été modifiés, altérés ou détruits tant de façon intentionnelle qu’accidentelle.
Il convient de se prémunir contre l’altération des données en ayant la certitude qu’elles n’ont pas
été modifiées lors de leur stockage, de leur traitement ou de leur transfert. Les critères de
disponibilité et d’intégrité sont à satisfaire par des mesures appropriées afin de pouvoir atteindre un
certain niveau de confiance dans le fonctionnement des infrastructures informatiques et télécoms et
notamment dans l’application critique.
Si en télécommunication, l’intégrité des données relève essentiellement de problématiques liées au
transfert de données, elle dépend également des aspects purement informatiques de traitement de
l’information (logiciels, systèmes d’exploitation, environnements d’exécution, procédures de
sauvegarde, de reprise et de restauration des données).
Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les protocoles de
communication qui les véhiculent. Ces derniers interviennent uniquement sur les données de
contrôle du protocole et non directement sur les données à transférer: un protocole ne modifie pas
25
le corps des données qu’il véhicule. Par contre, l’intégrité des données ne sera garantie que si elles
sont protégées des écoutes actives qui peuvent modifier les données interceptées.
3.3.4 Confidentialité
La confidentialité est le maintien du secret des informations. Transposée dans le contexte de
l’informatique et des réseaux, la confidentialité peut être vue comme la «protection des données
contre une divulgation non autorisée».
Il existe deux actions complémentaires permettant d’assurer la confidentialité des données:
– limiter leur accès par un mécanisme de contrôle d’accès;
– transformer les données par des procédures de chiffrement afin qu’elles deviennent inintelligibles
aux personnes ne possédant pas les moyens de les déchiffrer.
Le chiffrement des données(ou cryptographie) contribue à en assurer la confidentialité des données
et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage. Bien
qu’utilisées essentiellement lors de transactions financières et commerciales, les techniques de
chiffrement sont relativement peu mises en œuvre par les internautes de manière courante.[15][21]
26
Il est possible de préciser la notion de risque en la décrivant comme le produit d’un préjudice par
une probabilité d’occurrence :
27
de sécurité. Le périmètre de sécurité, au sein de l’univers physique, délimite l’intérieur et l’extérieur,
mais sa définition doit aussi englober (ou pas) les entités immatérielles qui peuplent les ordinateurs
et les réseaux, essentiellement les logiciels et en particulier les systèmes d’exploitation.
Une fois ce périmètre fixé, il faut aussi élaborer une politique de sécurité, c’est à-dire décidé de ce
qui est autorisé et de ce qui est interdit. À cette politique viennent en principe s’ajouter les lois et
les règlements en vigueur, qui s’imposent à tous. Nous disons « en principe », parce que
l’identification des lois en vigueur est rien moins qu’évidente.
Par exemple : La législation française interdit la mise en ligne de certaines œuvres à qui n’en possède
pas les droits, et réprime certains propos discriminatoires, mais d’autres pays ont des législations
plus laxistes, or qui peut m’empêcher d’installer un site xénophobe et de téléchargement illégal dans
un tel pays, et d’y attirer les internautes français.
Si avec l’aide du service juridique de l’entreprise on peut réussir à surmonter ces difficultés et à
mettre sur pieds une politique de sécurité des systèmes d’information, il nous sera possible de mettre
en place les solutions techniques appropriées à la défense du périmètre selon la politique choisie.
Mais déjà, il est patent que les dispositifs techniques ne pourront pas résoudre tous les problèmes
de sécurité, et, de surcroît, la notion même de périmètre de sécurité est aujourd’hui battue en brèche
par des phénomènes comme la multiplication des ordinateurs portables et autres objets mobiles
informatiques en réseau (iPhone 3G, BlackBerry et tablettes...) qui, par définition, se déplacent de
l’intérieur à l’extérieur et inversement, à quoi s’ajoute l’extraterritorialité de fait des activités sur
l’Internet.[16]
3.4.3.2 Périmètres et frontières
La notion de périmètre de sécurité, ainsi que le signalait déjà l’alinéa précédent, devient de plus en
plus fragile au fur et à mesure que les frontières entre l’extérieur et l’intérieur de l’entreprise ainsi
qu’entre les pays deviennent plus floues et plus poreuses. Interviennent ici des considérations
topographiques : les ordinateurs portables entrent et sortent des locaux et des réseaux internes pour
aller se faire contaminer à l’extérieur ; mais aussi des considérations logiques.
Par exemple : quelles sont les lois et les règles qui peuvent s’appliquer à un serveur hébergé aux
Etats-Unis, qui appartient à une entreprise française et qui sert des clients brésiliens et canadiens?
3.4.3.3 Ressources publiques, ressources privées
Les systèmes et les réseaux comportent des données et des programmes que nous considérerons
comme des ressources. Certaines ressources sont d’accès public, ainsi certains serveurs Web,
28
d’autres sont privées pour une personne, comme une boîte à lettres électronique, d’autres sont
privées pour un groupe de personnes, comme l’annuaire téléphonique interne d’une entreprise.
Ce caractère plus ou moins public d’une ressource doit être traduit dans le système sous forme de
droits d’accès. [16][19]
29
La plupart des entreprises mettent en place des ordinateurs qu’elles souhaitent rendre accessibles
aux visiteurs extérieurs, tels que leur serveur Web et leur relais de messagerie. Entre le réseau privé
et l’Internet, ces machines publiques seront placées sur un segment du réseau ouvert aux accès en
provenance de l’extérieur, mais relativement isolé du réseau intérieur, afin qu’un visiteur étranger à
l’entreprise ne puisse pas accéder aux machines à usage strictement privé. Un tel segment de réseau
est appelé zone démilitarisée (DMZ). [17]
30
Un pirate peut chercher à exploiter votre connexion à l’internet, en vue d’effectuer des attaques
sur d’autres systèmes. Cette méthode lui offre beaucoup de confort, puisque si ses activités sont
repérées, dans les faits, ce ne sera pas lui, mais vous qui serez inquiété, voire condamné.
On ne doit pas sous estimez ce risque, surtout avec les réseaux sans fils dont on ne peut maîtriser
Parfaitement la portée. [25]
31
D’après la RFC (Request For Comment) 791 (IP), tous les noeuds Internet (routeurs) doivent
pouvoir transmettre des paquets d’une taille de 68 octets sans les fragmenter d’avantage. En effet,
la taille minimale de l’en-tête d’un paquet IP est de 20 octets sans options. Lorsqu’elles sont
présentes, la taille maximale de l’en-tête est de 60 octets. Le champ IHL (Internet Header Length)
contient la longueur de l’en-tête en mots de 32 bits. Ce champ occupant 4 bits, le nombre de valeurs
possibles vaut de 2^4 - 1 =15 (il ne peut pas prendre la valeur 0000). La taille maximale de l’en-tête
est donc bien 15*4 = 60 octets.
Enfin, le champ Fragment Offset qui indique le décalage du premier octet du fragment par rapport
au datagramme complet est mesuré en blocs de 8 octets. Un fragment de données occupe donc au
moins 8 octets. Nous arrivons bien à un total de 68 octets.
L’attaque consiste à fragmenter sur deux paquets IP une demande de connexion TCP. Le premier
paquet IP de 68 octets ne contient comme données que les 8 premiers octets de l’en-tête TCP (ports
source et destination ainsi que le numéro de séquence). Les données du second paquet IP renferment
alors la demande de connexion TCP (flag SYN à 1 et flag ACK à 0).
Or, les filtres IP appliquent la même règle de filtrage à tous les fragments d’un paquet. Le filtrage
du premier fragment (Fragment Offset égal à 0) déterminant cette règle elle s’applique donc aux
autres (Fragment Offset égal à 1) sans aucune autre forme de vérification. Ainsi, lors de la
défragmentation au niveau IP de la machine cible, le paquet de demande de connexion est
reconstitué et passé à la couche TCP. La connexion s’établit alors malgré le filtre IP. [23][24]
32
Figure 3.03 : Fragment 2
33
3.5.4 IP Spoofing
Le but de cette attaque est l’usurpation de l’adresse IP d’une machine. Ceci permet au pirate de
cacher la source de son attaque (utilisée dans les dénis de services dont nous discuterons plus tard)
ou de profiter d’une relation de confiance entre deux machines. Nous expliquerons donc ici cette
deuxième utilisation de l’IP Spoofing.
Le principe de base de cette attaque consiste à forger ses propres paquets IP (avec des programmes
comme hping2ou nemesis) dans lesquels le pirate modifiera, entre autres, l’adresse IP source. L’IP
Spoofing est souvent qualifié d’attaque aveugle (ou Blind Spoofing). Effectivement, les réponses
éventuelles des paquets envoyés ne peuvent pas arriver sur la machine du pirate puisque la source
est falsifiée. Ils se dirigent donc vers la machine spoofée. [14]
3.6 Conclusion
En effet, même si les pirates informatiques ont des avantages en technique, certains pirates
contribuent à la sécurité d'autrui sur internet et autres réseaux sociaux. On peut donc en déduire que
la sécurité informatique avance grâce au piratage. La sécurité informatique est aussi quasi-
indispensable pour le bon fonctionnement d'un réseau, aucune entreprise ne peut prétendre vouloir
mettre en place une infrastructure réseau, quel que soit sa taille, sans envisager une politique de
sécurité. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.
34
CHAPITRE 4 :
SECURISATION ET MONITORING
D’UN RESEAU LOCAL SOUS
PFSENSE
4.1 Préambule
4.2.1 Historique
pfSense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À l'origine
d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage et de NAT
lui permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils
et services utilisés habituellement sur des routeurs professionnels propriétaires. pfSense convient
pour la sécurisation d'un réseau domestique ou d’une entreprise.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à
distance depuis l'interface web et gère nativement les VLAN.
Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour installer
des fonctionnalités supplémentaires, comme un proxy, serveur VoIP1...
4.2.2 Fonctionnalité
35
pfSense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système
d'exploitation qui initie la connexion.
Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
Politique très souple de routage possible en sélectionnant une passerelle sur une base par
règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des
réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à
comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de
nombreux serveurs.
Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont
filtrant.
La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans
l'interprétation de la destination finale du paquet. Le directif « scrub » ré-assemble aussi
des paquets fragmentés, protège les systèmes d'exploitation de certaines formes
d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.[28]
Activé dans pfSense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque des
problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activer sur la
plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre de pare-
feu si vous souhaitez configurer pfSense comme un routeur pur.
Il existe plusieurs logiciels afin de sécuriser un réseau d’entreprise, mais dans notre cas on a choisi
pfsense à cause de sa performance et sa fiabilité par rapport au autre logiciel qu’on peut aussi utiliser.
On a pu constater cette différenciation durant le stage au sein de MPTDN qui ma permit d’accueillir
des connaissances pour configurer ce logiciel et de réaliser ce projet.
Premièrement nous avons utilisé virtualbox afin de créer quatre machines qui ont des systèmes
différents.
36
Figure 4.01 : Oracle VM VirtualBox
Dans le premier ordinateur, on a installé pfsense qui gère toute la connexion des trois autres
machines. Ici on la utilisé comme portail captive du réseau, c’est-à-dire que seule les utilisateurs qui
sont autorisés par l’administrateur peuvent avoir de connexion.
37
Figure 4.03 : Machine de l’administrateur réseau
38
Figure 4.05 : Machine du client numéro deux
On peut voir sur la figure ci-dessous (figure 4.06) l’architecture du réseau dans le virtualbox,
l’interface LAN qui est en rouge et noir pour le WAN. Les trois ordinateurs sont reliés par un switch
(l’administrateur et client 1, client 2), puis connecter par l’interface LAN du serveur PFsense.
Du côté WAN, nous avons utilisé un modem « ORANGE » afin d’avoir une connexion internet
pour le réseau, ce modem est lié directement par le port USB du serveur. Cette architecture nous
permet de sécuriser le réseau contre l’intrusion extérieur et aussi et aussi de superviser le réseau
avec PFsense.
39
4.4 Configuration de pfsense
Une fois que notre serveur pfsense est maintenant installé, notre tâche ne pas encore achevé ; notre
travail commence ici.
La mise en place des paquets et des services nécessaires pour le projet est le plus grand moyen de
sécurisation et surveillance au niveau du réseau local.
PF SENSE possède plusieurs paquets et des services fonctionnels, mais nous n’avons installé que
2 paquets et quelques services pour la sécurisation et le monitoring du réseau.
Pour le serveur pfsense, toutes les tâches se faient via un autre machine que le serveur implémenté
pour pouvoir accéder à l’interface web du serveur pfsense.
Dans l’interface ci-dessous, on doit entrer le nom d’utilisateur et aussi le mot de passe afin de
configurer pfsense.
Une fois que notre serveur est implémenté et configurer, on doit faire les tâches suivant :
Ouvrir le navigateur internet de la machine connecté au serveur, dans notre cas (Mozilla
Firefox)
Taper l’adresse IP du serveur que nous avons déjà donné en dessus
Pour nous IP : 192.168.56.1
Accès au login et au mot de passe
Par défaut :-Login : admin
-Mot de passe : pfsense
40
Si on veut changer le mot de passe, on doit entrer dans le paramètre « system » puis « user manager »
pour ouvrir l’interface qui modifie le mot de passe
Une fois que l’interface est ouvert, il est préférable de changer le mot de passe par défaut pour que
d’autre personne ne puisse entrer dans l’administrateur
Chemin : system > User Manager
41
Dans notre cas, nous avons changé ce dernier ; maintenant nous passerons à l’installation des
paquets.
Pour la sécurisation au niveau du réseau local, nous avons mis en œuvre les services suivants :
4.5.1.1 Squid + Squidguard
Squid + Squidguard est un serveur mandataire, en anglais un proxy, entièrement libre et très
performant. Squid est capable de gérer les protocoles FTP, HTTP, HTTPS.
Pour des fonctions :
De contrôle et système de filtrage d'URL
D'économiser la bande passante Internet.
Limiter l'accès Web pour certains utilisateurs à une liste de serveurs reconnus / bien connus
web et / ou URL seulement.
Bloquer l'accès à certains serveurs et / ou des URL Web répertoriés ou liste noire pour
certains utilisateurs.
Bloquer l'accès à des URL correspondant à une liste d'expressions régulières ou des mots
pour certains utilisateurs.
Imposer l'utilisation de noms de domaine / interdire l'utilisation d'adresses IP dans les URL.
Tout d’abord, nous avons installé le serveur squid pour la sécurisation contre les trafics au niveau
du réseau local. Pour s’y faire, il y a des chemins à suivre :
42
Il est très important de télécharger les packages « squid et squidguard » pour intégrer le « server
proxy » dans les paramètres de l’interface du pfsense. Voici le chemin qu’on doit suivre afin
d’arriver jusqu’à l’interface ci-dessous (figure 4.06).
Chemin: system > Packages >Available Packages >Install Squid et puis SquidGuard
4.5.2.1 general
Nous allons mettre en détaille sa configuration pour bien éclaircir le travail, nous avons besoin des
documentations pour bien le mettre en œuvre.
43
Figure 4.14 : choix de l’interface du proxy à configurer
44
Il faut ajouter un nom d’hôte et une adresse email
45
Figure 4.17 : chemin proxy filter
4.5.3.2 blacklist
Ce sont les listes noires livrés par squidguard
46
D’abord
Entrer sur « Blacklist options »
Cocher « blacklist »
Entrer URL du blacklist dans le champ « Blacklist URL »
Nou avons choisis l’URL: Shalla’s blacklist:
« http://www.shallalist.de/Downloads/shallalist.tar.gz »
Cliquer sur « save » pour enregistrer
47
Dans notre cas, nous avons refusés les sites suivants :
Porno
Sexe éducation
Sexe lingerie
Les sites malveillants
On trouve le « captive portal » dans les « services » et Il suffit simplement d’activer captive
portal sur interface LAN
Cocher « Enable captive portal »
Cliquer « LAN »
« save » pour enregistrer
48
Adresse MAC
Adresse IP
Nom d’hôte (Hostename)
Vouchers
Gestion de fichier (file manager)
Il est facile de sécuriser le réseau local une fois que toutes les adresses MAC des machines
clients sont entrées dans le service captif portal
-Bandwidth up/ Bandwidth doawn : limitation de téléchargement pour être appliquée sur cette
adresse MAC en Kbit / s
49
Adresse IP
Dans la service captive portal , nous pouvons aussi filtrer l’acces internet par
Adresse IP.
Voici le portail captif qu’on a créé (figure 4.25), si un individu veut se connecter à internet alors il
devra avoir un « login » et un « mot de passe » vers l’administrateur sinon le portail ne s’ouvrira
jamais. De même seuls les clients qui ont l’autorisation et l’accès au réseau par l’administrateur
peuvent se connecter.
50
Figure 4.26 : Accès du client 1
Dans la figure 4.08 le client numéro un est maintenant connecté à internet grâce au « login » et
« mot de passe » qu’il vient d’entrer dans le portail captif.
Le trafic graph est un service nécessaire pour le monitoring du réseau local (en kbps)
51
Figure 4.28 : graph du réseau LAN
Ces graphes mesurent des choses telles que : l'utilisation du CPU, utilisation de la mémoire, de l'état
d'utilisation de la table, le débit (en octets ainsi que des paquets), qualité de la liaison, le trafic qui
façonnent l'utilisation de file d'attente, et ainsi de suite.
Nous avons utilisés ce type de graph comme monitoring au niveau du réseau local :
Il possède six (5) types de graph pour le monitoring :
System
Traffic
Packets
quality
custom
Mais nous n’avons utilisés que deux (2) d’entre eux :
52
4.6.2.1 Traffic
Nous avons utilisés ce type de graph pour surveiller le trafic réseau sur LAN (bits/sec)
53
Dans ce graph nous voyons :
Type de graph : LAN
Le style du graph : inverser ou absolus
Le période :
absolutes timespans : plages horaires absolus
current period : période actuelle
previous period : période prévue
4.7 Conclusion
PFsense est un outil très fiable et performant pour sécuriser et superviser un réseau d’entreprise par
rapport aux autres logiciels. De plus sa configuration est moins difficile grâce à l’interface web
qu’on avait présentée dans le dernier chapitre mais ce travail demande plain de connaissance afin
d’arriver à ce stade.
54
CONCLUSION GENERALE
Pour conclure, pfsense est une technologie révolutionnaire qui offre des services efficaces pour le
réseau local. Pour toutes les entreprises qui veulent être compétitive et moderne, cette technologie
est plus souple, conviviale, ne nécessite pas un investissement lourd, coûte beaucoup plus moins
chère. Elle propose aussi de nouveaux services et beaucoup d’autres avantages et jette son dévolu
sur l’utilisation du serveur pfsense pour gérer son réseau local. Elle vise principalement à faciliter
les tâches de l’administrateur réseau pour la sécurisation, surveillance et d’autres tâches.
Actuellement, il est évident que l’implémentation de ce type de serveur va continuer à se développer
dans les prochaines années. Les services offerts par pfsense se développent à une vitesse fulgurante.
C’est la raison pour laquelle plusieurs entreprises dans leurs stratégies de sécurisation des
surveillances au niveau de son réseau local proposent de mettre en œuvre le serveur pfsense. Elle
parait comme une bonne solution en matière de filtrage, de routage, de sécurité réseau
Nous n’avons pas la prétention d’avoir tout dit ou tous fait dans ce sujet. Nous avons mis en place
des bases de configuration. Il appartient à la génération futur de continuer la réflexion dans le
domaine. Il existe beaucoup d’aspects qui restent en friche. L’on peut bien traiter un sujet qui
consiste à savoir si le développement de cette technologie représente-t-il un risque ou une
opportunité au niveau du réseau local de l’entreprise ? Une chose est certaine, la mise en place de
ce type de serveur va bientôt se propager dans toutes les grandes entreprises.
55
ANNEXE 1 :
PROTOCOLE UTILISE DANS LE
NOUVEAU RESEAU
Il existe aussi d’autre redondance qui permet de supporter la perte d'un lien ou d'un équipement ;
mais le problème se trouve toujours au niveau du broadcast.
56
Figure A1.03 : Protocole Spanning Tree
57
Figure A1.04 : Bridge ID
58
Ceci est réalisé en rendant les commutateurs conscients de l’existence de leurs voisins et de
l’état de la bande passante sur les liens communs. Chaque commutateur sélectionne alors un seul
parcours, sans boucle et avec une bande passante disponible maximale par rapport à un
point de référence commun à l'ensemble des membres du domaine de niveau 2 (sera appelé
domaine de niveau 2 l'ensemble des commutateurs travaillant sur un même subnet IP que ce soit
au niveau physique ou logique). Si le phénomène de boucle n’était pas maîtrisé au travers de ce
protocole, le réseau pourrait être victime du phénomène appelé tempête de broadcast.
Celui-ci se produit lorsque des trames de type broadcast (à destination de l’ensemble des
éléments actifs du réseau) sont émises. Les commutateurs les renvoient alors sur l’ensemble
des ports, les trames continuant ainsi à circuler en boucle et à se multiplier jusqu’à expiration du
TTL (Time To Live– temps de vie maximum autorisé pour une trame sur le réseau).
Le point de référence permettant la mise en place d'itinéraires uniques et sans boucle sur le réseau
se nomme le root bridge.Ce dernier est choisi parmi les différents commutateurs au travers d’un
processus d’élection qui permet d’arriver à un résultat unique. Une fois le root bridge désigné,
chaque commutateur définit un port root représentant le chemin à emprunter pour accéder à
ce dernier. L’ensemble des parcours possibles pour atteindre chaque point du réseau est défini
et peut être représenté comme un arbre de possibilités ayant le root bridge pour origine.
La fin de ce processus, le STP est construit et le domaine de niveau 2 dans lequel se trouve
notre commutateur ne doit posséder aucune boucle.
Les ports des commutateurs (ceux reliant les différents commutateurs entre eux) ne participant
pas au processus STP sont bloqués. Un port dans cet état particulier n’émet ni ne reçoit de données.
La seule action autorisée est l’écoute des BPDU (STP Bridge Protocol Data
59
Unit – trame permettant de gérer les processus STP sur le réseau). C’est la présence de cette
fonction particulière qui permet d’élimer les boucles sur le domaine de niveau 2. Lors d’un
recalcul de l’arbre du STP, il est possible que les ports bloqués changent d’état pour prendre
en compte une modification de l’architecture du réseau. Les ports passeront alors dans les états
listening, learning, pour enfin atteindre l’état forwarding permettant au trafic de données de s’établir.
Ce processus prend de 30 à 50 secondes par défaut (une norme plus récente appelée RSTP, pour
Rapid Spanning-Tree Protocol, permet une convergence plus rapide pour les réseaux qui la
supportent).Maintenant que nous comprenons les grands processus utilisés par le protocole
spanning-tree, il sera plus simple de définir les différents axes d’attaques possibles.
Tous mettent en jeu les BPDU évoquées précédemment pour usurper une fonction (au hasard le
root bridge) ou provoquer un déni de service calcul récurrent de l’arbre du STP par exemple).
60
ANNEXE 2 :
CISCO ASA
Les Serveurs de Sécurité Adaptatifs Cisco ASA 5500 combinent les meilleurs services de VPN
et de sécurité, et l’architecture évolutive AIM (Adaptive Identification and Mitigation), pour
constituer une solution de sécurité spécifique. Conçue comme l’élément principal de la
solution Self-Defending Network de Cisco (le réseau qui se défend tout seul), la gamme Cisco
ASA 5500 permet de mettre en place une défense proactive face aux menaces et de bloquer les
attaques ava nt qu’elles ne se diffusent à travers le réseau, de contrôler l’activité du réseau
et le trafic applicatif et d’offrir une connectivité VPN flexible. Le résultat est une gamme
de puissants serveurs de sécurité réseau multifonctions capables d’assurer en profondeur la
protection élargie des réseaux des PME/PMI et des grandes entreprises tout en réduisant
l’ensemble des frais de déploiement et d’exploitation et en simplifiant les tâches généralement
associées à un tel niveau de sécurité.
Réunissant sur une même plate- forme une combinaison puissante de nombreuses technologies
éprouvées, la gamme Cisco ASA 5500 vous donne les moyens opérationnels et économiques
de déployer des services de sécurité complets vers un plus grand nombre de sites. La gamme
complète des services disponibles avec la famille Cisco ASA 5500 permet de répondre aux
besoins spécifiques de chaque site grâce à des éditions produits conçues pour les PME
comme pour les grandes entreprises. Ces différentes éditions offrent une protection de qualité
supérieure en apportant à chaque installation les services dont elle a besoin. Chaque édition
de la gamme Cisco ASA 5500 regroupe un ensemble spécialisé de services – firewall, VPN
SSL et IPSec, protection contre les intrusions, services Anti - X, etc. – qui répondent
exactement aux besoins des différents environnements du réseau d’entreprise.
Et lorsque les besoins de sécurité de chaque site sont correctement assurés, c’est l’ensemble
de la sécurité du réseau qui en bénéficie.
61
Des fonctionnalités éprouvées de sécurité et de connectivité VPN. Le système de
prévention
des intrusions (IPS) et de firewall multifonctions, ainsi que les technologies anti- X et VPN
IPSec ou SSL (IP Security/Secure Sockets Layer) garantissent la robus tesse de la sécurité
des applications, le contrôle d’accès par utilisateur et par application, la protection contre les vers,
les virus et les logiciels malveillants, le filtrage des contenus ainsi qu’une connectivité à
distance par site ou par utilisateur.
L’architecture évolutive des services AIM (Adaptive Identification and Mitigation).
Exploitant un cadre modulaire de traitement et de politique de services, l’architecture AIM de
Cisco ASA 5500 autorise l’application, par flux de trafic, de services spécifiques de sécurité ou
de réseau qui permettent des contrôles de politiques d’une très grande précision ainsi que la
protection anti- X tout en accélérant le traitement du trafic. Les avantages en termes de
performances et d’économies offerts par l’architecture AIM de la gamme Cisco ASA 5500,
ainsi que l’évolutivité logicielle et matérielle garantie par les modules SSM (Security Service
Module), permettent de faire évoluer les services existants et d’en déployer de nouveaux,
sans remplacer la plate - forme et sans réduire les performances.
Fondement architectural de la gamme Cisco ASA 5500, AIM permet l’application de
politiques de sécurité hautement personnalisables ainsi qu’une évolutivité de service sans
précédent qui renforce la protection des entreprises contre l’environnement toujours plus
dangereux qui les menace.
La réduction des frais de déploiement et d’exploitation. La solution multifonctions
Cisco ASA 5500 permet la normalisation de la plate- forme, de la configuration et de la
gestion, contribuant à réduire les frais de déploiement et d’exploitation récurrents.
62
BIBLIOGRAPHIE
63
[23] F.CROSNIER, «Intégration d’un superviseur de flux réseaux» mémoire de master
spécialisé N&IS, 22 octobre 2013
[24] J.L. ARCHIMBAUD, «Sécurité informatique et réseau» CNRS/HAL, 2 Février 2011
[25] Y.LESCOP, «Sécurité informatique» Post BTS R2i, 2002
[26] M. FUCHS ET M. GREGORY BERNARD, «Configurer pfSense comme un firewall
transparent», 18 septembre 2009
[27] M.DAOUES, « Mise en route d'un Routeur/Pare-Feu » Formation TSGERI, 30 mai 2011
[28] http://forum.pfSense.org
64
FICHE DE RENSEIGNEMENTS
Contacts :+261340455121/+261331441008
65
RESUME
ABSTRACT
The realization of this present project has enabled us to design the computing network within the
MPTDN because pfsense was used as a firewall permit to secure the network. This on in the terms
of design has a lot of work because you should to modify it's architecture (hierarchical network) and
after replace several computer hardware in order to adapt the network to the new architecture.
About the security, the pfsense allowed permit us to know the performance and reability within a
corporate network. This is due to the existence of several package built into the software squid,
squidguard and else that allow us to filter IP addresses. It is also essential to supervise the network
to manage bandwidth and provide an internet connection for each direction MPTDN. Supervision
of the corporate network isn't so difficult, you just identify the curves using various tools in pfsense