harySetraJulien - ESPA - MAST PRO - 16 PDF

N° d’ordre : /M2PRO /TCO Année Universitaire : 2014/2015
UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-----------------------
DEPARTEMENT TELECOMMUNICATION
MEMOIRE DE FIN D’ETUDES

en vue de l’obtention
du diplôme de
MASTER A VISEE PROFESSIONNELLE

Spécialité : Télécommunication
Option : Système de Traitement d’Information (STI)
par : HARY SETRA Julien
SECURISATION ET MONITORING D’UN RESEAU

LOCAL SOUS PF SENSE
Soutenu le 26 Mai 2016 à 08h30mn devant la commission d’examen composée de :

Président : M. RAKOTOMALALA Mamy Alain
Examinateurs :
M. RAKOTONDRAINA Tahina Ezéchiel
M. ANDRIANANDRASANA Boto Jean Espérant
M. RANDRIAMIHAJARISON Jimmy
Directeur de mémoire : M. RANDRIAMANAMPY Samuel
REMERCIEMENT
« Je tiens à remercier Le Seigneur tout puissant, de tout mon cœur de m’avoir donné sa grâce et sa
bonté durant la réalisation de ce travail de mémoire de fin d’étude».
Ce mémoire n’est peut-être réalisé que sans la participation des nombreuses personnes. Ainsi mes
sincères remerciements s’adressent aux personnes suivantes :
En premier lieu, à:
- Monsieur ANDRIANAHARISON Yvon Dieu Donné, Professeur titulaire,
Directeur de l’Ecole Supérieure Polytechnique d’Antananarivo de m’avoir permis
d’effectuer mes études au sein de l’école durant ces années.
- Monsieur, RAKOTOMALALA Mamy Alain, Maître de Conférences, Chef du
Département Télécommunication et président du jury.
Nous témoignons également notre reconnaissance aux membres du jury qui ont bien voulu consacrer
une partie de leur temps, malgré leurs lourdes tâches, pour juger ce travail. Je leur suis entièrement
reconnaissant de l’intérêt qu’ils ont porté sur ce mémoire:
- Monsieur M. RAKOTONDRAINA Tahina Ezéchiel, Maitre de conférences et Enseignant
chercheur en Télécommunication
- Monsieur ANDRIANANDRASANA Boto Jean Espérant, Assistant d’enseignement et de
recherche au sein du département de la Télécommunication
- Monsieur RANDRIAMIHAJARISON Jimmy, Assistant d’enseignement et de recherche au sein
du département de la Télécommunication
J’exprime ma profonde reconnaissance à Monsieur RANDRIAMANAMPY Samuel,
Assistant d’enseignement et de recherche au sein du département Télécommunication de l’ESPA,
pour m’avoir encadré durant la longue période qu’a nécessité la réalisation de ce mémoire. Il a fait
tous ses efforts possibles pour mener à terme ce travail: son encadrement, ses conseils introuvables
concernant la rédaction ainsi que ses relectures m’ont été d’une aide précieuse.
Mes vifs remerciements s’adressent également à tous les enseignants et les personnels
administratifs à l’Ecole Supérieure Polytechnique d’Antananarivo
Je n’oublierai pas non plus ma famille pour leurs soutiens bienveillants et leurs
encouragements, plus particulièrement, mes parents pour leurs sacrifices durant ces longues années
afin que je puisse arriver à ce niveau, et mes amis qui m’ont toujours soutenu.
I
TABLE DE MATIERE
REMERCIEMENT ........................................................................................................................................I
TABLE DE MATIERE ................................................................................................................................ II
ABREVIATION ........................................................................................................................................... V
INTRODUCTION GENERALE.................................................................................................................. 1
CHAPITRE 1 :GENERALITES SUR LES RESEAUX LOCAUX .......................................................... 2
1.1 Introduction ......................................................................................................................................... 2
1.2 Les réseaux informatiques.................................................................................................................. 2
1.3 Similitudes entre types de réseaux ..................................................................................................... 2
1.4 Les différents types de réseaux .......................................................................................................... 3
1.4.1 LAN (local area network) ............................................................................................................. 3
1.4.2 MAN (metropolitan area network) ............................................................................................... 4
1.4.3 WAN (wide area network) ............................................................................................................ 4
1.4.4 Internet, extranet et intranet ........................................................................................................ 5
1.5 Topologies des Réseaux ...................................................................................................................... 5
1.5.1 réseau en bus................................................................................................................................. 5
1.5.2 Le réseau en étoile ........................................................................................................................ 6
1.5.3 Réseau en anneau ......................................................................................................................... 6
1.5.4 Topologie maillé............................................................................................................................ 7
1.6 Équipements nécessaires en réseau ................................................................................................... 7
1.6.1 La carte réseau .............................................................................................................................. 7
1.6.2 Le serveur ...................................................................................................................................... 8
1.6.3 Le hub (concentrateur) et le switch (commutateur) .................................................................... 8
1.7 Protocole de transport utilisé dans un réseau................................................................................... 8
1.7.1 Présentation du protocole TCP .................................................................................................... 8
1.7.2 L’adresse IP .................................................................................................................................. 9
1.7.3 Adresse routable – adresse non routable ..................................................................................... 9
1.7.4 Adresse IP fixe ou adresse IP dynamique.................................................................................... 9
1.7.5 Le routeur.................................................................................................................................... 10
1.8 Conclusion ......................................................................................................................................... 10
CHAPITRE 2 :CONCEPTION D’UN RESEAU D’ENTREPRISE ....................................................... 11
2.1 Introduction ....................................................................................................................................... 11
2.2 Base de conception réseau ................................................................................................................ 11
2.2.1 Spécifications du réseau ............................................................................................................. 11
2.2.2 Conception d’un réseau viable ................................................................................................... 11
2.2.3 Objectifs de conception fondamentaux ...................................................................................... 11
2.3 Réseau Hiérarchique......................................................................................................................... 12
II
2.3.1 Couche cœur de réseau............................................................................................................... 12
2.3.2 Couche de distribution de réseau ............................................................................................... 14
2.3.3 couche d’accès de réseau ............................................................................................................ 15
2.4 Méthodologies de conception réseau ............................................................................................... 18
2.4.1 Identification des besoins du réseau .......................................................................................... 18
2.4.2 Caractéristiques du réseau actuel .............................................................................................. 18
2.4.3 Conception de la topologie du réseau ........................................................................................ 18
2.4.4 Définition de l’étendue du projet................................................................................................ 19
2.4.5 Conséquences sur l’ensemble du réseau.................................................................................... 19
2.4.6 Conséquences sur une section spécifique du réseau ................................................................. 19
2.5 Conception du réseau MPTDN ........................................................................................................ 20
2.5.1 Réseau actuel du ministère de MPTDN ..................................................................................... 20
2.5.2 Problème dans le réseau ............................................................................................................. 21
2.5.3 Conception de la topologie de réseau ......................................................................................... 21
2.6 Conclusion ......................................................................................................................................... 22
CHAPITRE 3 : SECURITE INFORMATIQUE ET RESEAU .............................................................. 23
3.1 Introduction ....................................................................................................................................... 23
3.2 Définition ........................................................................................................................................... 23
3.2.1 sécurité informatique .................................................................................................................. 23
3.2.2 sécurité des réseaux .................................................................................................................... 23
3.3 Principes de sécurité ......................................................................................................................... 23
3.3.2 Disponibilité ................................................................................................................................ 24
3.3.3 Intégrité ....................................................................................................................................... 25
3.3.4 Confidentialité............................................................................................................................. 26
3.4 notions de sécurité ............................................................................................................................. 26
3.4.1 Menaces, risques et vulnérabilités.............................................................................................. 26
3.4.2 Aspects techniques de la sécurité informatique ......................................................................... 27
3.4.3 Définir risques et objets à protéger ............................................................................................ 27
3.4.4 Identifier et authentifier ............................................................................................................. 29
3.4.5 Empêcher les intrusions ............................................................................................................. 29
3.5 Différentes intrusion ......................................................................................................................... 30
3.5.1 Piratage en informatique et internet .......................................................................................... 30
3.5.2 Type d’intrusion .......................................................................................................................... 30
3.5.3 Techniques de Hacking .............................................................................................................. 31
3.5.4 IP Spoofing ................................................................................................................................. 34
3.5.5 TCP Session Hijacking ............................................................................................................... 34
3.6 Conclusion ......................................................................................................................................... 34
CHAPITRE 4 :SECURISATION ET MONITORING D’UN RESEAU LOCAL SOUS PFSENSE .. 35
III
4.1 Préambule .......................................................................................................................................... 35
4.2 Présentation du pf sense ................................................................................................................... 35
4.2.1 Historique.................................................................................................................................... 35
4.2.2 Fonctionnalité ............................................................................................................................. 35
4.3 Présentation du projet ...................................................................................................................... 36
4.4 Configuration de pfsense .................................................................................................................. 40
4.5 Sécurisation et configuration des paquets et services ................................................................... 42
4.5.1 Installation des outils squid et squidgard : ................................................................................ 42
4.5.2 Configuration proxy serveur : .................................................................................................... 43
4.5.3 Configuration proxy filter : ........................................................................................................ 45
4.5.4 Captive Portal.............................................................................................................................. 48
4.6 Surveillance ou monitoring .............................................................................................................. 51
4.6.1 Trafic Graph ............................................................................................................................... 51
4.6.2 RRD Graphs ................................................................................................................................ 52
4.7 Conclusion ......................................................................................................................................... 54
CONCLUSION GENERALE .................................................................................................................... 55
ANNEXE 1 :PROTOCOLE UTILISE DANS LE NOUVEAU RESEAU .............................................. 56
ANNEXE 2 :CISCO ASA ........................................................................................................................... 61
BIBLIOGRAPHIE ...................................................................................................................................... 63
FICHE DE RENSEIGNEMENTS ............................................................................................................. 65
IV
ABREVIATION
ARPANET Advanced Research Projects Agency Network
BID Bridge Identity
BPDU Bridge Protocol Data Unit
DDoS Distributed Deny of Service
DGNT Direction générale des Nouvelles Technologies
DHCP Dynamics Host Control Protocol
DMZ Demilitarized Zone
DNS Domain Name System
DRH Direction des Ressources Humaines
DSI Direction des Systèmes d’Information
DT Direction des Télécommunications
EIGRP Enhanced Interior Gateway Routing Protocol
ENX European Network Exchange
HTTP Hyper Text Transfer Protocol
IBM International Business Machine
ID Identity
IHL Internet Header Length
IP Internet Protocol
LAN Local Area Network
MAN Metropolitan Area Aetwork
V
MAU Multistation Access Unit
MPTDN Ministère des Postes, des Télécommunication et du Développement Numérique
NAT Network address translation
OSPF Open Shortest Path First
PoE Power-over-Ethernet
PRMP Personne Responsable de Marché Public
QS Qualité de service
RDP Responsible des Programmes
RFC Request For Comment
RJ Registered Jack
RSTP Rapid Spanning Tree protocol
SMTP Simple Mail Transfer Protocol
SSI Sécurité de Système d’Information
STP Spanning Tree protocol
TCP Transmission Control Protocol
TTL Time to Live
WAN Wide Area Network
Wi-Fi Wireless Fidelity
VI
INTRODUCTION GENERALE
Avant l'apparition des réseaux informatiques, la transmission des données entre ordinateurs était
difficile. Actuellement, avec l'évolution de la technologie, les réseaux sont omniprésents et nous
pouvons partager des applications, échanger des informations, consulter des bases de données et
effectuer des transferts de fichiers entre plusieurs postes à distance. Toutes ces applications sont
possibles grâces aux réseaux informatiques nées du besoin de faire communiquer des terminaux
distants avec un site central, des ordinateurs entre eux et des stations de travail avec leurs serveurs.
Les entreprises de façon traditionnelle exploitent un ou des moyens de sécurisation et de surveillance

au niveau de leur réseau local. Toutes et presque toutes les entreprises laissent simplement son
serveur que ce soit linux ou Windows à gérer tous cela. Ceci entraine des problèmes de trafic réseau
et des mauvais usages de l’internet. Cette situation provoque une augmentation du taux de
consommation internet des entreprises. D’où la nécessité de trouver une solution pour ces
problèmes.
Il s’avère nécessaire pour nous, de rechercher parmi la différente solution existante, la meilleure qui
permettrait de contrôler tous trafics réseaux et l’augmentation des coûts de consommation internet
dû au mauvais usage de l’internet, à savoir : téléchargement, accès à des sites inutiles, etc. C’est
dans cette perspective que s’inscrit la présente étude intitulée : « sécurisation et monitoring d’un
réseau sous serveur linux pfsense ». Afin de permettre d’approfondir ce thème, il faut entamer en
premier lieu les généralités sur les réseaux locaux ; en second lieu, il serait utile d’examiner la
conception d’un réseau d’entreprise ; puis la sécurité informatique et réseau ; en dernier lieu, il est
intéressant d’aborder la sécurisation et monitoring du réseau local sous PFsense.
1
CHAPITRE 1 :
GENERALITES SUR LES RESEAUX

LOCAUX
1.1 Introduction
La connexion entre les différents éléments constitutifs d’un réseau, peut s’effectuer à l’aide de liens
permanents comme des câbles, mais aussi à travers des réseaux de télécommunications publics,
comme le réseau téléphonique. Les dimensions de ces réseaux sont très variées, depuis les réseaux
locaux, reliant quelques éléments dans un même bâtiment, jusqu’aux ensembles d’ordinateurs
installés sur une zone géographique importante.
1.2 Les réseaux informatiques
Le terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.) interconnectées
les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments matériels ou
immatériels entre chacune de ces entités selon des règles bien définies. Un réseau est un ensemble
d'infrastructures bien organisées permettant de rendre des services à un ou plusieurs usagers. [1]
Le réseau informatique est l’ensemble d'ordinateurs reliés entre eux grâce à des lignes physiques
et échangeant des informations sous forme de données numériques.
Un ordinateur est une machine permettant de manipuler des données. L'homme, en tant qu'être
communiquant, a rapidement compris l'intérêt qu'il pouvait y avoir à relier ces ordinateurs entre-
eux afin de pouvoir échanger des informations.
Un réseau informatique peut servir plusieurs buts distincts :
- Le partage de ressources (fichiers, applications ou matériels, connexion à internet, etc.)
- La communication entre personnes (courrier électronique, discussion en direct, etc.)
- La communication entre processus (entre des ordinateurs industriels par exemple)
- La garantie de l'unicité et de l'universalité de l'accès à l'information (bases de données en réseau)
- Le jeu vidéo multijoueurs. [2]
1.3 Similitudes entre types de réseaux
Les différents types de réseaux ont généralement les points suivants en commun :
2
- Serveurs : ordinateurs qui fournissent des ressources partagées aux utilisateurs par un serveur de
réseau
- Clients : ordinateurs qui accèdent aux ressources partagées fournies par un serveur de réseau
- Support de connexion : conditionne la façon dont les ordinateurs sont reliés entre eux.
- Données partagées : fichiers accessibles sur les serveurs du réseau
Imprimantes et autres périphériques partagés : fichiers, imprimantes ou autres éléments utilisés par
les usagers du réseau
- Ressources diverses : autres ressources fournies par le serveur. [3]
1.4 Les différents types de réseaux
On distingue différents types de réseaux selon leur taille (en terme de nombre de machines), leur
vitesse de transfert des données ainsi que leur étendue.
On fait généralement trois catégories de réseaux :
- LAN (local area network)
- MAN (metropolitan area network)
- WAN (wide area network)
1.4.1 LAN (local area network)
LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un ensemble d'ordinateurs
appartenant à une même organisation et reliés entre eux dans une petite aire géographique par un
réseau, souvent à l'aide d'une même technologie (la plus répandue étant Ethernet).
Un réseau local est donc un réseau sous sa forme la plus simple. La vitesse de transfert de données
d'un réseau local peut s'échelonner entre 10 Mbps (pour un réseau Ethernet par exemple) et 1 Gbps
(en FDDI ou Gigabit Ethernet par exemple). La taille d'un réseau local peut atteindre jusqu'à 100
voire 1000 utilisateurs.
En élargissant le contexte de la définition aux services qu’apporte le réseau local, il est possible de
distinguer deux modes de fonctionnement :
- dans un environnement d'"égal à égal" (en anglais peer to peer), dans lequel il n'y a pas d'ordinateur
central et chaque ordinateur a un rôle similaire
- dans un environnement "client/serveur", dans lequel un ordinateur central fournit des
services réseau aux utilisateurs
3
1.4.2 MAN (metropolitan area network)
Les MAN (Metropolitan Area Network) interconnectent plusieurs LAN géographiquement proches
(au maximum quelques dizaines de km) à des débits importants. Ainsi un MAN permet à deux
nœuds distants de communiquer comme si ils faisaient partie d'un même réseau local.
Un MAN est formée de commutateurs ou de routeurs interconnectés par des liens hauts débits (en
général en fibre optique).
1.4.3 WAN (wide area network)
Un WAN (Wide Area Network ou réseau étendu) interconnecte plusieurs LANs à travers
de grandes distances géographiques.
Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons (qui augmente
avec la distance) et peuvent être faibles.
Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus approprié
pour atteindre un nœud du réseau.
Le plus connu des WAN est Internet qui est la suite du réseau militaire américain ARPANET.
Le but était de concevoir un réseau résistant aux attaques : les communications ne passent plus selon
un mode linéaire, mais peuvent à chaque endroit emprunter plusieurs routes.
Les informations peuvent continuer à circuler, même en cas de destruction majeure d'une partie du
territoire (on est en pleine guerre froide).
Internet a donc été conçu dès l'origine comme une toile d'araignée, d'où son nom anglais web (qui
veut dire tissage et toile d'araignée).
Figure 1.01 : Architecture d’un réseau WAN
4
1.4.4 Internet, extranet et intranet
Lʼinternet est un inter-réseau, cʼest-à-dire un ensemble de réseaux, mais il sʼagit dʼun système très
particulier :
Il se compose de systèmes informatiques totalement indépendants les uns des autres ; nʼimporte qui
peut accéder à ces systèmes ; mais il nʼy a que deux canaux dʼaccès : les protocoles HTTP (web) et
SMTP (e-mail).
Un intranet est un internet privé, cʼest-à-dire un internet dont lʼaccès est réservé aux employés de
lʼentreprise concernée.
Les notions de réseau local et dʼintranet nʼont rien à voir lʼune avec lʼautre :
si les ordinateurs dʼun site sont reliés par des câbles ou des ondes et fonctionnent ensemble, cʼest
un réseau local ; si les utilisateurs des ordinateurs dʼune organisation ont accès à un site web réservé
aux employés de lʼentreprise, cʼest un intranet.
Lʼintranet dʼune multinationale couvre le monde entier. Si un intranet réunit plusieurs entreprises,
cʼest un extranet. Lʼun des plus grands extranets est ENX ((European Network Exchange), qui réunit
des fabricants dʼautomobiles européens et leurs Fournisseurs. [1] [7]
1.5 Topologies des Réseaux
1.5.1 réseau en bus
Un réseau de type bus est ouvert à ses extrémités. Chaque PC y est connecté par l'intermédiaire d'un
connecteur spécial. Certains périphériques, comme des imprimantes, peuvent également être
directement reliés au réseau. ils doivent alors comporter une carte adaptateur réseau.
A chaque extrémité, le réseau est terminé par une résistance (appelé bouchon) pour empêcher
l'apparition de signaux parasites.
L'exemple le plus courant de ce type de réseau est le réseau Ethernet.
Avantage : ce type de montage est simple à mettre en oeuvre et peu coûteux.
Inconvénient : s'il y a rupture du câble, tout le réseau tombe en panne
Figure 1.02 : réseau en bus
5
1.5.2 Le réseau en étoile
Dans un réseau en étoile, chaque nœud du réseau est relié à un contrôleur (ou hub) par un câble
différent. Le contrôleur est un appareil qui recoit un signal de données par une de ses entrées,va
retransmettre ce signal à chacune des autres entrées sur lesquelles sont connectés des ordinateurs ou
périphériques, voir d'autres contrôleurs.
Avantage : Un nœud peut tomber en panne sans affecter les autres nœuds du réseau.
Inconvénient : Ce type d'architecture est plus coûteux que les réseaux en bus et en anneau.
En effet, la longueur du câblage est importante, ce qui entraîne un coût supplémentaire. De plus le
contrôleur est un élément relativement cher. D'autre part, une panne du contrôleur provoque la
déconnexion du réseau de tous les nœuds qui y sont reliés.
Figure 1.03 : Réseau en étoile
1.5.3 Réseau en anneau
Il s'agit d'un réseau local dans lequel les nœuds sont reliés en boucle fermée développée par IBM,
cette architecture est principalement utilisée par les réseaux Token Ring. Elle utilise la technique
d’accès par «jeton». Les informations circulent de station en station, en suivant l’anneau. Un jeton
circule autour de l’anneau. La station qui a le jeton émet des données qui font le tour de l’anneau.
Lorsque les données reviennent, la station qui les a envoyées les élimine du réseau et passe le jeton
à son voisin, et ainsi de suite… Cette topologie permet d’avoir un débit proche de 90% de la bande
passante. De plus, le signal qui circule est régénéré par chaque station. En réalité les ordinateurs
d'un réseau en anneau ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU,
Multi-station Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en
donnant à chacun d'entre eux un temps de parole. [4] [6]
6
Figure 1.04 : Réseau en anneau
1.5.4 Topologie maillé

Le réseau maillé est un réseau dans lequel deux stations de travail peuvent être mises en relation
par différents chemins. La connexion est effectuée à l’aide de commutateurs, par exemple les
autocommutateurs PABX.
Internet est une topologie maillée (sur le réseau étendu « WAN », elle garantit la stabilité en cas
de panne d'un nœud).
Les réseaux maillés utilisent plusieurs chemins de transferts entre les différents nœuds. C'est une
structure réseau hybride reprenant un câblage en étoile regroupant différents nœuds de réseaux.
Cette méthode garantit le transfert des données en cas de panne d'un nœud. [9]
Figure 1.05 : Topologie maillé
1.6 Équipements nécessaires en réseau
1.6.1 La carte réseau
La carte réseau se présente sous la forme d’une carte d’extension connectée à un bus (généralement
PCI). Elle permet le raccordement du PC au réseau et prend en charge la gestion des collisions (une
collision se produit lorsque deux machines émettent en même temps). Chaque carte réseau comporte
7
une adresse physique unique (adresse MAC). Une carte réseau doit être installée : - sur chaque poste
du réseau - sur le serveur - sur chaque imprimante reliée directement au réseau
1.6.2 Le serveur
Le serveur est une machine plus performante que les autres. Il comporte donc des caractéristiques
et des périphériques spécifiques :
- Microprocesseur
- RAM
-Disque dur SCSI (généralement les serveurs sont équipés de deux ou plusieurs disques et d’un
contrôleur RAID qui répartit les données entre les différents disques pour prévenir au maximum les
défaillances de disques) ; Lecteur de DAT ou de DLT : périphérique de sauvegarde utilisant des
cartouches magnétiques de grande capacité (en GO) pour la sauvegarde des données et leur
restauration en cas de panne L’alimentation du serveur.
1.6.3 Le hub (concentrateur) et le switch (commutateur)
Dans un réseau en étoile, les postes sont connectés soit à un hub soit à un switch : - Le hub est plus
économique mais il répartit la bande passante entre tous les postes (si un poste envoie un message
sur le réseau, tous les postes le reçoivent (quitte à le rejeter s’ils n’en sont pas destinataires) ) - Le
switch en revanche permet de segmenter le trafic , la bande passante reste la même (un message
envoyé par un poste sera transmis directement au destinataire sans passer par l’ensemble des
postes).[6][8]
1.7 Protocole de transport utilisé dans un réseau
1.7.1 Présentation du protocole TCP
La communication entre les machines dans un réseau local s’établit grâce à un protocole qui garantit
un acheminement fiable des données. Le protocole TCP /IP = (Transport Control Protocol / Internet
Protocol) reste le plus utilisé dans les réseaux locaux. C’est le protocole aussi (et d’abord) utilisé
sur l’Internet.
Les données émises par une station sont découpées en paquets ce qui permet un meilleur trafic
(toutes les stations du réseau peuvent alors envoyer des données sans que l’une d’elle ne monopolise
la bande passante, obligeant les autres stations à attendre la fin de l’envoi des données).
8
1.7.2 L’adresse IP
Toute machine d’un réseau local utilisant TCP/IP est identifiée par une adresse IP unique composée
de 4 octets. Un masque de sous-réseau composé également de 4 octets permet de déterminer d’une
part l’adresse de réseau (ou de sous-réseau) et l’adresse de la machine d’autre part.
Les adresses IP se répartissent principalement en 3 classes d’adresses, chaque classe comportant un
masque de sous-réseau par défaut :
Classes Adresse IP commençant par Masque de sous-réseau par défaut
A De 1 à 126 255. 0. 0. 0
B De 127 à 191 255. 255. 0. 0
C De 191 à 223 255. 255. 255. 0
Tableau 1.01: Classe d’adresse IP

Exemple : un poste a pour paramètre IP les éléments suivants : IP 172. 16. 0. 27 Masque de
sous-réseau : 255. 255. 0. 0
On en déduit : - que cette machine est dans un réseau de classe B (172 est compris entre 127 et 191)
- Que l’adresse du réseau est : 172.16.0.0 (l’adresse de réseau est codifiée sur les 2 premiers octets
car les deux premiers octets du masque de réseau sont supérieurs à 0) - Les deux derniers octets
servent à identifier de manière unique chaque machine du réseau 172.16.0.0
1.7.3 Adresse routable – adresse non routable
Comme Internet utilise l’adressage IP, en réseau local on ne peut utiliser que quelques plages
d’adresses réservées (on parle d’adresses non routables car elles ne seront jamais vues sur Internet),
ces plages d’adresses sont : Classe A : 10.0.0.0, Classe B : de 172.16.0.0 à 172.31.0.0,
Classe C : de 192.168.0.0 à 192.168.255.0
1.7.4 Adresse IP fixe ou adresse IP dynamique
Chaque poste d’un réseau peut se voir attribuer une adresse IP permanente : c’est l’adresse IP fixe
(configuré manuellement). Chaque poste peut être configuré pour obtenir une adresse dynamique :
un serveur DHCP (Dynamics Host Control Protocol) délivre alors une adresse IP à chaque demande
de connexion au réseau. Cette adresse change à chaque connexion. Le serveur est lui configuré en
adresse IP fixe.
9
1.7.5 Le routeur
Le routage est la technique qui permet d’échanger des informations d’un poste d’un réseau vers un
autre poste situé sur un autre réseau. Le routage fait appel à un équipement matériel : le routeur. Le
routeur comporte trois fonctions principales.
 Permettre la communication entre des machines n’appartenant pas au même réseau
 Offrir un accès Internet à des utilisateurs d’ordinateur en réseau local
 Il comporte un système de filtrage des paquets IP qui bloque les accès non autorisés
à un réseau, ce système s’appelle un pare-feu (firewall) [4][5][8]
1.8 Conclusion
Le réseau local est cœur de la majeure partie de l’activité informatique de notre organisme. A ce
titre tout effort de sécurisation s’y répercute avec d’autant plus d’effet. Une politique de sécurité
prend en compte non seulement la sécurisation de l'accès aux données mais aussi la protection
des données et de l’outil de production face à des évènements éventuellement comme le vol.
10
CHAPITRE 2 :
CONCEPTION D’UN RESEAU

D’ENTREPRISE
2.1 Introduction
Pour optimiser la bande passante d'un réseau d'entreprise, celui-ci doit être organisé afin que le trafic
reste local et ne soit pas propager inutilement vers d'autres portions du réseau. L'utilisation d'un
modèle de conception hiérarchique à trois couches permet d'organiser le réseau
2.2 Base de conception réseau
2.2.1 Spécifications du réseau
L’économie actuelle, fortement basée sur Internet, exige des services clients disponibles en
permanence. Ceci implique une entière disponibilité des réseaux d’entreprise, 24 heures sur 24. Ces
réseaux doivent également être suffisamment « intelligents » pour se protéger automatiquement
contre les incidents de sécurité imprévus. Ils doivent aussi être capables de s’adapter aux
fluctuations du trafic, afin d’offrir des temps de réponse homogènes pour les applications. À l’heure
actuelle, il n’est plus possible de bâtir un réseau simplement en reliant des unités autonomes, sans
conception ni planification préalables.
2.2.2 Conception d’un réseau viable
Un réseau viable et de qualité ne se crée pas par accident. Il est le fruit du travail des concepteurs et
des techniciens réseau, qui identifient les besoins de l’entreprise et choisissent les solutions les
mieux adaptées pour y répondre.
Les utilisateurs d’un réseau ne se rendent généralement pas compte de sa complexité sous-jacente.
Pour eux, le réseau n’est rien d’autre qu’un moyen d’accéder aux applications dont ils ont besoin,
au moment où ils en ont besoin. [11]
2.2.3 Objectifs de conception fondamentaux
Si l’on examine ces exigences en détail, on s’aperçoit qu’elles se résument à quatre objectifs
fondamentaux en matière de conception :
 extensibilité
 disponibilité
11
 sécurité
 facilité de gestion.
2.3 Réseau Hiérarchique
Ce modèle répartit la fonctionnalité du réseau en trois couches distinctes
 Couche cœur de réseau

 Couche de distribution
 Couche d'accès
Chaque couche est conçue pour remplir des fonctions spécifiques.
La couche d'accès fournit une connectivité pour les utilisateurs. La couche de distribution est utilisée
pour transférer le trafic entre plusieurs réseaux locaux. Enfin, la couche cœur de réseau constitue
une couche de réseau fédérateur haut débit entre des réseaux dispersés. Le trafic utilisateur est initié
au niveau de la couche d'accès et circule par les autres couches, si les fonctionnalités de ces couches
sont requises.
Bien que le modèle hiérarchique compte trois couches, certains réseaux d'entreprise plus modestes
peuvent implémenter une conception hiérarchique à deux niveaux. Dans une conception
hiérarchique à deux niveaux, les couches de distribution et cœur de réseau sont regroupées en une
seule couche, ce qui permet de réduire les coûts et la complexité Couche cœur de réseau.
2.3.1 Couche cœur de réseau
La couche cœur de réseau est aussi appelée réseau fédérateur. Elle se compose de périphériques
réseau à grande vitesse, par exemple les Cisco Catalyst 6500 ou 6800. Ils sont conçus pour
transmettre les paquets le plus rapidement possible et pour connecter entre eux plusieurs composants
du campus, par exemple les modules de distribution, les modules de service, le data center et la
périphérie WAN.
Comme on a présenté dans la figure 2.01, la couche cœur de réseau est cruciale pour la connexion
entre périphériques de la couche de distribution, par exemple, l'interconnexion entre le bloc de
distribution vers le WAN et la périphérie Internet. Le cœur doit être extrêmement disponible et
redondant. La couche cœur de réseau regroupe le trafic provenant de tous les périphériques de la
12
couche de distribution. Elle doit donc être capable d'effectuer la transmission rapide d'importantes
quantités de données.
2.3.1.1 Éléments à prendre en considération au niveau du cœur
 Commutation haute vitesse (transport rapide)
 Fiabilité et tolérance aux pannes
 Mise à l'échelle avec un équipement plus rapide, et non en rajoutant des éléments
Pas de manipulation de paquets gourmande en ressources processeur provoquée par la

sécurité, l'inspection, la classification de qualité de service (QS) ou tout autre processus. [12]
Figure 2.01 : Couche cœur d’un réseau hiérarchique
2.3.1.2 Objectifs de la couche cœur de réseau

La conception de la couche cœur de réseau permet des transferts de données efficaces et très rapides
entre une section du réseau et une autre. Les principaux objectifs de conception de la couche cœur
de réseau sont les suivants :
 fournir un temps utile de 100 % ;
 optimiser le débit ;
 faciliter la croissance du réseau.
2.3.1.3 Technologies de la couche cœur de réseau

Les technologies utilisées au niveau de la couche cœur de réseau incluent :
13
 routeurs ou commutateurs multicouche combinant routage et commutation dans un même
périphérique ;
 redondance et équilibrage de la charge ;
 liaisons haute vitesse et agrégées ;
 protocoles de routage évolutifs offrant une convergence rapide, tels que les protocoles
EIGRP (Enhanced Interior Gateway Routing Protocol) et Open Shortest Path First (OSPF).
2.3.1.4 Liaisons redondantes

La mise en œuvre de liaisons redondantes au niveau de la couche cœur de réseau permet aux
périphériques du réseau de trouver un chemin d’accès alternatif pour l’envoi des données, en cas de
panne. Lorsque les périphériques de couche 3 sont placés dans la couche cœur de réseau, ces liaisons
redondantes peuvent être utilisées pour l’équilibrage de charge ainsi que pour la sauvegarde. Dans
une conception de réseau linéaire de couche 2, le protocole STP (Spanning Tree Protocol) désactive
les liaisons redondantes, sauf en cas d’échec de la liaison principale. Ce comportement empêche
l’équilibrage de charge sur les liaisons redondantes. [10][12]
2.3.2 Couche de distribution de réseau
La couche de distribution est une frontière de routage entre la couche d’accès et la couche cœur de
réseau. Elle agit également comme point de connexion entre les sites distants et la couche cœur de
réseau.
2.3.2.1 Routage de la couche de distribution

La couche d’accès est généralement créée à l’aide de la technologie de commutation de couche 2.
La couche de distribution, quant à elle, est créée à partir des périphériques de couche 3. Les routeurs
ou les commutateurs multicouches, situés dans la couche de distribution, fournissent diverses
fonctionnalités essentielles à la réalisation des objectifs de conception du réseau. Ces objectifs
incluent :
 le filtrage et la gestion des flux de trafic ;
 la mise en application des stratégies de contrôle d’accès ;
 le résumé des routes avant notification à la couche cœur de réseau ;
 l’isolation de la couche cœur de réseau par rapport aux pannes ou interruptions de service
de la couche d’accès ;
 le routage entre les réseaux locaux virtuels de la couche d’accès.
14
Les périphériques de la couche de distribution servent également à gérer les files d’attente et la
hiérarchisation du trafic, avant la transmission via le cœur du campus. [12]
Figure 2.02 : couche de distribution du réseau
2.3.2.2 Agrégations
Des liaisons agrégées sont souvent configurées entre les périphériques de mise en réseau des
couches d’accès et de distribution. Elles servent à acheminer le trafic appartenant à plusieurs
réseaux locaux virtuels entre différents périphériques, sur la même liaison. Lors de la conception
des liaisons agrégées, le concepteur du réseau prend en compte la stratégie de réseau local virtuel
globale et les modèles de trafic réseau.
2.3.2.3 Liaisons redondantes
Les périphériques de la couche de distribution entre lesquels il existe des liaisons redondantes
peuvent être configurés de manière à équilibrer la charge du trafic entre les différentes liaisons.
L’équilibrage de charge augmente la bande passante disponible pour les applications.
2.3.3 couche d’accès de réseau

2.3.3.1 Définition
La couche d’accès correspond à la périphérie du réseau, l’endroit où les périphériques finaux se
connectent. Les services et les périphériques de la couche d’accès sont situés dans chaque
bâtiment du campus, chaque site distant et batterie de serveurs, et à la périphérie du réseau
d’entreprise. [10]
15
Figure 2.03 : couche accès
2.3.3.2 Considérations physiques sur la couche d’accès

La couche d’accès de l’infrastructure de campus utilise la technologie de commutation de couche
2 pour fournir l’accès au réseau. L’accès peut se faire par l’intermédiaire d’une infrastructure
câblée permanente ou de points d’accès sans fil. La technologie Ethernet utilisée sur un câblage en
cuivre impose des contraintes en termes de distance. Par conséquent, l’emplacement physique des
équipements constitue l’une des principales préoccupations lors de la conception d’une couche
d’accès pour une infrastructure de campus.
2.3.3.3 Locaux techniques

Un local technique peut se présenter sous la forme d’une simple armoire de câblage ou d’une
armoire de répartition ; il joue le rôle de point de terminaison pour le câblage de l’infrastructure,
au sein d’un bâtiment ou dans les planchers de ce dernier. L’emplacement et la taille physique de
ce local technique dépendent de la taille du réseau et des plans d’expansion.
Les équipements contenus dans ce local fournissent l’alimentation aux périphériques finaux, tels
que les téléphones IP et les points d’accès sans fil. De nombreux commutateurs de la couche
d’accès disposent d’une fonctionnalité Power-over-Ethernet (PoE).
Contrairement aux commutateurs situés dans les locaux techniques classiques, les périphériques de
la couche d’accès situés dans une salle serveurs ou un centre de calcul sont généralement des
commutateurs multicouches redondants alliant des fonctionnalités de routage et de commutation.
16
Les commutateurs multicouche proposent parfois des fonctions de pare-feu et de protection contre
les intrusions, ainsi que des fonctions de couche 3.
2.3.3.4 Impact d’une mise en réseau convergent
Les réseaux informatiques modernes ne se composent plus simplement d’ordinateurs et
d’imprimantes connectés à la couche d’accès. De nombreux autres périphériques peuvent se
connecter à un réseau IP, notamment :
 téléphones IP ;
 caméras vidéo ;
 systèmes de vidéoconférence.
Tous ces services peuvent être convergés en une infrastructure de couche d’accès physique unique.
Cependant, une conception du réseau logique permettant leur prise en charge est beaucoup plus
complexe, en raison des éléments supplémentaires à prendre en compte, tels que la qualité de
service, la séparation du trafic et le filtrage. Ces nouveaux types de périphérique terminal, ainsi que
les applications et services associés, modifient les exigences en termes d’extensibilité, de
disponibilité, de sécurité et de facilité de gestion au niveau de la couche d’accès. [11][12]
2.3.3.5 Exigences en matière de disponibilité
Dans les premiers réseaux, les seuls endroits à haute disponibilité étaient le cœur du réseau, la
périphérie et les réseaux de centre de calcul. Avec la téléphonie IP, chaque téléphone doit être
disponible en permanence.
Des composants redondants et des stratégies de basculement peuvent être mis en œuvre au niveau
de la couche d’accès, afin d’améliorer la fiabilité et la disponibilité pour les périphériques finaux.
Figure 2.04 : Connexion de la couche d’accès
17
2.3.3.6 Administration de la couche d’accès
Faciliter la gestion de la couche d’accès est un souci majeur pour les concepteurs de réseau. Cette
gestion est en effet cruciale dans les cas suivants :
 Augmentation du nombre et des types de périphériques connectés à la couche d’accès
 Introduction de points d’accès sans fil dans le réseau local
2.4 Méthodologies de conception réseau
Les projets de conception de réseaux de grande envergure se divisent généralement en trois étapes
distinctes :
Étape 1 : identification des besoins du réseau.
Étape 2 : caractéristiques du réseau actuel.
Étape 3 : conception de la topologie et des solutions de réseau.
Afin de bien comprendre les étapes ci-dessus, on va les développer et les expliquer dans les
paragraphes suivant
2.4.1 Identification des besoins du réseau
Le concepteur travaille en étroite collaboration avec le client afin de documenter les objectifs du
projet. Ceux-ci se divisent généralement en deux catégories :
Objectifs commerciaux : de quelle façon le réseau peut-il contribuer au succès de l’entreprise ?
Spécifications techniques : de quelle façon la technologie est-elle mise en œuvre au sein du réseau ?
2.4.2 Caractéristiques du réseau actuel
Une équipe réunit des informations sur le réseau et les services existants, puis les analyse. La
fonctionnalité du réseau existant doit être comparée aux objectifs définis pour le nouveau projet. Le
concepteur détermine quels équipements, infrastructures et protocoles existants peuvent être
réutilisés, le cas échéant, puis quels nouveaux équipements et protocoles doivent être ajoutés en
complément.
2.4.3 Conception de la topologie du réseau
L’approche descendante constitue l’une des stratégies les plus courantes de la conception de réseau.
Selon cette méthode, le concepteur détermine tout d’abord les besoins en matière d’applications et
de services réseau, puis conçoit un réseau capable de les prendre en charge.
18
Une fois la conception terminée, un prototype est créé ou un test de faisabilité est réalisé. Cette
approche garantit que le nouveau réseau est conforme aux attentes du client et ce, avant la mise en
œuvre.
L’une des erreurs les plus courantes des concepteurs de réseau est leur incapacité à évaluer
correctement l’envergure du nouveau réseau. [11]
2.4.4 Définition de l’étendue du projet
Lorsqu’il définit les besoins de la nouvelle structure, le concepteur identifie les problèmes pouvant
affecter l’ensemble du réseau et ceux affectant uniquement certaines sections. Une évaluation
incorrecte de l’impact d’un besoin donné a tendance à accroître l’étendue du projet, par rapport aux
estimations initiales. Cette erreur peut avoir des conséquences graves sur la mise en œuvre du
nouveau réseau, en termes de coût et de respect des délais.
2.4.5 Conséquences sur l’ensemble du réseau
Les besoins ayant un impact sur l’ensemble du réseau incluent :

 ajout de nouvelles applications réseau et modification majeure des applications existantes,
tels les changements de base de données ou de structure DNS ;
 amélioration de l’efficacité de l’adressage réseau ou modification des protocoles de
routage ;
 intégration de nouvelles mesures de sécurité ;
 ajout de nouveaux services réseau, tels que le trafic vocal, la mise en réseau de contenu et
le réseau de stockage ;
 déplacement physique des serveurs, dans une batterie de serveurs de centre de calcul.
2.4.6 Conséquences sur une section spécifique du réseau
Les besoins ayant un impact sur une partie du réseau uniquement incluent :
 amélioration de la connectivité Internet et ajout de bande passante ;
 mise à jour du câblage du réseau local de la couche d’accès ;
 redondance des services clés ;
 prise en charge de l’accès sans fil dans des zones spécifiques ;
 mise à niveau de la bande passante du réseau étendu.
Ces besoins n’impliquent pas nécessairement de nombreux utilisateurs et n’exigent pas
obligatoirement une modification de l’équipement installé. Il est parfois possible d’intégrer des
changements de conception au niveau d’un réseau existant, sans interrompre le fonctionnement
19
normal de ce réseau pour la majorité des utilisateurs. Cette méthode permet de réduire les coûts
d’interruption de service et d’accélérer la mise en œuvre de la mise à niveau du réseau. [12]
2.5 Conception du réseau MPTDN
2.5.1 Réseau actuel du ministère de MPTDN
Figure 2.05 : Topologie du réseau informatique de MPTDN
D’abord, les techniciens ont utilisé un routeur afin de donner un accès internet à l’entreprise de
MPTDN, ce routeur est relier avec le commutateur (switch 0), ce dernier qui relie tous les réseaux ;
le serveur est branché avec le switch 0 avec un périphérique qui a pour rôle de configurer et
manipuler le serveur.
A droite de la figure 3.01 (wireless router) un wimax est relié avec le commutateur afin de donner
un accès internet aux périphéries mobile et au département à distant.
Quatre switch sont utilisés comme couche de distribution pour chaque direction :
S.N 01 ; le switch qui donne l’accès au ministre et au SG
S.N 02 ; le switch qui donne l’accès au PRMP, DSI, secrétariat DGNT
S.N 03 ; le switch qui donne l’accès au BUDGET, DIRCAB, service TIC
S.N 04 ; le switch qui donne l’accès au SOLDE, DRH, RDP, Dir TCO
20
2.5.2 Problème dans le réseau
Le commutateur réseau ou switch est un équipement qui relie plusieurs segments (câbles ou fibres)
dans un réseau informatique. Il s'agit le plus souvent d'un boîtier disposant de plusieurs ports
Ethernet.
L’architecture du réseau informatique de MPTDN n’est pas hiérarchique, les techniciens ont utilisé
un seul commutateur pour relier tous les directions dans le ministère, ce switch est relier avec le
serveur afin de donner un accès internet à tous les départements. La présence de la connexion wimax
favorise également l’accès pour les périphéries mobile et la liaison avec les directions à distant.
Le commutateur est la partie du réseau joue un plus grand rôle car s’il parvient un problème au
niveau du commutateur, la liaison du réseau MPTDN et de chaque département sont coupés.
Les câbles utilisés dans le réseau MPTDN sont les RJ45 qui sont le nom usuel du connecteur 8P8C
(8 positions et 8 contacts électriques) utilisé couramment pour les connexions Ethernet, et plus
rarement pour les réseaux téléphoniques. Ce câble a un débit entre 10 et 1000 Mbps qui est
insuffisant pour l’échange des données dans le réseau.
2.5.3 Conception de la topologie de réseau
2.5.3.1 Solution et matériel utilisé pour le nouveau réseau

 Hiérarchisation du réseau pour faciliter le monitoring
 Utilisation de la topologie maillée pour la liaison des directions du MPTDN
 On a lié le cœur du réseau en utilisant les fibres optiques monomodes afin d’avoir une bande
passante large pour le réseau
 Les switch multilawer dans le réseau cœur et couche de distribution pour avoir un débit élevé
 Utilisation des routeurs afin d’avoir d’autres chemin en cas de panne
 Dans la couche d’accès, les liaisons sont connectées avec des câbles RJ45
21
Figure 2.06 : réseau hiérarchique du MPTDN
2.5.3.2 Présentation du nouveau réseau

Dans la conception, on a hiérarchisé le réseau du MPTDN ; dans le réseau cœur, on a installé deux
switch multilawer qui sont reliés avec des fibres optiques. Ces deux switch sont rattachés avec la
couche distributeur qui contient six switch et raccordé en utilisant la topologie maillé (entre la
couche cœur et distributeur).Puis la couche d’accès qui est un point d’accès pour les directions du
ministère, dans ce réseau il y a 12 points d’accès qui sont reparties en trois dont quatre du point
d’accès sont relier avec deux switch du couche de distributeur.
En haut du réseau cœur on a utilisé des routeurs, un hub et un serveur afin de donner un accès
internet au réseau du MPTDN.
2.6 Conclusion
En résumé, la conception du réseau est très important dans une entreprise afin de facilité la tâche
d’administrer le réseau. Mais le plus difficile dans ce domaine c’est l’application de différentes
étape afin d’avoir un réseau fiable et performent qui permettent d’échanger les données et les
ressources à un débit élevé.
22
CHAPITRE 3 :
SECURITE INFORMATIQUE ET
RESEAU
3.1 Introduction
L’informatique et les réseaux sont présents partout. Parallèlement, le nombre de problèmes de

sécurité, en particulier les intrusions par l’Internet, a augmenté de manière très important ces
dernières années, et cette courbe ascendante ne devrait malheureusement pas s’infléchir. Il ne faut
pas oublier les risques classiques, vols, disfonctionnements dus à des négligences ou à des actes
malveillants internes, ... toujours présents.
3.2 Définition
3.2.1 sécurité informatique

Les exigences de la sécurité de l’information au sein des organisations ont conduit à deux
changements majeurs au cours des dernières décennies. Avant l’usage généralisé d’équipements
informatiques, la sécurité de l’information était assurée par des moyens physiques (classeurs fermés
par un cadenas) ou administratifs (examen systématique des candidats au cours de leur recrutement).
Avec l’introduction de l’ordinateur, le besoin d’outils automatisés pour protéger les fichiers et autres
informations stockées est devenu évident. Ce besoin est accentué pour un système accessible via un
téléphone public ou un réseau de données. On donne à cette collection d’outils conçus pour protéger
des données et contrecarrer les pirates
3.2.2 sécurité des réseaux

Le second changement majeur qui affecte la sécurité est l’introduction de systèmes distribués et
l’utilisation de réseaux et dispositifs de communication pour transporter des données entre un
terminal utilisateur et un ordinateur, et entre ordinateurs. Les mesures de sécurité des réseaux sont
nécessaires pour protéger les données durant leur transmission. [13] [20]
3.3 Principes de sécurité
Prototype d’une architecture de sécurité basé sur des outils du monde des logiciels libres (firewalls,
détection d’intrusions, contrôle d’intégrité, etc.), présentation des solutions de corrélation de
vulnérabilités.
23
Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les critères suivant
:
 la disponibilité;
 l’intégrité;
 la confidentialité.
À ces trois critères s’ajoutent ceux qui permettent de prouver l’identité des entités (notion
d’authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu (notions de
non-répudiation, d’imputabilité voire de traçabilité)
(Figure 3.01).
Figure 3.01 : Critère de sécurité
3.3.2 Disponibilité
Pour un utilisateur, la disponibilité d’une ressource est la probabilité de pouvoir mener correctement
à terme une session de travail.
La disponibilité d’une ressource est indissociable de son accessibilité: il ne suffit pas qu’elle soit
disponible, elle doit être utilisable avec des temps de réponse acceptables.
Elle est mesurée sur la période de temps pendant laquelle le service offert est opérationnel. Le
volume potentiel de travail susceptible d’être pris en charge durant la période de disponibilité d’un
service, détermine la capacité d’une ressource (serveur ou réseau par exemple).
La disponibilité des services, systèmes et données est obtenue:
– par un dimensionnement approprié et une certaine redondance;
– par une gestion opérationnelle efficace des infrastructures, ressources et services.
Dans le cas d’un réseau grande distance de topologie maillée par exemple, la disponibilité des
ressources réseau sera réalisée à condition que l’ensemble des liaisons ait été correctement
dimensionné et que les politiques de routage et de gestion soient satisfaisantes. [15] [17]
24
Dans un contexte de système d’information d’entreprise, des tests de montée en charge sont
généralement effectués pour évaluer le comportement des systèmes sous certaines conditions
extrêmes et contribuer ainsi à mieux définir leur dimensionnement.
Un service nominal doit être assuré avec le minimum d’interruption, il doit respecter les clauses de
l’engagement de service établi sur des indicateurs dédiés à la mesure de la continuité de service.
Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les procédures
d’enregistrement et les supports de mémorisation ne sont pas gérés correctement. Ce risque majeur
est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la sécurité est importante
mais ne peut constituer un palliatif à une indispensable mise en place de procédures centralisées de
sauvegarde effectuées par les services compétents en charge des systèmes d’information de
l’entreprise.
De nombreux outils permettent de sauvegarder périodiquement et de façon automatisée les données,
cependant, une définition correcte des procédures de restitution des données devra être établie afin
que les utilisateurs sachent ce qu’ils ont à faire s’ils rencontrent un problème de perte de données.
Une politique de sauvegarde ainsi qu’un arbitrage entre le coût de la sauvegarde et celui du risque
d’indisponibilité supportable par l’organisation seront établis afin que la mise en œuvre des mesures
techniques soit efficace et pertinente.
3.3.3 Intégrité
Le critère d’intégrité est relatif au fait que des ressources, données, traitements, transactions ou
services n’ont pas été modifiés, altérés ou détruits tant de façon intentionnelle qu’accidentelle.
Il convient de se prémunir contre l’altération des données en ayant la certitude qu’elles n’ont pas
été modifiées lors de leur stockage, de leur traitement ou de leur transfert. Les critères de
disponibilité et d’intégrité sont à satisfaire par des mesures appropriées afin de pouvoir atteindre un
certain niveau de confiance dans le fonctionnement des infrastructures informatiques et télécoms et
notamment dans l’application critique.
Si en télécommunication, l’intégrité des données relève essentiellement de problématiques liées au
transfert de données, elle dépend également des aspects purement informatiques de traitement de
l’information (logiciels, systèmes d’exploitation, environnements d’exécution, procédures de
sauvegarde, de reprise et de restauration des données).
Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les protocoles de
communication qui les véhiculent. Ces derniers interviennent uniquement sur les données de
contrôle du protocole et non directement sur les données à transférer: un protocole ne modifie pas
25
le corps des données qu’il véhicule. Par contre, l’intégrité des données ne sera garantie que si elles
sont protégées des écoutes actives qui peuvent modifier les données interceptées.
3.3.4 Confidentialité
La confidentialité est le maintien du secret des informations. Transposée dans le contexte de
l’informatique et des réseaux, la confidentialité peut être vue comme la «protection des données
contre une divulgation non autorisée».
Il existe deux actions complémentaires permettant d’assurer la confidentialité des données:
– limiter leur accès par un mécanisme de contrôle d’accès;
– transformer les données par des procédures de chiffrement afin qu’elles deviennent inintelligibles
aux personnes ne possédant pas les moyens de les déchiffrer.
Le chiffrement des données(ou cryptographie) contribue à en assurer la confidentialité des données
et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage. Bien
qu’utilisées essentiellement lors de transactions financières et commerciales, les techniques de
chiffrement sont relativement peu mises en œuvre par les internautes de manière courante.[15][21]
3.4 notions de sécurité
Le base de la sécurité informatique : menace, risque, vulnérabilité ; il effectue un premier parcours

de l’ensemble du domaine, de ses aspects humains, techniques et organisationnels, sans en donner
de description technique.
3.4.1 Menaces, risques et vulnérabilités

La sécurité des systèmes d’information (SSI) est une discipline de première importance car le
système d’information (SI) est pour toute entreprise un élément absolument vital.
SI est devenu impératif, et les lignes qui suivent sont une brève description de ce qu’il faut faire
pour cela.
Les menaces contre le système d’information entrent dans l’une des catégories suivantes : atteinte
à la disponibilité des systèmes et des données, destruction de données, corruption ou falsification
de données, vol ou espionnage de données, usage illicite d’un système ou d’un réseau, usage d’un
système compromis pour attaquer d’autres cibles.
Les menaces engendrent des risques et coûts humains et financiers : perte de confidentialité de
données sensibles, indisponibilité des infrastructures et des données, dommages pour le patrimoine
intellectuel et la notoriété. Les risques peuvent se réaliser si les systèmes menacés présentent des
vulnérabilités.
26
Il est possible de préciser la notion de risque en la décrivant comme le produit d’un préjudice par
une probabilité d’occurrence :
Risque = préjudice × probabilité d’occurrence

Cette formule exprime qu’un événement dont la probabilité à survenir est assez élevé, par exemple
la défaillance d’un disque dur, mais dont il est possible de prévenir le préjudice qu’il peut causer
par des sauvegardes régulières, représente un risque acceptable. Il en va de même pour un
événement à la gravité imparable, comme l’impact d’un météorite de grande taille, mais à la
probabilité d’occurrence faible. Il va de soi que, dans le premier cas, le risque ne devient acceptable
que si les mesures de prévention contre le préjudice sont effectives et efficaces : cela irait sans dire,
si l’oubli de cette condition n’était très fréquent.
Si la question de la sécurité des systèmes d’information a été radicalement bouleversée par
l’évolution rapide de l’Internet, elle ne saurait s’y réduire ; il s’agit d’un vaste problème dont les
aspects techniques ne sont qu’une partie. Les aspects juridiques, sociaux, ergonomiques,
psychologiques et organisationnels sont aussi importants, sans oublier les aspects immobiliers, mais
nous commencerons par les aspects techniques liés à l’informatique. [13][18]
3.4.2 Aspects techniques de la sécurité informatique

Les problèmes techniques actuels de sécurité informatique peuvent, au moins provisoirement, être
classés en deux grandes catégories :
– ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur ou poste de travail, de son
système d’exploitation et des données qu’il abrite ;
– ceux qui découlent directement ou indirectement de l’essor des réseaux, qui multiplie la quantité
et la gravité des menaces.
Si les problèmes de la première catégorie citée ici existent depuis la naissance de l’informatique, il
est clair que l’essor des réseaux, puis de l’Internet, en a démultiplié l’impact potentiel en permettant
leur combinaison avec ceux de la seconde catégorie.
La résorption des vulnérabilités repose sur un certain nombre de principes et de méthodes que nous
allons énumérer dans la présente section avant de les décrire plus en détail. [13]
3.4.3 Définir risques et objets à protéger

3.4.3.1 Fixer un périmètre de sécurité et élaborer une politique de sécurité
Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : en d’autres termes,
toute organisation désireuse de protéger ses systèmes et ses réseaux doit déterminer son périmètre
27
de sécurité. Le périmètre de sécurité, au sein de l’univers physique, délimite l’intérieur et l’extérieur,
mais sa définition doit aussi englober (ou pas) les entités immatérielles qui peuplent les ordinateurs
et les réseaux, essentiellement les logiciels et en particulier les systèmes d’exploitation.
Une fois ce périmètre fixé, il faut aussi élaborer une politique de sécurité, c’est à-dire décidé de ce
qui est autorisé et de ce qui est interdit. À cette politique viennent en principe s’ajouter les lois et
les règlements en vigueur, qui s’imposent à tous. Nous disons « en principe », parce que
l’identification des lois en vigueur est rien moins qu’évidente.
Par exemple : La législation française interdit la mise en ligne de certaines œuvres à qui n’en possède
pas les droits, et réprime certains propos discriminatoires, mais d’autres pays ont des législations
plus laxistes, or qui peut m’empêcher d’installer un site xénophobe et de téléchargement illégal dans
un tel pays, et d’y attirer les internautes français.
Si avec l’aide du service juridique de l’entreprise on peut réussir à surmonter ces difficultés et à
mettre sur pieds une politique de sécurité des systèmes d’information, il nous sera possible de mettre
en place les solutions techniques appropriées à la défense du périmètre selon la politique choisie.
Mais déjà, il est patent que les dispositifs techniques ne pourront pas résoudre tous les problèmes
de sécurité, et, de surcroît, la notion même de périmètre de sécurité est aujourd’hui battue en brèche
par des phénomènes comme la multiplication des ordinateurs portables et autres objets mobiles
informatiques en réseau (iPhone 3G, BlackBerry et tablettes...) qui, par définition, se déplacent de
l’intérieur à l’extérieur et inversement, à quoi s’ajoute l’extraterritorialité de fait des activités sur
l’Internet.[16]
3.4.3.2 Périmètres et frontières
La notion de périmètre de sécurité, ainsi que le signalait déjà l’alinéa précédent, devient de plus en
plus fragile au fur et à mesure que les frontières entre l’extérieur et l’intérieur de l’entreprise ainsi
qu’entre les pays deviennent plus floues et plus poreuses. Interviennent ici des considérations
topographiques : les ordinateurs portables entrent et sortent des locaux et des réseaux internes pour
aller se faire contaminer à l’extérieur ; mais aussi des considérations logiques.
Par exemple : quelles sont les lois et les règles qui peuvent s’appliquer à un serveur hébergé aux
Etats-Unis, qui appartient à une entreprise française et qui sert des clients brésiliens et canadiens?
3.4.3.3 Ressources publiques, ressources privées
Les systèmes et les réseaux comportent des données et des programmes que nous considérerons
comme des ressources. Certaines ressources sont d’accès public, ainsi certains serveurs Web,
28
d’autres sont privées pour une personne, comme une boîte à lettres électronique, d’autres sont
privées pour un groupe de personnes, comme l’annuaire téléphonique interne d’une entreprise.
Ce caractère plus ou moins public d’une ressource doit être traduit dans le système sous forme de
droits d’accès. [16][19]
3.4.4 Identifier et authentifier

Les personnes qui accèdent à une ressource non publique doivent être identifiées ; leur identité doit
être authentifiée ; leurs droits d’accès doivent être vérifiés au regard des habilitations qui leur ont
été attribuées. Ces trois actions correspond un premier domaine des techniques de sécurité, les
méthodes d’authentification, de signature, de vérification de l’intégrité des données et d’attribution
de droits (une habilitation donnée à un utilisateur et consignée dans une base de données adéquate
est une liste de droits d’accès et de pouvoirs formulés de telle sorte qu’un système informatique
puisse les vérifier automatiquement).
La sécurité des accès par le réseau à une ressource protégée n’est pas suffisamment garantie par la
seule identification de leurs auteurs. Sur un réseau local de type Ethernet ou Wi-Fi où la circulation
des données fonctionne selon le modèle de l’émission radiophonique que tout le monde peut capter
(enfin, pas si facilement que cela, heureusement), il est possible à un tiers de la détourner.
Si la transmission a lieu à travers l’Internet, les données circulent de façon analogue à une carte
postale, c’est-à-dire qu’au moins le facteur et la concierge y ont accès. Dès lors que les données
doivent être protégées, il faut faire appel aux techniques d’un autre domaine de la sécurité
informatique (le chiffrement).
Authentification et chiffrement sont indissociables : chiffrer sans authentifier ne protège pas des
usurpations d’identité (comme notamment l’attaque par interposition, dite en anglais attaque de type
« man in the middle »), authentifier sans chiffrer laisse la porte ouverte au vol de données. [16]
3.4.5 Empêcher les intrusions

Mais ces deux méthodes de sécurité ne suffisent pas, il faut en outre se prémunir contre les intrusions
destinées à détruire ou corrompre les données, ou à en rendre l’accès impossible. Les techniques
classiques contre ce risque sont l’usage de pare-feu (firewalls) et le filtrage des communications
réseau, qui permettent de protéger la partie privée d’un réseau dont les stations pourront
communiquer avec l’Internet sans en être « visibles ». Le terme visible est ici une métaphore qui
exprime que nul système connecté à l’Internet ne peut accéder aux machines du réseau local de sa
propre initiative (seules ces dernières peuvent établir un dialogue) et que le filtre interdit certains
types de dialogues ou de services, ou certains correspondants (reconnus dangereux).
29
La plupart des entreprises mettent en place des ordinateurs qu’elles souhaitent rendre accessibles
aux visiteurs extérieurs, tels que leur serveur Web et leur relais de messagerie. Entre le réseau privé
et l’Internet, ces machines publiques seront placées sur un segment du réseau ouvert aux accès en
provenance de l’extérieur, mais relativement isolé du réseau intérieur, afin qu’un visiteur étranger à
l’entreprise ne puisse pas accéder aux machines à usage strictement privé. Un tel segment de réseau
est appelé zone démilitarisée (DMZ). [17]
3.5 Différentes intrusion
3.5.1 Piratage en informatique et internet

Un pirate, en informatique, est une personne pénétrant sans autorisation un objet informatique par
un moyen informatique. Aussi anodin que puisse paraitre l’acte, il s’agit en droit français d’un délit
ou d’un crime dont l’objet et/ou l’acte sont informatique. L’acte lui-même est un acte piraterie,
l’action est de piratage une, l’acteur est un pirate.
La pénétration par outil interposé et souvent avec votre propre complicité : téléchargement de
programme sans précaution, téléchargement de programmes piraté par les crackers, la pénétration
directe de notre ordinateur par l’exploitation innombrables failles de sécurité. [22]
3.5.2 Type d’intrusion

3.5.2.1 Intrusion en vue d’une compromission des postes
L’objet de ce type d’intrusion est de prendre possession d’un équipement du réseau, soit pour en
extraire des données intéressant le pirate, soit pour constituer une armée de « zombies », avec pour
objectif final, par exemple, de réaliser un DDoS (Distribued Deny of Service) sur une cible
stratégique, ou encore de déclencher un envoi massif de spams à un instant donné, pour prendre
de court les stratégies mises en place pour contenir ce fléau.
Ce type d’intrusion se réalise généralement depuis l’internet, ce n’est pas un problème spécifique
aux réseaux sans fils. Tout de même, dans une certaine mesure, ces derniers sont un peu plus
exposés, dans la mesure où ils sont plus souvent destinés à accueillir des postes clients dont l’état
sanitaire n’est pas maîtrisé par les responsables du système d’information. Si un invité se connecte
avec un poste déjà compromis par un ver, ce ver pourra à son tour contaminer les autres postes
du réseau, suivant le type de propagation qu’il utilise et suivant les protections mises en place sur
les postes du réseau. Si l’on peut considérer que généralement les réseaux sont assez bien protégés
d’attaques venant de l’extérieur par un système de « firewall », ils le sont en général beaucoup moins
contre les attaques venant de l’intérieur, qui est à priori considéré comme une zone «de confiance»
3.5.2.2 Intrusion en vue d’exploitation d’un accès à l’internet
30
Un pirate peut chercher à exploiter votre connexion à l’internet, en vue d’effectuer des attaques
sur d’autres systèmes. Cette méthode lui offre beaucoup de confort, puisque si ses activités sont
repérées, dans les faits, ce ne sera pas lui, mais vous qui serez inquiété, voire condamné.
On ne doit pas sous estimez ce risque, surtout avec les réseaux sans fils dont on ne peut maîtriser
Parfaitement la portée. [25]
3.5.3 Techniques de Hacking

3.5.3.1 L’ingénierie sociale et l’irresponsabilité
Lorsque quelqu’un désire pénétrer dans un système informatique, sa première arme est le ”baratin”.
Il n’y a généralement pas d’attaques réussies sans relations humaines. On appel ceci l’ingénierie
sociale (social engineering), elle est basée sur quatre grands principes:
• Le contexte: en ayant une bonne connaissance de l’organigramme de l’entreprise cela permet à
l’agresseur d’avoir d’ores et déjà un pied dans l’entreprise. Le but en général est de connaitre
qu’elles sont les personnes qui sont en droit de demander tels ou tels informations, et également à
qui les demander, dans le but de se faire ultérieurement passer pour elles. . .
• L’audace ou le bluff: le bagout et l’art de la parole sont deux qualités indispensables lorsque l’on
veut utiliser le ”social engineering”. Il s’agit ici d’avoir suffisamment d’appoint et de connaissances
techniques afin de faire croire à l’interlocuteur qu’il a affaire à un responsable technique de
l’entreprise (ou d’un fournisseur de service). Tout ceci afin qu’il lui transmette les informations
demandées sans aucun problème.
• La chance: la chance est également une part importante dans le ”social engineering”, cela ne
marche pas à chaque fois, Il faut de la pratique afin de bien maitriser le séquencement du dialogue
à établir.
• La patience calculée: il faut de plus savoir se montrer patient afin d’obtenir les informations
désirées. Malgré tout, la méthode du ”social engineering” demande une certaine rapidité (max. 1
heure) pour obtenir les informations voulues, passé ce délais, il est préférable de changer
d’entreprise ou d’attendre quelques jours afin de ne pas éveiller les soupçons. . .
3.5.3.2 Fragments attacks
 Cette attaque outrepasse la protection des équipements de filtrage IP. Pour sa mise en
pratique, les pirates utilisent deux méthodes : les Tiny Fragments et le Fragment
Overlapping. Ces attaques étant historiques, les pare-feu actuels les prennent en compte
depuis longtemps dans leur implémentation. Tiny Fragments
31
D’après la RFC (Request For Comment) 791 (IP), tous les noeuds Internet (routeurs) doivent
pouvoir transmettre des paquets d’une taille de 68 octets sans les fragmenter d’avantage. En effet,
la taille minimale de l’en-tête d’un paquet IP est de 20 octets sans options. Lorsqu’elles sont
présentes, la taille maximale de l’en-tête est de 60 octets. Le champ IHL (Internet Header Length)
contient la longueur de l’en-tête en mots de 32 bits. Ce champ occupant 4 bits, le nombre de valeurs
possibles vaut de 2^4 - 1 =15 (il ne peut pas prendre la valeur 0000). La taille maximale de l’en-tête
est donc bien 15*4 = 60 octets.
Enfin, le champ Fragment Offset qui indique le décalage du premier octet du fragment par rapport
au datagramme complet est mesuré en blocs de 8 octets. Un fragment de données occupe donc au
moins 8 octets. Nous arrivons bien à un total de 68 octets.
L’attaque consiste à fragmenter sur deux paquets IP une demande de connexion TCP. Le premier
paquet IP de 68 octets ne contient comme données que les 8 premiers octets de l’en-tête TCP (ports
source et destination ainsi que le numéro de séquence). Les données du second paquet IP renferment
alors la demande de connexion TCP (flag SYN à 1 et flag ACK à 0).
Or, les filtres IP appliquent la même règle de filtrage à tous les fragments d’un paquet. Le filtrage
du premier fragment (Fragment Offset égal à 0) déterminant cette règle elle s’applique donc aux
autres (Fragment Offset égal à 1) sans aucune autre forme de vérification. Ainsi, lors de la
défragmentation au niveau IP de la machine cible, le paquet de demande de connexion est
reconstitué et passé à la couche TCP. La connexion s’établit alors malgré le filtre IP. [23][24]
Figure 3.02 : Fragment 1
32
Figure 3.03 : Fragment 2
Figure 3.04 : Paquet défragmenté
 Fragment Over lapping

Toujours d’après la RFC 791 (IP), si deux fragments IP se superposent, le deuxième écrase le
premier.
L’attaque consiste à forger deux fragments d’un paquet IP. Le filtre IP accepte le premier de 68
octets (voir Tiny Fragments) car il ne contient aucune demande de connexion TCP (flag SYN = 0
et flag ACK= 0). Cette règle d’acceptation s’applique, là encore, aux autres fragments du paquet.
Le deuxième (avec un Fragment Offset égale à 1) contenant les véritables données de connexion est
alors accepté par le filtre IP. Ainsi, lors de la défragmentation les données du deuxième fragment
écrasent celles du premier à partir de la fin du 8ème octet (car le fragment offset est égal à 1). Le
paquet réassemblé constitue donc une demande de connexion valide pour la machine cible. La
connexion s’établit malgré le filtre IP.
33
3.5.4 IP Spoofing
Le but de cette attaque est l’usurpation de l’adresse IP d’une machine. Ceci permet au pirate de
cacher la source de son attaque (utilisée dans les dénis de services dont nous discuterons plus tard)
ou de profiter d’une relation de confiance entre deux machines. Nous expliquerons donc ici cette
deuxième utilisation de l’IP Spoofing.
Le principe de base de cette attaque consiste à forger ses propres paquets IP (avec des programmes
comme hping2ou nemesis) dans lesquels le pirate modifiera, entre autres, l’adresse IP source. L’IP
Spoofing est souvent qualifié d’attaque aveugle (ou Blind Spoofing). Effectivement, les réponses
éventuelles des paquets envoyés ne peuvent pas arriver sur la machine du pirate puisque la source
est falsifiée. Ils se dirigent donc vers la machine spoofée. [14]
3.5.5 TCP Session Hijacking

Le TCP Session Hijacking permet de rediriger un flux TCP. Un pirate peut alors outrepasser une
protection par un mot de passe (comme Telnet ou ftp). La nécessité d’une écoute passive (sniffing)
restreint le périmètre de cette attaque au réseau physique de la cible. Avant de détailler cette attaque,
nous expliquerons quelques principes fondamentaux du protocole TCP.
Nous ne dévoilerons pas ici les arcanes du protocole TCP, mais préciserons uniquement les points
essentiels à la compréhension de l’attaque. L’en-tête TCP est constitué de plusieurs champs : le port
source et le port destination, pour identifier la connexion entre deux machines; le numéro de
séquence qui identifie chacun des octets envoyés; le numéro d’acquittement qui correspond au
numéro d’acquittement du dernier octet reçu; les flags, avec ceux qui vont nous intéresser sont :
 SYN qui synchronise les numéros de séquence lors de l’établissement d’une connexion;
 ACK, le flag d’acquittement d’un segment TCP;
 PSH qui indique au récepteur de remonter les données à l’application. [26]
3.6 Conclusion
En effet, même si les pirates informatiques ont des avantages en technique, certains pirates
contribuent à la sécurité d'autrui sur internet et autres réseaux sociaux. On peut donc en déduire que
la sécurité informatique avance grâce au piratage. La sécurité informatique est aussi quasi-
indispensable pour le bon fonctionnement d'un réseau, aucune entreprise ne peut prétendre vouloir
mettre en place une infrastructure réseau, quel que soit sa taille, sans envisager une politique de
sécurité. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.
34
CHAPITRE 4 :
SECURISATION ET MONITORING
D’UN RESEAU LOCAL SOUS
PFSENSE
4.1 Préambule
PfSense est un logiciel de filtrage de flux (Firewall).Comme IP tables sur GNU/Linux, il

est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses dans
des firewalls commerciaux et quelques autres complémentaires. L'ensemble des fonctionnalités
sont directement disponibles à partir de l’interface web, sans qu'il soit nécessaire de taper une
seule ligne de commande sous Unix. Nous pourrons donc configurer des fonctions avancées grâce
à cette interface.
4.2 Présentation du pf sense
4.2.1 Historique
pfSense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À l'origine
d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage et de NAT
lui permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils
et services utilisés habituellement sur des routeurs professionnels propriétaires. pfSense convient
pour la sécurisation d'un réseau domestique ou d’une entreprise.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à
distance depuis l'interface web et gère nativement les VLAN.
Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour installer
des fonctionnalités supplémentaires, comme un proxy, serveur VoIP1...
4.2.2 Fonctionnalité
 Filtrage par IP source et destination, port du protocole, IP source et destination pour le

trafic TCP et UDP
 Capable de limiter les connexions simultanées sur une base de règle
35
 pfSense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système
d'exploitation qui initie la connexion.
 Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
 Politique très souple de routage possible en sélectionnant une passerelle sur une base par
règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
 Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des
réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à
comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de
nombreux serveurs.
 Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont
filtrant.
 La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans
l'interprétation de la destination finale du paquet. Le directif « scrub » ré-assemble aussi
des paquets fragmentés, protège les systèmes d'exploitation de certaines formes
d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.[28]
Activé dans pfSense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque des
problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activer sur la
plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre de pare-
feu si vous souhaitez configurer pfSense comme un routeur pur.
4.3 Présentation du projet
Il existe plusieurs logiciels afin de sécuriser un réseau d’entreprise, mais dans notre cas on a choisi
pfsense à cause de sa performance et sa fiabilité par rapport au autre logiciel qu’on peut aussi utiliser.
On a pu constater cette différenciation durant le stage au sein de MPTDN qui ma permit d’accueillir
des connaissances pour configurer ce logiciel et de réaliser ce projet.
Premièrement nous avons utilisé virtualbox afin de créer quatre machines qui ont des systèmes
différents.
36
Figure 4.01 : Oracle VM VirtualBox
Dans le premier ordinateur, on a installé pfsense qui gère toute la connexion des trois autres
machines. Ici on la utilisé comme portail captive du réseau, c’est-à-dire que seule les utilisateurs qui
sont autorisés par l’administrateur peuvent avoir de connexion.
Figure 4.02 : Machine pfsense
Puis l’ordinateur de l’administrateur qui a un système « Windows XP », c’est la machine où on

configure pfsense et qui gère le réseau via une interface web.
37
Figure 4.03 : Machine de l’administrateur réseau
Le client numéro « 1 » a un système d’exploitation « Windows 7 », le client numéro deux

« Windows XP » aussi. Ce sont les utilisateurs du réseau qui peuvent avoir de connexion internet
grâce à l’autorisation de l’administrateur.
Figure 4.04 : Machine du client numéro un
38
Figure 4.05 : Machine du client numéro deux
On peut voir sur la figure ci-dessous (figure 4.06) l’architecture du réseau dans le virtualbox,
l’interface LAN qui est en rouge et noir pour le WAN. Les trois ordinateurs sont reliés par un switch
(l’administrateur et client 1, client 2), puis connecter par l’interface LAN du serveur PFsense.
Du côté WAN, nous avons utilisé un modem « ORANGE » afin d’avoir une connexion internet
pour le réseau, ce modem est lié directement par le port USB du serveur. Cette architecture nous
permet de sécuriser le réseau contre l’intrusion extérieur et aussi et aussi de superviser le réseau
avec PFsense.
Figure 4.06 : Architecture du réseau dans virtualbox
39
4.4 Configuration de pfsense
Une fois que notre serveur pfsense est maintenant installé, notre tâche ne pas encore achevé ; notre
travail commence ici.
La mise en place des paquets et des services nécessaires pour le projet est le plus grand moyen de
sécurisation et surveillance au niveau du réseau local.
PF SENSE possède plusieurs paquets et des services fonctionnels, mais nous n’avons installé que
2 paquets et quelques services pour la sécurisation et le monitoring du réseau.
Pour le serveur pfsense, toutes les tâches se faient via un autre machine que le serveur implémenté
pour pouvoir accéder à l’interface web du serveur pfsense.
Dans l’interface ci-dessous, on doit entrer le nom d’utilisateur et aussi le mot de passe afin de
configurer pfsense.
Figure 4.07 : Interface de pfsense
Une fois que notre serveur est implémenté et configurer, on doit faire les tâches suivant :
 Ouvrir le navigateur internet de la machine connecté au serveur, dans notre cas (Mozilla
Firefox)
 Taper l’adresse IP du serveur que nous avons déjà donné en dessus
Pour nous IP : 192.168.56.1
 Accès au login et au mot de passe
Par défaut :-Login : admin
-Mot de passe : pfsense
40
Si on veut changer le mot de passe, on doit entrer dans le paramètre « system » puis « user manager »
pour ouvrir l’interface qui modifie le mot de passe
Figure 4.08 : chemin de changement de mot de passe
Une fois que l’interface est ouvert, il est préférable de changer le mot de passe par défaut pour que
d’autre personne ne puisse entrer dans l’administrateur
Chemin : system > User Manager
Figure 4.09 : changement de mot de passe
Figure 4.10 : Edition du nouveau mot de passe
41
Dans notre cas, nous avons changé ce dernier ; maintenant nous passerons à l’installation des
paquets.
4.5 Sécurisation et configuration des paquets et services
4.5.1 Installation des outils squid et squidgard :
Pour la sécurisation au niveau du réseau local, nous avons mis en œuvre les services suivants :
4.5.1.1 Squid + Squidguard
Squid + Squidguard est un serveur mandataire, en anglais un proxy, entièrement libre et très
performant. Squid est capable de gérer les protocoles FTP, HTTP, HTTPS.
Pour des fonctions :
 De contrôle et système de filtrage d'URL
 D'économiser la bande passante Internet.
 Limiter l'accès Web pour certains utilisateurs à une liste de serveurs reconnus / bien connus
web et / ou URL seulement.
 Bloquer l'accès à certains serveurs et / ou des URL Web répertoriés ou liste noire pour
certains utilisateurs.
 Bloquer l'accès à des URL correspondant à une liste d'expressions régulières ou des mots
pour certains utilisateurs.
 Imposer l'utilisation de noms de domaine / interdire l'utilisation d'adresses IP dans les URL.
Tout d’abord, nous avons installé le serveur squid pour la sécurisation contre les trafics au niveau
du réseau local. Pour s’y faire, il y a des chemins à suivre :
Figure 4.11 : chemin de l’installation
42
Il est très important de télécharger les packages « squid et squidguard » pour intégrer le « server
proxy » dans les paramètres de l’interface du pfsense. Voici le chemin qu’on doit suivre afin
d’arriver jusqu’à l’interface ci-dessous (figure 4.06).
Chemin: system > Packages >Available Packages >Install Squid et puis SquidGuard
Figure 4.12 : paquet installé
4.5.1.2 Proxy server

Il permet d’optimiser les performances Web en stockant la copie des pages Web souvent utilisées.
Lorsqu’un navigateur requiert une page Web qui est stockée par le serveur proxy (dans le cache de
celui-ci), il est servi par ce dernier, et donc plus rapidement qu’en allant sur le Web. Les serveurs
proxy renforcent également la sécurité en filtrant certains contenus Web et les logiciels malveillants.
Figure 4.13 : chemin proxy server
4.5.2 Configuration proxy serveur :
4.5.2.1 general
Nous allons mettre en détaille sa configuration pour bien éclaircir le travail, nous avons besoin des
documentations pour bien le mettre en œuvre.
43
Figure 4.14 : choix de l’interface du proxy à configurer
Nous avons posés les règles suivantes :

 Notre interface à configurer est ici du côté LAN
 Nous avons choisi de faire le serveur proxy comme serveur transparent alors on doit cocher
la case "Transparent Proxy".
Figure 4.15 : configuration général du proxy serveur
Pour sa configuration, il est nécessaire de remplir les blancs comme suit :

 Log store directory : /var/squid/logs : Emplacement et stockage par défaut des pages web
 Log rotate : 7 : Tourner les journaux tous les 7 jours
 Proxy port : 3128 : Numéro du proxy
44
 Il faut ajouter un nom d’hôte et une adresse email
Par défaut : visible hostname : proxy.pfsense.secure

Administrator email : admin@pfsense
 Choix de langue : français
 Save : Enregistrer la configuration
4.5.2.2 traffic mgmt

Il est vraiment utile pour lutter contre les trafics au niveau du réseau local de l’entreprise
Sert à limiter la vitesse d’accès Internet des utilisateurs
Figure 4.16 : configuration traffic management
 Maximum download size : Limiter la taille totale de téléchargement (en kilobytes)

 Maximum upload size : Limiter la taille de téléchargement (en kilobytes)
 Overall bandwidth throttling : indique (en kilo-octets par seconde) l’étranglement de la
bande passante pour les téléchargements. Les utilisateurs auront progressivement leur
vitesse de téléchargement augmentée en fonction de cette valeur. La mettre à 0 pour
désactiver limitation de bande passante.
 Per-host throttling : Cette valeur spécifie l’étranglement de téléchargement par hôte. La
mettre à 0 pour désactiver.
NB : c’est seulement l’administrateur réseau qui gère ce rôle de limiter la vitesse d’accès Internet
des utilisateurs.
4.5.3 Configuration proxy filter :
4.5.3.1 Le proxy filter

Le proxy filter est le service pfsense qui sert à filtrer les pages webs des navigateurs, il sert à
bloquer ou autoriser l’accès à une page web.
45
Figure 4.17 : chemin proxy filter
Pour le paramétrage du « proxy filter » on doit suivre le chemin suivant :

Services > Proxy filter> General
Figure 4.18 : Activer proxy filter
 Cocher « Enable » : pour activer le proxy filter

 Cliquer « Apply » : pour faire fonctionner le service squiguard
4.5.3.2 blacklist
Ce sont les listes noires livrés par squidguard
Figure 4.19 : activer blacklist
46
D’abord
 Entrer sur « Blacklist options »
 Cocher « blacklist »
 Entrer URL du blacklist dans le champ « Blacklist URL »
Nou avons choisis l’URL: Shalla’s blacklist:
« http://www.shallalist.de/Downloads/shallalist.tar.gz »
 Cliquer sur « save » pour enregistrer
Figure 4.20 : téléchargement blacklist
Ensuite, on doit suivre le chemin suivant

Services > Proxy Filter, Blacklist
 Coller l’URL en dessus dans le champ vide
 Cliquer sur « download »
4.5.3.3 Common ACL (Access Control List)
Ce sont les listes sites livrés par le « proxy serveur squidguard »
Figure 4.21 : activation du target Rules list
 Cliquer sur le bouton « Vert » du « Target Rules List »

 Choisir les sites et les règles :
Allow : pour autoriser
Denied : pour refuser
Whitelist : pour les listes libres
47
Dans notre cas, nous avons refusés les sites suivants :
 Porno
 Sexe éducation
 Sexe lingerie
 Les sites malveillants
Voici les étapes qu’on doit suivre :

 Remplir « Proxy Denied Error » par un message d’erreur :
 Remplir « Redirect info » par un message d’information :
 Cocher « Use SafeSearch engine » : utilisation des protections et surveillance
 Cocher « log » pour activer la journalisation
 Cliquer « save » pour enregistrer
4.5.4 Captive Portal
4.5.4.1 Côté serveur

C’est le service qui gère le filtrage par adresse MAC, adresse IP, nom de la machine.
Nous avons utilisé ce service pour la sécurisation du réseau local contre les intrusions extérieur.
Figure 4.22 : activation du target Rules list
On trouve le « captive portal » dans les « services » et Il suffit simplement d’activer captive
portal sur interface LAN
 Cocher « Enable captive portal »
 Cliquer « LAN »
 « save » pour enregistrer
4.5.4.2 Côté client

Tous les clients doivent être ajoutés dans la liste des clients pfsense par :
48
 Adresse MAC
 Adresse IP
 Nom d’hôte (Hostename)
 Vouchers
 Gestion de fichier (file manager)
Dans ce projet, nous n’avons utilisés que : Adresse MAC et Adresse IP

 Adresse MAC
Il est facile de sécuriser le réseau local une fois que toutes les adresses MAC des machines
clients sont entrées dans le service captif portal
Figure 4.23 : édition des règles d’adresse MAC
Voici les règles à suivre pour le filtrage par adresse MAC

-On doit d’abord choisir l’action à faire
Pass : pour faire passer l’accès internet au niveau des machines clients
Block : pour bloquer
-Copier l’adresse MAC du machine
-Decrire le machine pour l’identifier
-Bandwidth up/ Bandwidth doawn : limitation de téléchargement pour être appliquée sur cette
adresse MAC en Kbit / s
- Enregister tous les configuration
49
 Adresse IP
Dans la service captive portal , nous pouvons aussi filtrer l’acces internet par
Adresse IP.
Figure 4.24 : édition des règles d’adresse IP
Voici les règles à suivre pour le filtrage par adresse IP :

 Copier l’adresse IP du machine
 Decrire la machine pour l’identifier
 Bandwidth up/ Bandwidth doawn : limitation de téléchargement pour être
appliquée sur cette adresse IP en Kbit/s
 « save » pour enregister
Figure 4.25 : Portail captive du réseau
Voici le portail captif qu’on a créé (figure 4.25), si un individu veut se connecter à internet alors il
devra avoir un « login » et un « mot de passe » vers l’administrateur sinon le portail ne s’ouvrira
jamais. De même seuls les clients qui ont l’autorisation et l’accès au réseau par l’administrateur
peuvent se connecter.
50
Figure 4.26 : Accès du client 1
Dans la figure 4.08 le client numéro un est maintenant connecté à internet grâce au « login » et
« mot de passe » qu’il vient d’entrer dans le portail captif.
4.6 Surveillance ou monitoring
4.6.1 Trafic Graph
Le trafic graph est un service nécessaire pour le monitoring du réseau local (en kbps)
Figure 4.27 : chemin traffic graph
Chemin : Status > traffic graph
51
Figure 4.28 : graph du réseau LAN
Nous voyons en dessous les règles de monitoring qu’on a mis au réseau

 Nous avons choisi de surveiller l’interface LAN
Interface: LAN
 Nous avons triés par : bande passante entrante / sortante

Sort by: Bw In / Bw Out
 Nous avons filtrés le réseau local

Filter: local
 Nous avons exposés par adresse IP

Display: IP Address
4.6.2 RRD Graphs
Ces graphes mesurent des choses telles que : l'utilisation du CPU, utilisation de la mémoire, de l'état
d'utilisation de la table, le débit (en octets ainsi que des paquets), qualité de la liaison, le trafic qui
façonnent l'utilisation de file d'attente, et ainsi de suite.
Nous avons utilisés ce type de graph comme monitoring au niveau du réseau local :
Il possède six (5) types de graph pour le monitoring :
 System
 Traffic
 Packets
 quality
 custom
Mais nous n’avons utilisés que deux (2) d’entre eux :
52
4.6.2.1 Traffic
Nous avons utilisés ce type de graph pour surveiller le trafic réseau sur LAN (bits/sec)
Figure 4.29 : graph traffic LAN
Dans ce graph nous voyons :

Type de graph : LAN
Le style du graph : inverser ou absolus
Le période :
 absolutes timespans : plages horaires absolus
 current period : période actuelle
 previous period : période prévue
4.6.2.2 Packets
Utiliser pour surveiller l’utilisation des paquets ou logiciel au niveau du réseau local (packets/sec)
Figure 4.30 : graph packets LAN
53
Dans ce graph nous voyons :
Type de graph : LAN
Le style du graph : inverser ou absolus
Le période :
 absolutes timespans : plages horaires absolus
 current period : période actuelle
 previous period : période prévue
4.7 Conclusion
PFsense est un outil très fiable et performant pour sécuriser et superviser un réseau d’entreprise par
rapport aux autres logiciels. De plus sa configuration est moins difficile grâce à l’interface web
qu’on avait présentée dans le dernier chapitre mais ce travail demande plain de connaissance afin
d’arriver à ce stade.
54
CONCLUSION GENERALE
Pour conclure, pfsense est une technologie révolutionnaire qui offre des services efficaces pour le
réseau local. Pour toutes les entreprises qui veulent être compétitive et moderne, cette technologie
est plus souple, conviviale, ne nécessite pas un investissement lourd, coûte beaucoup plus moins
chère. Elle propose aussi de nouveaux services et beaucoup d’autres avantages et jette son dévolu
sur l’utilisation du serveur pfsense pour gérer son réseau local. Elle vise principalement à faciliter
les tâches de l’administrateur réseau pour la sécurisation, surveillance et d’autres tâches.
Actuellement, il est évident que l’implémentation de ce type de serveur va continuer à se développer
dans les prochaines années. Les services offerts par pfsense se développent à une vitesse fulgurante.
C’est la raison pour laquelle plusieurs entreprises dans leurs stratégies de sécurisation des
surveillances au niveau de son réseau local proposent de mettre en œuvre le serveur pfsense. Elle
parait comme une bonne solution en matière de filtrage, de routage, de sécurité réseau
Nous n’avons pas la prétention d’avoir tout dit ou tous fait dans ce sujet. Nous avons mis en place
des bases de configuration. Il appartient à la génération futur de continuer la réflexion dans le
domaine. Il existe beaucoup d’aspects qui restent en friche. L’on peut bien traiter un sujet qui
consiste à savoir si le développement de cette technologie représente-t-il un risque ou une
opportunité au niveau du réseau local de l’entreprise ? Une chose est certaine, la mise en place de
ce type de serveur va bientôt se propager dans toutes les grandes entreprises.
55
ANNEXE 1 :
PROTOCOLE UTILISE DANS LE
NOUVEAU RESEAU
A1.1 La redondance sur les liens

La redondance permet d'avoir plusieurs chemins en cas d'une défaillance d'un lien
Problème : un broadcast provenant de PC1 ne pourra jamais être arrêté
Figure A1.01: Redondance sur les liens
Il existe aussi d’autre redondance qui permet de supporter la perte d'un lien ou d'un équipement ;
mais le problème se trouve toujours au niveau du broadcast.
Figure A1.02 : Autre type de redondance
A1.2 Les problèmes

 Le broadcast
Généré par exemple par les requêtes ARP
Comme il n'existe aucun moyen de supprimer les trames Ethernet, comme sur IP avec le TTL, cela
encombre les liens et génère des broadcast Storm
 Duplication de trames unicast
A cause des boucles, un PC peut recevoir plusieurs fois une même trame
Les ports qui génèrent des boucles sont automatiquement « désactivés »
56
Figure A1.03 : Protocole Spanning Tree
A1.3 L’algorithme de Spanning Tree 802.1D

 Les ponts vont échanger des messages contenant:
– L’identité supposé de la racine (adr MAC).A l’initialisation, ils se supposent racine.
– Le coût supposé de la liaison. Pour un pont racine, ce coût est nul.
– L’identité de l’émetteur.
– Le numéro du port sur lequel le message est émis.
 L’algorithme pour chaque pont est le suivant:
– recherche du meilleur msg (id. racine plus petite en premier, puis coût, puis émetteur, puis port)
sur ses ports.
– Si un des messages est meilleur que la configuration :
• cette voie devient le chemin pour la racine. Une nouvelle configuration est calculée. Le coût est
augmenté de 1.
• Les ports qui sont compris entre la meilleure configuration et la configuration nouvellement
calculées sont désactivés Les autres ports font partis du Spanning tree
• Cette configuration sera émise sur les ports autres que celui qui mène vers la racine
– Si aucun message n’est meilleur que celui émis par le pont, celui-ci se considère comme racine.
A1.4 Bridge ID
Dans le cas de PVST (Per VLAN STP, une instance de STP par VLAN.), la priorité est composée
d’un multiple de 4096 auquel on ajoute l’identifiant du VLAN.
Exemple: 32769 = 32768 + 1 (priorité par défaut pour le VLAN1).
57
Figure A1.04 : Bridge ID
A1.5 Le protocole spanning-tree

Un commutateur est un pont multiport (un pont est un dispositif matériel permettant de relier des
réseaux travaillant avec le même protocole.
Ainsi, contrairement au répéteur, qui travaille au niveau physique, le pont travaille également
au niveau logique), c'est-à-dire qu'il s'agit d'un élément actif agissant au niveau 2 du modèle OSI.
Le commutateur analyse les trames arrivant sur ses ports d'entrée et filtre les données afin de
les aiguiller uniquement sur les ports adéquats (on parle de commutation ou de réseaux commutés
– le principe est illustré sur la Figure ci-dessous).
Le commutateur allie donc les propriétés du pont en matière de filtrage et du concentrateur (hub)
en matière de connectivité.
Connaissant le port du destinataire, le commutateur ne transmettra le message que sur le port
adéquat, les autres ports restants dès lors libres pour d'autres transmissions susceptibles de se
produire simultanément. Il en résulte que chaque échange peut s'effectuer à débit nominal (plus
de partage de la bande passante), sans collision, avec pour conséquence une augmentation très
sensible de la bande passante du réseau (à vitesse nominale égale).
Le protocole spanning-tree (ou STP pour spanning-tree protocol) a été créé pour prévenir la
formation de boucles sur les réseaux de niveau 2 lors des interconnections multiples mises en
place entre commutateurs pour assurer la redondance du réseau (Figure ci-dessous) .
Figure A1.05 : L’action du spanning-tree sur un réseau Ethernet
58
Ceci est réalisé en rendant les commutateurs conscients de l’existence de leurs voisins et de
l’état de la bande passante sur les liens communs. Chaque commutateur sélectionne alors un seul
parcours, sans boucle et avec une bande passante disponible maximale par rapport à un
point de référence commun à l'ensemble des membres du domaine de niveau 2 (sera appelé
domaine de niveau 2 l'ensemble des commutateurs travaillant sur un même subnet IP que ce soit
au niveau physique ou logique). Si le phénomène de boucle n’était pas maîtrisé au travers de ce
protocole, le réseau pourrait être victime du phénomène appelé tempête de broadcast.
Figure A1.06 :Tempête de broadcast
Celui-ci se produit lorsque des trames de type broadcast (à destination de l’ensemble des
éléments actifs du réseau) sont émises. Les commutateurs les renvoient alors sur l’ensemble
des ports, les trames continuant ainsi à circuler en boucle et à se multiplier jusqu’à expiration du
TTL (Time To Live– temps de vie maximum autorisé pour une trame sur le réseau).
Le point de référence permettant la mise en place d'itinéraires uniques et sans boucle sur le réseau
se nomme le root bridge.Ce dernier est choisi parmi les différents commutateurs au travers d’un
processus d’élection qui permet d’arriver à un résultat unique. Une fois le root bridge désigné,
chaque commutateur définit un port root représentant le chemin à emprunter pour accéder à
ce dernier. L’ensemble des parcours possibles pour atteindre chaque point du réseau est défini
et peut être représenté comme un arbre de possibilités ayant le root bridge pour origine.
La fin de ce processus, le STP est construit et le domaine de niveau 2 dans lequel se trouve
notre commutateur ne doit posséder aucune boucle.
Les ports des commutateurs (ceux reliant les différents commutateurs entre eux) ne participant
pas au processus STP sont bloqués. Un port dans cet état particulier n’émet ni ne reçoit de données.
La seule action autorisée est l’écoute des BPDU (STP Bridge Protocol Data
59
Unit – trame permettant de gérer les processus STP sur le réseau). C’est la présence de cette
fonction particulière qui permet d’élimer les boucles sur le domaine de niveau 2. Lors d’un
recalcul de l’arbre du STP, il est possible que les ports bloqués changent d’état pour prendre
en compte une modification de l’architecture du réseau. Les ports passeront alors dans les états
listening, learning, pour enfin atteindre l’état forwarding permettant au trafic de données de s’établir.
Ce processus prend de 30 à 50 secondes par défaut (une norme plus récente appelée RSTP, pour
Rapid Spanning-Tree Protocol, permet une convergence plus rapide pour les réseaux qui la
supportent).Maintenant que nous comprenons les grands processus utilisés par le protocole
spanning-tree, il sera plus simple de définir les différents axes d’attaques possibles.
Tous mettent en jeu les BPDU évoquées précédemment pour usurper une fonction (au hasard le
root bridge) ou provoquer un déni de service calcul récurrent de l’arbre du STP par exemple).
60
ANNEXE 2 :
CISCO ASA
Les Serveurs de Sécurité Adaptatifs Cisco ASA 5500 combinent les meilleurs services de VPN
et de sécurité, et l’architecture évolutive AIM (Adaptive Identification and Mitigation), pour
constituer une solution de sécurité spécifique. Conçue comme l’élément principal de la
solution Self-Defending Network de Cisco (le réseau qui se défend tout seul), la gamme Cisco
ASA 5500 permet de mettre en place une défense proactive face aux menaces et de bloquer les
attaques ava nt qu’elles ne se diffusent à travers le réseau, de contrôler l’activité du réseau
et le trafic applicatif et d’offrir une connectivité VPN flexible. Le résultat est une gamme
de puissants serveurs de sécurité réseau multifonctions capables d’assurer en profondeur la
protection élargie des réseaux des PME/PMI et des grandes entreprises tout en réduisant
l’ensemble des frais de déploiement et d’exploitation et en simplifiant les tâches généralement
associées à un tel niveau de sécurité.
Réunissant sur une même plate- forme une combinaison puissante de nombreuses technologies
éprouvées, la gamme Cisco ASA 5500 vous donne les moyens opérationnels et économiques
de déployer des services de sécurité complets vers un plus grand nombre de sites. La gamme
complète des services disponibles avec la famille Cisco ASA 5500 permet de répondre aux
besoins spécifiques de chaque site grâce à des éditions produits conçues pour les PME
comme pour les grandes entreprises. Ces différentes éditions offrent une protection de qualité
supérieure en apportant à chaque installation les services dont elle a besoin. Chaque édition
de la gamme Cisco ASA 5500 regroupe un ensemble spécialisé de services – firewall, VPN
SSL et IPSec, protection contre les intrusions, services Anti - X, etc. – qui répondent
exactement aux besoins des différents environnements du réseau d’entreprise.
Et lorsque les besoins de sécurité de chaque site sont correctement assurés, c’est l’ensemble
de la sécurité du réseau qui en bénéficie.
Figure A2.01 : Cisco ASA 5500
61
 Des fonctionnalités éprouvées de sécurité et de connectivité VPN. Le système de
prévention
des intrusions (IPS) et de firewall multifonctions, ainsi que les technologies anti- X et VPN
IPSec ou SSL (IP Security/Secure Sockets Layer) garantissent la robus tesse de la sécurité
des applications, le contrôle d’accès par utilisateur et par application, la protection contre les vers,
les virus et les logiciels malveillants, le filtrage des contenus ainsi qu’une connectivité à
distance par site ou par utilisateur.
 L’architecture évolutive des services AIM (Adaptive Identification and Mitigation).
Exploitant un cadre modulaire de traitement et de politique de services, l’architecture AIM de
Cisco ASA 5500 autorise l’application, par flux de trafic, de services spécifiques de sécurité ou
de réseau qui permettent des contrôles de politiques d’une très grande précision ainsi que la
protection anti- X tout en accélérant le traitement du trafic. Les avantages en termes de
performances et d’économies offerts par l’architecture AIM de la gamme Cisco ASA 5500,
ainsi que l’évolutivité logicielle et matérielle garantie par les modules SSM (Security Service
Module), permettent de faire évoluer les services existants et d’en déployer de nouveaux,
sans remplacer la plate - forme et sans réduire les performances.
Fondement architectural de la gamme Cisco ASA 5500, AIM permet l’application de
politiques de sécurité hautement personnalisables ainsi qu’une évolutivité de service sans
précédent qui renforce la protection des entreprises contre l’environnement toujours plus
dangereux qui les menace.
 La réduction des frais de déploiement et d’exploitation. La solution multifonctions
Cisco ASA 5500 permet la normalisation de la plate- forme, de la configuration et de la
gestion, contribuant à réduire les frais de déploiement et d’exploitation récurrents.
62
BIBLIOGRAPHIE
[1] C. PHAM, «Réseau local» RESO-LIP/INRIA Université Lyon 1, décembre 2015

[2] C.CALECA, « Les Réseaux », 6 mars 2005
[3] P.PINAULT, « Administration d'un réseau local » B.T.S. Informatique, 2013
[4] O.THARAN, «Architecture réseaux» Institut Pasteur cours IEB, 2004, olive@pasteur.fr
[5] M.A.GUEROUI, « Architecture des réseaux» Master1 Informatique/PRIMS, 2006-2007
[6] F.REDONNET, « Les réseaux locaux » BTS CGO P10 –2ème année, 2010
[7] S.ANTIPOLIS, « Formation réseaux information» Université NICE, janvier 2016
[8] J.F.PILLOU, « Formation réseaux information» licence GNU FDL, Copyright 2003
[9] www.jaquet.org, septembre 2009
[10] J.L. ARCHIMBAUD, « Interconnexion et conception de réseaux » CNRS/UREC, 2002
[11] L.E. RANDRIARIJAONA, «Conception de réseau d’entreprise» cours M1pro-TCO,
Dép. TCO.-ESPA, A.U: 2014-2015
[12] CCNA DISCOVERY 4.0, « conception et prise en charge des réseaux » CISCO, 2007-
2008
[13] D.ROUMANET, « nomadisme et sécurité sur les réseaux informatiques » centre
d'enseignement de Grenoble, 15 décembre 2005
[14] DR. A.E.BAROUNI, « Audit de la Sécurité informatique», février 2016
[15] S.GHERNAOUTI, «Sécurité informatique et réseaux» Dunod-Paris-ISBM 4èmeédition,
février 2013
[16] J.MARCHAND, « Description de la sécurisation d'un réseau local » CNRS, 5 avril 2002
[17] L.BLOCH ET C.WOLFHUGEL, « sécurité informatique » Principes et méthodes
3eEdition, 2009-2011
[19] L.POINSOT, « Introduction à la Sécurité informatique» UMR 7030 - Université Paris-
Institut Galilée, 2013
[20] R.ABDELL, « Audit et Sécurité Informatique d’un Réseau Local D’entreprise »
UNIVERSITE VIRTUELLE DE TUNIS, 2010/2011
[21] T.TRAM DANG NGOC, « introduction à la sécurité réseau » Université de Cergy-
Pontoise-département sciences informatiques, 2012-2013
[22] J.P.GAUTIER ET BERNARD TUY, «Administration d’un Réseau Informatique»,
UREC, 1994-1998
63
[23] F.CROSNIER, «Intégration d’un superviseur de flux réseaux» mémoire de master
spécialisé N&IS, 22 octobre 2013
[24] J.L. ARCHIMBAUD, «Sécurité informatique et réseau» CNRS/HAL, 2 Février 2011
[25] Y.LESCOP, «Sécurité informatique» Post BTS R2i, 2002
[26] M. FUCHS ET M. GREGORY BERNARD, «Configurer pfSense comme un firewall
transparent», 18 septembre 2009
[27] M.DAOUES, « Mise en route d'un Routeur/Pare-Feu » Formation TSGERI, 30 mai 2011
[28] http://forum.pfSense.org
64
FICHE DE RENSEIGNEMENTS
Nom : Hary Setra

Prénom : Julien
Adresse : LOT IVH 9E Ambodimita Ambohomanarina
Contact : +261 32 49 689 62
e-mail : sharyjulien@gmail.com
titre : « SECURISATION ET MONITORING D’UN RESEAU LOCAL SOUS

PF SENSE »
nombre de pages :76

nombre de tableaux :1
nombre de figures :60
directeur de mémoire : Monsieur RANDRIAMANAMPY Samuel
Contacts :+261340455121/+261331441008
65
RESUME
La réalisation de ce projet nous a permis de concevoir le réseau informatique au sein du MPTDN

puisqu’on a utilisé pfsense comme un pare-feu pour sécuriser le réseau. La conception du réseau
nous a demandé beaucoup de travail car il nous faut modifier son architecture (réseau hiérarchique)
et remplacer plusieurs matériels informatiques afin d’adapter le réseau au nouvel architecture.
A propos de la sécurisation, l’installation du pfsense nous a permis de connaitre sa performance et
sa fiabilité au sein d’un réseau d’entreprise. Cela est due à l’existence de plusieurs « pakages »
intégrées dans le logiciel dont on trouve : le « squid », le « squidguard » et d’autre qui nous
permettent de filtrer les adresse IP et les adresse MAC, etc. Il est aussi très essentiel de superviser
le réseau pour pouvoir gérer les bandes passantes et donner une connexion internet correspondant à
chaque direction de MPTDN. La supervision du réseau d'entreprise n’est pas trop difficile parce
qu’il suffit de voir et d’identifier les courbes en utilisant des différents outils situant dans pfsense.
Mots-clés: sécurité, réseau, supervision, conception, informatiques
ABSTRACT
The realization of this present project has enabled us to design the computing network within the
MPTDN because pfsense was used as a firewall permit to secure the network. This on in the terms
of design has a lot of work because you should to modify it's architecture (hierarchical network) and
after replace several computer hardware in order to adapt the network to the new architecture.
About the security, the pfsense allowed permit us to know the performance and reability within a
corporate network. This is due to the existence of several package built into the software squid,
squidguard and else that allow us to filter IP addresses. It is also essential to supervise the network
to manage bandwidth and provide an internet connection for each direction MPTDN. Supervision
of the corporate network isn't so difficult, you just identify the curves using various tools in pfsense
Keywords: security, network, monitoring, conception, informatics

harySetraJulien - ESPA - MAST PRO - 16 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

harySetraJulien - ESPA - MAST PRO - 16 PDF

Transféré par

Droits d'auteur :

Formats disponibles

N° d’ordre : /M2PRO /TCO Année Universitaire : 2014/2015

MEMOIRE DE FIN D’ETUDES

MASTER A VISEE PROFESSIONNELLE

par : HARY SETRA Julien

SECURISATION ET MONITORING D’UN RESEAU

Soutenu le 26 Mai 2016 à 08h30mn devant la commission d’examen composée de :

ARPANET Advanced Research Projects Agency Network

BID Bridge Identity

BPDU Bridge Protocol Data Unit

DDoS Distributed Deny of Service

DGNT Direction générale des Nouvelles Technologies

DHCP Dynamics Host Control Protocol

DMZ Demilitarized Zone

DNS Domain Name System

DRH Direction des Ressources Humaines

DSI Direction des Systèmes d’Information

DT Direction des Télécommunications

EIGRP Enhanced Interior Gateway Routing Protocol

ENX European Network Exchange

HTTP Hyper Text Transfer Protocol

IBM International Business Machine

IHL Internet Header Length

LAN Local Area Network

MAN Metropolitan Area Aetwork

MPTDN Ministère des Postes, des Télécommunication et du Développement Numérique

NAT Network address translation

OSPF Open Shortest Path First

PRMP Personne Responsable de Marché Public

RDP Responsible des Programmes

RFC Request For Comment

RSTP Rapid Spanning Tree protocol

SMTP Simple Mail Transfer Protocol

SSI Sécurité de Système d’Information

STP Spanning Tree protocol

TCP Transmission Control Protocol

TTL Time to Live

WAN Wide Area Network

Wi-Fi Wireless Fidelity

Les entreprises de façon traditionnelle exploitent un ou des moyens de sécurisation et de surveillance

GENERALITES SUR LES RESEAUX

1.2 Les réseaux informatiques

1.3 Similitudes entre types de réseaux

1.4 Les différents types de réseaux

1.4.1 LAN (local area network)

1.4.3 WAN (wide area network)

Figure 1.01 : Architecture d’un réseau WAN

1.5 Topologies des Réseaux

1.5.1 réseau en bus

Figure 1.02 : réseau en bus

Figure 1.03 : Réseau en étoile

1.5.3 Réseau en anneau

1.5.4 Topologie maillé

Figure 1.05 : Topologie maillé

1.6 Équipements nécessaires en réseau

1.6.1 La carte réseau

1.6.3 Le hub (concentrateur) et le switch (commutateur)

1.7 Protocole de transport utilisé dans un réseau

1.7.1 Présentation du protocole TCP

Tableau 1.01: Classe d’adresse IP

1.7.3 Adresse routable – adresse non routable

1.7.4 Adresse IP fixe ou adresse IP dynamique

CONCEPTION D’UN RESEAU

2.2 Base de conception réseau