Académique Documents
Professionnel Documents
Culture Documents
Il a été créé en 2005, il a reçu son agreement pour l’arrêté ministériel : ……. De la
fonction publique, de l’année ….
Comme tout autre établissement, il forme ses étudiants. Dans le cadre de cette
formation, à la fin de la troisième année, un mémoire d’étude sera présenté, et ce pour cela
que tous les étudiants à chaque fin d’année sont tenus de faire un mémoire de fin d’étude qu’il
présentera en temps voulu.
Ce procède vise à mettre en pratique tous les cours que les étudiants ont reçu pendant
les deux dernières années de formation et permet déjà aux étudiants de connaitre leur
compétence et leur aptitude.
Je remercie l'Eternel Dieu, l'auteur de mon souffle qui ne cesse de renouveler ses
bontés chaque jour dans ma vie, pour m'avoir donné la force, la santé et l'intelligence
nécessaires pour accomplir ce travail et son amour combien si grand qu'il m'a offert dans mon
jeune âge jusqu'à ce jour.
J'exprime également ma gratitude en particulier mes parents qui ont bien voulu me
soutenir matériellement et financièrement afin que ce mémoire soit élaboré.
Enfin, tous ceux que je n'ai pas pu citer qui ont contribué à la réalisation de ce travail,
je pense notamment à mes frères, sœurs, cousins et cousines, mes oncles et tantes, mes
camarades de promotion, je les exprime ma gratitude
SOMMAIRE
Liste des abbreviations:
QoS: Quality of Service
RSA: Rivest–Shamir–Adleman
TV: Television
V: Volt
VoIP: Voice over Internet Protocol
Auparavant pour interconnecter deux réseaux locaux distants, il n’y avait que deux
solutions :
Soit les deux sites distants étaient reliés par une ligne spécialisée(LS) permettant de
réaliser un WAN entre les deux sites.
Soit les deux réseaux devaient communiquer via le RTC (Real Time
Communication)
De nos jours, les systèmes sont de plus en plus petits, de plus en plus puissants et
rapides, de plus en plus nombreux, de plus en plus spécialisés et dont l’implémentation
ainsi que leur maintenance sont aussi rendues plus souples.
Les réseaux n’ont pas seulement permis un grand bouleversement dans la conception
des systèmes informatiques, mais ils ont permis d’interconnecter les petits systèmes entre eux
afin de les faire coopérer et échanger les données ou informations.
Quelles sont alors les technologies et méthodes qui doivent être utilisées par les
entreprises pour la gestion sécuritaire des informations ?
Dans le cas d'une entreprise multi sites, comment peut-ont faire pour assurer la
sécurité des données lors de la communication entre deux ou plusieurs sites ?
Lors de la mise en place d'une interconnexion entre deux ou plusieurs sites, quels sont
les éléments à envisager pour arriver à la mise en place d'une interconnexion fiable et à faible
coût ?
Il est aussi question ici de proposer un moyen sécurisé et sûr d'échange de données
entre plusieurs sites distants
Toutes ces questions posées sont à la base de notre recherche en nous proposant dans
les parties qui suivent des pistes de solutions.
HYPOTHESE DU SUJET
Dans le cadre de ce travail, nous avons jugé bon de joindre au système d'information
existant, les applicatifs de l'internet afin de lui permettre :
· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de
sécurité garantie ;
Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier.
Les organismes offrant la connexion Internet sont intéressés par la tarification où les clients
payent pour les ressources qu'ils consomment. Indéniablement, ce grand réseau est rentré dans
nos mœurs. A travers, lui tout un monde parallèle s'est développé : des sites marchands ont
fleuris, les services pour les particuliers comme les guides d'itinéraire pour nos voyages nous
simplifient bien la vie.
L’internet est aussi considéré comme la plus grande source d’information qui existe
au monde. Toute entreprise ou établissement ayant un accès à cet outil est en possession de
diverses informations privées, peuvent être en proie de cyber attaques.
Ces cybers attaques ont pour but d’interrompre le fonctionnement d’un réseau
informatique, d’intercepter et modifier les informations.
Afin qu’on puisse éviter les risques de ces attaques, il faut impérativement garantir
une sécurité du réseau informatique de l’entreprise et le rendre moins vulnérable
OBJECTIFS
Pour pouvoir atteindre et concrétiser cet objectif, nous avons à notre disposition des
solutions de sécurisation, parmi lesquelles, on a opté pour le protocole IPSec qui est le
principal outil qui nous permettra d’implémenter les VPN.
RESULTATS
Nous avons constaté après notre étude consacrée au mécanisme de sécurisation, son
avantage qui concerne la sécurité des données et leurs échanges entre deux sites distants.
Le présent travail fait était les résultats obtenus lors de la mise en place d’un réseau
VPN site-à-site à l’entreprise. Nous avons en effet grâce à cette nouvelle technologie permis
aux employés de partager de façon sécurisée leurs données via le protocole IPSec qui est le
principal outil permettant d’implémenter les VPN, ce partage était possible en internet pour
les utilisateurs du réseau local de l’entreprise.
La mise en place de VPN site-à- site placés dans une entreprise permet aux réseaux
privés de se relier et de s’étendre entre eux à travers internet en toute sécurité ainsi que la
réduction du coût des infrastructures réseaux.
La technologie VPN basée sur le protocole IPSec est considérée comme l’un des
facteurs clés de réussite qui est en constante évolution.
En conséquence, nous avons exposé un travail divisé en deux grandes parties, à savoir
l’approche théorique qui était subdivisé en deux chapitres : le premier a porté sur les
généralités à propos des réseaux informatiques, le second est dédié au VPN où nous avons
basé de façon claire sur les notions, le fonctionnement ainsi que les différents protocoles
utilisés pour la mise en œuvre de réseau VPN, et quant à la deuxième partie, elle est consacrée
à la finalisation du projet, qui était aussi subdivisé en deux chapitres dont le premier a
maintenu l’étude préalable dans laquelle nous avons présenté l’entreprise et exposé la
problématique, laquelle nous avons solutionné par une solution VPN site-à-site qui consiste à
mettre au point une liaison permanente, distante et sécurisée entre sites et aussi on a segmenté
le réseau local en plusieurs LAN virtuels, pour réduire les domaines de collisions et éviter les
congestions. Ce qui permet de renforcer la sécurité au niveau du réseau local
Le second est le dernier chapitré a été consacré à la réalisation du projet, où nous
avons introduit les outils et logiciels ayant servi à l’élaboration du projet, à savoir GNS3 tout
en expliquant les configurations, nous avons par la suite implémenté la solution VPN grâce au
protocole IPSec.
Ainsi que, cette recherche nous a permis d’acquérir une expérience personnelle et
professionnelle très bénéfique. Ce fut une occasion pour notre groupe de se familiariser avec
l’environnement du travail et de la vie professionnelle, d’élargir et d’approfondir les
connaissances sur l’administration et sécurité des réseaux informatiques.
PARTIE I :
Généralités sur les réseaux et la sécurité informatique
Un réseau informatique permet à plusieurs machines (ordinateurs au sens large) de
communiquer entre elles afin d'assurer des échanges d'informations: du transfert de fichiers,
du partage de ressources (imprimantes et données), de la messagerie ou de l'exécution de
programmes à distance.
Du point de vue de l'utilisateur, le réseau doit être le plus transparent possible: ses
applications doivent être capables de communiquer toutes seules avec le reste du réseau, sans
intervention.
I- DEFINITION
.Réseau: Ensemble des ordinateurs et périphériques connectés les uns aux autres. Notons que
deux ordinateurs connectés ensemble constituent à eux seuls un réseau minimal.
· Réseau informatique: ensemble d'ordinateurs reliés entre eux grâce à des lignes physiques
et échangeant des informations sous forme de données numériques (valeurs binaires, c'est-à-
dire codées sous forme de signaux pouvant prendre deux valeurs : 0 et 1)
· Mise en réseau: Mise en œuvre des outils et des tâches permettant de relier des ordinateurs
afin qu'ils puissent partager des ressources en réseau.
II- APPLICATIONS
Les différentes applications d'un réseau informatique sont : le partage des données, le
partage des applications, le partage des ressources matérielles et logicielles, la communication
entre les processus, communication entre utilisateurs, les jeux, ...
III- CLASSIFICATIONS PHYSIQUES DES RESEAUX
Il n'existe pas de classification générale des réseaux, mais deux critères importants
permettent de les caractériser, il s'agit de la technologie de transmission utilisée et leur taille.
La distance entre les processus et leur localisation a constitué notre critère de base
pour la classification physique des réseaux.
Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous
les équipements qui y sont connectés.
Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances,
est reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet
d'identifier le destinataire réel.
Le réseau local relie d'une manière générale des ordinateurs localisés dans une même
salle, dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en
tenant compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and
Electronics Engineer) sous forme des normes. Il s'agit de:
Ici la communication s'effectue grâce aux réseaux privés et/ ou aux réseaux publics.
2. Fibre optique
Le principe de la fibre optique a été développé dans les années 1970 dans les
laboratoires de l'entreprise américaine Corning Glass Works.
Entourée d'une gaine protectrice, la fibre optique peut être utilisée pour conduire de
la lumière entre deux lieux distants de plusieurs centaines, voire milliers, de kilomètres. Le
signal lumineux codé par une variation d'intensité est capable de transmettre une grande
quantité d'informations. En permettant les communications à très longue distance et à des
débits jusqu'alors impossibles, les fibres optiques ont constitué l'un des éléments clé de la
révolution des télécommunications optiques. Ses propriétés sont également exploitées dans le
domaine des capteurs (température, pression, etc.) et dans l'imagerie.
La communication sans fil utilise un autre support de communication que les
câbles. En réalité, les réseaux sans fil se connectent la plupart du temps à des réseaux câblés et
constituent ainsi des réseaux mixtes ou hybrides.
ü Les connexions temporaires
Pour établir une connexion sans fil à un réseau câblé, il faut qu'un routeur du réseau câblé
serve de point d'accès pour les stations sans fil. L'ordinateur qui sert de point d'accès et les
ordinateurs mobiles doivent être équipés d'une carte réseau sans fil et d'un transceiver.
3-1. L'infrarouge
La lumière infrarouge possède une large bande passante, les débits sont relativement
importants, mais la portée est faible :
· 10 Mb/s.
· 30 mètres.
Un réseau infrarouge est commode, rapide, mais sensible aux interférences
lumineuses. Le faisceau ne doit jamais être coupé sinon la transmission est interrompue.
3-2. Le laser
Le laser est une technologie semblable à l'infrarouge en ce sens qu'elle nécessite une
visibilité directe. Le laser est aussi appelé « la lumière cohérente ».
V- LE SYSTEME INFORMATIQUE
Un système informatique est un ensemble d'élément qu'il faut réunir pour que
l'information soit traitée d'une manière automatique. Selon Larousse, un système informatique
est un ensemble de moyens matériels et logiciels mis en oeuvre en vue d'une application
spécifié ou d'un ensemble d'applications.
B. Extranet
Autrement l'extranet est une interconnexion intranet au moyen d'un tunnel VPN.
C. Le serveur
Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les
critères suivants :
la disponibilité;
l'intégrité;
la confidentialité.
À ces trois critères s'ajoutent ceux qui permettent de prouver l'identité des entités
(notion d'authentification) et ceux qui indiquent que des actions ou événements ont bien eu
lieu (notions de non-répudiation, d'imputabilité voire de traçabilité).
A.1.1. Disponibilité
Elle est mesurée sur la période de temps pendant laquelle le service offert est
opérationnel. Le volume potentiel de travail susceptible d'être pris en charge durant la période
de disponibilité d'un service, détermine la capacité d'une ressource (serveur ou réseau par
exemple).
Dans le cas d'un réseau grande distance de topologie maillée par exemple, la
disponibilité des ressources réseau sera réalisée à condition que l'ensemble des liaisons ait été
correctement dimensionné et que les politiques de routage et de gestion soient satisfaisantes.
Un service nominal doit être assuré avec le minimum d'interruption, il doit respecter
les clauses de l'engagement de service établi sur des indicateurs dédiés à la mesure de la
continuité de service.
Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les
procédures d'enregistrement et les supports de mémorisation ne sont pas gérés correctement.
Ce risque majeur est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la
sécurité est importante mais ne peut constituer un palliatif à une indispensable mise en place
de procédures centralisées de sauvegarde effectuées par les services compétents en charge des
systèmes d'information de l'entreprise.
A.1.2. Intégrité
Le critère d'intégrité est relatif au fait que des ressources, données, traitements,
transactions ou services n'ont pas été modifiés, altérés ou détruits tant de façon intentionnelle
qu'accidentelle. Il convient de se prémunir contre l'altération des données en ayant la certitude
qu'elles n'ont pas été modifiées lors de leur stockage, de leur traitement ou de leur transfert.
Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les
protocoles de communication qui les véhiculent. Ces derniers interviennent uniquement sur
les données de contrôle du protocole et non directement sur les données à transférer: un
protocole ne modifie pas le corps des données qu'il véhicule.
Par contre, l'intégrité des données ne sera garantie que si elles sont protégées des
écoutes actives qui peuvent modifier les données interceptées.
A.1.3. Confidentialité
- Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à
les modifier puissent le faire ;
- Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont
pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent
les utiliser.
PARTIE II :
VPN ET IPSecurity
(VIRTUAL PRIVATE NETWORK)
Chapitre I : VPN
I- DEFINITION
Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des
données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons
d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On
appelle alors ces réseaux privés « intranet >>. Y sont stockés des serveurs propres à
l'entreprise en l'occurrence des portails, serveurs de partage de données, etc.
C'est sur internet et les infrastructures IP que se sont développées les techniques de «
tunnel »
Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou
public, selon un mode qui émule une liaison privée point à point.
Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux
locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme
support de transmission. Un bon compromis consiste à utiliser Internet comme support de
transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire
encapsulant les données à transmettre de façon chiffrée.
Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé.
II- CONCEPT DE VPN
Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une
organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces
réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements
d'interconnexion.
Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des
filiales, des clients ou même des personnels géographiquement éloignés via internet. Pour
autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles
circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à
l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique
appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru,
le réseau soit écouté par un utilisateur indiscret ou même détourné.
Il n'est donc pas concevable de transmettre dans de telles conditions des informations
sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin
de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons
spécialisées.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par
une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et
d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une
liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux.
III. FONCTIONNEMENT
L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local
qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur,
les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à
point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les
informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à
leur destination finale.
Pour émuler une liaison privée, les données sont cryptées à des fins de
confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables
sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées
est une connexion VPN.
Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la
sécurité des accès, ainsi que le trafic utilisé par chacun.
En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau
principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.
V- TYPES DE VPN
On peut dénombrer deux grands types de VPN, chacun d’eux caractérise une utilisation bien
particulière de cette technologie.
La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des
ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le
même réseau local.
Comme nous allons le voir, les technologies les plus utilisés pour la création de
tunnels sécurisés pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec.
Pour la sécurisation par service, par application, nous pouvons aussi utiliser des
solutions du type HTTPS. Toutes ces méthodes vont être détaillées dans ce qui suit.
Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données
peuvent être des paquets ou des trames, qui seront encapsulés dans un entête supplémentaire
par le protocole qui implémente le tunnel. Cet entête fourni les informations de routage pour
l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels sont
donc des chemins logiques emprunter au sein du réseau intermédiaire.
Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le
protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation
d'un même protocole aux ordinateurs communicants (PPTP, L2TP, IPSec).Le tunnel peut être
créé de deux manières différentes :
C’est un protocole de tunneling utilisé pour soutenir les réseaux privés virtuels (VPN)
ou dans le cadre des prestations de services des FAI.
Le protocole VPN L2TP est un protocole qui ne chiffre pas les informations qu’il fait
transiter, c’est donc pour cette raison qu’il est généralement utilisé avec le cryptage IPsec.
IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une
protection unique pour toutes les applications.
Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le fournisseur a
choisi de l'implanter dans son produit31.
Ces deux modes permettent de sécuriser les échanges réseau lors d'une
communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.
Illustration la procédure suivie par un paquet adressé IP, en tant que partie intégrante
d'un datagramme IP lors d'un appel IPsec sur un paquet sortant. Le diagramme du flux indique
l'endroit auquel les en-têtes d'authentification AH et les associations de sécurité ESP sont
susceptibles d'être appliqués au paquet. Les méthodes d'application de ces entités et de
sélection des algorithmes sont décrites dans les sections suivantes.
.
Figure : Application d'IPsec au processus de paquet sortant
Illustration du processus entrant ipsec
IPsec offre deux protocoles de sécurité dans le cadre de la protection des données :
AH protège les données à l'aide d'un algorithme d'authentification. ESP protège les données à
l'aide d'un algorithme de chiffrement, mais peut avoir recours a un algorithme
d'authentification facultatif. On appelle mécanisme l'implémentation d'un algorithme.
Un tunnel crée une interface physique liée à IP. L'intégrité du lien physique est
fonction des protocoles de sécurité sous-jacents. La configuration sécurisée des associations
de sécurité (SA) rend le tunnel digne de confiance. Les paquets sortant du tunnel doivent
provenir de l'homologue spécifie dans la destination de tunnel. Si la confiance est établie,
vous pouvez avoir recours au transfert IP par interface pour créer un VPN.
Vous pouvez créer un VPN à l'aide d'IPSEC. IPSEC sécurise la connexion. Par
exemple, une organisation ayant recours à la technologie VPN pour connecter deux bureaux
de réseaux distincts peut deployer IPSEC pour sécuriser le trafic entre ces deux bureaux.
PARTIE III :
Etudes de l’existant
I- Conception d'une solution d'administration
La mise en place d'une administration de réseau doit être menée comme tout projet,
avec rigueur et méthode. Avant toute mise en œuvre préalable doit répondre à la question : «
l'administration, pour quoi faire ?
L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les
différents services soient implémentés. Avant d'entrer dans le vif du sujet il serait primordial
de rappeler ce qu'il faut administrer dans le réseau : les hommes (administrateurs et
utilisateurs), la configuration des équipements, le dépannage, les stations d'administration, la
sécurité. Ces tâches d'administration peuvent être d'après l'ISO, reparties sur cinq axes :
Nous pouvons utiliser des outils pour l'administration du réseau car il en existe une
panoplie tant du domaine privé que public. Chaque outil ayant un but particulier, il incombe à
l'administrateur de bien savoir ce qu'il veut obtenir.
A.1.Aspects matériels
Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre
le dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux
ordinateurs à qui on donnera des rôles précis est à envisager.
Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un
réseau VPN site-à-site dont l'avantage est la sécurité.
Par défaut, nous utilisons les matérielles comme :Un routeur CISCO System, un
ordinateur serveur, Connexion internet, Wireless, Link, Network, Switch, Desktop, Laptop.
Nous avons utilisé virtuellement le logiciel GNS3 pour l'implémentation de la solution. Nous
avons privilégié GNS3 pour mettre en place nos serveurs à cause de sa simplicité.
Lorsque nous avons pris connaissance de matériels utilise dans ce réseau, cela nous a amené à
proposer un certain nombre d'équipements répondant aux aspects techniques pour que la
solution VPN site-à-site puisse être mise en place afin que la fiabilité et la sécurité des
informations échangées soient en permanence.
B. Etude de faisabilité et configurations ; Etude de faisabilité
Pour avoir une interconnexion des réseaux à faible coût mais pour un fort niveau
sécurité, nous choisirons de travailler avec un VPN site-à-site. Le coût d'un VPN est un
avantage pour différentes raisons :
SIMULATION ET REALISATION
DIAGRAMME