EXTRAIT D’UNE MEMOIRE D’ETUDE EN VUE D’OBTENTION DU DIPLÖME

D’ADMINISTRATION SYSTEME ET RESEAU INFORMATIQUE

Etude sur l’INTERCONNEXION ET

sécurisation DES SITES DISTINCTS-
vPN

Présenté par : RANDRIAMAROVAHOAKA Tolotra

Matricule : 1456/15
Filière : A.S.R
Année Universitaire : 2019-2020
AVANT PROPOS

Dans le cadre de sa création l’Institut Supérieur d’Informatique (IS-INFO) a pour but

essentiel de former les élites de demain dans leur prochain avenir.

Il a été créé en 2005, il a reçu son agreement pour l’arrêté ministériel : ……. De la
fonction publique, de l’année ….

Comme tout autre établissement, il forme ses étudiants. Dans le cadre de cette
formation, à la fin de la troisième année, un mémoire d’étude sera présenté, et ce pour cela
que tous les étudiants à chaque fin d’année sont tenus de faire un mémoire de fin d’étude qu’il
présentera en temps voulu.

Ce procède vise à mettre en pratique tous les cours que les étudiants ont reçu pendant
les deux dernières années de formation et permet déjà aux étudiants de connaitre leur
compétence et leur aptitude.

Ce mémoire est le fruit de de ses nombreuses recherches.

 Remerciement :

Je remercie l'Eternel Dieu, l'auteur de mon souffle qui ne cesse de renouveler ses
bontés chaque jour dans ma vie, pour m'avoir donné la force, la santé et l'intelligence
nécessaires pour accomplir ce travail et son amour combien si grand qu'il m'a offert dans mon
jeune âge jusqu'à ce jour.

J'adresse mes remerciements aux autorités de l'Institut Supérieur d’Informatique «

I.S.Info » en sigle, le Président Directeur Générale, Monsieur RAMANOHISOA Tsiory, et
son époux Madame … Directeur Générale de l’IS Info,

J'adresse mes remerciements à Madame RAHANTAMALALA Felan’oliva,

Directeur Générale de l’IS Info Ampasamadinika, de m’avoir acceptée que parmi ses
étudiants dans son établissement. Sans sa permission, ce mémoire n'aurait jamais vu le jour.

Nous adressons nos sentiments de gratitude à nos enseignants, pour la bonne

formation.

J'exprime ma gratitude en particulier à Monsieur …. malgré ces multiples

occupations, qui a bien voulu assurer l'encadrement de ce mémoire, à qui nous disons un
grand merci et pour m'avoir fourni une aide précieuse ainsi que tous les renseignements
nécessaires à ce travail.

J'exprime également ma gratitude en particulier mes parents qui ont bien voulu me
soutenir matériellement et financièrement afin que ce mémoire soit élaboré.

Enfin, tous ceux que je n'ai pas pu citer qui ont contribué à la réalisation de ce travail,
je pense notamment à mes frères, sœurs, cousins et cousines, mes oncles et tantes, mes
camarades de promotion, je les exprime ma gratitude
SOMMAIRE
Liste des abbreviations:

ADSL: Asymetrie Digital Subscriber Line

ADSL: Asymmetric digital subscriber line

AH: Authentication header

ARP: Address Resolution Protocol

ATM: Asynchronous Transfer Mode

ATM: Automated Teller Machine

AUX (port) : Auxiliary

BIO: Biotechnology Innovation Organization

BIOS: Basic Input Output System

BLR: Boucle Local Radio

BMCE : Banque Marocaine du Commerce Extérieur

BOA: Bank of Africa

BTM : Business Technology Management

CCNA: Cisco Certified Network Associate

CPU: Central Processing Unit

DNS: Domain Name System

DSL: Digital Subscriber Line

EOL: End of Life

EOS: End OF Support

ESP: Electronic Stability Programme

FAI : Fournisseur d’Accès Internet

FDDI: Fiber Distributed Data Interface

FMO: Fourniture & Merchandise Outlet

FO: Fibre Optique

FTP: File Transfer Protocol

GAB : Guichet Automatique du Banque

GRE: Generic Routing Encapsulation

HTTPS: Hypertext Transfer Protocol (HTTP) for Secure

ICMP:  Internet Control Message Protocol

ICMP:  Internet Control Message Protocol

IETF: Internet Engineering Task Force

IKE: Internet Key Exchange

ILC: Intelligent Lighting Creations

IMAP: Internet Message Access Protocol

IOS: operating system

IP Sec: Internet Protocol Security

IP: Internet Protocol

ISAKMP: Internet Security Association and Key Management Protocol

L2F: Layer Two Forwarding

L2TP: Layer Two Tunneling Protocol

LAN: Local Area Network

LL: Ligne Louée

LOS: Une Of Sight

LS : Liaison Specialisée

MAC: Media Access Control

MAN: Metropolitan Area Network

Mbit: MEGABYTE

MPLS: Multiprotocol Label Switching

NAT: Network Address Translation

NAT-T: Network Address Translation Traversal

NLOS: No Une Of Sight

NVRAM: Non-Volatile Random-Access Memory

OFDM: Orthogonal Frequency Division Modulation

OSI: Open Systems Interconnection

OSPF: Open Shortest Path First 

P2P: Peer to Peer

PME : Petites et moyennes Entreprises

POP:  Post Office Protocol

PPTP: Point-to-Point tunneling Protocol

PSK: Phase Shift Keying

QoS: Quality of Service 

RAM: Random Access Memory

RDP: Remote Desktop Protocol

RFC: Request File

RNIS : Réseau Numérique à Intégration de Service

ROM: Read-only memory

RSA: Rivest–Shamir–Adleman

RTC: Real Time Communication

SA: Security Association

SLA:  Service-Level Agreement

SMB: Server Message Block

SMTP: Simple Mail Transfer Protocol

SMTP: Simple Mail Transfer Protocol

SPI: Serial Peripheral Interface bus

SSH: Secure Shell

SSL/TLS: Transport Layer Security

SSL: Secure Sockets Layer

TCP: Transmission Control Protocol

TLS: Transport Layer Security

TPE : Travaux Personnels Encadrés

TV: Television

UDP: User Datagram Protocol

UDP: User Datagram Protocol

UDP: User Datagram Protocol

UMEOA : Economique et Monétaire Ouest Africaine

V: Volt

VACL: VLAN Access Control List

VoIP: Voice over Internet Protocol

VPN: Virtual Private Network

VPN: Virtual Private Network

VTY: Virtual Teletype

WAN: Wide Area Network

Wi-Fi: Wireless Fidelity

WPA: Works Progress Administration

LISTES DES FIGURES ET TABLEAUX
INTRODUCTION GENARALE

Le développement et la multiplication des applications très diverses sur le protocole IP

a mis en évidence la nécessité d’une architecture de réseau globale. Les réseaux d’entreprise
doivent être étendus pour inclure de nouveaux partenaires, fournisseurs et clients, tandis que
des services de plus en plus stricts, en termes de débit, de qualité et de sécurité, doivent être
rendus.

Un réseau, en général, transmet l’information d’un point à un autre, d’un bureau,

d’une entreprise, d’une école, d’un porte-avion ou d’un énorme centre de calcul. C’est un
concept qui bouleverse totalement les systèmes d’information traditionnels.

Auparavant pour interconnecter deux réseaux locaux distants, il n’y avait que deux
solutions :

 Soit les deux sites distants étaient reliés par une ligne spécialisée(LS) permettant de
réaliser un WAN entre les deux sites.

 Soit les deux réseaux devaient communiquer via le RTC (Real Time
Communication)

De nos jours, les systèmes sont de plus en plus petits, de plus en plus puissants et
rapides, de plus en plus nombreux, de plus en plus spécialisés et dont l’implémentation
ainsi que leur maintenance sont aussi rendues plus souples.

Les réseaux n’ont pas seulement permis un grand bouleversement dans la conception
des systèmes informatiques, mais ils ont permis d’interconnecter les petits systèmes entre eux
afin de les faire coopérer et échanger les données ou informations.

Tout au long du présent document, nous étudierons la technologie sur l’interconnexion

entre deux sites distincts et verrons pourquoi elle pourrait être considérée comme technologie
de pointe. En bref, la finalité de cette recherche serait de répondre à la problématique suivant
laquelle si en interconnectant les réseaux des différents Entreprises, une voie d’évolution est
ouverte vers les services et applications de demain ; ces services devant alors offrir un réseau
fiable, sécurisé et garantissant une très haute disponibilité ainsi qu’une capacité illimitée.

Pour ce faire, nous présenterons notre cadre d’études et la méthodologie d’approche.

Ensuite, il sera question de passer en revue les analyses approfondies sur la réalisation de ce
projet, de tunneling et de routage virtuel IP. Une dernière partie sera consacrée aux
suggestions et propositions d’actions ainsi qu’aux réseaux informatiques.
 Pour bien mener ce travail, nous avons organisé notre mémoire en quatre chapitres
structurés comme suit :

 Le premier chapitre s’intitule «Généralités sur les réseaux et la sécurité

informatique » où nous présentons quelques concepts de base des réseaux
informatiques et certaines notions sur la sécurité informatique.
 Dans le deuxième chapitre titré «Réseaux privés virtuels» nous définirons
en premier lieu ce qu’est un réseau privé virtuel, ensuite nous parlons de son
fonctionnement et de ses objectifs. Nous finirons par citer les différents
protocoles de mise en place, principalement l’IPSec, sa compréhension nous
aidera dans la réalisation.
 Le troisième chapitre nommé «Etude préalable » aura pour objectif de
mieux comprendre l’organisme et sa structure, nous allons donc évoquer la
problématique ainsi que la solution adéquate.
 Dans le quatrième et dernier chapitre, nous allons enfin passer à la
«Réalisation», en premier lieu nous introduirons les outils et logiciels ayant
servi à l’élaboration du projet, tout en expliquant les configurations, nous
passerons ensuite au deuxième lieu qui sera consacrée à l’implémentation de
la solution VPN grâce au protocole IPSec. Enfin, dans la conclusion générale,
nous ferons une récapitulation du travail effectué ainsi que l’expérience
acquise.
PROBLEMATIQUES :

L'internet reste jusqu'aujourd'hui, la technologie qui nous permet d'être en contact

informatique avec une masse d'utilisateurs globale et hétérogène. La gestion sécuritaire de
cette technologie est devenue une préoccupation majeure pour les entreprises modernes.
Ainsi, les entreprises qui utilisent l'internet pour le partage des informations continuent à
rencontrer des difficultés quant à la sécurisation des données.

Quelles sont alors les technologies et méthodes qui doivent être utilisées par les
entreprises pour la gestion sécuritaire des informations ?

Dans le cas d'une entreprise multi sites, comment peut-ont faire pour assurer la
sécurité des données lors de la communication entre deux ou plusieurs sites ?

Lors de la mise en place d'une interconnexion entre deux ou plusieurs sites, quels sont
les éléments à envisager pour arriver à la mise en place d'une interconnexion fiable et à faible
coût ?

On ne peut interconnecter que des sites possédant des réseaux opérationnels.

Toutefois, si ces sites ne disposent pas encore des réseaux ou si ces réseaux ne s'adaptent pas
à l'évolution de la modernité et au niveau de la sollicitation, comment faudra-t-on procéder
pour palier à ces problèmes ?

Il est aussi question ici de proposer un moyen sécurisé et sûr d'échange de données
entre plusieurs sites distants

Toutes ces questions posées sont à la base de notre recherche en nous proposant dans
les parties qui suivent des pistes de solutions.
HYPOTHESE DU SUJET

Nous essayons dans la mesure du possible d'envisager une politique optimale de

partage des informations afin que l'échange des ressources ne pose plus de problème

Dans le cadre de ce travail, nous avons jugé bon de joindre au système d'information
existant, les applicatifs de l'internet afin de lui permettre :

· Une bonne conservation et recherche aisée des informations en interne et externe ;

· L'échange des données entre les différentes directions de l'entreprise ;

· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de
sécurité garantie ;

· La récupération de l'information en temps réel.

En vue de remédier toujours aux inquiétudes soulevées au travers des questions

posées dans les parties précédentes, nous allons mettre en place.

- Un moyen d'échange d'informations qui serait adapté à la gestion efficace et

efficiente du FONER

- Une configuration de type client/serveur pour assurer l'accès sécurisé à

l'information
 PRESENTATION DU THEME

Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier.
Les organismes offrant la connexion Internet sont intéressés par la tarification où les clients
payent pour les ressources qu'ils consomment. Indéniablement, ce grand réseau est rentré dans
nos mœurs. A travers, lui tout un monde parallèle s'est développé : des sites marchands ont
fleuris, les services pour les particuliers comme les guides d'itinéraire pour nos voyages nous
simplifient bien la vie.

L’internet est aussi considéré comme la plus grande source d’information qui existe
au monde. Toute entreprise ou établissement ayant un accès à cet outil est en possession de
diverses informations privées, peuvent être en proie de cyber attaques.

Ces cybers attaques ont pour but d’interrompre le fonctionnement d’un réseau
informatique, d’intercepter et modifier les informations.

Afin qu’on puisse éviter les risques de ces attaques, il faut impérativement garantir
une sécurité du réseau informatique de l’entreprise et le rendre moins vulnérable
 OBJECTIFS

L’interconnexion de réseaux permet à deux réseaux ou plus de communiquer et offre

par conséquent un moyen d’échange d’informations aux équipements terminaux qui y sont
connectés. La mise en œuvre d’interconnexions fait appel à une multitude de technologies et
de protocoles qui interviennent à différents niveaux. Elle peut impliquer plus d’une
organisation.

La communication et le système de transmission de l'information sont devenus

maintenant des moyens à grande importance.

L’objectif le plus important de cet œuvre est d’étudier l’approche « Interconnexion

sur réseau informatique » et de réaliser un projet d’interconnexion des dites étendues par
l'étude de réseau sur GNS 3 en plus d'une conception et implémentation d'une application
Windows.

Donc mettre en exécution un mécanisme de sécurisation de données ainsi que leurs

échanges entre deux réseaux locaux de l’entreprise. En plus, il est nécessaire de segmenter le
réseau local de chaque entreprise en plusieurs LAN virtuels, pour réduire les domaines de
collisions et éviter les congestions. Ce qui permet de renforcer la sécurité au niveau du réseau
local.

Pour pouvoir atteindre et concrétiser cet objectif, nous avons à notre disposition des
solutions de sécurisation, parmi lesquelles, on a opté pour le protocole IPSec qui est le
principal outil qui nous permettra d’implémenter les VPN.
 RESULTATS

Le domaine de la sécurité informatique est considéré comme difficile pour sa

complexité de mettre en œuvre une solution durable qui répond parfaitement aux besoins et
exigences ressentis dans une entreprise, ce qui pousse les ingénieurs réseau à travailler sans
relâche à fin d’arriver à une solution permettant l’amélioration de la sécurité de leur réseau.

Nous avons constaté après notre étude consacrée au mécanisme de sécurisation, son
avantage qui concerne la sécurité des données et leurs échanges entre deux sites distants.

Le présent travail fait était les résultats obtenus lors de la mise en place d’un réseau
VPN site-à-site à l’entreprise. Nous avons en effet grâce à cette nouvelle technologie permis
aux employés de partager de façon sécurisée leurs données via le protocole IPSec qui est le
principal outil permettant d’implémenter les VPN, ce partage était possible en internet pour
les utilisateurs du réseau local de l’entreprise.

La mise en place de VPN site-à- site placés dans une entreprise permet aux réseaux
privés de se relier et de s’étendre entre eux à travers internet en toute sécurité ainsi que la
réduction du coût des infrastructures réseaux.

La technologie VPN basée sur le protocole IPSec est considérée comme l’un des
facteurs clés de réussite qui est en constante évolution.

En conséquence, nous avons exposé un travail divisé en deux grandes parties, à savoir
l’approche théorique qui était subdivisé en deux chapitres : le premier a porté sur les
généralités à propos des réseaux informatiques, le second est dédié au VPN où nous avons
basé de façon claire sur les notions, le fonctionnement ainsi que les différents protocoles
utilisés pour la mise en œuvre de réseau VPN, et quant à la deuxième partie, elle est consacrée
à la finalisation du projet, qui était aussi subdivisé en deux chapitres dont le premier a
maintenu l’étude préalable dans laquelle nous avons présenté l’entreprise et exposé la
problématique, laquelle nous avons solutionné par une solution VPN site-à-site qui consiste à
mettre au point une liaison permanente, distante et sécurisée entre sites et aussi on a segmenté
le réseau local en plusieurs LAN virtuels, pour réduire les domaines de collisions et éviter les
congestions. Ce qui permet de renforcer la sécurité au niveau du réseau local
 Le second est le dernier chapitré a été consacré à la réalisation du projet, où nous
avons introduit les outils et logiciels ayant servi à l’élaboration du projet, à savoir GNS3 tout
en expliquant les configurations, nous avons par la suite implémenté la solution VPN grâce au
protocole IPSec.

En fin, la concrétisation de ce projet, nous a permis d’apporter une contribution à

l’entreprise et aussi d’acquérir de nouvelles connaissances sur le protocole IPSec grâce à une
étude détaillée sur son fonctionnement, ses principes et les protocoles qu’il utilise.

Ainsi que, cette recherche nous a permis d’acquérir une expérience personnelle et
professionnelle très bénéfique. Ce fut une occasion pour notre groupe de se familiariser avec
l’environnement du travail et de la vie professionnelle, d’élargir et d’approfondir les
connaissances sur l’administration et sécurité des réseaux informatiques.
 PARTIE I :
Généralités sur les réseaux et la sécurité informatique
 Un réseau informatique permet à plusieurs machines (ordinateurs au sens large) de
communiquer entre elles afin d'assurer des échanges d'informations: du transfert de fichiers,
du partage de ressources (imprimantes et données), de la messagerie ou de l'exécution de
programmes à distance.

Du point de vue de l'utilisateur, le réseau doit être le plus transparent possible: ses
applications doivent être capables de communiquer toutes seules avec le reste du réseau, sans
intervention.

Comme pour le monde informatique, l'historique des développements technologiques

successifs a favorisé l'émergence de toute une série de solutions, basées sur des principes
souvent bien différents, même si toutes revendiquent le nom de standards. 

I- DEFINITION

.Réseau: Ensemble des ordinateurs et périphériques connectés les uns aux autres. Notons que
deux ordinateurs connectés ensemble constituent à eux seuls un réseau minimal.

· Réseau informatique: ensemble d'ordinateurs reliés entre eux grâce à des lignes physiques
et échangeant des informations sous forme de données numériques (valeurs binaires, c'est-à-
dire codées sous forme de signaux pouvant prendre deux valeurs : 0 et 1)

· Mise en réseau: Mise en œuvre des outils et des tâches permettant de relier des ordinateurs
afin qu'ils puissent partager des ressources en réseau.

Selon Tanenbaum Andrew (Docteur en Informatique): « un réseau informatique comme étant un

ensemble de deux ou plusieurs ordinateurs interconnectés entre eux au moyen des médias de
communication avec pour objectifs de réaliser le partage des différentes ressources matérielles et/ou
logicielles. »

II- APPLICATIONS

Les différentes applications d'un réseau informatique sont : le partage des données, le
partage des applications, le partage des ressources matérielles et logicielles, la communication
entre les processus, communication entre utilisateurs, les jeux, ...
 III- CLASSIFICATIONS PHYSIQUES DES RESEAUX

Il n'existe pas de classification générale des réseaux, mais deux critères importants
permettent de les caractériser, il s'agit de la technologie de transmission utilisée et leur taille.

La distance entre les processus et leur localisation a constitué notre critère de base
pour la classification physique des réseaux.

Distance entre Processus Localisation Type des réseaux

0,1 m Circuit imprimé Machine à flot de données (Réseau chargé
interne)
Millimètre
1,0 m Réseau système informatique
mainframe
10 m Salle
100 m Bâtiment Réseau local (LAN)
1000 m = 1 Km Campus
100.000 m = 100 Km Pays Réseau longue distance (WAN)
1.000.000 m = 1000 Km Continent
10.000.000 m = 10.000
Planète Internet
Km
100.000.000 m = 100.000
Système terre - lune Le satellite artificiel
Km

Du point de vue général, nous distinguons deux types de technologies de transmission

largement répandues :

Ø La diffusion (Bus, anneau et radio/satellite)

Ø Le point- à - point (Etoile, boucle et maillé)

 A- Les réseaux à diffusion

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous
les équipements qui y sont connectés.

Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances,
est reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet
d'identifier le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du

paquet si elle reconnaît son adresse ou l'ignore dans le cas contraire. Cette transmission est
appelée multicast.

B- Les réseaux point-a-point

Par opposition au système précédent, le réseau point-à-point consiste en un grand

nombre de connexions, chacune faisant intervenir deux machines. Pour aller de sa source à sa
destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission
est appelée unicast.

III-1- LAN (Local Area Network) 

Le réseau local relie d'une manière générale des ordinateurs localisés dans une même
salle, dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en
tenant compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and
Electronics Engineer) sous forme des normes. Il s'agit de:

- IEEE 802.3: Ethernet (CSMA/CD);

- IEEE 802.4: Token bus (Jeton sur bus);

- IEEE 802.5: Token - ring (Jeton sur anneau);

- IEEE 802.6: MAN (Metropol Area Network );

- IEEE 802.7: FDDI (Fiber Distributed Data Interface);

- IEEE 802.9: ISOEnet (Réseau local à haut débit, multimédia);

- IEEE 802.10: Sécurité dans les réseaux;

- IEEE 802.11: Réseaux locaux sans fil (WIFI);

III-2- WAN (Wide Area Network)

Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux

et qui se distingue des réseaux locaux et des réseaux métropolitains.

Il relie plusieurs ordinateurs notamment à travers une ville, un pays, un continent ou

encore toute la planète.

Ici la communication s'effectue grâce aux réseaux privés et/ ou aux réseaux publics.

IV- LES SUPPORTS DE TRANSMISSION

1. Câble à paires torsadées9

Fig: Câble a paire torsadées

Un câble à paires torsadées décrit un modèle de câblage où une ligne de transmission

est formée de deux conducteurs enroulés en hélice l'un autour de l'autre. Cette configuration a
pour but de maintenir non seulement la distance entre les fils mais aussi et surtout de diminuer
la diaphonie.

Le maintien de la distance entre fils de pair permet de définir une impédance

caractéristique de la paire, afin de supprimer les réflexions de signaux aux raccords et en bout
de ligne. Les contraintes géométriques (épaisseur de l'isolant/diamètre du fil) maintiennent
cette impédance autour de 100 ohms :

- 100 ohms pour les réseaux Ethernet en  étoile

- 150 ou bien 105 ohm pour les réseaux token ring

- 100 ou bien 120 ohm pour les réseaux de  téléphonie

- 90 ohms pour les câbles USB.

 Plus le  nombre de torsades est important, plus la diaphonie est réduite. Le nombre de
torsades moyen par  mètre fait partie de la spécification du câble, mais chaque paire d'un câble
est torsadée de manière légèrement différente pour éviter la diaphonie.

2. Fibre optique

Fig. : Câble a fibre optique

Une fibre optique est un fil en verre ou en plastique très fin qui a la propriété de

conduire la lumière et sert dans les transmissions terrestres et océaniques de données. Elle
offre un  débit d'informations nettement supérieur à celui des câbles coaxiaux et supporte
un réseau large bande par lequel peuvent transiter aussi bien la télévision, la téléphonie, la
visioconférence ou les données informatiques.

Le principe de la  fibre optique a été développé dans les années 1970 dans les
laboratoires de l'entreprise américaine Corning Glass Works.

Entourée d'une gaine protectrice, la  fibre  optique peut être utilisée pour conduire de
la  lumière entre deux lieux distants de plusieurs centaines, voire milliers, de kilomètres. Le
signal lumineux codé par une variation d'intensité est capable de transmettre une grande 
quantité d'informations. En permettant les communications à très longue distance et à des
débits jusqu'alors impossibles, les fibres optiques ont constitué l'un des éléments clé de la
révolution des  télécommunications optiques. Ses propriétés sont également exploitées dans le
domaine des  capteurs (température,  pression, etc.) et dans l'imagerie.

Un nouveau type de fibres optiques, fibres à cristaux photoniques, a également été

mis au point ces dernières années, permettant des gains significatifs de performances dans le
domaine du traitement optique de l'information par des techniques non linéaires, dans l'
amplification optique ou bien encore dans la génération de super continuums utilisables par
exemple dans le  diagnostic médical .
 Dans les réseaux informatiques du type Ethernet, pour la relier à d'autres
équipements, on peut utiliser un émetteur-récepteur.

3. Les supports sans fil

 La communication sans fil utilise un autre support de communication que les
câbles. En réalité, les réseaux sans fil se connectent la plupart du temps à des réseaux câblés et
constituent ainsi des réseaux mixtes ou hybrides. 

La communication sans fil convient principalement dans deux cas ci-après:

ü Les réseaux ou les stations mobiles

ü Les connexions temporaires

La communication sans fil a besoin d'émetteurs et de récepteurs. Quand ces dispositifs de

transmission appartiennent à une entreprise on parle de réseaux locaux  ou de  réseaux locaux
étendus, quand ils appartiennent à une entreprise de télécommunication ou à un service public
(AT&T, MCI ou SPRINT aux Etats Unis), on parle de l'informatique mobile. 

Pour établir une connexion sans fil à un réseau câblé, il faut qu'un routeur du réseau câblé
serve de point d'accès pour les stations sans fil. L'ordinateur qui sert de point d'accès et les
ordinateurs mobiles doivent être équipés d'une carte réseau sans fil et d'un transceiver.

 Nous avons Les techniques de transmission telles que l'infrarouge et le laser.

3-1. L'infrarouge

L'infrarouge est un faisceau de lumière. Les transmissions en infrarouge doivent être

très intenses afin qu'il n'y ait pas de confusion avec les nombreuses sources de lumière qui
existent dans une pièce (fenêtres, néons, télévision, ampoules,... ). 

La lumière infrarouge possède une large bande passante, les débits sont relativement
importants, mais la portée est faible :

· 10 Mb/s.

· 30 mètres.
 Un réseau infrarouge est commode, rapide, mais sensible aux interférences
lumineuses. Le faisceau ne doit jamais être coupé sinon la transmission est interrompue. 

3-2. Le laser

Le laser est une technologie semblable à l'infrarouge en ce sens qu'elle nécessite une
visibilité directe. Le laser est aussi appelé « la lumière cohérente ». 

V- LE SYSTEME INFORMATIQUE

Un système informatique est un ensemble d'élément qu'il faut réunir pour que
l'information soit traitée d'une manière automatique. Selon Larousse, un système informatique
est un ensemble de moyens matériels et logiciels mis en oeuvre en vue d'une application
spécifié ou d'un ensemble d'applications.

Il est composé de :

 Le hardware : c'est la quincaillerie, le physique ou la partie palpable et

visible du système : l'ordinateur et ses périphériques.
 Le software : c'est la partie invisible du système ou le mental, constitué d'une
suite d'instructions (algorithmes) permettant l'utilisateur de dialoguer avec
l'ordinateur : ce sont le logiciels et programmes d'applications.
 L'homme : il est l'élément le plus important du système, c'est lui le
concepteur, l'utilisateur et le bénéficiaire du système. Il confère à l'ordinateur
une partie de son intelligence et lui donne des ordres pour l'exécution de
certaines tâches.
A. Intranet

Un intranet est un ensemble de services internet (par exemple un serveur web)

interne à un réseau local, c'est-à-dire accessible uniquement à partir des postes d'un réseau
local et invisible de l'extérieur.

Il consiste à utiliser les standards client-serveur de l'internet (en utilisant les

protocoles TCP/IP), comme par exemple l'utilisation de navigateurs internet, pour réaliser un
système d'information interne à une organisation ou une entreprise. On peut dire encore dire
que l'intranet est un réseau privée sur le protocole TCP/IP et exploitant les mêmes
applications que sur internet.

B. Extranet

Un extranet est une extension du système d'information de l'entreprise à des

partenaires situés au-delà du réseau.

Autrement l'extranet est une interconnexion intranet au moyen d'un tunnel VPN.

C. Le serveur

Le serveur se définit comme étant l'ordinateur principal gérant l'ensemble du réseau

et centralisant toute les ressources partageable dont le périphérique, le logiciel et les données.

VI- ETUDE DE LA SECURITE INFORMATIQUE

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises

ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc
essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle
d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de
l'ouverture de l'accès de l'entreprise sur internet.

Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se

connecter au système d'information à partir de n'importe quel endroit, les personnels sont
amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé
de l'entreprise. 
 La menace (en anglais « threat ») représente le type d'action susceptible de nuire
dans l'absolu, tandis que la vulnérabilité (appelée parfois faille ou brèche) représente le niveau
d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est
l'ensemble des actions mises en œuvre en prévention de la menace. 

Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions

techniques mais également des mesures de formation et de sensibilisation à l'intention des
utilisateurs, ainsi qu'un ensemble de règles clairement définies. 

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces

potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce
dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser
ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre
comment il est possible de limiter les risques d'intrusions. 

A- Sécurité des systèmes d’information

La sécurité des systèmes d’information (SSI) est l’ensemble des
moyens techniques, organisationnels, juridiques et humains nécessaires, mis en
place pour conserver, rétablir et garantir la sécurité de l’information et du
système d’information face aux menaces accidentelles ou intentionnelle.

A .1. Critères de sécurité et fonctions associées20

Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les
critères suivants :

 la disponibilité;

 l'intégrité;

 la confidentialité.

À ces trois critères s'ajoutent ceux qui permettent de prouver l'identité des entités
(notion d'authentification) et ceux qui indiquent que des actions ou événements ont bien eu
lieu (notions de non-répudiation, d'imputabilité voire de traçabilité).
 A.1.1. Disponibilité

Pour un utilisateur, la disponibilité d'une ressource est la probabilité de pouvoir

mener correctement à terme une session de travail.

La disponibilité d'une ressource est indissociable de son accessibilité: il ne suffit pas

qu'elle soit disponible, elle doit être utilisable avec des temps de réponse acceptables.

Elle est mesurée sur la période de temps pendant laquelle le service offert est
opérationnel. Le volume potentiel de travail susceptible d'être pris en charge durant la période
de disponibilité d'un service, détermine la capacité d'une ressource (serveur ou réseau par
exemple).

La disponibilité des services, systèmes et données est obtenue:

- Par un dimensionnement approprié et une certaine redondance;

- Par une gestion opérationnelle efficace des infrastructures, ressources et services.

Dans le cas d'un réseau grande distance de topologie maillée par exemple, la
disponibilité des ressources réseau sera réalisée à condition que l'ensemble des liaisons ait été
correctement dimensionné et que les politiques de routage et de gestion soient satisfaisantes.

Dans un contexte de système d'information d'entreprise, des tests de montée en

charge sont généralement effectués pour évaluer le comportement des systèmes sous certaines
conditions extrêmes et contribuer ainsi à mieux définir leur dimensionnement.

Un service nominal doit être assuré avec le minimum d'interruption, il doit respecter
les clauses de l'engagement de service établi sur des indicateurs dédiés à la mesure de la
continuité de service.

Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les
procédures d'enregistrement et les supports de mémorisation ne sont pas gérés correctement.
Ce risque majeur est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la
sécurité est importante mais ne peut constituer un palliatif à une indispensable mise en place
de procédures centralisées de sauvegarde effectuées par les services compétents en charge des
systèmes d'information de l'entreprise.

De nombreux outils permettent de sauvegarder périodiquement et de façon

automatisée les données, cependant, une définition correcte des procédures de restitution des
données devra être établie afin que les utilisateurs sachent ce qu'ils ont à faire s'ils rencontrent
un problème de perte de données.
 Une politique de sauvegarde ainsi qu'un arbitrage entre le coût de la sauvegarde et
celui du risque d'indisponibilité supportable par l'organisation seront établis afin que la mise
en œuvre des mesures techniques soit efficace et pertinente.

A.1.2. Intégrité

Le critère d'intégrité est relatif au fait que des ressources, données, traitements,
transactions ou services n'ont pas été modifiés, altérés ou détruits tant de façon intentionnelle
qu'accidentelle. Il convient de se prémunir contre l'altération des données en ayant la certitude
qu'elles n'ont pas été modifiées lors de leur stockage, de leur traitement ou de leur transfert.

Les critères de disponibilité et d'intégrité sont à satisfaire par des mesures

appropriées afin de pouvoir atteindre un certain niveau de confiance dans le fonctionnement
des infrastructures informatiques et télécoms et notamment dans l'application critique.

Si en télécommunication, l'intégrité des données relève essentiellement de

problématiques liées au transfert de données, elle dépend également des aspects purement
informatiques de traitement de l'information (logiciels, systèmes d'exploitation,
environnements d'exécution, procédures de sauvegarde, de reprise et de restauration des
données).

Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les
protocoles de communication qui les véhiculent. Ces derniers interviennent uniquement sur
les données de contrôle du protocole et non directement sur les données à transférer: un
protocole ne modifie pas le corps des données qu'il véhicule.

Par contre, l'intégrité des données ne sera garantie que si elles sont protégées des
écoutes actives qui peuvent modifier les données interceptées.

A.1.3. Confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes

que les seuls acteurs de la transaction. La confidentialité est la protection des données contre
divulgation non autorisée maintien de secret des informations.

Il existe deux types d'actions complémentaires permettant d'assurer la confidentialité

des données :

- Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à
les modifier puissent le faire ;
 - Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont
pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent
les utiliser.
 PARTIE II :

VPN ET IPSecurity
(VIRTUAL PRIVATE NETWORK)
 Chapitre I : VPN
I- DEFINITION

I.1. Réseau privé

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des
données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons
d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On
appelle alors ces réseaux privés « intranet >>. Y sont stockés des serveurs propres à
l'entreprise en l'occurrence des portails, serveurs de partage de données, etc.

En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à

celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra
accéder au réseau internet.

I.2. Réseau privé virtuel

Dans les réseaux informatiques et les Télécommunications, le réseau privé virtuel

(Virtual Private Networking en anglais, abrégé en VPN) est vu comme une extension des
réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local.
Il correspond en fait à une interconnexion de réseaux locaux via une technique de «tunnel«.
Nous parlons de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure
partagée avec d'autres organismes.

Il existe deux types de telles infrastructures partagées : les «  Publiques «  comme

Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des
services de VPN aux entreprises.

C'est sur internet et les infrastructures IP que se sont développées les techniques de «
tunnel »

Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou
public, selon un mode qui émule une liaison privée point à point.

Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux
locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme
support de transmission. Un bon compromis consiste à utiliser Internet comme support de
transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire
encapsulant les données à transmettre de façon chiffrée.

Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé.
 II- CONCEPT DE VPN

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une
organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces
réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements
d'interconnexion.

Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des
filiales, des clients ou même des personnels géographiquement éloignés via internet. Pour
autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles
circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à
l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique
appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru,
le réseau soit écouté par un utilisateur indiscret ou même détourné.

Il n'est donc pas concevable de transmettre dans de telles conditions des informations
sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin
de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons
spécialisées.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par
une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et
d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une
liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux.

En contrepartie il ne permet pas d'assurer une qualité de service comparable à une

ligne louée dans la mesure où le réseau physique est public et donc non garanti.

III. FONCTIONNEMENT

Le VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui

permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des
algorithmes. Nous employons le terme « tunnel » pour symboliser le fait que les données
soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public
(ceux qui ne se trouvent pas aux extrémités du VPN).
 Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément
permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN
(ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du
côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé
virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au
réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la
requête de façon chiffrée.

L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local
qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur,
les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à
point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les
informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à
leur destination finale.

Pour émuler une liaison privée, les données sont cryptées à des fins de
confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables
sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées
est une connexion VPN.

Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la
sécurité des accès, ainsi que le trafic utilisé par chacun.

En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau
principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.

Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la

taille prise par le réseau étendu.

IV- LES FONCTIONNALITES DU VPN

Le VPN n’est qu’un concept, ce n’est pas une implémentation. Il se caractérise par les
obligations suivantes:
• authentification des entités communicantes : le serveur VPN doit pouvoir ˆetre sˆur de parler
au vrai client VPN et vice-versa.
• authentification des utilisateurs : seuls les bonnes personnes doivent pouvoir se connecter
au réseau virtuel. On doit aussi pouvoir conserver les logs de connexions.
• gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les nouveaux
clients en obtenir une facilement.
• cryptage du tunnel : les données ´échangées sur Internet doivent être dument cryptées entre
le client VPN et le serveur VPN.
• les clés de cryptage doivent être régénérées souvent (automatiquement).
• le VPN dit supporter tous les protocoles afin de réaliser un vrai tunnel comme s’il y avait
réellement un câble entre les deux réseaux.

V- TYPES DE VPN
On peut dénombrer deux grands types de VPN, chacun d’eux caractérise une utilisation bien
particulière de cette technologie.

V-1. Le VPN d’accès (poste à site)

Ce type nomade, également appelé ”Road Warrior” permet à un utilisateur distant de son
entreprise de se connecter à celle-ci pour pouvoir profiter de ses services.

Figure– le fonctionnement d’un VPN poste à site

V-2.Poste à poste (host to host) :
Ce type de VPN est utilisé par les entreprises afin de communiquer avec ses clients en ouvrant
son réseau local a ses clients ou partenaires

Figure 1.12 – Le fonctionnement de l’extranet

VI- INTERET D'UN VPN

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des
ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le
même réseau local.

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs

utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. Nous pouvons
facilement imaginer un grand nombre d'applications possible:

 Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance

et de façon sécurisée pour les travailleurs nomades.
 Les connexions VPN permettent d'administrer efficacement et de manière
sécurisé un réseau local à partir d'une machine distante ;
 Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou
depuis d'autres sites distants d'accéder à distance à un serveur d'entreprise par
l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet ;
 Les connexions VPN permettent également aux entreprises de disposer de
connexions routées partagées avec d'autres entreprises sur un réseau public,
tel qu'Internet, et de continuer à disposer de communications sécurisées, pour
relier, par exemple des bureaux éloignés géographiquement ;
  Une connexion VPN routée via Internet fonctionne logiquement comme une
liaison de réseau étendu (WAN, Wide Area Network) dédiée.
 Les connexions VPN permettent de partager des fichiers et programmes de
manière sécurisés entre une machine locale et une machine distante.

VII- PROTOCOLES UTILISES ET SECURITE DES VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des

réseaux VPN à savoir :

Comme nous allons le voir, les technologies les plus utilisés pour la création de
tunnels sécurisés pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec.

Pour la sécurisation par service, par application, nous pouvons aussi utiliser des
solutions du type HTTPS. Toutes ces méthodes vont être détaillées dans ce qui suit.

Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données
peuvent être des paquets ou des trames, qui seront encapsulés dans un entête supplémentaire
par le protocole qui implémente le tunnel. Cet entête fourni les informations de routage pour
l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels sont
donc des chemins logiques emprunter au sein du réseau intermédiaire.

Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le
protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.

Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.

La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation
d'un même protocole aux ordinateurs communicants (PPTP, L2TP, IPSec).Le tunnel peut être
créé de deux manières différentes :

Fig  : Illustration d'une connexion VPN

Chapitre 2 : IPSEC (Internet protocol security)

IPSec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de

transporter
des données chiffrées pour les réseaux IP

C’est un protocole de tunneling utilisé pour soutenir les réseaux privés virtuels (VPN)
ou dans le cadre des prestations de services des FAI.
Le protocole VPN L2TP est un protocole qui ne chiffre pas les informations qu’il fait
transiter, c’est donc pour cette raison qu’il est généralement utilisé avec le cryptage IPsec.

I- Présentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole fournissant un mécanisme de

sécurisation au niveau de la couche réseau du modèle OSI. Il assure la confidentialité (grâce
au cryptage), l'authentification (qui permet d'être certain de l'identité de l'émetteur) et
l'intégrité des données permettant de s'assurer que personne n'a pu avoir accès aux
informations. IPSec permet de protéger les données et également l'en-tête d'une trame, en
masquant le plan d'adressage grâce à l'ajout d'un en-tête IPSec à chaque datagramme IP30.

IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une
protection unique pour toutes les applications.

Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le fournisseur a
choisi de l'implanter dans son produit31.

Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task

Force) ont proposé une solution en novembre 1998 afin de répondre aux besoins directs du
développement des réseaux en matière de sécurité.

En effet, en sécurisant le transport des données lors d'échanges internes et externes, la

stratégie IPSec permet à l'administrateur réseau d'assurer une sécurité efficace pour son
entreprise contre toute attaque venant de l'extérieur.
 II- Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité.

Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité

afin de répondre de façon adaptée aux besoins de chaque entreprise.

La stratégie IPSec permettant d'assurer la confidentialité, l'intégrité et l'authentification

des données entre deux hôtes est gérée par un ensemble de normes et de protocoles :

 Authentification des extrémités : Elle permet à chacun de s'assurer de

l'identité de chacun des interlocuteurs. Précisons que l'authentification se fait
entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un
protocole de couche 3.
 Confidentialité des données échangées : Le contenu de chaque paquet IP
peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire.
 Authenticité des données : IPSec permet de s'assurer que chaque paquet a
bien été envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.
 Intégrité des données échangées :IPSec permet de vérifier qu'aucune
donnée n'a été altérée lors du trajet.
 Protection contre les écoutes et analyses de trafic : Le mode tunneling
permet de chiffrer les adresses IP réelles et les en-têtes des paquets IP de
l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les
attaques de ceux qui voudraient intercepter des trames afin d'en récupérer leur
contenu.
 Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate
d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir
les mêmes droits que l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les

envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les
lire sans que personne ne puisse altérer ou récupérer ces données.
 Sa position dans les couches basses du modèle OSI lui permet donc de sécuriser tous
type d’applications et protocoles réseaux basés sur IP sans distinction. IPSec est très
largement utilisé pour le d´déploiement de réseau VPN à travers Internet à petite
et grande échelle.

III- Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une
communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

+ Le mode transport offre essentiellement une protection aux protocoles de niveaux

supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que
s'intercaler entre la couche IP et la couche transport ;

+ Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou

plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private
Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même
encapsulé dans un autre paquet.

IV-Avantages du protocole IPsec

• Le protocole IPsec offre une bonne protection.
• Le protocole IPsec est totalement intègre dans les principaux OS.
• Le protocole IPsec permet de contourner la majorité des pare-feu

Cette m´méthode présente les avantages suivants :

• L’économie de bande passante, car la compression des en-têtes des données transmises est
prévue par ce standard, de plus, ce dernier ne fait pas appel `à de trop lourdes techniques
d’encapsulation, comme les tunnels PPP sur lien SSH.
• La protection des protocoles de bas niveau comme ICMP et IGMP, RIP, etc.. . .
• L’évolution continue d’IPSec, vu que les algorithmes de chiffrement et d’authentification
sont spécifiés séparément du protocole lui-même.
Cette solution présente n´néanmoins un inconvénient majeur qui est sa grande complexité qui
rend son implémentation d´délicate.
V-Inconvénients du protocole IPsec
IPsec est encore une propriété de Microsoft, il n’est donc pas possible de vérifier
l’absence de portes d´enrobées dans le code.

VI- Flux de paquets IPsec

Illustration la procédure suivie par un paquet adressé IP, en tant que partie intégrante
d'un datagramme IP lors d'un appel IPsec sur un paquet sortant. Le diagramme du flux indique
l'endroit auquel les en-têtes d'authentification AH et les associations de sécurité ESP sont
susceptibles d'être appliqués au paquet. Les méthodes d'application de ces entités et de
sélection des algorithmes sont décrites dans les sections suivantes.

.
Figure  : Application d'IPsec au processus de paquet sortant
Illustration du processus entrant ipsec

Figure  : application d'ipsec au processus de paquet entrant

 VII- Mécanismes de protection IPsec

IPsec offre deux protocoles de sécurité dans le cadre de la protection des données :

 AH (authentication header, en-tête d'authentification)

 ESP (encapsulating security payload, association de sécurité)

AH protège les données à l'aide d'un algorithme d'authentification. ESP protège les données à
l'aide d'un algorithme de chiffrement, mais peut avoir recours a un algorithme
d'authentification facultatif. On appelle mécanisme l'implémentation d'un algorithme.

RESEAUX PRIVES VIRTUELS ET IPSEC

Un tunnel configure est une interface point-a-point. Le tunnel permet l'encapsulation

d'un paquet IP dans un autre paquet IP. Un tunnel correctement configure requiert une source
et une destination.

Un tunnel crée une interface physique liée à IP. L'intégrité du lien physique est
fonction des protocoles de sécurité sous-jacents. La configuration sécurisée des associations
de sécurité (SA) rend le tunnel digne de confiance. Les paquets sortant du tunnel doivent
provenir de l'homologue spécifie dans la destination de tunnel. Si la confiance est établie,
vous pouvez avoir recours au transfert IP par interface pour créer un VPN.

Vous pouvez créer un VPN à l'aide d'IPSEC. IPSEC sécurise la connexion. Par
exemple, une organisation ayant recours à la technologie VPN pour connecter deux bureaux
de réseaux distincts peut deployer IPSEC pour sécuriser le trafic entre ces deux bureaux.
 PARTIE III :

Etudes de l’existant
 I- Conception d'une solution d'administration

La mise en place d'une administration de réseau doit être menée comme tout projet,
avec rigueur et méthode. Avant toute mise en œuvre préalable doit répondre à la question : «
l'administration, pour quoi faire ?

A- Administration des équipements

L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les
différents services soient implémentés. Avant d'entrer dans le vif du sujet il serait primordial
de rappeler ce qu'il faut administrer dans le réseau : les hommes (administrateurs et
utilisateurs), la configuration des équipements, le dépannage, les stations d'administration, la
sécurité. Ces tâches d'administration peuvent être d'après l'ISO, reparties sur cinq axes :

 La gestion de la configuration réseau (configuration management) : il convient de

gérer la configuration matérielle et logicielle du réseau pour en optimiser l'utilisation ;
de permettre des configurations à distance via des outils adéquats et le stockage des
différentes configurations ; les serveurs ftp sont très souvent sollicités pour cette
tâche ;
 La gestion des anomalies: l'administration a pour objectif d'avoir un réseau
opérationnel sans rupture de service, ce qui définit une certaine qualité de service ; on
doit être à mesure de localiser le plus rapidement possible toute panne ou défaillance
pour pouvoir y remédier ;
 La gestion des performances (performance management) : consiste à contrôler à tout
moment le réseau pour observer s'il est en mesure d'écouler le trafic pour lequel il a été
conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des paramètres à
prendre en compte pour l'évaluation ;
 La gestion de la sécurité (security management) : on gère ici les contrôles d'accès au
réseau, la confidentialité des données qui y transitent, leur intégrité et leur authenticité
pour pouvoir les protéger contre tout dysfonctionnement, toute inadvertance ou toute
malveillance. Un enregistrement de l'activité des utilisateurs plus précisément les
événements significatifs, les actions interdites ou sensibles peut s'avérer nécessaire ;
 La gestion de la comptabilité (accounting management) : Evaluation de la
consommation des ressources réseaux en fonction de la durée, du volume à des fins de
facturation ou d'identification des stations saturant la bande passante.
 Dans un réseau d'envergure, l'administration est fondamentale. Lors de la surveillance
sur le réseau, les relevés du trafic doivent rester confidentiels afin d'éviter toute atteinte à la
vie privée des utilisateurs.

Nous pouvons utiliser des outils pour l'administration du réseau car il en existe une
panoplie tant du domaine privé que public. Chaque outil ayant un but particulier, il incombe à
l'administrateur de bien savoir ce qu'il veut obtenir.

A.1.Aspects matériels

Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre
le dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux
ordinateurs à qui on donnera des rôles précis est à envisager.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un
réseau VPN site-à-site dont l'avantage est la sécurité.

Par défaut, nous utilisons les matérielles comme :Un routeur CISCO System, un
ordinateur serveur, Connexion internet, Wireless, Link, Network, Switch, Desktop, Laptop.

A2. Aspects logiciels

Nous avons utilisé virtuellement le logiciel GNS3 pour l'implémentation de la solution. Nous
avons privilégié GNS3 pour mettre en place nos serveurs à cause de sa simplicité.

A.3. Aspects techniques

Lorsque nous avons pris connaissance de matériels utilise dans ce réseau, cela nous a amené à
proposer un certain nombre d'équipements répondant aux aspects techniques pour que la
solution VPN site-à-site puisse être mise en place afin que la fiabilité et la sécurité des
informations échangées soient en permanence.
B. Etude de faisabilité et configurations ; Etude de faisabilité

Pour avoir une interconnexion des réseaux à faible coût mais pour un fort niveau
sécurité, nous choisirons de travailler avec un VPN site-à-site. Le coût d'un VPN est un
avantage pour différentes raisons :

Pas de liaisons physiques comme les LAN (Local Area Network) ;

Pas de points d'accès comme les Wireless

 PARTIE IV :

SIMULATION ET REALISATION
DIAGRAMME

Diagramme n°2 : Système d’interconnexion détaillée

Diagramme n°1 : Système d’interconnexion formulée