Vous êtes sur la page 1sur 75

THÈME

ETUDE ET MISE EN PLACE D’UNE ARCHITECTURE


RESEAU SECURISEE : CAS DE 4ITSEC-AFRICA.

Sous la direction de Présenté et soutenu par

M.Adjeoua HAIKREO M. Moctar KIENDREBEOGO


Directeur général de
4ITSEC-AFRICA

Octobre 2021
Promotion 2018- 2021
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

AVANT-PROPOS

A la fin de chaque cycle d’enseignement théorique, il est recommandé que l’étudiant


effectue un stage pratique dans une entreprise publique ou privée de son choix en vue d’associer
la théorie à la pratique professionnelle. Les sociétés de télécommunications et d’informatique
étant les lieux par excellence où nous pouvons mieux appendre grâce à leurs maitrises des
différents services de l’informatique, nous avons décidé de porter notre choix sur elles pour
notre stage pratique. C’est ainsi que 4ITSEC-AFRICA a eu cette volonté de nous accepter en
son sein durant ces périodes pour notre formation afin que nous devenions capables d’assumer
avec compétence nos futures responsabilités. Avant tout développement sur cette expérience
professionnelle, il apparaît opportun de commencer ce mémoire par des remerciements à tous
ceux qui ont eu la gentillesse de faire de ce temps un moment très profitable pour nous.

i
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

DÉDICACES

«« En termes de sécurité, les ordinateurs sont un problème, les réseaux une horreur et les
utilisateurs une catastrophe » »

Bruce Schneier-in"secrets and lies"

Je dédie ce mémoire :

A mes chers parents, pour lesquels nulle dédicace ne peut exprimer mes sincères sentiments,
pour leur patience illimitée, leurs encouragements continus, leur aide, en leur témoignage de
mes profonds amour et respect pour leurs grands sacrifices.

A mes chers frères et sœurs pour leur grand amour et leur soutien ; qu’ils trouvent ici
l’expression de ma haute gratitude.

A Toute ma famille sans exception, à tous mes chers amis(e) pour leurs encouragements, et à
tous ceux qu’on aime.

A toutes les personnes qui m’ont apporté de l’aide.

ii
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

REMERCIEMENTS

C’est avec le plus grand honneur que j’ai réservé cette page en signe de gratitude et

De reconnaissance à tous ceux qui m’ont aidé de près ou de loin à la réalisation de ce

Mémoire de stage.

Mes remerciements s’adressent à M. Adjeoua Haikreo, le directeur général de l’entreprise


4ITSEC-AFRICA qui m’a accueilli dans son établissement.

Mes sincères gratitude s’adresse également à tous nos enseignants du département Réseaux
Informatiques et Télécommunications de l’Ecole Supérieure Multinationale des
Télécommunications (ESMT) qui ont assuré notre Formation pendant ces trois années d’étude.

iii
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

GLOSSAIRE
Abréviations Définitions
4ITSEC-AFRICA FOR IT SECURITY AFRICA
AAA Authentication Autorisation Accounting
ACL Access Control List
CSS Cascading Style Sheets
DAF Direction Administrative et Financière
DGT Direction Générale et Technique
DHCP Dynamic Host Configuration Protocol
DMC Direction Marketing et Commerciale
DMZ Demilitarized Zone
DNS Domaine Name
EAP Extensible Authentication Protocol

ESMT Ecole Supérieure Multinationale des Télécommunications

FAI Fournisseur d'Accès Internet


FTP File Transfer Protocol
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol
HTTPS HyperText Transfer Protocol Secure
IDS Intrusion Detection System
IEEE Institute of Electronic and Electronics Engineers
IPS Intrusion Prevention system
LAN Local Area Network
LDAP LightWeight Directory Access Protocol
MAN Metropolitan Area Network
NAC Network Access Control
PAE Port Access Entity
QoS Quality of Service
RADIUS Remote Authentication Dial-In User Service
SONATEL Société nationale des Télécommunications
SSH Secure Shell
VLAN Virtual Local Area Network
VPN Virtual Private Network
WAN Wide Area Network

iv
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

LISTE DES FIGURES


Figure 4 : Relation entre les outils ................................................................................................................20
Figure 5 : Diagramme de cas d'utilisation.....................................................................................................25
Figure 6 : Diagramme de déploiement..........................................................................................................26
Figure 7 : Architecture de notre solution ......................................................................................................29
Figure 8 : Interface de pfSense Maître ..........................................................................................................31
Figure 9 : Interface de pfSense esclave.........................................................................................................31
Figure 10 : Interface de pfSense Maître ........................................................................................................32
Figure 11 : Adressage réseau du pfSense Maître ..........................................................................................32
Figure 12 : Adressage réseau du pfSense esclave .........................................................................................32
Figure 13 : Adresse IP virtuelle du WAN côté Maître..................................................................................33
Figure 14 : Adresse IP virtuelle du WAN côté esclave ................................................................................34
Figure 15 : Configuration du NAT ...............................................................................................................34
Figure 16 : Configuration de la synchronisation ...........................................................................................35
Figure 17 : Statut du CARP sur le maître .....................................................................................................36
Figure 18 : Statut du CARP sur l'esclave .....................................................................................................36
Figure 19 : Maquette de mise en place de Squid ..........................................................................................36
Figure 20 : Installation du serveur Squid ......................................................................................................37
Figure 21 : Installation de SquidGuard .........................................................................................................37
Figure 22 : Configuration de Squid sur pfSense ...........................................................................................38
Figure 23 : Configuration de Squid sur pfSense ...........................................................................................39
Figure 24 : Configuration de Squid sur pfSense ...........................................................................................39
Figure 25 : Configuration de SquidGuard sur pfSense .................................................................................40
Figure 26 : Téléchargement des blacklist et whitelist ...................................................................................40
Figure 27 : la liste de moteur de recherche autorisé......................................................................................41
Figure 28 : les règles de catégories ...............................................................................................................41
Figure 29 : Validation des règles de blacklist ...............................................................................................42
Figure 30 : Compte utilisateur et site bloqués...............................................................................................42
Figure 31 : Configuration de Squid ..............................................................................................................43
Figure 32 : Site bloqué en https ....................................................................................................................43
Figure 33 : Configuration de Lightsquid.......................................................................................................44
Figure 34 : Rapport du journal utilisateur .....................................................................................................45
Figure 35 : Saisie de l'oinkcode ....................................................................................................................45
Figure 36 : Identification sur Snort ...............................................................................................................46

v
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 37 : Activation des règles Snort.........................................................................................................46


Figure 38 : Mise à jour des règles Snort .......................................................................................................47
Figure 39 : Activation des logs .....................................................................................................................47
Figure 40 : Vue des règles Snort ...................................................................................................................48
Figure 41 : Ecriture des règles Ping ..............................................................................................................48
Figure 42 : Ping de la machine Kali vers la machine pfSense ......................................................................49
Figure 43 : Détection des pings par Snort .....................................................................................................50
Figure 44 : Écriture de la règle FTP..............................................................................................................50
Figure 45 : Tentative d'accès de la machine kali vers Windows...................................................................50
Figure 46 : Détection de la connexion FTP de la machine Kali ...................................................................51
Figure 47 : Installation de Suricata ...............................................................................................................51
Figure 48 : Activation des règles Suricata ....................................................................................................51
Figure 49 : Saisie du Oinkcode et des fichiers de règles...............................................................................52
Figure 50 : Configuration des intervalles de mise à jour des règles. ............................................................52
Figure 51 : Mise à jour des règles Suricata. ..................................................................................................53
Figure 52 : Ajout de l'interface à surveiller ..................................................................................................53
Figure 53 : Configuration de l'interface LAN sur Suricata. ..........................................................................54
Figure 54 : Configuration du mode IPS de Suricata .....................................................................................55
Figure 55 : Affichage des règles de Suricata ................................................................................................55
Figure 56 : Ecriture des règles de blocage sous Suricata ..............................................................................56
Figure 57 : Scan sur kali ...............................................................................................................................56
Figure 58 : Affichage des détections de Scan par Suricata ...........................................................................57
Figure 59 : Connexion de FreeRadius et AD ................................................................................................57
Figure 60 : Interface compte utilisateur ........................................................................................................58
Figure 61 : Page d'authentification ...............................................................................................................58

vi
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

LISTE DES TABLEAUX


Tableau 1 : Comparaison entre les solutions NAC commerciales et libres. ............................ 16
Tableau 2 : Fonctionnalités des outils NAC. ........................................................................... 19
Tableau 3 : le matériel utilisé ................................................................................................... 28
Tableau 4 : les versions des outils de contrôle d'accès ........................................................... 28

vii
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

SOMMAIRE
INTRODUCTION ...............................................................................................................................................1

Chapitre 1 : CONTEXTE GENERAL ...................................................................................................................2

1.1 Présentation de la structure 4ITSEC ......................................................................................3

1.2 Présentation du sujet ............................................................................................................3

Chapitre 2 : ETAT DE L’ART .............................................................................................................................6

2.1 La sécurité des réseaux et des systèmes...............................................................................7

2.2 Présentation des solutions de la sécurité réseau................................................................13

Chapitre 3 : ANALYSE DES BESOINS ET ETUDE CONCEPTUELLE....................................................................21

3.1 Analyse des besoins ............................................................................................................22

3.2 Spécification des besoins ....................................................................................................22

Chapitre 4 : MISE EN PLACE DE LA SOLUTION ET EVALUATION ...................................................................27

4.1 Environnement de travail....................................................................................................28

4.2 Mise en place de la solution................................................................................................28

CONCLUSION.................................................................................................................................................59

BIBLIOGRAPHIE ........................................................................................................................................... VIII

WEBOGRAPHIE...............................................................................................................................................IX

TABLE DES MATIERES ................................................................................................................................... XII

viii
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

INTRODUCTION
Le besoin d’échanger des données se fait sentir juste après l’apparition des ordinateurs, puis
l’homme eut l’idée de les relier entre eux, c’est là qu’apparaît le concept des réseaux
informatiques. Dans toute entreprise, la notion de réseau sonne comme une évidence, chaque
entreprise existante d’une certaine taille dispose d’un réseau LAN ou WAN, qui lui permet
d’effectuer les échanges de données et de ressources. Ces échanges de données imposent une
ouverture des systèmes d’information vers le monde extérieur via le réseau Internet.

Vu l’importance des informations qui sont souvent échangées dans les réseaux, ceux-ci
requièrent une bonne gestion du réseau, une souplesse du réseau et un certain niveau de degré
de sécurité. Ces derniers éléments sont devenus primordiaux de la continuité des systèmes
d’information de l’entreprise quels que soient son activité, sa taille et sa situation géographique.

De ce fait, la gestion des réseaux informatiques se réfère à des activités, procédures, méthodes
comme la surveillance du fonctionnement du réseau, et aux outils mise en œuvre pour
l’exploitation, l’administration, la maintenance et la fourniture des réseaux informatiques par
l’administrateur réseau. Aussi pour avoir une bonne souplesse d’utilisation, il faut assurer la
continuité du réseau, dû aux changements apportés à ce réseau par le fait de l’évolution dans
le secteur de l’informatique et la qualité des service (QoS) des informations selon le(s)
matériel(s) ou logiciels utilisés.

Sachant que la sécurité informatique au sens large devient une problématique planétaire, avec
l’avènement de l’Internet, la maîtrise et la mesure de la sécurité logique des réseaux basés sur
les installations et les configurations des équipements réseaux devient une priorité pour les
administrateurs réseaux.

Ainsi, l’entreprise en conseil d’audit et de sécurité ne fait pas exception à cette règle car la
protection des données stratégiques, les services disponibles et la fragilité du réseau face aux
attaques internes et externes est primordiale. Pour cela, il nous a été demandé de mettre en
place une « Etude et mise en place d’une architecture réseau sécurisée : cas de 4ITSEC-
AFRICA ». Pour se faire, nous présenterons dans le premier chapitre notre structure d’accueil,
ensuite dans le second chapitre un état de l’art présentant une étude générale la sécurité des
réseaux, dans le troisième chapitre l’étude conceptuelle et nous terminerons par la mise en
place de la solution du réseau informatique sécurisé.

1
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Chapitre 1 : CONTEXTE
GENERAL

2
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

1.1 Présentation de la structure 4ITSEC


Historique
Le développement de l’internet a fait émerger une nouvelle forme d’économie : économie
numérique. En effet, tout comme dans la vie réelle, l’économie numérique est gravement
menacée par des personnes malveillantes. Ainsi, il urge pour les gouvernements, les entreprises
ou simplement toute personne de connaitre les enjeux de la sécurité des systèmes
d’information. Faisant suite à ces réflexions, FOR IT SECURITY AFRICA (4itsec-africa) a
été fondé en 2016 dont la vocation est de vulgariser l’acquisition des compétences (en sécurité
de l’information) aux étudiants et de renforcer la capacité des professionnels et enfin
d’accompagner les entreprises au travers des conseils, audit de sécurité des systèmes
d’information et diverses prestations dans le domaine de l’informatique.

Objectifs
4itsec-africa a pour objectifs de :

 Donnez des compétences aux étudiants et renforcer la capacité des


professionnels,

 Porter assistances aux entreprises confrontées à des soucis de sécurité,

 Aider les entreprises partenaires à prévenir et réduire considérablement


les risques de sécurité du système d’information,

 Mener des projets d’audit de certification.

1.2 Présentation du sujet


Problématique
L’évolution de la technologie prouve que l’informatique nous est d’une grande importance
dans tous les domaines de la vie. Il est rare aujourd’hui de trouver un organisme qui ne dispose
pas d’infrastructure informatique. Tout équipement connecté à un réseau informatique est
potentiellement vulnérable à toute attaque. Une attaque est l’exploitation d’une faille d’un
système informatique (système d’exploitation, logiciel, erreur de configuration, etc.) sans que
les utilisateurs se rendent compte que leur système a été attaqué et sont généralement
préjudiciables. Sur l’Internet, les attaques ont lieu en permanence, à raison de plusieurs attaques
par minute sur chaque machine connectée. Ces attaques sont lancées automatiquement par des
machines infectées (par des vers, des virus, chevaux de Troie, etc.), sans la connaissance des
propriétaires. Ces attaques sont l’œuvre des hackers (pirates informatiques). Nous constatons

3
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

aussi que dans les entreprises, lorsque plusieurs équipements sont connectés, cela pose le
problème de la congestion du réseau c’est-à-dire on constate une lenteur du réseau, en retard et
encombré. Cela pourrait également être une raison pour laquelle une minute vous êtes en
mesure de connecter vos appareils à un réseau et quelques moments plus tard, de perdre la
connexion et d’avoir du mal à se reconnecter. Il y a aussi le problème de bande passante, Il
s’agit d’un appareil ou d’un utilisateur qui consomme beaucoup plus de données que les autres
appareils ou utilisateurs. Il s’agit généralement d’une application, d’un utilisateur ou d’un
appareil qui nécessite ou utilise une grande quantité de données durant son exécution ou pour
rester connecter au réseau. Par définition, un réseau informatique est un maillage d’ordinateurs
interconnectés dans le but d’échanger les informations entre eux et de la redondance du
matériel. Cette constitution du réseau passe par une conception qui consiste à faire :

 L’architecture physique si le réseau est inexistant ou faire évoluer le réseau dans le cas
échéant ;
 L’architecture logique ou la topologie logique (les couches réseau, les protocoles, plan
d’adressage, le routage) ;
 Utiliser les services des opérateurs réseaux ou des fournisseurs d’accès internet (FAI) ;
 La politique d’administration et la surveillance des équipements ;
 Les services réseaux ;
 Les moyens de sécurité ;
 La connexion avec le monde extérieur : Internet.

Objectif général
Notre projet s'inscrit dans le cadre d'une étude pour une éventuelle implémentation dans le cas
où les résultats obtenus lors de l'étude sont concluants, c'est pour cela que toutes les
fonctionnalités (résultats attendus) du projet doivent être implémentées. Vue la confidentialité
et la portée des données et ressources de 4ITSEC-AFRICA, nous allons juste travailler avec
les informations qui touchent à la sécurité informatique et nous essayerons de garder certaines
informations confidentielles pour mieux assurer la sécurité du réseau informatique de 4ITSEC-
AFRICA. Notre projet a pour but d'assurer la sécurité du réseau local de 4ITSEC-AFRICA,
mais peut également être implémenté dans d'autres institutions, entreprises, organisations qui
désirent sécuriser leur système informatique.

4
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Objectifs spécifiques
Pour aboutir à l’objectif général, les objectifs spécifiques formulés par rapport aux problèmes
spécifiques, doivent être atteints :

 Assurer la disponibilité des ressources réseaux : les informations et les services sont
accessibles lorsque nécessaires ;
 Assurer l’intégrité des données : l’information est authentique et exacte ;
 Assurer la confidentialité : empêcher la fuite des données ;
 Gérer les réseaux ressources (exemple la bande passante) ;
 Assurer la traçabilité des opérations : possibilité de tracer l’intrus et de reconstituer
l’historique des opérations effectuées sur le système d’information.

Les objectifs ainsi déterminés, nous identifierons les hypothèses devant servir de base à notre
étude.

Hypothèses
L’hypothèse est définie comme étant une réponse provisoire posées dans la problématique.
Pour répondre aux questions posées, nous émettrons plusieurs hypothèses sur lesquelles nous
nous appuierons pour la suite de notre travail.

1re hypothèse : nous proposons de faire une étude technique qui consistera à faire des
recherches et le choix de notre solution d’architecture réseau sécurisée basé sur le firewall
(pare-feu).

2e hypothèse : nous proposons une analyse et conception, il s’agit de recenser les besoins
fonctionnels et non fonctionnels et décrire sous forme de diagramme les solutions proposés à
ces besoins.

3e hypothèse : nous proposons l’implémentation qui consistera à la mise en place de


l’application conformément aux diagrammes élaborés lors de la conception et tester les
différents modules de l’application.

5
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Chapitre 2 : ETAT DE L’ART

6
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

2.1 La sécurité des réseaux et des systèmes


Définition de la sécurité des réseaux
La sécurité des réseaux est un niveau de garantie que l’ensemble des machines du réseau
fonctionnent de manière optimale et que les utilisateurs desdites machines possèdent des droits
qui leur ont été octroyés. Il s’agit :

 D’empêcher des personnes non autorisées d’agir sur leur système de façon malveillante,
 D’empêcher les utilisateurs de faire des actions involontaires capable de nuire au
système,
 De sécuriser les données en prévoyant les pannes,
 De garantir la non -interruption d’un service.

Rôle et objectifs de la sécurité des réseaux


La sécurité du réseau informatique d’une entreprise a pour objectif de faire des actions contre
les menaces intentionnelles ou accidentelles. Le système informatique est souvent établi par la
totalité des informations et des ressources matérielles et logicielles de l’entreprise permettant
de les stocker ou les faire transiter. Il représente un patrimoine important pour l’entreprise,
qu’il est nécessaire de sécuriser. La sécurité de l’information protège les informations contre
une multitude d’intimidations afin de garantir la continuité de l’entreprise, restreindre les
dommages et participer le plus possible à avoir un degré de protection élevée. La sécurité de
l’information vise la confidentialité, la disponibilité et l’intégrité de l’information :

 La confidentialité : vise à assurer que les utilisateurs autorisés aient accès aux
ressources et aux informations auxquelles ils ont droit. (La confidentialité a pour
objectif d’empêcher que les informations secrètes soient divulguées à des utilisateurs
non autorisés).
 L’intégrité : vise à assurer que les ressources et les informations ne soient pas
corrompues, altérées ou détruites par des utilisateurs non autorisés et les informations
soient en quelque sorte utilisables, et que l’accès aux utilisateurs non autorisés soit
interdit.
 La disponibilité : il s’agit de garantir qu’une ressource sera accessible au moment
précis qu’un utilisateur souhaitera s’en servir.

7
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Terminologies de la sécurité informatique


Une vulnérabilité : définit toutes les failles d’un système informatique pouvant être exploitées
par les menaces à des fins malveillantes.

Une attaque : est l’exploitation d’une vulnérabilité d’un système informatique (système
d’exploitation, logiciel, etc.) Par des actions que ce soit accidentelles, malveillantes ou
intentionnelles.

Une menace : est un type d’action susceptible de nuire dans l’absolu au système d’exploitation.

Un risque : désigne la probabilité qu’un évènement dommageable ainsi que les coûts qui
s’ensuivent.

Les attaques réseaux


2.1.4.1 Les virus
Un virus informatique est un type de code ou programme malveillant qui vise à modifier le
fonctionnement d’un équipement et à se répandre d’un équipement à un autre. Le virus
informatique est intégré dans un programme ou joint à un document légitime afin d’exécuter
son code. Il peut ainsi avoir des effets inattendus ou causer des dégâts : il endommagera par
exemple un logiciel système en altérant ou détruisant des données. [1]

2.1.4.2 L’écoute du réseau (Sniffer)

Il existe des logiciels qui, à l’image des analyseurs de réseaux, permettent d’intercepter
certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un
format plus visible (Network Packet Sniffing).

2.1.4.3 Le déni de service


Le “Distributed denial-of-service" ou déni de service distribué est un type d’attaque très évolué
visant à faire planter une machine en la submergeant de trafic inutile. Plusieurs machines sont
à l’origine de cette attaque (c’est une attaque distribuée) qui vise à anéantir les serveurs, les
sous-réseaux.

8
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Conduire une politique de sécurité réseau


2.1.5.1 Principe générique d’une politique de sécurité réseau
Quel que soit la nature des biens produit par une entreprise, sa politique réseau vise à satisfaire
les critères suivants :

 Identification : information qui prétendre qui vous êtes.


 Authentification : information permettant de valider l’identité pour vérifier que vous
êtes celui dont vous prétendez.
 Autorisation : information permettant de déterminer quelles sont les ressources de
l’entreprise auxquelles l’utilisateur identifié aura accès ainsi que les actions autorisées
sur ces ressources.
 Confidentialité : ensemble des mécanismes permettant qu’une communication de
données reste privée entre un émetteur et un destinataire.
 Intégrité : ensemble des mécanismes garantissant qu’une information n’a pas été
modifiée.
 Disponibilité : ensemble des mécanismes garantissant que les ressources de
l’entreprise sont accessibles.
 Non-répudiation : mécanisme permettant de trouver qu’un message a bien été envoyé
par un émetteur et reçu par un destinataire.
 Traçabilité : ensemble des mécanismes permettant de retrouver les opérations réalisées
sur les ressources de l’entreprise.
 Continuité : a pour but de garantir la survie de l’entreprise après un sinistre important
touchant le système informatique. Il s’agit de redémarrer l’activité le plus rapidement
possible avec le minimum de perte de données.

2.1.5.2 Les différents types de politique de sécurité


Une politique de sécurité couvre les éléments suivants :

 Sécurité de l’infrastructure : couvre la sécurité logique et physique des équipements


et des connexions réseau.
 Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux
ressources de l’entreprise, ainsi que la gestion des utilisateurs et de leurs droits d’accès
aux systèmes d’information de l’entreprise.

9
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

 Sécurité de l’intranet face à l’internet ou aux tierces parties de confiance : couvre


la sécurité logique des accès aux ressources de l’entreprise (Extranet) et l’accès aux
ressources extérieures (Internet).

Le contrôle d’accès réseau


C’est un mécanisme consistant à sécuriser le personnel d’une entreprise des menaces et des
attaques en bridant l’usage d’une ressource (physique : les serveurs, les routeurs, les points
d’accès ou logiciel : Application, systèmes d’information, processus) du système informatique
aux seuls structures autorisés.

2.1.6.1 Le principe de fonctionnement

Le principe du fonctionnement du contrôle d’accès réseau est :

 Indiquer quel utilisateur doit avoir accès au système,


 Indiquer les ressources auxquelles ils peuvent avoir accès,
 Indiquer les opérations qu’ils peuvent réaliser,
 Donner la responsabilisation à tout un chacun

2.1.6.2 Les différents types d’accès réseau


On distingue trois types de contrôle d’accès :

 Technique : ce genre de contrôle est un accès logique aux ressources du système


informatique.il est intégré avec des systèmes logicielles et matérielles se basant sur des
technologies,
 Physique : Il touche l’ensemble des accès physiques aux bâtiments et aux ressources
matérielles,
 Administratif : ce type de contrôle d’accès est opéré via les documents exposant les
stratégies, les responsabilités et les fonctions administratives requis pour gérer
l’environnement de contrôle.

Les méthodes de contrôle d’accès


2.1.7.1 Les procédures d’identification et d’authentification
 L’identification : c’est dans la phase ou l’utilisateur établit son identité unique, ici on
connait la personne.

10
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

 L’authentification : c’est une méthode qui a pour objectif, pour un système


informatique à contrôler l’identité d’une entité (un ordinateur, une personne,) afin de
permettre à cette entité à avoir accès aux ressources (systèmes, réseaux, applications).
 L’autorisation : permettre ou non l’accessibilité à la ressource.

2.1.7.2 Les fonctions de cryptographie (chiffrement et signature)

Le chiffrement des données fut inventé pour assurer la confidentialité des données. Il est assuré
par un système de clé (algorithme) appliqué sur le message. Ce dernier est décryptable par une
clé unique correspondant au cryptage. Dans toute transaction professionnelle, la signature
numérique est un moyen de savoir qui a émis le message.[1]

2.1.7.3 Les antivirus (logiciels de protection)


Un antivirus est un logiciel qui a pour but de détecter et d'éradiquer les virus ou les logiciels
malveillants et empêcher les attaques. Son fonctionnement consiste à analyser régulièrement
les fichiers du système pour vérifier qu’ils ne contiennent pas de code malveillant.[2]

2.1.7.4 Le pare-feu
Un firewall (ou pare-feu) est outil informatique (matériel et/ou logiciel) conçu pour protéger
les données d'un réseau (protection d'un ordinateur personnel relié à Internet par exemple, ou
protection d'un réseau d'entreprise). Il permet d'assurer la sécurité des informations d'un réseau
en filtrant les entrées et en contrôlant les sorties selon des règles définies par son
administrateur.[3]

2.1.7.5 Les systèmes de détection d’intrusion


On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau afin de
repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention
sur les risques d'intrusion.[4].

2.1.7.6 Les systèmes de prévention d’intrusion

L’IPS (Intrusion Prevention System) est un outil de prévention et protection contre les
intrusions en prenant des mesures pour diminuer les impacts d'une attaque. Il peut bloquer
immédiatement les attaques en utilisant la technique de filtrage de paquets et le blocage des
ports automatiquement. [5].

11
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

2.1.7.7 Audit
L’audit de sécurité permet d’enregistrer tout ou une partie des actions effectuées par le système.
L’analyse de ses informations permet éventuellement de détecter les intrusions. Les systèmes
d’exploitation disposent généralement de systèmes d’audits intégrés, certaines applications
aussi.

2.1.7.8 Les réseaux virtuels privés (VPN : Virtual Private Network)

Permettent à l’utilisateur de créer un chemin virtuel sécurisé entre une source et une destination.
Avec le développement d’Internet, il est intéressant de permettre un transfert de données
sécurisé et fiable. Grâce à un principe de tunnel (tunneling) dont chaque extrémité est
identifiée, les données transitent après avoir été chiffrées.

Les listes de contrôle d’accès (ACL)


2.1.8.1 Définition

Les listes d'accès (Access List) sont des instructions qui expriment une liste de règle. Les listes
d'accès sont capables d'autoriser ou d'interdire des paquets, que ce soit en entrée ou en sortie
vers une destination. Elles opèrent selon un ordre séquentiel et logique, en évaluant les paquets
à partir du début de la liste d'instruction. [6]

2.1.8.2 Utilité des ACL


Une liste d’accès va servir à :

 . Limiter le trafic réseau et accroître les performances.


 Contrôler le flux de trafic, ce qui permet que la bande passante soit préservée.
 Fournir un niveau de sécurité d’accès réseau de base.
 Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du
routeur.
 Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur
un réseau.
 Filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de
réseau. Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de
fichiers, tels que FTP ou HTTP.

12
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

2.1.8.3 Les VLAN (Virtual Local Area Network)


Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est
un réseau local regroupant un ensemble de machines de façon logique et non physique. En effet
dans un réseau local, la communication entre les différentes machines est régie par
l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des
limitations de l'architecture physique (contraintes géographiques, contraintes d'adressage, ...)
en définissant une segmentation logique (logicielle).[7]

Les protocoles
2.1.9.1 Le protocole IEEE 802.1X
IEEE 802.1X est un standard de l’IEEE qui permet de contrôler d’accès au réseau en se basant
sur les ports. Il fait partie du groupe de protocoles IEEE 802 (802.1). Il assure l’authentification
aux équipements connectés à un port Ethernet. Ce standard peut être utilisé pour quelques
points d’accès Wi-Fi, 802.1X est une fonctionnalité disponible sur certains commutateurs
réseau.

Les acteurs du 802.1x :

 Supplicant : c’est le système à authentifier (le client)


 Port Access Entity (PAE) : C’est le point d’accès au réseau,
 Authenticator System : C’est un système authentificateur qui contrôle les ressources
disponibles via le PAE.

2.1.9.2 Le protocole radius


Le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole de type
AAA (Authentication Autorization Accounting) permettant de centraliser l’authentification et
l’autorisation des accès distants. Il repose essentiellement sur un serveur (RADIUS), connecté
à une base d'identification (LDAP par exemple) et un client RADIUS, nommé NAS (Network
Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. Les échanges
entre le client RADIUS et le serveur RADIUS est chiffré et authentifié avec l'appui d'un secret
partagé.

2.2 Présentation des solutions de la sécurité réseau


Dans cette partie, on va étudier quelques solutions de contrôle d’accs au réseau (NAC) libres
et commerciales qui existent dans le marché afin de pouvoir par la suite choisir une solution
adéquate à notre projet.

13
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Les solutions de contrôle d’accès commerciales


2.2.1.1 La solution Cisco ASA

La solution Cisco ASA est basée sur le firewall Cisco ASA 5500-X, son objectif est d’assurer
l’équilibre entre performance et productivité. De plus, il garantit les services de sécurité réseau
d’une entreprise.[11]

2.2.1.2 La solution Palo Alto

La solution Palo Alto Networks est l’un des acteurs de la récente époque de la sécurité, et
protège maintenant quelques centaines de sociétés, fournisseurs de services et organismes
gouvernementaux. Cette architecture de sécurité permet aux opérations business d’avoir toute
sécurité dans le domaine informatique.[12]

2.2.1.3 La solution Sonic Wall

Les services Sonic Wall sont élaborés pour répondre aux besoins de la société en protégeant la
puissance de vente mobile, et assure la sécurité des services web.[13]

2.2.1.4 La solution Stone Soft

La solution StoneGate est l’ensemble des services de la sécurité réseau que sont le firewall
(FW), l'infrastructure privé virtuel (VPN), la prévention d'intrusion (IPS), le VPN SSL, la sortie
de bout en bout, de même qu'un équilibre des charges, dans un système dont la gestion est
centralisée et unifiée. Elle a un très bon rapport prix/performance.[14]

Les solutions de contrôle d’accès libre.


2.2.2.1 La solution Netfilter

Netfilter est l'intégration au niveau du noyau du firewall Linux, Quand un colis vient sur une
interface, Netfilter regarde à l'en-tête IP pour voir si ce colis fait partie d'une session connue.
Selon le cas, il fixe la situation du colis au sein des cas suivants ; Nouveau, liée, invalide.

2.2.2.2 La solution Ipcop

IPCOP est un OS minutieux établi sur un kernel sous linux amélioré, qui est voué à garantir la
sécurité de notre réseau. Ce firewall est à l’état qui cherche à donner une méthode facile mais
performante pour paramétrer un firewall sur une architecture de type PC. IPCOP propose les
prestations sympathiques comme l’ordinateur mandataire, un DHCP, un DNS...

14
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

2.2.2.3 La solution pfSense

pfSense est une distribution gratuite et open source de FreeBSD, hébergé et développé par
Rubicon Communications, LLC (Netgate). Il est spécialement conçu pour être utilisée comme
pare-feu et routeur, entièrement gérée via une interface Web. En plus d’être une plate-forme
de routage et de pare-feu flexible et puissante, elle inclut plusieurs fonctionnalités (La
compatibilité multi-plates-formes, La personnalisation complète des pages accessibles aux
utilisateurs, La simplicité d'utilisation grâce à une page de connexion,).[15]

2.2.2.4 La solution Endian Firewall

La solution Endian Security Gateway est conçue pour faciliter la gestion de réseaux complexes
(la difficulté d’utiliser un produit efficacement). Elle a pour objectif de fournir aux
administrateurs tous les outils nécessaires pour fournir une protection complète avec le moins
d'effort possible.[16]

2.4 Choix d’une solution de contrôle d’accès au réseau


Dans cette partie nous allons choisir une solution NAC en se basant sur son fonctionnement et
les solutions du marché présentés au-dessus.

2.4.1 Etude comparative des solutions NAC commerciales et libres.

Ce qui différencie les solutions open source et payantes est le matériel supporté, les
fonctionnalités principales, la documentation, la communauté dédiée à chaque solution,
l’interface Web ergonomique. Pour choisir une solution de contrôle d’accès réseau, il faut
sélectionner les différentes architectures, méthodes et outils. Puisque les solutions NAC
disponibles (gratuite ou commerciale) sont diversifiées, le choix dépend des critères présentés
dans le tableau ci-dessous :

15
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Solution open source Solution commerciale


Les critères Netfilter pfSense Ipcop Endian Palo Cisco Sonic Stone soft
Alto Wall
Firewall ASA

Stateful Oui Oui Oui Oui Oui Oui Oui Oui

NAT Oui Oui Oui Oui Oui Oui Oui Oui

DMZ Oui Oui Oui Oui Oui Oui Oui Oui

VPN (site to site) Oui Oui Oui Oui Oui Oui Oui Oui

VPN (client to site) Oui Oui Oui Oui Oui Oui Oui Oui

IPS/IDS Non Oui Oui Non Oui Oui Oui Oui

SSH Non Oui Oui Oui Oui Oui Oui Oui

Antimalware Non Oui Non Oui Oui Non Oui Oui

Anti spam Non Oui Non Oui Oui Oui Oui Oui

Proxy Oui Oui Oui Oui Oui Oui Oui Oui

Haute Non Oui Oui Oui Oui Oui Oui Oui


Disponibilité

Identification des Non Non Non Non Oui Oui Non Non
Utilisateurs

Identification des Non Non Non Non Oui Oui Non Non
applications

Tableau 1 : Comparaison entre les solutions NAC commerciales et libres.

2.4.2 Synthèse

2.4.2.1 Les critères de base pour le choix

Le tableau 1 fait une classification des solutions NAC commerciales et libres du marché. La
solution Cisco ASA est située premier leader dans les solutions NAC du marché. Bien qu’elle
présente plusieurs avantages pas mal d’inconvénients existent tels que :

 Le coût est très élevé,


 Uniquement les équipements Cisco sont supportés alors qu’une architecture ouverte
est exigée dans notre entreprise : Support d’environnements multifournisseur.

16
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Nous constatons suite à une étude profonde des solutions de contrôle d’accès libres et
professionnelles, plusieurs avantages à savoir la disponibilité du code source et la possibilité
de l’étudier et de le modifier selon nos besoins et de le diffuser ainsi la gratuité de
téléchargement. De plus, il existe plusieurs utilisateurs et développeurs qui offrent une
assistance par le partage des documentations et les participations aux forums, participant par la
suite à l’amélioration des logiciels open source.

2.4.2.2 La solution de contrôle d’accès choisie

Après avoir opté pour une solution libre et gratuite, Les grandes différences entre les solutions
open source proviennent de l’ensemble du matériel supporté, les fonctionnalités de base, les
actions possibles, la documentation, la communauté propre à chaque solution, ainsi que de
l’ergonomie de l’interface Web, la granularité des informations obtenues, et la sûreté générale.
En regardant le tableau, nous remarquons que pfSense est le plus performant par rapport aux
autres outils open source disponibles. Ils supportent aussi différents types de matériels.

Après la comparaison des outils NAC disponibles, open source et commerciales, et tandis que
le réseau de 4ITSEC-AFRICA est homogène et qu’elle opte à la mise en place des outils open
source, on a pris la décision, de choisir une solution open source « pfSense ». C’est une solution
complète et supporte différents types de matériels. Elle intègre plus de fonctionnalités que les
autres solutions open source. De plus, son interface Web est pratique.

2.5 Présentation de quelques outils de pfSense


2.5.1 Le logiciel FreeRadius

FreeRADIUS est un logiciel client-serveur libre qui permet la centralisation de


l’authentification des machines/utilisateurs pour l’accès filaire et sans-fil au réseau local dont
les transactions sont chiffrées et authentifiées grâce à un secret partagé.

2.5.2 L’annuaire OpenLDAP

OpenLDAP est un annuaire LDAP open source de type hiérarchique (les données sont
structurées en arbre) offrant de très bonnes performances en consultation, modifications et
suppression.[17]

2.5.3 Le proxy SQUID

Un serveur proxy est appelé serveur mandataire faisant fonction d'intermédiaire entre les
ordinateurs d'un réseau local et internet. Il est utilisé pour le web, il s'agit alors d'un proxy

17
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

HTTP. Il nous permettra ainsi de gérer l'accès à internet aux utilisateurs de notre réseau local
en fonction des heures d'accès, des ports de destination d'un service, d'IP sources.[18]

2.5.4 Le système de détection d’intrusions Snort

Snort est un Système de Détection d'Intrusion basé sur le réseau déjà décrit dans la
partie 1 de ce chapitre.

2.5.5 Le portail captif

Le portail captif est un moyen permettant aux utilisateurs de s’authentifier sur un réseau. Il
oblige tout utilisateur désirant naviguer sur internet de s'identifier grâce notamment à une
redirection vers une page de connexion.

2.6 Synthèse
2.6.1 Description des fonctionnalités des outils

Dans cette section nous allons présenter les principales fonctionnalités de chaque outil dans
notre solution de contrôle d’accès comme présenté dans le tableau 2 :

18
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Outils Fonctions

FreeRadius Centralisation d'authentification des utilisateurs

OpenLDAP Vérification d'identité d'un user et Validation de demande


d'accès au réseau

Captive Portal Autorisation d'accès au réseau de l’entreprise selon les


privilèges
Configuration de pfSense via l’interface web

SQUID Gestion des caches de connexion

Autorisation d'accès par filtrage

Monitoring

Gestion des trafics entrants et sortants

Gestion des log

pfSense Consulter les logs de toutes les sessions établies, échouées


Bloquer l’accès en cas de doute

Extrait des informations, statistiques sur les équipements


accédés au réseau

Snort Analyse des paquets et détection des alertes

HTML Création et affichage d'une page web

CSS Mise en forme des documents HTML

Tableau 2 : Fonctionnalités des outils NAC.

2.6.2 Interaction entre les outils de contrôle d’accès

D’après le tableau 3, on résume les différents composants logiciels de notre solution


NAC. Voici une description détaillée des différents composants ainsi que les relations
existantes entre eux :

19
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 1 : Relation entre les outils

20
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Chapitre 3 : ANALYSE DES


BESOINS ET ETUDE
CONCEPTUELLE

21
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

3.1 Analyse des besoins


Dans cette partie, nous allons analyser la situation existante de l’architecture de 4ITSEC-
AFRICA du point de vue réseau, utilisateurs, politique de sécurité.

Etude l’existant
3.1.1.1 Présentation de l’architecture réseau de 4ITSEC-AFRICA
Concernant l’architecture existante que nous n’allons pas décrit dans ce document pour des
raisons de sécurité, nous pouvons dire que le cabinet d’audit fonctionne directement avec la
connexion Internet délivrée par la SONATEL. En ce qui concerne cette solution de connexion,
elle présente les failles suivantes :

 Pas de politique de sécurité assurant une utilisation juste et légale des ressources
partagées,
 Aucun contrôle des activités sur le réseau,
 Mal gestion de la ressource internet : en effet, comme cela était le cas très fréquemment,
le web était très demandé par les stagiaires. Ceux-ci s'adonnaient à des téléchargements
à longueur de journée, ce qui abaissait le débit au niveau des machines administratives.
Cela se faisait ressentir pendant l'ouverture des pages web,
 L’absence d’un système de détection d’intrusions.

3.1.1.2 Présentation des utilisateurs


Les utilisateurs qui accèdent au réseau local de 4ITSEC-AFRICA sont nombreux, on peut les
classer en deux groupes :

 Les employés : ce sont les responsables (directeur général et technique, direction


administrative et financière, direction marketing et commerciale,); ils sont autorisés à
accéder au réseau (wifi) en utilisant ses ressources,
 Les invités : ce sont les fournisseurs, les sous-traitants, les clients et les stagiaires, ils
sont autorisés à accéder seulement à l’internet.

3.2 Spécification des besoins


Les besoins fonctionnels
L'analyse des besoins effectuée dans l'avant-projet porte uniquement sur les processus majeurs
du projet. Dans cette partie, il est nécessaire de faire une étude plus approfondie des besoins, il

22
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

s'agit de l'étude préalable dans laquelle nous nous assurons que les besoins sont exprimés
uniquement de manière fonctionnelle et non pas en termes de solutions.

La gestion d’authentification
 Renforcer la gestion des utilisateurs en utilisant un contrôleur de domaine.
 Gérer l’authentification des utilisateurs selon la stratégie de sécurité de
4ITSEC-AFRICA en utilisant le protocole Kerberos.
La gestion d’accès
 Contrôler l’accès en isolant toute machine pouvant nuire au réseau de
l’entreprise par exemple une machine n’ayant pas une mise à jour des antivirus
récents en utilisant un contrôleur d’accès réseau.
La supervision
 Consulter l’historique des accès au réseau, l’état de conformité des machines,
des flux réseaux.
 Être capable de visualiser les différentes phases d’accès pour n’importe quelle
machine et consulter les machines bloquées.
L’administration
 Permettre de configurer le système en ajoutant des autres services ou protocoles,
 Créer des interfaces réseau au niveau firewall et fixer ses règles de routage et
ses politiques de sécurité,
 Ajouter des comptes utilisateurs.
La gestion des ressources internet
 Filtrer quelques domaines ou sites internet,
 Visualiser les sites visités,
 Fixer la bande passante de chaque utilisateur.

3.2.1 Les besoins non fonctionnels

Pfsense doit assurer les besoins non fonctionnels suivants :

La simplicité

Notre outil pfsense doit être simple et facile à utiliser les interfaces graphiques en supportant
n’importe quel type de système ou équipements.

La rapidité du temps de réponse

23
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Le temps des décideurs est précieux. Les réponses doivent être par conséquent fournies dans
un délai très réduit.

La sécurité

L’accès à l’outil pfsense ne doit être possible que pour les personnes autorisées. L’accès aux
différentes pages doit être contrôlé. Ceci doit être fait en utilisant le protocole « https ».

La flexibilité

Notre solution peut être évolué sans touchant la topologie réseau et gratuitement.

La virtualisation

On va tester notre solution en mode virtuel en utilisant VMware Workstation.

3.2.2 Modélisation des besoins fonctionnels


Le diagramme de cas d’utilisation décrit les services les plus importants rendus par un système,
Partant des acteurs, participants externes qui interagissent avec le système.

Pour que notre solution NAC soit performante on a ajouté une interface web accessible par les
utilisateurs.

3.2.2.1 Identification des acteurs

Un acteur est une personne ou un système extérieur qui interagit avec le système à réaliser afin
de réaliser une valeur ajoutée. Dans notre cas l’utilisateur principale du système est
l’administrateur ; via l’interface web, il peut effectuer plusieurs taches présentées par le
diagramme de cas d’utilisation.

3.2.2.2 Diagramme de cas d’utilisation

La figure 4 présente le diagramme de cas d'utilisation global qui traduit les besoins fonctionnels
cités ci-dessus

24
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 2 : Diagramme de cas d'utilisation

3.2.2.3 Architecture de déploiement

L’architecture de déploiement utilisée est l’architecture 3 tiers composée des trois


couches suivantes :

 Utilisateur : en utilisant un navigateur, le client affiche les différentes


pages de l’application,
 Serveur d’application : il permet la gestion des requêtes envoyées par le
client et vérifie avec le serveur de données,
 Serveur de données : il exécute les requêtes envoyées par le serveur
d’application et envoie les résultats correspondants.

25
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 3 : Diagramme de déploiement

26
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Chapitre 4 : MISE EN PLACE


DE LA SOLUTION ET
EVALUATION

27
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

4.1 Environnement de travail


Dans ce chapitre on va mettre en place notre solution d’architecture réseau sécurisée puis on
fera les tests et les évaluations.

Environnement matériel
On a installé une machine virtuelle « VMware Workstation » dans un PC portable HP ayant
les caractéristiques suivantes :

Processeur Intel(R) core (TM) i5-5200U CPU @2.20GHz


2.20GHz
RAM 8 Go
Type du système Système d’exploitation 64 bits

Tableau 3 : le matériel utilisé

Environnement logiciel

Nom de l’outil La version


VMWARE WORKSTATION VMware-Workstation 15 Pro
Version 15.5.2 build-15785246
Free RADIUS Freeradius2 1.7.9
Snort snort 4.1.2_3
pfSense 2.4.5-RELEASE-p1 (amd64)
Squid Proxy Server Lightsquid 3.0.6_7
Squid Reserve Server Squid 0.4.45_3
SquidGuard Proxy Server Squidguard- 1.16.18_13
Suricata Suricata 5.0.4_2
StarUml Version 3.2.2

Tableau 4 : les versions des outils de contrôle d'accès

4.2 Mise en place de la solution


Infrastructure de déploiement
Selon le nombre des employés et la quantité de trafic réseau, 4ITSEC-AFRICA est classifié au
niveau des petites et moyennes entreprises. Ainsi, l’architecture réseau qu’on va l’implémenter
est composée de serveur proxy, système de détection et de prévention des intrusions, un

28
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

système de logs. Ces composants sont mis derrière deux firewalls afin d’assurer la haute
disponibilité et la tolérance aux pannes.

Figure 4 : Architecture de notre solution

La figure 7 représente l’architecture réseau que l’on va implémenter. On y distingue :

 Internet représente le réseau externe, auquel l'entreprise est reliée par le routeur du
fournisseur d'accès.
 Une DMZ (zone démilitarisée) qui contient les serveurs publics de l'entreprise : serveur
proxy, serveur antivirus, serveur de messagerie électronique, le DNS.
 Le réseau local, zone privée et protégée de l'entreprise.

 La haute disponibilité

La haute disponibilité (abrégée HA pour « High Availability ») désigne une architecture


informatique, ou un service, disposant d'un taux de disponibilité convenable. On entend par
disponible le fait d'être accessible et rendre le service demandé. La disponibilité est aujourd'hui
un enjeu très important et qu'en cas d'indisponibilité, les répercussions en termes de coûts et de
production peuvent avoir un effet catastrophique. [B1]

 DMZ

29
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (un
serveur de messagerie, un serveur FTP, etc.), il est souvent nécessaire de créer une nouvelle
interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans
pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de « zone
démilitarisé » pour désigner cette zone isolée hébergeant des applications mises à disposition
du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau
hostile. Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position
d'avant-poste dans le réseau de l'entreprise. La politique de sécurité mise en œuvre sur la DMZ
est généralement la suivante :

 Trafic du réseau externe vers la DMZ autorisé.


 Trafic du réseau externe vers le réseau interne interdit.
 Trafic du réseau interne vers la DMZ autorisé.
 Trafic du réseau interne vers le réseau externe autorisé.
 Trafic de la DMZ vers le réseau interne interdit.
 Trafic de la DMZ vers le réseau externe refusé.

Installation et configuration de pfSense


On installe pfSense comme un OS classique sur VMware, seule particularité : la configuration
réseau, en effet, il faut paramétrer quatre cartes réseaux sur notre pfSense, car j’ai une interface
pour le réseau local, une pour le réseau externe, une pour la DMZ. Avant de se lancer dans la
configuration de pfSense, il faut configurer les VMnet de VMware Workstation. Les VMnet
sont des switches virtuels qui permettent de fournir trois modes de connexion :

 Le mode Host-Only qui permet de connecter des machines virtuelles entre-elles ou/et
avec la machine physique.
 Le mode Bridged qui permet de connecter une machine virtuelle au réseau externe.
 Le mode NAT qui permet de se cacher derrière la machine physique et de partager sa
connexion internet avec la machine virtuelle.
Donc, si en réalité pour connecter plusieurs machines physiques on doit les brancher dans
le même switch, dans VMware, pour connecter des machines entre-elles, il faut les mettre
dans le même VMnet. La configuration des VMnet se fait grâce à l'outil "Virtual Network
Editor" qui vient avec l'installation de VMware Workstation. On a besoin de 3 réseaux C1,
C2 et C3, on utilisera donc 3 Vmnet (switches virtuels), soit Vmnet 0, 10 et 11.

Une fois pfSense installé, on doit paramétrer les interfaces. [B3]

30
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

PfSense Master

Figure 5 : Interface de pfSense Maître

PfSense Slave

Figure 6 : Interface de pfSense esclave

On lance l’interface web de configuration à travers un poste de client. Au niveau de la barre de


navigation, on tape https://adresse-ip-lan. Ensuite, on doit s'authentifier pour accéder à
l'interface de pfSense.
Exemple : pour pfSense Master, on tape http://192.168.10.1

31
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 7 : Interface de pfSense Maître

PfSense Master

Figure 8 : Adressage réseau du pfSense Maître

PfSense Slave

Figure 9 : Adressage réseau du pfSense esclave

32
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

D’abord, nous allons configurer les interfaces virtuelles, pour la haute disponibilité. Sur le
firewall Maitre, je me rends dans l’onglet « Virtual IPs » juste à côté de « CARP Settings ».
J’ajoute alors une interface virtuelle en cliquant sur le « + ». On choisit la case « CARP » et
sélectionnons l’interface qui va être considéré comme interface virtuelle (ici WAN). Ensuite,
j’entre l’adresse IP Virtuelle que se partagerons les deux firewalls sur cette interface (ici
192.168.1.100), et la valeur 0 veut dire que notre pfSense est primaire.

Figure 10 : Adresse IP virtuelle du WAN côté Maître

Nous avons répété la même chose pour l’interface LAN avec une adresse IP virtuelle
192.168.10.3 et l’interface DMZ avec une adresse IP virtuelle 192.168.40.3 sur le firewall
maître. Ensuite on part sur le firewall esclave, et on faire les mêmes étapes à défaut de
remplacer la valeur 0 du Skew pour que notre pfSense soit secondaire.

33
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 11 : Adresse IP virtuelle du WAN côté esclave

Nous avons répété la même chose pour l’interface LAN avec une adresse IP virtuelle
192.168.10.3 et l’interface DMZ avec une adresse IP virtuelle 192.168.40.3 sur le firewall
esclave avec le Skew 100.

Configuration du NAT

On se rend sur le pfSense maître, on va dans Firewall puis l’onglet « NAT », puis Outbound et
cliquer sur « Hybrid Outbound Nat » qui permet de créer les règles automatiquement.

Figure 12 : Configuration du NAT

Configuration de la synchronisation

34
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

On va sur l’onglet System, on sélectionne « High Availability Sync » on aura le « XMLRPC


Sync » à configurer qui permet la synchronisation de la configuration et « pfsync » est un
protocole qui permet de synchroniser l’état en cours de deux serveurs pfSense. Je vais
introduire l’IP du firewall Esclave dans « pfsync Synchronise peer IP » et « Synchronize Config
to IP ». Ainsi, le compte admin et le mot de passe du firewall esclave respectivement dans «
Username » et « Password ».

Figure 13 : Configuration de la synchronisation

Vérification de la redondance

Sur le pfSense maître

35
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 14 : Statut du CARP sur le maître

Sur le pfSense esclave

Figure 15 : Statut du CARP sur l'esclave

Le serveur proxy
a) Mise en place du serveur proxy sur pfSense

Figure 16 : Maquette de mise en place de Squid

36
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Le serveur mandataire Squid et SquidGuard existent sous pfSense sous forme de paquet à
installer.[20]

Figure 17 : Installation du serveur Squid

Figure 18 : Installation de SquidGuard

 Configuration de Squid

Une fois Squid et SquidGuard ont été installés, je vais configurer maintenant les paramètres du
serveur proxy. Je choisis Services > Proxy Server. Dans l'onglet Général, on définit les
paramètres suivants : l'option d'interface proxy doit être réglé sur "LAN", et parce qu’on veut
que Squid fonctionne avec authentification des clients, on choisit « Allow users on interface ».
Squid utilise par défaut le port 3128, mais dans notre cas on va utiliser le port 3128.

37
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 19 : Configuration de Squid sur pfSense

38
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 20 : Configuration de Squid sur pfSense

Ensuite, on choisit l’onglet « local cache », par défaut, la taille du disque dur cache est réglé
sur 100Mb, Mais on peut l’augmenter et cela dépendra de la taille de notre disque.

Figure 21 : Configuration de Squid sur pfSense

39
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

 Configuration de SquidGuard

Figure 22 : Configuration de SquidGuard sur pfSense

Maintenant que nous avons terminé avec les paramètres de base, les listes noires et les listes
blanches sont manquantes. L'URL de la liste noire est déjà donnée. Maintenant, nous devons
les télécharger dans l'onglet « Blacklist ».

Figure 23 : Téléchargement des blacklist et whitelist

Afin de s'assurer que notre filtre fonctionne, nous définissons maintenant plusieurs catégories
cibles. Pour ce faire, ouvrez l'onglet « Catégories cibles » et cliquez sur Ajouter. Nous créons
une liste blanche de tous les noms de domaine que nous autorisons explicitement. Ce serait par
exemple tous les domaines Google, car nous bloquerons tous les autres moteurs de recherche
afin d'empêcher l'utilisateur de contourner la fonction Safe-Search configurée ci-dessus.

40
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 24 : la liste de moteur de recherche autorisé

La dernière étape pour le moment est d'établir quelques règles. Nous le faisons dans l’onglet
Common ACL. Cliquez ensuite sur le signe « + » dans « Target Rules List » pour ouvrir une
liste des différents jeux de règles.

Figure 25 : les règles de catégories

Puis on repart sur General Settings, et on valide

41
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 26 : Validation des règles de blacklist

 Tester la configuration

Tout est configuré pour les connexions http et https et nous pouvons tester la configuration.

Figure 27 : Compte utilisateur et site bloqués

. Proxy transparent pour les connexions https

Nous activons d'abord le proxy transparent pour HTTPS. Pour ce faire, ouvrez les paramètres
du proxy sous Services → Squid Proxy Server et sélectionnez les paramètres suivants dans
la section SSL Man in the Middle Filtering :

42
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 28 : Configuration de Squid

Test de la configuration https

Figure 29 : Site bloqué en https

 Configuration de Lightsquid

Lightsquid est un journal de logs, il existe sous forme de paquet sur pfSense et son installation
se fait de la manière que le serveur Squid et SquidGuard. On va dans les paramètres

Status->Squid Proxy Reports.

43
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 30 : Configuration de Lightsquid

 Test de configuration de Lightsquid

44
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 31 : Rapport du journal utilisateur

. Les détections et préventions des intrusions


 Installation et configuration du Snort

Après l’avoir installé comme un paquet sur pfSense.

Figure 32 : Saisie de l'oinkcode

45
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Il faut d’abord aller sur le site (www.snort.org) ensuite il faut s’inscrire pour avoir un compte
chez Snort et vous verrez sur le panel de droite le code pour activer les règles de Snort.

Figure 33 : Identification sur Snort

Après avoir mis le code on active tous les règles pour les alertes comme les ET rules et les
règles de la communauté Snort (Snort GPLv2).

Figure 34 : Activation des règles Snort

Pour mettre tout ça à exécution on y va sur updates et on appuie sur le bouton Update Rules.

46
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 35 : Mise à jour des règles Snort

Pour la partie qui suit nous allons créer l’interface à surveiller en allant sur Snort interfaces et
en appuyant sur le bouton Add. Après avoir créée une interface par défaut nous pouvons choisir
celle qu’on veut soit le WAN ou le LAN mais dans notre cas nous souhaitons surveiller les
ordinateurs de notre réseau local alors on choisira l’interface LAN et on suivra avec les réglages
avec les paramètres suivantes.

NB : L’interface par défaut c’est le WAN on choisit celle qui convient à nos besoin le LAN.

Figure 36 : Activation des logs

47
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Après avoir fait toutes nos configurations sur l’onglet interfaces en appuyant sur Save on passe
sur l’onglet LAN Rules pour voir les différentes règles qu’on va mettre en œuvre pour émettre
des alertes. On va seulement tester avec le trafic http pour voir si ça marche ensuite on appuie
sur Save pour tout sauvegarder.

Figure 37 : Vue des règles Snort

Nous choisissions de rédiger des règles avec des plus de détails et de précisions en choisissant
les pings voir s’ils seront détectés en émettant des alertes. Pour ce faire on choisit de mettre
dans le réseau local un autre ordinateur pour faire les attaques.

Figure 38 : Ecriture des règles Ping

48
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Notre règle est composée des éléments :

Alert : signifie la règle d’émettre une alerte ça pouvait aussi être drop qui veut dire bloquer
ICMP : le protocole

Any : le premier c’est l’adresse source et le deuxième le numéro de port et le troisième aussi
192.168.10.0/24 : l’adresse réseau du LAN.

Msg : c’est le message qui sera affiché avec les alertes.

Sid : c’est comme le numéro d’identification.

Classtype : représente le type d’évènement.

Tout ceci signifie que peu importe d’où vient le ping que ça soit externe ou interne au réseau
local s’il est destiné à une des adresses du réseau local une alerte sera émise.

 Test de configuration

Maintenant, on fera un ping sur une machine kali et on va voir ce qui se passe

Figure 39 : Ping de la machine Kali vers la machine pfSense

On voit bien que des alertes sont émises on voit aussi l’adresse source (@ machine kali et
l’adresse de destination (adresse de l’interface LAN de la machine pfSense).

49
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 40 : Détection des pings par Snort

Pour confirmer l’efficacité de notre IDS Snort on va faire un deuxième test mais cette fois-ci
avec les connexions ftp.

Figure 41 : Écriture de la règle FTP

Appuyer sur Save pour la validation.

Sur kali

Figure 42 : Tentative d'accès de la machine kali vers Windows

50
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 43 : Détection de la connexion FTP de la machine Kali

 Installation de Suricata
C’est un paquet intégré dans pfSense.

Figure 44 : Installation de Suricata

Maintenant qu’on a installé Suricata, on va faire la configuration en utilisant le même oinkcode


que Snort.

Figure 45 : Activation des règles Suricata

51
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 46 : Saisie du Oinkcode et des fichiers de règles

Maintenant nous allons dire à l’ordinateur les intervalles de temps pour les mises à jour et le
temps auquel il faudra bloquer la machine.

Figure 47 : Configuration des intervalles de mise à jour des règles.

52
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Ensuite on appuie sur save pour valider la configuration, puis on part sur l’onglet Updates pour
confirmer la mise à jour des règles Suricata.

Figure 48 : Mise à jour des règles Suricata.

Nous allons sur Suricata, en ajoutant notre interface (LAN) à surveiller avec les différents
réglages.

Figure 49 : Ajout de l'interface à surveiller

53
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 50 : Configuration de l'interface LAN sur Suricata.

Nous allons maintenant sur LAN Categories, pour les différentes règles téléchargées

54
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 51 : Configuration du mode IPS de Suricata

Figure 52 : Affichage des règles de Suricata

Par la suite, nous allons créer nos propres règles sur Suricata

55
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 53 : Ecriture des règles de blocage sous Suricata

N’oubliez pas d’appuyer Save pour la validation.

Je teste avec la machine kali

Figure 54 : Scan sur kali

On voit qu’après avoir fait notre scan avec la machine Kali surtout il bloque la machine et on
voit que pendant le scan il ne voit pas la machine pfSense c’est tout l’intérêt du firewall.

56
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 55 : Affichage des détections de Scan par Suricata

Portail captif avec authentification radius


Tout d’abord, on a créé un contrôleur de domaine fonctionnel et ensuite nécessite la connexion
entre le serveur FreeRadius et la base de données Active Directory :

Figure 56 : Connexion de FreeRadius et AD

Puis la création des utilisateurs :

57
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

Figure 57 : Interface compte utilisateur

La figure 58 présente une interface d’authentification permettant aux utilisateurs de l’entreprise


s’authentifier avant de connecter au navigateur.

Figure 58 : Page d'authentification

58
.
Mémoire de Cycle d’Ingénieur en Conception des Télécommunications

CONCLUSION
Ce mémoire consiste à mettre en place une architecture réseau sécurisée qui a pour objectif de
renforcer la sécurité réseau des entreprises.

Ce travail consistait en premier lieu à l’étude des besoins pour une architecture réseau sécurisée
pour une entreprise pour trouver une solution à chaque besoin et parer à toute éventuelle
menace.

Dans ce projet, nous avons procédé à une étude des outils open source et commerciaux chargés
de défendre les ressources d’un système d’information afin d’assurer la haute disponibilité et
empêcher les personnes malveillantes ayant l’intention de s’introduire dans un système
d’information pour exploiter les failles de sécurité.

Nous faisons appel à une installation et une configuration des mécanismes, des services, et des
procédures que nous avons des solutions ou mesures de sécurité : Firewall, le serveur proxy, le
système de détection d’intrusion, un portail captif.

Bien évidemment, nous avons rencontré plusieurs difficultés durant la réalisation du travail
essentiellement lors de la configuration du firewall proxy SquidGuard avec l’absence quasi-
totale de toute documentation technique. De plus la plupart des versions souffraient de
plusieurs anomalies (bugs) et de dépendances avec des versions spécifiques de librairies.

Nous tenons à dire que ce projet m’a permis de prendre conscience des menaces et des risques
du réseau informatique.

Du point de vue général, ce projet m’a permis d’acquérir un savoir non négligeable et
d’améliorer notre aptitude à communiquer, collaborer et s’adapter avec un environnement
professionnel.

Du point de vue perspectif, le travail est encore à évoluer pour augmenter la performance de
cette solution en intégrant les nouvelles technologies.

59
.
Mémoire en Cycle d’ingénieur en Conception des Télécommunications

BIBLIOGRAPHIE
[B1] Mise en place d’une solution de sécurité open source - UVT e-doc. (2019). ALOUI,
Aymen. http://pf-mh.uvt.rnu.tn/1075/ consulté le 25/08/2021 pp.19-25.

[B2] Mémoire Online - Conception et déploiement d’une architecture réseau sécurisée : cas
de SUPEMIR - Angeline Kone. (2011). Mémoire Online.
https://www.memoireonline.com/11/11/4952/Conception-et-deploiement-dune-architecture-
reseau-securisee--cas-de-SUPEMIR.html consulté le 10/06/2021 pp.20-22

[B3] Boucherba, K. (2017, 28 mai). Mise en place d’un pare-feu d’entreprise open source
PfSense. Mise en place d’un pare-feu d’entreprise open source PfSense. http://www.univ-
bejaia.dz/dspace/handle/123456789/558 consulté le 27/08/2021 pp.23-30

VIII
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

WEBOGRAPHIE
[1] S. (2020a, avril 17). Les Fonctions de Hachage. Copyright © SecuriteInfo.com.

https://www.securiteinfo.com/cryptographie/hash.shtml consulté le 29/07/2021 à

21h07

[2] Wikipedia contributors. (2021, 14 mars). Logiciel antivirus. Logiciel antivirus.

https://fr.wikipedia.org/wiki/Logiciel_antivirus consulté le 30/07/2021 à 21h23

[3] de Futura, L. R. (2020). Firewall : qu’est-ce que c’est ? Futura. https://www.futura-

sciences.com/tech/definitions/internet-firewall-474/ consulté le 30/07/2021 à 22h49

[4] J. (2020a). Systèmes de détection d’intrusion (IDS). CommentCaMarche.

https://www.commentcamarche.net/contents/237-systemes-de-detection-d-intrusion-

ids consulté le 30/07/2021 à 22h15

[5] J. (2020b). Systèmes de prévention d’intrusion (IPS). CommentCaMarche.

https://www.commentcamarche.net/contents/238-systemes-de-prevention-d-intrusion-

ips consulté le 30/07/2021 à 23h00

[6] Les listes d’accès ACLs. (2000). ACL.

https://www.technologuepro.com/reseaux/Configuration-des-ACLs/les-ACLs.html

consulté le 14/08/2021 à 16h41

[7] B. (2002). VLAN - Réseaux virtuels. CommentCaMarche.

https://www.commentcamarche.net/contents/543-vlan-reseaux-virtuels consulté le

14/08/2021 à 18h03

[8] M. (2011, 18 mai). Les différents types de Réseau(LAN,WAN et MAN). COURS

D’INFORMATIQUE.

IX
.
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

http://saliminformatik.canalblog.com/archives/2011/05/18/21165813.html consulté le

11/08/2021 à 12h59

[9] Pillou, J. (1998). Types de réseaux. 1998 by Jean-François Pillou.

https://web.maths.unsw.edu.au/%7Elafaye/CCM/initiation/types.htm consulté le

11/08/2021 à 13h54

[10] Tout ce qu’il faut savoir sur les équipements réseau. (2019, 24 juillet). Blog de Netwrix.

https://blog.netwrix.fr/2019/07/24/tout-ce-quil-faut-savoir-sur-les-equipements-

reseau/ consulté le 15/08/2021 à 22h40

[11] Wikipedia contributors. (2021b, juillet 15). Cisco ASA. Wikipedia.

https://en.wikipedia.org/wiki/Cisco_ASA consulté le 23/08/2021 à 13h37

[12] Palo Alto Networks. (2020, 21 septembre). NETsatori. https://www.netsatori.com/palo-

alto-networks/ consulté le 23/08/2021 à 13h53

[13] SonicWall use cases of deployment-ready solutions. (2019, 25 mars). SonicWall.

https://www.sonicwall.com/solutions/use-cases/ consulté le 23/08/2021 à 13h57

[14] CONNECT https://www.brain networks.fr/partenaire/stonesoft/ consulté le 23/08/2021 à


14h00

[15] Wikipedia contributors. (2021c, septembre 16). PfSense.

https://fr.wikipedia.org/wiki/PfSense consulté le 23/08/2021 à 14h51

[16] Endian SRL. (2000). Open Source UTM and Firewall | Endian Firewall Community.

Endian. https://www.endian.com/community/ consulté le 23/08/2021 à 14h55

[17] Wikipedia contributors. (2020, 7 juin). OpenLDAP. OPENLDAP.

https://fr.wikipedia.org/wiki/OpenLDAP consulté le 23/08/2021 à 16h13

[18] Wikipedia contributors. (2019b, mai 11). Squid (logiciel). Squid.

https://fr.wikipedia.org/wiki/Squid_(logiciel) consulté le 23/08/2021 à 16h14

X
.
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

[19] Wikipedia contributors. (2021d, septembre 16). PfSense.

https://fr.wikipedia.org/wiki/PfSense consulté le 23/08/2021 à 16h20

[20] B. (2021, 3 avril). pfSense : Proxy Transparent Filtrage Web URL Squid SquidGuard.

PC2S - Bubu. https://www.pc2s.fr/pfsense-proxy-transparent-filtrage-web-url-squid-

squidguard/ consulté le 23/08/2021 à 00h30

XI
.
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

TABLE DES MATIERES


INTRODUCTION ...............................................................................................................................................1

Chapitre 1 : CONTEXTE GENERAL ...................................................................................................................2

1.1 Présentation de la structure 4ITSEC ......................................................................................3

Historique ............................................................................................................ 3

Objectifs .............................................................................................................. 3

1.2 Présentation du sujet ............................................................................................................3

Problématique ...................................................................................................... 3

Objectif général ................................................................................................... 4

Objectifs spécifiques ........................................................................................... 5

Hypothèses .......................................................................................................... 5

Chapitre 2 : ETAT DE L’ART .............................................................................................................................6

2.1 La sécurité des réseaux et des systèmes...............................................................................7

Définition de la sécurité des réseaux ................................................................... 7

Rôle et objectifs de la sécurité des réseaux ......................................................... 7

Terminologies de la sécurité informatique .......................................................... 8

Les attaques réseaux ............................................................................................ 8

Conduire une politique de sécurité réseau ........................................................... 9

Le contrôle d’accès réseau ................................................................................ 10

Les méthodes de contrôle d’accès ..................................................................... 10

Les listes de contrôle d’accès (ACL) ................................................................ 12

Les protocoles.................................................................................................... 13

2.2 Présentation des solutions de la sécurité réseau................................................................13

Les solutions de contrôle d’accès commerciales ............................................... 14

Les solutions de contrôle d’accès libre.............................................................. 14

2.4 Choix d’une solution de contrôle d’accès au réseau ................................................... 15

XII
.
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

2.4.2 Synthèse ................................................................................................................... 16

2.5 Présentation de quelques outils de pfSense ....................................................... 17

2.6 Synthèse............................................................................................................. 18

Chapitre 3 : ANALYSE DES BESOINS ET ETUDE CONCEPTUELLE....................................................................21

3.1 Analyse des besoins ............................................................................................................22

Etude l’existant .................................................................................................. 22

3.2 Spécification des besoins ....................................................................................................22

Les besoins fonctionnels ................................................................................... 22

3.2.2 Modélisation des besoins fonctionnels .............................................................. 24

Chapitre 4 : MISE EN PLACE DE LA SOLUTION ET EVALUATION ...................................................................27

4.1 Environnement de travail....................................................................................................28

Environnement matériel .................................................................................... 28

Environnement logiciel ..................................................................................... 28

4.2 Mise en place de la solution................................................................................................28

Infrastructure de déploiement ............................................................................ 28

Installation et configuration de pfSense ............................................................ 30

Le serveur proxy ................................................................................................ 36

. Les détections et préventions des intrusions ................................................... 45

Portail captif avec authentification radius ......................................................... 57

CONCLUSION.................................................................................................................................................59

BIBLIOGRAPHIE ........................................................................................................................................... VIII

WEBOGRAPHIE...............................................................................................................................................IX

TABLE DES MATIERES ................................................................................................................................... XII

XIII
.
Mémoire en Cycle d’Ingénieur en Conception des Télécommunications

RÉSUMÉ :
Les pares-feux sont devenus très populaires en tant qu’outils de sécurité pour les réseaux. Un
pare-feu offre au système une protection d’un réseau interne, contre un certain nombre
d’intrusions venant de l’extérieur, grâce à des techniques de filtrage rapides et intelligentes.
L’objectif de ce travail est une étude et mise en place d’une architecture réseau sécurisée basée
sur un pare-feu/ routeur pfSense open source pour le cabinet d’audit en sécurité d’information
4ITSEC-AFRICA, en faisant appel à des services, des mécanismes, des outils et des procédures
que l’on nomme communément ‘solutions’ ou ‘mesure de sécurité’. Pour répondre à cette
problématique, une expérience incluant la soumission d’un guide d’entretien, des recherches
documentaires, ainsi que l’observation, a été conduite. Les réponses récoltées montrent que le
réseau informatique de ladite entreprise fait face à de nombreux problèmes, allant du partage
des ressources à la sécurité. Ce document contient les concepts clés de base de l’architecture
réseau et la sécurité des réseaux. Notre travail a démontré que la mise en place d’une
architecture réseau basée sur un pare-feu pfSense arrivait à résoudre les problèmes que
rencontre l’entreprise 4ITSEC-AFRICA.

Abstract:
Firewalls have become very popular as security tools for networks. A firewall provides the
system with protection of an internal network against a number of intrusions from the outside,
using fast and intelligent filtering techniques. The objective of this work is a study and
implementation of a secure network architecture based on an open source pfSense
firewall/router for the information security audit firm 4ITSEC-AFRICA, using services,
mechanisms, tools and procedures that are commonly called 'solutions' or 'security measures'.
To address this issue, an experiment involving the submission of an interview guide, desk
research, and observation was conducted. The answers collected show that the computer
network of the said company faces many problems, ranging from resource sharing to security.
This document contains the basic key concepts of network architecture and network security.
Our work has shown that the implementation of a network architecture based on a pfSense
firewall was able to solve the problems faced by the company 4ITSEC-AFRICA.

XIV
.