Vous êtes sur la page 1sur 42

INFORMATIQUE ET

TELECOMMUCATIONS

AMÉLIORATION DE LA
SÉCURITÉ DE
L’ARCHITECTURE

RÉSEAU DU RECTORAT DE L’UNIVERSITÉ DE MAROUA

Mémoire présenté et soutenue en vue de l’obtention du Diplôme


d’INGÉNIEUR DE CONCEPTION EN INFORMATIQUE OPTION
RÉSEAU
Par
ASSOA MEBINA Donald
Matricule : 18A0520P
Licence en Architecture et Réseaux

Sous la direction de
Dr OUMAROU Mamadou Bello
Chargé de cours
Devant le jury composé de :
Président :
Rapporteur : Dr OUMAROU Mamadou Bello

Examinateur :
Invité :

Année académique 2019/2020


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

DEDICACE

Je dédie ce travail à ma Mère

NGASSA MARIE CELINE

RÉDIGÉ PAR ASSOA MEBINA DONALD I


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

REMERCIEMENTS

La réalisation de ce travail n’aurait pu être possible sans le concours d’un certain

nombre de personnes à qui, il faut d’abord montrer toute gratitude. Il s’agit :

 Du pour avoir accepté de présider le jury de

ma soutenance.

 De mon encadreur, Dr OUMAROU Mamadou Bello, pour son entière disponibilité, ses

précieux conseils et directives sans lesquels ce travail n’aurait pu aboutir.

 Du chef du département, Dr KALADZAVI qui nous a encadrés pendant la formation et

pendant le stage et surtout pour ses précieux conseils d’une valeur très capitale pour nous.

RÉDIGÉ PAR ASSOA MEBINA DONALD II


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

 Des enseignants du département d’INFOTEL et plus particulièrement à M. TERDAM

Valentin, qui en plus de ses heures de cours, a été d’une oreille attentive à toutes mes

préoccupations.

 Mes camarades et amis dont la collaboration m’a été d’un grand apport, en particulier à

NGNINTEDEM TEUKENG Jim Carlson pour son soutien au quotidien.

J’adresse également mes sincères remerciements à toute ma famille, à tous mes frères et

sœurs qui ont toujours cru en moi et en ce que je fais et ne m’ont jamais lâché, en particulier à

mon père MEBINA EBE Simon et mon grand frère EBE MEBINA BONAVANTURE

Magloire pour leurs soutiens au quotidien.

Que toute autre personne qui de près ou de loin a contribué à la réalisation de ce

travail, puisse reconnaître dans ces propos, l’expression de ma profonde gratitude.

TABLE DES MATIÈRES

DEDICACE.................................................................................................................................................i
REMERCIEMENTS..................................................................................................................................ii
LISTES DES SIGLES ET ABRÉVIATIONS..........................................................................................vi
RÉSUMÉ..................................................................................................................................................viii
ABSTRACT...............................................................................................................................................ix
LISTE DES TABLEAUX...........................................................................................................................x
LISTE DES FIGURES..............................................................................................................................xi
INTRODUCTION GÉNÉRALE.............................................................................................................12
CHAPITRE 1 :  CONTEXTE ET PROBLÉMATIQUE.......................................................................13
Introduction..........................................................................................................................................13

RÉDIGÉ PAR ASSOA MEBINA DONALD III


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

I.1 Présentation de l’Université de Maroua........................................................................................13


I.1.1 Localisation...............................................................................................................................13
I.1.2 Création....................................................................................................................................14
I.1.3 Les missions et les valeurs de l’Université de Maroua..........................................................14
I.1.4 Devise et valeurs de l'Université de Maroua..........................................................................14
I.1.5 Établissements et facultés de l’Université de Maroua...........................................................14
I.1.6 Présentation des différents établissements de l’Université de Maroua................................14
I.2 Présentation du lieu de stage........................................................................................................16
I.2.1 Laboratoire de l’ENSPM.........................................................................................................16
I.2.2 Cellule informatique du RECTORAT....................................................................................17
I.3 Contexte et Problématique.............................................................................................................18
I.3.1 Contexte....................................................................................................................................18
I.3.2 Problématique..........................................................................................................................18
I.3.3 Objectifs....................................................................................................................................18
I.3.4 Méthodologie............................................................................................................................19
Conclusion.............................................................................................................................................19
CHAPITRE 2 : GÉNÉRALITE SUR LA SÉCURITÉ DES RÉSEAUX INFORMATIQUES..........20
Introduction..........................................................................................................................................20
II.2 Notion de sécurité informatique...................................................................................................20
II.2.1 Historique................................................................................................................................20
II.2.2 Définition et but de la sécurité informatique........................................................................20
II.3 Risques, Menaces et Politique de sécurité....................................................................................21
II.3.1 Risques....................................................................................................................................21
II.3.2 Menaces...................................................................................................................................21
II.3.3 Politique de sécurité...............................................................................................................22
II.4 Services de la sécurité....................................................................................................................22
II.4.1 Confidentialité........................................................................................................................22
II.4.2 Intégrité...................................................................................................................................22
II.4.3 Authentification......................................................................................................................23
II.4.4 Non-répudiation......................................................................................................................23
II.4.5 Disponibilité............................................................................................................................23
II.5 Failles de sécurité sur internet......................................................................................................23

RÉDIGÉ PAR ASSOA MEBINA DONALD IV


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

II.5.1 Méthodes utilisées par les attaquants....................................................................................23


II.5.2 Principales attaques................................................................................................................24
II.6 Mécanismes de sécurité.................................................................................................................25
II.6.1 Chiffrement.............................................................................................................................25
II.6.2 Signature des données............................................................................................................25
II.6.3 listes Contrôle d’Accès...........................................................................................................25
II.6.4 Mots de passe..........................................................................................................................26
II.7 Autres moyens de sécurités...........................................................................................................26
II.7.1 les pares-feux..........................................................................................................................26
II.7.2 Les VLANs..............................................................................................................................27
II.7.3 Crypto-système.......................................................................................................................28
II.7.3 Les IPS/IDS.............................................................................................................................28
Conclusion.............................................................................................................................................28
CHAPITRE 3 : CONCEPTION ET MISE EN PLACE D’UN OUTIL DE SÉCURITÉ....................29
Introduction..........................................................................................................................................29
III.1 Analyse de l’existant....................................................................................................................29
III.1.1 Etude de l’existant.................................................................................................................29
III.1.3 Politique de sécurité..............................................................................................................32
III.1.4 Critique de l’existant............................................................................................................32
III.2.1 Définition...............................................................................................................................33
III.2.2 Analyse des besoins...............................................................................................................33
III.3 Architecture et description des zones.....................................................................................34
III.3.1 Architecture...........................................................................................................................34
III.3.2 Description de l’architecture................................................................................................35
III.4 Plans d’adressage.........................................................................................................................35
III.4.1 Description.............................................................................................................................35
III.4.2 Découpage en sous réseau.....................................................................................................36
III.4.3 Récapitulatif du plan d’adressage........................................................................................37
III.5 Choix des solutions techniques....................................................................................................37
III.5.1 Choix du contrôleur de domaine..........................................................................................37
III.5.2 Choix du pare-feu.................................................................................................................38
III.5.3 Choix des logiciels de virtualisation.....................................................................................38

RÉDIGÉ PAR ASSOA MEBINA DONALD V


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

III.5.4 Choix du système d’exploitation à installer........................................................................39


Conclusion.............................................................................................................................................39

LISTES DES SIGLES ET ABRÉVIATIONS


AC :
ACL : Access Control List
AD DS : Active Directory Domain Services
CF :
AGEPD : Agriculture Elevage et Produits Dérivés
ANTIC : Agence Nationale des Technologies de l’Information et de la communication
CAMTEL : Cameroun Télécommunication
DAAC : Direction des Affaires Académiques et de la Coopération
DAAC : Direction des Affaires Administatives et Financière

RÉDIGÉ PAR ASSOA MEBINA DONALD VI


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

DNS : Domain Name system


DoS : Déni de Service  
ENREN : Energie Renouvelables
ENS : École Normale Supérieure
ENSPM : École Nationale Supérieure Polytechnique de Maroua
FAI : Fournisseur d’Accès Internet
FALSH : Faculté des Lettres et des Sciences Humaine
FMIP : Faculté des Mines et des Industries Pétrolières
FS : Faculté des Sciences
FSEG : Faculté des Sciences Économiques et de Gestion
FSJP : Faculté des Sciences Juridiques et Politiques
GCA : Génie Civile et Architecture
GTC : Génie Textile et Cuire
HTTP : HyperText Transert Protocol
HTTPS: HyperText Transert Protocol Secure
HYMAE : Hydraulique et Maitrise des Eaux
INFOTEL : Informatique et Télécommunications
ISO : International Organization for Standardization
NAT : Network address translation
SCIENV : Sciences Environnementales
SG : Sécrétariat Générale
TCP/IP : Tranmission Control Protocol/Internet Protocol
TCP/UDP : Transmission control Protocol /User Datagram Protocol
UMa : Université de Maroua
VLAN : Virtual local area network
VR/CIE :
VR/EPDTIC :
VR/RCRME :

RÉDIGÉ PAR ASSOA MEBINA DONALD VII


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

RÉSUMÉ
Le présent rapport décrit le travail réalisé à l’Université de Maroua (UMa) et
particulièrement au RECTORAT dans le cadre du projet de fin d’études en vue de l’obtention du
Diplôme d’Ingénieur de Conception en Réseau Informatique de l’Ecole Nationale Supérieure
Polytechnique de Maroua. Le projet consistait à améliorer la sécurité de l’architecture réseau Du
RECTORAT de l’Université de Maroua. L’objectif étant de filtrer les entrées sorties,
l’authentification des utilisateurs, et la sécurisation des accès aux réseaux pour faciliter les
échanges. Afin d’atteindre ces objectifs, nous avons d’abord proposé une architecture réseau avec
une politique de sécurité associée. Cette politique de sécurité a été mise en place grâce à la
segmentation du réseau en VLANs, la configuration d’un pare-feu, la configuration d’un annuaire
et d’un portail captif. Ensuite il a été question pour nous de faire une étude approfondie du réseau
existant au RECTORAT. A La vue des problèmes rencontré, nous avons proposé une architecture
réseau et grâce à cette architecture nous avons effectué le choix d’un pare-feu, d’un portail captif,

RÉDIGÉ PAR ASSOA MEBINA DONALD VIII


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

d’une solution de détection d’intrusion et d’une solution d’authentification. Une fois les choix
effectués, nous avons déployé la solution en configurant les différents équipements en fonction
de la politique de sécurité que nous avons définie. Les résultats obtenus nous ont permis de
sécuriser le réseau dans sa globalité.

Mots clés : Pare-feu, Architecture Réseau, Sécurité, Virtualisation.

ABSTRACT

Keywords : Firewall, Network Architecture, Security, Virtualization.

RÉDIGÉ PAR ASSOA MEBINA DONALD IX


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

LISTE DES TABLEAUX

Tableau 1 : Connexion internet du RECTORAT et des services centraux..........................................29


Tableau 2 : Matériel de la salle technique du site de Kongola-UMa(rectorat)....................................30
Tableau 3 : Nombre de points d'accès wifi.............................................................................................30
Tableau 4 : Récapitulatif du plan d’adressage.......................................................................................37

RÉDIGÉ PAR ASSOA MEBINA DONALD X


AMÉLIORATION DE LA SÉCURITÉ DE L ‘ARCHITECTURE RÉSEAU DU RECTORAT DE L ‘UNIVERSITÉ DE MAROUA

LISTE DES FIGURES

Figure 1 : Localisation des sites de l’Université de Maroua (source : Google maps)..........................13


Figure 2 : Localisation du laboratoire informatique de l'ENSPM (source : Google maps)................17
Figure 3 : Localisation du RECTORAT (source : Google maps).........................................................17
Figure 7 : Architecture à deployer au RECTORAT..............................................................................34

RÉDIGÉ PAR ASSOA MEBINA DONALD XI


INTRODUCTION GÉNÉRALE

Le LAN encore appelé Local Area Network est un réseau interne permettant
d’échanger les données entre plusieurs machines situées à un rayon bien précis afin de
faciliter la communication. Couramment utilisés dans les entreprises, les réseaux locaux
entreposent souvent des données confidentielles à l'intérieur de l'entreprise. C’est dans ce
cadre que nous avons mis sur pied un réseau dit réseau privé pour le RECTORAT de
l’Université de Maroua. Ce réseau permet d’améliorer la sécurité. La sécurité informatique a
plusieurs objectifs, liés aux types de menaces ainsi qu'aux types de ressources. Néanmoins, les
principaux points sont d’empêcher la divulgation des données ainsi que les ressources du
réseau, et pour cela la préoccupation actuelle consiste à améliorer les échanges et les contrôles
d’accès aux ressources. Dans le cadre de notre projet de fin d’études nous avons effectué un
stage au niveau d’INFOTEL et au RECTORAT de l’Université de Maroua. L’objectif étant
l’amélioration de la sécurité de l’architecture réseaux du RECTORAT de l’Université de
Maroua et d’implémenter une solution. Le présent mémoire est organisé comme suit : le
chapitre 1 présente le contexte, et la problématique de notre projet. Le chapitre 2 porte sur les
généralités liées à la sécurité des réseaux informatique. Dans le chapitre 3, l’accent est mis sur
la conception et la mise en place d’un outil de sécurité en passant par une l’étude de la
solution existant au RECTORAT, le chapitre 4 sera axés sur les configurations, En fin le
dernier chapitre sera basé sur les résultats obtenu et le test des services implémentés.

CHAPITRE 1 :  CONTEXTE ET PROBLÉMATIQUE


Introduction
Dans ce chapitre, nous présentons le contexte lié au projet d’amélioration de l’architecture
réseau existant au RECTORAT de l’Université de Maroua, ensuite nous présenterons la
problématique et pour finir nous allons présenter les objectifs et la méthodologie à suivre pour
résoudre ce problème.

I.1 Présentation de l’Université de Maroua


Placée sous tutelle du Ministre de l’Enseignement Supérieur [w1], l’Université de
Maroua, en abrégé UMa, arrive en septième position sur l’ordre de création et d’ouverture des
Universités d’État au Cameroun.

I.1.1 Localisation
  L’UMa est située dans ville de Maroua, Chef lieu de la Région de l’Extrême-Nord du
Cameroun. L’Institution compte 7 établissements depuis l’année académique 2014/2015 et ses
établissements sont répartis sur plusieurs sites. La figure 1 nous présente le plan de
localisation des différents établissements de l’Université de Maroua.

Figure 1 : Localisation des sites de l’Université de Maroua (source : Google maps)

I.1.2 Création
L’Université de Maroua a été crée par décret présidentiel n° 2008/280 du 09 Août
2008. Après la phase de mise en place de l’Université de Maroua, les responsables de cette
institution ont désormais une nouvelle feuille de route. Elle leur a été prescrite le 21 mars
2013 lors de l’installation du personnel nommé par le ministre de l’Enseignement supérieur.

I.1.3 Les missions et les valeurs de l’Université de Maroua


Les objectifs à atteindre par l’Université de Maroua sont :
 Développer et transmettre les connaissances ;
 Elever au plus haut niveau et au meilleur rythme de progrès jusqu’aux formes
supérieures de la culture et de la recherche ;
 Faciliter l’accès à la formation supérieure à tous ceux qui se sentent appelés et qui en
ont la capacité ;
 Contribuer au service de la communauté et à la promotion sociale et culturelle ;
 Développer la pratique du bilinguisme.

I.1.4 Devise et valeurs de l'Université de Maroua


L’Université de Maroua est une jeune institution universitaire publique du Cameroun.
Pour créer sa place dans le monde des Universités, l’UMa s’est donnée une vision : être à
moyen et à long termes, un pôle d’excellence sous régionale en matière de recherche,
d’enseignement et d’appui au développement. Elle souhaite que ses étudiants formés, soient
parmis les plus compétitifs sur le marché de l’emploi et qu’à travers eux, l’UMa puisse
rayonner sur le plan international. Ainsi La devise de l’UMa est "Science, Sagesse, Service"
et ses valeurs se résument comme suit : "Éthique, Solidarité, Tolérance".

I.1.5 Établissements et facultés de l’Université de Maroua


L’UMa comprend sept établissements dont quatre Facultés et trois Grandes Écoles, les
différentes facultés sont : FALSH, FS, FSJP et la FSEG. Les trois grandes écoles sont :
l’ENS, l’ENSPM et en fin la FMIP.

I.1.6 Présentation des différents établissements de l’Université de Maroua


Dans cette section nous présentons les 7 faculté de l’Université de Maroua [w1].
C’est-à-dire : la FALSH, la FS, la FSJP, la FSEG, l’ENS, l’ENSPM et la FMIP.

 La FALSH (Faculté des Arts Lettres et des Sciences Humaines)


Elle a été créée par décret présidentiel, N ° 2013/333 du 13 septembre 2013.
Fonctionnelle depuis la rentrée académique 2013/2014, elle compte 11 Départements. Elle
forme les étudiants dans différentes langues (français, anglais, espagnol, allemand, etc.) et les
lettres.

 La FS (Faculté des Sciences)

 C’est un établissement d’environ 100 enseignants chercheurs, accompagné de personnels


administratifs et techniques pour faire progresser la recherche et transmettre le savoir aux
étudiants du niveau Licence au niveau Doctorat qui seront intégrés à la vie et aux activités de
ces laboratoires progressivement tout au long de leur cursus. Les enseignements sont
dispensés dans 5 départements. Ceux-ci couvrent toutes les disciplines scientifiques tels que
l'informatique, les mathématiques, la mécanique, les sciences biologiques, les sciences
environnementales, les sciences pour l'ingénierie, les sciences de la matière (physique et
chimie) et les sciences de la terre.

 La FSJP (Faculté des Sciences Juridiques et Politiques)

Elle a été créée par Décret présidentielle, N° 2013/333 du 13 septembre 2013.


Fonctionnelle depuis la rentrée académique 2013 / 2014, cette faculté est constituée de 11
Départements.

 La FSEG (Faculté des Sciences Économiques et de Gestion)


La FSJP offre les formations dans les disciplines suivantes :
 Droit privé
 Droit public
 Sciences politiques
 Théorie du droit, d'épistémologie et de droit comparé

 L’ENS (École Normale Supérieure)

Créée par décret présidentiel n° 2008/282 du 09 août 2008, l’Ecole Normale Supérieure
est le tout premier établissement de l’Université de Maroua. Elle jouit d’une réputation
nationale et sous régionale. L’ENS a déjà formé plus de 18.000 enseignants en activité dans
les lycées et collèges du Cameroun et du Tchad. L’ENS compte 13 départements.
 La FMIP (Faculté des Mines et des Industries Pétrolières)

LA FMIP a été créé par le Décret N° 2013/333 du 13 septembre 2013. Sa principale


mission est de former des cadres de haut niveau dans le domaine de l’exploration et
l’exploitation minières. L’Organisation Académique de l’Institut des Mines et des
Industries Pétrolières se présente de la manière suivante :
 Département des Mines et Carrières ;
 Département d’Exploration Pétrolière et Gazière ;
 Département de Sécurité Industrielle, Qualité et Environnement ;
 Département du Raffinage et de Pétrochimie ;
 Département du Génie Mécanique et Electrique ;
 Département des Sciences fondamentales, de Droit et des Humanités ;
 Département de Transport et de Stockage de Pétrole et de Gaz ;
 Département d’Economie et de Gestion de Pétrole et de Gaz ;
 Département de Production Pétrolière et Gazière.

 L’ENSPM (École Nationale Supérieure Polytechnique De Maroua)


L’ENSPM, fonctionnel depuis le mois de janvier 2010, initialement nommé ISS
(Institut Supérieur du Sahel) et par le décret présidentiel n°2017/350 du 06 juillet 2017 vient
changer la dénomination de l'Institut Supérieur du Sahel et organise l'École Nationale
Supérieure Polytechnique de Maroua est le second établissement de l'Université de
Maroua. Il forme des ingénieurs organisés en 9 départements (AGEPD, MCHP, ENREN, EB,
GTC, HYMAE, INFOTEL, SCIENV, GCA) aptes à valoriser les savoir-faire et les ressources
naturelles et culturelles sahéliennes pour l’auto-emploi et le développement endogène.
I.2 Présentation du lieu de stage
I.2.1 Laboratoire de l’ENSPM
Le laboratoire de l’'ENSPM est un laboratoire du département informatique et
télécommunications de l'ENSPM. C’est dans ce laboratoire que nous avons effectué notre
stage. Le laboratoire est situé à Pitoaré derrière l'hôtel de ville et devant le FECOM venant du
camp militaire. La figure 2 nous présente le plan de localisation du laboratoire de l’ENSPM.
Figure 2 : Localisation du laboratoire informatique de l'ENSPM (source : Google maps)

Il est piloté par le chef de département d’informatique et télécommunications de


l’ENSPM de Maroua. Il est utilisé dans le cadre des projets académiques et travaux
d’informatique et de télécommunications.

I.2.2 Cellule informatique du RECTORAT

Le site de Kongola abrite le rectorat et ses services centraux et l’école normal


supérieur. C’est dans la cellule informatique du rectorat que nous avons effectué une partie
de nôtre stage et nous nous somme focaliser sur la partie sécurité du réseau existant. La
figure suivante est une vue d’ensemble du site de KONGOLA où nous pouvons visualiser les
différents les différents bâtiments et le rectorat.

Figure 3 : Localisation du RECTORAT (source : Google maps)


I.3 Contexte et Problématique

I.3.1 Contexte
Le rectorat comme présenté plus haut se localise dans le site de Kongola et dispose à
son sein d’un accès à internet via le fournisseur Camtel par fibre optique avec un débit de
20Mbits. Il possède également son propre réseau local comme toute les autres facultés et
école de l’université. Cependant, nous notons la présence d’une interconnexion entre les
différentes machines du rectorat, ce qui facilite ainsi les échanges des données, des
messages et la communication du personnel au sein du rectorat. Ces échanges et
communication ne sont pas sécurisé de façon optimale car la difficulté a détecté les
intrusion, l’atteinte à la confidentialité des données, l’accès à certaines ressources du réseau
et la possibilité d’avoir un trafic illicite des paquets sont des problèmes majeurs à prendre en
compte. Ce travail intervient donc dans un contexte où la qualité de services et la protection
constituent un souci majeur. Il est donc indispensable de renforcer les mesures de sécurité
du réseau existant au rectorat dans le but de maintenir la confidentialité, l’intégrité, le
contrôle d’accès et l’authentification pour réduire le risque d’attaque.

I.3.2 Problématique
Au regard des manquements posés plus haut et des problèmes rencontrés par le
RECTORAT, nous nous posons la question de savoir comment améliorer la sécurité de
l’architecture réseau existant au RECTORAT ? De manière spécifique, comment aider le
RECTORAT à sécuriser son intranet ainsi que l’accès à internet à travers son réseau ?
Comment contrôler et authentifier les différents utilisateurs souhaitant accéder au réseau ?
Comment sécuriser les données qui transitent dans le réseau ? Comment améliorer la
communication entre les différents services d’une manière sécurisée au sein du
RECTORAT ?

I.3.3 Objectifs
Notre étude a pour objectif la conception et la mise en place d’un réseau sécurisé qui
pourra répondre aux besoins énumérés plus haut. Ainsi nous pourrons :

 Proposer une architecture réseau avec une politique de sécurité associer ;


 Proposer une solution de détection d’intrusion ;
 Contrôler et authentifier les différents utilisateurs souhaitant accéder au réseau ;
 Sécuriser les données qui transitent dans le réseau à travers une politique de sécurité.

I.3.4 Méthodologie
Afin de mener à bien notre projet, de résolution des problèmes dégagés plus haut et
d’atteindre ainsi les objectifs que nous nous sommes fixés, Nous allons d’abord proposer une
architecture réseaux associer à une politique de sécurité, en suite nous allons établir une
solution de détection d’intrusion, le troisième point consistera à identifier et implémenté les
solutions permettant de sécuriser les différent réseaux filaire et wifi du RECTORAT en
mettant l’accent sur le contrôle d’accès et la protection des données du réseau. Nous finirons
par la mise en œuvre des différentes solutions choisies.

Conclusion
Ce chapitre avait pour objectif de présenté le contexte et la problématique qui ont
motivé le choix de ce thème puis de présenter les objectifs à atteindre et la méthodologie à
suivre pour la résolution de ce problème. Ainsi présentés, nous allons maintenant passer aux
généralités sur la sécurité des réseaux informatiques.
CHAPITRE 2 : GÉNÉRALITE SUR LA SÉCURITÉ DES RÉSEAUX
INFORMATIQUES

Introduction
De nos jours, la sécurité informatique est devenue un problème majeur dans tous les
systèmes d’information et réseau. En effet, avec des machines de moins en moins contrôlées,
la sécurisation des données nécessite divers moyens et une expertise. Ce chapitre sera entamé
par la notion de sécurité informatique de par son historique, sa définition et son rôle, suivi en
termes de risques et en termes de menaces qu’ils encourent. À partir de l’analyse de ces
derniers, il est primordial de rappeler l’importance de la politique de sécurité. Nous
introduisons par la suite les différents services de sécurité que l’ISO a normalisés et les
mécanismes qui en découlent sur ses différents services, et les différentes failles de sécurité,
et enfin aborder la notion de cryptographie.

II.2 Notion de sécurité informatique


II.2.1 Historique
A la première année apparition d’Internet, la circulation des documents ne posait
aucun problème de confidentialité et les données traversaient le réseau en clair [1]. Au début,
les protocoles Internet n’étaient que pour faire face à l'accroissement du nombre d'utilisateurs,
l'ouverture du réseau à un usage commercial pour modifier les comportements. Comme des
informations confidentielles circulent sur les liaisons, la sécurité des communications est
devenue une préoccupation importante des utilisateurs et des entreprises. Tout le monde veut
se protéger contre une utilisation frauduleuse de leurs données ou contre des intrusions
malveillantes dans les systèmes informatiques. La tendance actuelle est de mettre en place des
protocoles sécurisés qui luttent contre les usurpations d'identité ou l'espionnage des données
privées.

II.2.2 Définition et but de la sécurité informatique


La sécurité informatique se définit [1] comme étant l’ensemble des moyens technique,
organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à
empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le détournement du
système d’information (matérielles ou logicielles).
Elle a pour but de veiller à ce que les ressources d’un système d’information puissent être
utilisées telle qu’une organisation ou qu’un utilisateur l’ait décidé, sans interférences.

II.3 Risques, Menaces et Politique de sécurité


La sécurité dans un réseau concerne non seulement les éléments physiques (ex :
câbles, modems, routeurs …), mais aussi les éléments logiques [2]. Le responsable de la
sécurité doit analyser les risques encourus, les menaces potentielles et définir un plan général
de protection qu’on appelle politique de sécurité.

II.3.1 Risques
Les risques se basent en fonction de deux critères principaux : la Vulnérabilité et la
Sensibilité.

 Parlant de La vulnérabilité : qui est le degré d’exposition aux dangers, elle peut
permettre à un attaquant de compromettre des données, déposé aussi un autre
utilisateur afin de l'exécution de commandes ou même prendre le contrôle de
l'ordinateur affecté.
 Pour ce qui est de La sensibilité : celle-ci désigne le caractère stratégique d’un
composant du réseau. Ce dernier est très sensible vu son caractère et doit être quasi
invulnérable. Pour cela, il est primordial que toutes les mesures de protection
soient priseses pour le prémunir contre tous les risques.

II.3.2 Menaces
Pour ce qui est des menaces, elles peuvent être classifiées selon deux catégories : les
menaces passives et les menaces actives.

 Les menaces passives : qui consistent essentiellement à copier ou à écouter


l’information sur le réseau. Dans ce cas, celui qui prélève une copie n’altère pas
l’information en soi. Il en résulte des difficultés à détecter ce type de malveillance, car
elles ne modifient pas l’état du réseau.
 Les menaces actives : Elles se traduisent par différents types d’attaques. Parmi ces
attaques on note :
 Le brouillage,
 Le déguisement permettant ainsi la modification des données au cours de leur
transmission et la modification de l’identité de l’émetteur ou du destinataire,
 L’interposition qui consiste en la création malveillante de messages en
émission ou en réception.

Les menaces actives sont de nature à modifier l’état du réseau.

II.3.3 Politique de sécurité


La politique de sécurité définit [2] le cadre d’utilisation des ressources du système
d’information, identifie les techniques de sécurisation à mettre en œuvre dans les différents
services de l’organisation et sensibilise les utilisateurs à la sécurité informatique.

Pour ce fait, elle nécessite d’abord l’analyse des informations qui circulent ou qui sont
stockées en fonction de leur importance et du coût que représenteraient leur perte, et l’analyse
des menaces qu’on peut objectivement envisager. Dans un réseau, il faut définir les
mécanismes de protection à mettre en œuvre, on prend par exemple : les outils antivirus, les
pares-feux, les programmes de correction des systèmes et des applications utilisés…etc., puis
définir tous les outils de surveillance allant de l’audit jusqu’au journal historique et la
détection des intrusions.

II.4 Services de la sécurité


L’ISO a défini un certain nombre de services de sécurité : Authentification, la
disponibilité, Confidentialité et Intégrité de données, Non-répudiation. [2] Pour assurer ces
services, différents types de mécanismes sont utilisés, tel que : la signature électronique, le
contrôle d’accès, la notarisation, etc…. Ils diffèrent par leur complexité, leurs coûts, les
efforts nécessaires pour leur implantation et leur maintenance.

II.4.1 Confidentialité
Elle s’assure que les informations restent privées ; que seuls ceux qui ont le droit d’y
accéder puissent y accéder. Un message ou un échange de messages à sa confidentialité
garantie que tout utilisateur non autorisé qui aurait pu le récupérer ne puisse pas l’exploiter.

II.4.2 Intégrité
L’intégrité des données assure que les informations sont entières, en bon état.
L’intégrité des données peut être altérée de manière accidentelle ou délibérée à la suite d’une
fraude active. Par ailleurs, l’intégrité possède une portée plus ou moins grande, elle varie d’un
champ spécifique du message jusqu'à son intégralité. La détection des modifications peut être
mise en œuvre uniquement lorsque la communication a lieu en mode non connecté.
II.4.3 Authentification
Le service d’authentification vérifie l’identité annoncée et s’assure de la non usurpation de
l’identité d’une entité. On distingue les trois cas d’authentification :

 L’authentification de l’entité distante : elle garantit que le récepteur est celui


souhaité. Son principal objectif est de lutter contre le déguisement, également appelé
usurpation d’identité (ou spoofing).
 L’authentification de l’origine : elle assure que l’émetteur est celui prétendu. Le
service est inopérant contre la duplication d’entité.
 L’authentification mutuelle : elle assure que les deux entités émettrice et réceptrice se
contrôlent l’une, l’autre.

II.4.4 Non-répudiation
S’assuré qu’aucun correspondant ne puisse nier une transaction, pour ce fait l’on note
deux catégories de la non-répudiation :

 La non-répudiation de l’origine : elle fournit au récepteur une preuve empêchant


l’émetteur de contester l’envoi d’un message ou le contenu d’un message
effectivement reçu.
 La non-répudiation de la remise : elle fournit à l’émetteur une preuve empêchant le
récepteur de contester la réception d’un message ou le contenu d’un message
effectivement émis.

II.4.5 Disponibilité
Ici les services (ordinateurs, réseaux, périphériques, application…) et informations
(données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont
besoin en temps acceptables.

II.5 Failles de sécurité sur internet


Une vulnérabilité ou une faille de sécurité [3] nait dans la majorité des cas d’une
faiblesse dans la conception d’un système d’information, d’un composant matériel ou d’un
logiciel permettant à un attaquant de porter atteinte à l’intégrité de ce système c'est-à-dire à
son fonctionnement normal, à la confidentialité et l’intégrité des données qu’il contient.

II.5.1 Méthodes utilisées par les attaquants


Il existe plusieurs méthodes d’attaque, on peut citer :
 IP spoofing : Usurpation d’adresse IP, ici on fait croire que la requête provient
d’une machine autorisée.
 DNS spoofing : Cette technique sert à pousser un serveur de DNS à accepter
l’intrus.
 Flooding : Sert à déconnecter quelqu’un à partir de son adresse IP, grâce à un
programme appelé flooder. Le flooder envoi des pings (sert à calculer à quelle
vitesse vous communiquez avec une autre machine via le net) à la victime. Tout
ping génère une réponse.
 Smurf ou « attaque par réflexion » est une technique basée sur l'utilisation de
serveurs de diffusion (broadcast) pour paralyser un réseau.
 Web bug : ici Un mail publicitaire est envoyé en HTML, en apparence normal avec
une image transparente, difficile à voir en raison de sa taille. Si ce courrier est ouvert
pendant la connexion, la requête de téléchargement de l’image vient confirmer la
lecture du message et la validité de votre adresse.
 Hoax (rumeur) : c’est une rumeur que l’on transmet par mail. Ces rumeurs
comportent souvent des problèmes de sécurité soit-disant découverts par des
services officiels ou célèbres. Elles peuvent causer un véritable préjudice à certaines
sociétés en encombrant leur réseau. Avant de retransmettre un tel message, il est
prudent de vérifier son authenticité.
 Hacker et Cracker : le mot "Hacker'' vient des premières expériences de l'Arpanet
de la culture partagée. Ces informaticiens sont généralement discrets, anti-
autoritaristes et motivés par la curiosité tandis que le Cracker : est principalement
une personne qui s’introduisant à distance dans les systèmes informatiques et faire
marcher un logiciel qui a besoin d’une licence sans acheter cette dernière,
généralement à l’aide d’outils écrits par d’autres et trouvés sur Internet.

II.5.2 Principales attaques


Il existe plusieurs types d’attaques à savoir :

 Virus : qui est un exécutable plus ou moins destructrices sur une machine et qui nuit à
son bon fonctionnement. Sur Internet, les virus peuvent contaminer une machine de
plusieurs manières :
• Téléchargement de logiciel puis exécution de celui-ci sans précautions,
• Ouverture sans précautions de documents contenant des macros.
 DoS : Le but d’une telle attaque est de rendre indisponible durant une certaine période
les services ou un réseau complet. Les utilisateurs ne peuvent plus alors accéder aux
ressources. Les deux exemples principaux, sont le « ping flood » ou l’envoi massif de
courriers électroniques pour saturer une boîte aux lettres (mailbombing).
 Écoute du réseau (sniffer) : c’est le fait d’intercepter certaines informations qui
transitent sur un réseau local par des logiciels spéciaux, en retranscrivant les trames
dans un format plus lisible (Network packetsniffing) et l’utilisateur n’a aucun moyen
de savoir qu’un pirate a mis son réseau en écoute.
 Cheval de Troie : ou Trojan Horse est un type de logiciel malveillant, souvent
confondu avec les virus ou autres parasites. Le rôle de cheval de Troie est de faire
entrer ce parasite sur l’ordinateur et de l’y installer à l’insu de l’utilisateur.

II.6 Mécanismes de sécurité


Les messages sur un réseau sont toujours des suites de données binaires, ce qui
implique la difficulté de la distinction entre l’original et celui qui est dupliqué. Il faut donc
adapter les solutions de sécurité au monde électronique [3]. Il s’agit principalement du
chiffrement qui intervient dans presque tous les mécanismes de la signature numérique, des
techniques d’utilisation d’identificateur et de mots de passe, de bourrage et de notarisation.

II.6.1 Chiffrement
C’est un bloc de construction de base de la sécurité des données et le moyen le plus
simple et le plus important pour s’assurer que les informations du système informatique ne
puissent pas être volées et lues par quelqu’un qui souhaite les utiliser à des fins malveillantes.

II.6.2 Signature des données


C’est un mécanisme de cryptographie permettant de garantir l’intégrité et
l’authenticité d’un document électronique et d’en authentifier l’auteur, par analogie avec la
signature manuscrite d’un document papier.

II.6.3 listes Contrôle d’Accès


Le mécanisme des listes de contrôle d’accès (ACL) utilise l’identité authentifiée des
entités et des informations fiables pour déterminer leurs droits d’accès au réseau ou aux
ressources sur le réseau. De plus, il est susceptible d’enregistrer sous forme de trace d’audit et
de répertorier les tentatives d’accès non autorisées.
II.6.4 Mots de passe
Un mot de passe est constitué de lettres minuscules, de lettres majuscules, de
caractères spéciaux et de chiffres techniquement plus difficile à découvrir qu'un mot de passe
constitué uniquement de minuscules. L'utilisation de mots de passe est l'une des briques de
base dans la sécurisation d'un système et il doit être difficile à retrouver, même à l'aide d'outils
automatisés. La force d'un mot de passe dépend de sa longueur et du nombre de possibilités
existantes pour chaque caractère le composant.

II.7 Autres moyens de sécurités


II.7.1 les pares-feux
 Concept et objectifs de pare-feu

Un pare-feu [w2] est un logiciel et ou un matériel permettant de faire respecter la politique


de sécurité du réseau, protège des tentatives de connexion directe venant d’un réseau comme
internet. Les objectifs du pare-feu sont : protection contre les usurpations d’identité, la
manipulation d’information, les attaques de Dos et les accès non-autorisé (en vue d’élévation
de privilège).

 Fonctionnement

Il a pour principale tâche de contrôler le trafic entre différentes zones de confiances ; en


filtrant les flux de données qui y transitent, le but est de fournir une connectivité contrôlée et
maitrisée entre des zones des différents niveaux de confiances, grâce à l’application de la
politique de sécurités et d’un modèle de connexion basé sur le principe du moindre privilège.

 Type de pare-feu

L’on note deux grands types de pare-feu, à savoir :

- Les pares-feux de niveau réseau ou filtrage des paquets : ici le filtrage traite des
paquets IP en les laissant passer ou en refusant en fonction des données contenues
dans l’entête IP (adresse origine et destination, numéro de port et protocole
TCP/UDP). Il peut être soit un routeur dédié soit une machine avec deux cartes
réseaux l’exemple du pare-feu ASA, PfSense.
- Les pares-feux de niveau applicatif ou filtre d’application : qui fonctionnent au
niveau supérieur de la pile, peut interdire non seulement en fonction des entêtes IP,
mais aussi en fonction de l’information contenue.de ce fait ils permettent de
contrôler l’accès en fonction de l’utilisateur et de ce que celui-ci veut faire

 Avantage des pares-feux


- Coût ;
- Performances ;
- Gain de temps en termes de mise en place ;
- Les routeurs sont transparents pour les utilisateurs ;
- Détails des connexions ;
- Possibilité d’authentification des utilisateurs ;
- Contrôle complet par l’administrateur des services utilisables.

II.7.2 Les VLANs


 Définitions et but des VLANs

Un VLAN est défini [w3] comme un réseau local regroupant un ensemble de machines de
façon logique et non physique.il permet de définir un nouveau réseau au-dessus du réseau
physique.

 Typologie de VLAN

L’on considère plusieurs types de VLAN selon le critère de commutation et le niveau


auquel il s’effectue :

- Le VLAN de niveau 1 : appelé aussi VLAN par port qui est un réseau virtuel en
fonction des ports de raccordement sur le commutateur ;

- Le VLAN de niveau 2 : appelé aussi VLAN mac consiste à définir un réseau
virtuel en fonction des adresses MAC des stations ;

- Le VLAN de niveau 3 : l’on note le VLANs par sous-réseau qui associe des sous-
réseaux selon l’adresse IP source des datagrammes ; et les VLANs par protocole
qui permet de créer un réseau virtuel par type de protocole regroupant ainsi toutes
les machines utilisant le même protocole au sein d’un même réseau.
 Avantages du VLAN
Il offre comme avantages suivants :

- Plus de souplesse pour l’administration et les modifications du réseau ;


- Gain en sécurité ;
- Réduction de la diffusion du Traffic sur le réseau

II.7.3 Crypto-système
La cryptographie est la science [w4] qui utilise les mathématiques pour le cryptage et le
décryptage de données. Elle permet ainsi de stocker des informations confidentielles ou de les
transmettre sur des réseaux non sécurisés (tels que l'Internet), afin qu'aucune personne autre
que le destinataire ne puisse les lire. Le mot « Cryptographie » est composé des mots grecs :

 CRYPTO = caché
 GRAPHY = écrire

De plus, un crypto-système se définie comme étant un mécanisme de cryptographie de


l’information basé sur l’utilisation des clés.

II.7.3 Les IPS/IDS

Conclusion
Ce chapitre a permis la présentation des composants de la sécurité informatique, les
usages qui ont induit à sa création, les différentes formes de menaces à la sécurité de
l’information, ainsi que les mesures qui ont été prises pour y remédier.de ce fait, la nécessité
de l’utilisation adéquate de la sécurité informatique est importante pour la préservation de nos
données.
CHAPITRE 3 : CONCEPTION ET MISE EN PLACE D’UN OUTIL DE
SÉCURITÉ

Introduction
Nous allons au cours de ce chapitre faire une étude de l’existant pour voir les travaux
qui ont été fait en relation avec ce projet. Autrement dit, nous allons mener une étude de
l’existant, puis définir, analyser et spécifier nos besoins, présenter l’architecture à déployer,
présenter le plan d’adressage et les outils à déployer pour sécuriser le réseau local du
RECTORAT.

III.1 Analyse de l’existant


III.1.1 Etude de l’existant
La compagnie Afreetech a fait et état des lieux de l’université de Maroua à travers le
projet d’étude de la faisabilité sur la mise en œuvre d’un projet pilote d’accès à internet sur les
campus universitaires de Yaoundé I, Maroua et Bamenda. L’objectif étant de faire un état des
lieux de l’ensemble des infrastructures, des ressources physiques ou logicielles et la qualité de
connexion internet en général et de la couverture wifi en particulier au sein des trois campus
universitaires. Grâce à cette étude, l’existant du campus de Kongola en particulier le
RECTORAT se définie par les points suivants :

 Connexion internet

Sur le site de Kongola, on a une connexion internet qui arrive par fibre optique du
fournisseur Camtel. Cette connexion pour le moment dessert uniquement la majorité des
services centraux. Le tabeau suivant présente donc les caractéristiques de cette connexion.

Tableau 1 : Connexion internet du RECTORAT et des services centraux

Type ADSL/FO/BLR DébitMontée Débit Descente


Fibre optique 10 Mbits 10 Mbits

 Topologie et Matériel
La topologie présente est celle d’un reseau local câblé en étoile, constitué d’un local
technique et des bureau des services centraux (cabinet du recteur, bureaux des trois vice-
recteurs, secrétariat général, du conseiller technique, de la DAAC, DAAF, AC, et du CF). La
connexion qui arrive a un débit de 20Mbits. Dans le local technique on note le matériel
représenté dans le tableau suivant :

Tableau 2 : Matériel de la salle technique du site de Kongola-UMa(rectorat)

Matériel Nombre
Routeur Cisco 1900 série 01
Switch TPLINK 03
Panneau de brassage 24 ports 03
Armoire pour l’energie 01
Armoire pour la connexion d’extrémité par fibre optique 01
Baie pour le reseau local 01
Baie pour la téléphonie interne 01
Autocommutateur non opérationnel 01

Quelques images des équipements de la salle technique ci-dessous :

Figure : quelques équipements de la salle technique du Rectorat

 Points d’accès Wifi du RECTORAT

Le RECTORAT dispose également des points d’accès wifi réparties sur tout le
bâtiment. Le bâtiment possède une baie de brassage constitué d’un tiroir optique, d’un
régulateur de tension et d’un switch. Le table 3 nous présente un récapitulatif.

Tableau 3 : Nombre de points d'accès wifi

Bâtîmes Baie de brassage Régulateur de Switches Point d’accès


tension
Rectorat 01 01 01 10

 Ressources humaines technique


Pour assurer la gestion et la maintenance du réseau existant, les ressources suivantes ont
été déployées.

Fonction/statut Services Noms Prénoms Email Téléphone


Prof. Dr.-Ing.habil. Conseiller KOLYANG DINA dtawe@)yahoo 67741410
Technique .fr 5
69965263
6
INFORMATICIE En service à BOULGA Gérôme
N la DIPD
INFORMATICIE En service ABOMO LUDOVICH 69904083
N au local NGUISSIM 1
technique BI

Toujours dans le but d’améliorer la sécurité du SI de l’Université de Maroua, l’ANTIC du 14


octobre au 08 novembre 2019 [4] a effectuée l’Audit de sécurité du système d’information de
l’UMa. L’Audit du système d’information (SI) est une démarche qui permet de connaitre le
niveau de sécurité global du système d’information, mais aussi de mettre à plat la politique
d’accès aux données de l’Université et aux différentes configuration réseau. Les objectifs
étant de :

 D’établir un état des lieux du système d’information (SI) de l’Université de


Maroua ;
 D’évaluer la mise en œuvre des recommandations des précédents audits ;
 De déterminer les failles de sécurité sur les plans organisationnel, physique et
technique ;
 D’analyser et d’évaluer les risques de sécurité identifier et les classifier suivant leur
niveau de criticité ;
 De proposer des contre-mesures proportionnées au couple enjeux-moyens.

Sur le plan du réseau et télécommunication de l’université, ils ont également noté


l’inaccessibilité des serveurs installer par tous, un réseau informatique en étoile et seul le
rectorat est interconnecté.

L’Audit du SI de l’université de Maroua a ainsi permis d’examiner en profondeur les


différentes composantes du système d’information et de mettre en évidence ses forces et ses
faiblesses. A partir de l’Audit de sécurité de l’Université, nous avons recensé les faiblesses,
les risques, le niveau de criticité existant au RECTORAT ainsi que les recommandations pour
l’amélioration de la sécurité di système d’information.

Une équipe de chinois travail actuelle sur un projet ………………………………………


donc l’objectif.

III.1.3 Politique de sécurité


Dans le plan de vision et stratégie de développement du SI, l’équipe d’auditeurs de
l’ANTIC a également recensé l’absence d’une politique de sécurité du système d’information
grâce à l’Audit technique. Néanmoins, les mesure de sécurité actuelles du RECTORAT sont
les suivantes :

 Présence d’une clause de confidentialité dans les contrats du personnel de


maintenance du SI ;
 La présence d’une interconnexion entre les machines ;
 La présence de plusieurs batteries pour maintenir les équipements critiques sous
tension après une éventuelle coupure d’énergie ;
 Présence d’un système de détection d’incendie ;
 Utilisation des adresse IPV6 et IPV4

Ses mesures de sécurité ne sont pas optimales, car le système possède plusieurs faiblesses ce
qui augmente le risque d’attaque du système d’information.

III.1.4 Critique de l’existant


Les résultats de l’Audit de sécurité du système d’information (SI) du RECTORAT, nous à
permit de récence les faiblesses et les risques a corrigé pour réduire les attaques et augmenté
les performances. Ainsi les faiblesse récence par l’ANTIC sont :

 Absence de firewall dédié dans les services centraux de l’université ;


 Absence d’une documentation recensant l’ensemble de configuration des
équipement réseau (routeur, switch de niveau 3) ;
 Absence d’une Architecture réseau et d’un plan d’adressage du réseau ;
 Absence d’une redondance sur les équipements critiques du réseau ;
 Possibilité d’avoir accès aux ressources du réseau sans authentification ;
 Absence d’un NIDS ET D’un HIDS ;
 Absence d’un plan de gestion des configurations ;
 Absence d’un outil de détection d’intrusion ;
 Au niveau du réseau câblé, l’allocation des adresses se fait de façon dynamique
sans une demande d’authentification, ce qui donne l’occasion à un individu
quelconque de pouvoir accéder au réseau avec son ordinateur portable via un câble
réseau d’un poste réseau câblé ;
 Absence de politique de gestion des connexions internet ;
 La non filtrage réseau entre les différents réseaux ainsi interconnectés ;
 Le réseau se présente sous une architecture plate. Il n’y pas de segmentation
physique
ni de cloisonnement du réseau ;

En considérant l’architecture existant sur le terrain et les recommandations de l’Audit,


nous nous allons proposer une architecture qui nous permettra d’améliorer la sécurité du
réseau existant au RECTORAT.

III.2 Cahier des charges

III.2.1 Définition
Le cahier des charges a pour fonction de formaliser un besoin afin que ce dernier soit
compris par l'ensemble des acteurs impliqués dans le projet. Il précise les spécifications
attendues.

III.2.2 Analyse des besoins


Le but de l’outils de sécurité est de contrôler tout accès au réseau du RECTORAT. Un
processus d’authentification et de protection des équipement internes lors de l’accès à internet
par une autre politique de sécurité qui sera déployée sur ces équipements. Ses systèmes de
protection serviront également à la lutte contre les pirates et d’identifier tout utilisateur
voulant se connecter au réseau de cette structure.
Cette politique de sécurité va permettre au RECTORAT non seulement d’améliorer
son architecture réseau mais aussi d’admettre dans son réseau les utilisateurs disposant des
droits d’accès. Vu tous ses constats, notre travail consistera à proposer une architecture réseau
sécurisée qui permettra de garantir :
 La sécurité physique : qui consistera à sécuriser les équipements fixes
(ordinateur, switch, routeur…) en segmentant le réseau et en créant une politique
de sécurité.
 La sécurité logique : qui consistera à contrôler l’accès au réseau, identifier et
authentifier les utilisateurs, la sécurisation du réseau sans fils, la création des
profils utilisateurs personnalisés, la protection des données critiques.

III.3 Architecture et description des zones

III.3.1 Architecture
Le système de sécurité que nous mettrons en place pour l’Université de Maroua se
conformera à l’architecture de la figure 3 dotée de multiples politiques de sécurité.

Zone accès à internet-via CAMTEL

Pare-feu

Zone LAN
IPS/IDS

SG
WIFI
CF
VR/EPDTIC
Local technique VR/RCRME
et SERVEUR VR/CIE
DAAF
AC DAAC

Figure 4 : Architecture à deployer au RECTORAT


III.3.2 Description de l’architecture
L’architecture réseau que nous avons proposé pour le RECTORAT est segmenter en
deux grandes zones qui sont : La Zone LAN et la zone qui donne un Accès à internet-via
Camtel. Cette partie fera l’objet d’une description de ses différentes zones.

 Zone LAN : Cette zone est constituée du réseau filaire et sans fils. C’est dans cette
zone qu’on retrouve tous les utilisateurs du réseau répartie en fonction des services
suivant : secrétariat général, les services des trois vice-recteurs, AC, DAAF, DAAC,
serveur et du local technique, la section WIFI constituer d’un ensemble de point
d’accès.
La zone est divisée en 8 VLANs ou chaque VLAN représente un service. Vu
l’importance de cette zone, nous utilisons un pare-feu pour pouvoir proroger les
utilisateurs contre les accès distant (internet par exemple) et un détecteur d’intrusion
pour pouvoir alerté l’administrateur en cas d’intrusion dans le réseau.
 Accès à internet-via CAMTEL : c’est à partir de cette zone qu’on a accès à internet
avec pour principal fournisseur d’accès l’opérateur CAMTEL.

III.4 Plans d’adressage

III.4.1 Description
Une adresse IP [w5] est ce qui permet d’identifier chaque machine connectée à un
réseau utilisant le protocole IP. L’objectif du plan d’adressage est de prévoir et identifier tous
les équipements qui aurons accès au réseau. Dans cette partie, nous présenterons le plan
d’adressage de notre réseau local.

L’adresse IPV4 a un format de 4 octets (32 bits), que l'on a l'habitude de représenter :

 En binaire, si l'on veut identifier plus facilement les deux parties de l'adresse IP,
l'adresse réseau et l'adresse hôte :

xxxx xxxx . xxxx xxxx . xxxx xxxx . xxxx xxxx

(xxxx xxxx allant de 0000 0000 à 1111 1111)

 En décimal, si l'on veut condenser l'écriture :

xxx.xxx.xxx.xxx
(xxx allant de 0 à 255)

Le réseau est divisé en 8 sous réseaux : le sous réseau de l’AC, le sous réseau
l’DAAC, le sous réseau la DAAF, le sous réseau de la AC, le sous réseau de la CF, le sous
réseau du Local technique et SERVEUR, le sous réseau des trois vices recteurs et le sous
réseau WIFI constituer d’un ensemble de points d’accès wifi. L’adresse que nous avons
choisie pour le réseau du RECTORAT est :192.168.3.0/24.

III.4.2 Découpage en sous réseau


Cette partie présente le découpage de l’adresse 172.168.3.0/24 en sous réseaux.

192.168.3.0/24

192.168.3.00000000

Nous avons 8 bits réservés à la partie hôte ce qui nous donne 28 = 255 adresses à
utiliser. La formule suivante permet de déterminer les sous-réseaux.

2x ≥N N le nombre de sous-réseauxX le nombre de bits


à emprunter à la partie hôte
Comme nous
voulons obtenir 8 sous réseaux, alors 8 ≤ 2X ⇒ X= 3 bits et 32 hôtes par de sous-réseaux. En
faisant varier les bits de ce triplet, nous obtenons le plan d’adressage ci-dessous :

192.168.3.00000000 192.168.3.0.0/24

192.168.3.00100000 192.168.3 .32/24

192.168.3.01000000 192.168.3.64/24

192.168.3.01100000 192.168.3.96/24

192.168.3.10000000 192.168.3.128/24

192.168.3.10100000 192.168.3.160/24

192.168.3.11000000 192.168.3.192/24

192.168.3.11100000 192.168.3.224/24
III.4.3 Récapitulatif du plan d’adressage
Le tableau ci-dessous donne le récapitulatif du plan d’adressage.

Tableau 4 : Récapitulatif du plan d’adressage

ID Adresse du reseau Plage d’adresse Adresse de Broadcast

AC 192.168.3.0 192.168.3.1 - 192.168.3.30 192.168.3.31

CF 192.168.3.32 192.168.3.33 - 192.168.3.62 192.168.3.63

SG 192.168.3.64 192.168.3.65 - 192.168.3.94 192.168.3.95

DAAC 192.168.3.96 192.168.3.97 - 192.168.3.126 192.168.3.127

DAAF 192.168.3.128 192.168.3.129 - 192.168.3.158 192.168.3.159

VR/EPDTIC
VR/RCRME 192.168.3.160 192.168.3.161 - 192.168.3.190 192.168.3.191
VR/CIE

LOCAL
TECHNIQUE ET 192.168.3.192 192.168.3.193 - 192.168.3.222 192.168.3.223
SERVEUR

WIFI 192.168.3.224 192.168.3.225 - 192.168.3.254 192.168.3.255

III.5 Choix des solutions techniques


Dans cette partie, nous présenterons les équipements et les solutions que nous avions
choisis pour l’amélioration de la sécurité de notre architecture.

III.5.1 Choix du contrôleur de domaine


Un contrôleur de domaine [w6] est une unité de stockage des données qui gère
également les interactions entre les utilisateurs et le domaine. Son objectif est d’authentifier
les utilisateurs ou encore leur permettre de se connecter et d’ouvrir une session de travail
personnel sur le serveur. La solution que nous avons choisie pour notre contrôleur de domaine
est l’Active Directory (AD). C’est une mise en œuvre de Microsoft, des services d’annuaires
pour les systèmes Windows. Cet annuaire contient différents objets, de différents types
(utilisateurs, ordinateurs, etc.), l’objectif principal étant de centraliser deux fonctionnalités
essentielles : l’identification et l’authentification au sein d’un système d’information. L’AD
centralise l’admiration des éléments tels que les serveurs, les postes de travail, les dossiers
partagés, les imprimantes et les compte d’utilisateur. Grace a des fonctionnalités de
duplication, de partitionnement, de distribution et de sécurisation des accès aux ressources
répertoriées, un utilisateur peut facilement trouver des ressources partagées.

III.5.2 Choix du pare-feu


Un pare-feu est un logiciel et/ou un matériel permettant de faire respecter la politique
de sécurité du réseau, celle-ci définit quelles sont les types de communications autorisées sur
le réseau informatique. La solution que nous avons choisie ici est PfSense. PfSense est un
routeur / pare-feu open source basé sur FreeBSD. [5] Son installation peut se faire sur un
simple ordinateur personnel et également sur un serveur. Les avantages de PfSense sont :
Gestion des interfaces réseau, le Filtrage le NAT, la Gestion des accès internet, la gestion des
Services VPN (IPSEC, SSL, …), la Qualité de Service, la Gestion des VLANs, la Facilité d’y
intégrer d’autres services comme DHCP, DNS, et le Portail Captif. Cette solution open-source
est la plus adapté à nos besoins.

III.5.3 Choix des logiciels de virtualisation


La notion de virtualisation représente [w7] l’ensemble des techniques matérielles et/ou
logiciels qui permettent de faire fonctionner simultanément sur une seule machine plusieurs
systèmes d’exploitation et/ou applications, séparément les uns des autres, comme s’ils
fonctionnaient sur des machines physiques distinctes. Dans le cas de la virtualisation des
systèmes d’exploitation, on parlera de machines virtuelles. Nous portons nos choix de
virtualisation sur le simulateur de réseau GNS3 et sue l’émulateur de réseaux Virtual box.

 GNS3 : c’est un logiciel qui a pour objectif de simuler les différents périphériques et
dispositifs réels tels que les commutateurs, les routeurs, les switches, etc. crée par
Jeremy Grossman (développeur dans les langages Python, pyQT et Qt). GNS3 utilise
Dynamics qui est un logiciel d’émulation pour simuler des périphériques en chargeant
les ISO Réel de ceux-ci. L’interface est graphique, elle est simple et agréable
d'utilisation. Le fonctionnement se fait en mode drag and drop, on sélectionne un
élément puis on « l’amène » dans la fenêtre principale du logiciel, ensuite on peut par
exemple ramener un switch, et on a outil dans le menu à gauche pour câbler entre le
switch et le routeur. Le simulateur possède plusieurs versions dont la plus récente est
la version2.2.11 parût le 9 juillet 2020 et dont les exécutables sont disponibles sur
www.gns3.com.
 Virtual Box : c’est un puissant produit de virtualisation x86 et AMD64 / Intel64 pour
les entreprises et les particuliers et qui est un effort Communautaire soutenu par une
entreprise dédiée; produit extrêmement riche en fonctionnalités et hautes
performances pour les entreprises clientes, mais c'est aussi la seule solution
professionnelle robuste, rapide , multiplateforme disponible gratuitement en tant que
logiciel Open Source sous les termes de la licence publique générale GNU (GPL)
version 2. Actuellement, Virtual Box fonctionne sur les hôtes Windows, Linux,
Macintosh et Solaris et prend en charge un grand nombre de systèmes d'exploitation
invités, y compris, mais sans s'y limiter, Windows (NT 4.0, 2000, XP, Server 2003,
Vista, Windows 7, Windows 8, Windows 10 ), DOS / Windows 3.x, Linux (2.4, 2.6,
3.x et 4.x), Solaris et Open Solaris, OS / 2 et OpenBSD; développé avec des versions
fréquentes. 

III.5.4 Choix du système d’exploitation à installer


Pour l’implémentation des différents services réseaux de notre architecture, nous
disposons de deux environnements qui sont Microsoft et linux. Dans notre contexte nous
allons utiliser Microsoft Windows server 2016 et sera le support de tous les services à
déployer pour l’amélioration de la sécurité.

III.5.4 Choix des IDS/IPS

Conclusion
En somme, Ce chapitre a fait l’objectif d’une étude de l’existant, à analysé et spécifié
les besoins de l’Université, une présentation de l’architecture, une présentation du plan
d’adressage, ainsi que le choix des outils à déployer pour sécuriser le réseau local de l’UMa
ainsi que les services à déployer.
BIBLIOGRAPHIE

[1] : Christophe Wolfhugel. 4e Edition, Edition Eyrolles Sécurité informatique Principes et


méthodes à l’usage des DSI, RSSI et administrateurs by Laurent Bloch, 361 pages.

[2] : Laurent Bloch, Christophe Wolfhugel - Sécurité informatique _ Principes et méthode


à l’usage des DSI, RSSI et administrateurs, 276 pages.

[3] : BOUFOUDI Siham & BRAHAMI Nabila, La Sécurité des Réseaux Informatique à base
de Kerberos, Mémoire de fin de formation, Université de BEJAIE, Faculté des sciences
exactes Département d’informatique, 2014-2015.

WEBOGRAPHIE
[w1] : Université de Maroua, « accueil », http://www.univ-maroua.cm/fr, (consulté le 25 juin
2020 à 17h45min).

[w2] : Speedcheck «Les  firewall », https://www.frameip.com/firewall/,(consulté le 01 juillet


2020 à 8h30min).

[w3] : Journaldunet , «VLAN (Virtual Local Area Network) : définition, traduction La


RédactionJDN» ,https://www.journaldunet.fr/web-tech/dictionnaire-duwebmastering/1203415
-vlan-virtual-local-area-network-definition traduction/#:~:text=D%C3%A9finition%20du%
20mot%20VLAN,un% 20type%20de%20r%C3%A9seau%20local.&text=Le%20VLAN%20
regroupe%2C%20de%20fa%C3%A7on,sur%20un%20m%C3%AAme%20commutateur%20r
%C3%A9seau ,(consulté le 10 juillet 2020 à 07h10min).

[w4] : bibmath , « Cryptographie et codes secrets », http://www.bibmath.net/crypto/


index.php? action= affiche&quoi=lexique/definitions. (consulté le 10 juillet 2020 à
10h00min).

[w5] : Gatoux, « Le plan d’adressage, Qu’est-ce qu’un plan d’adressage » http://www.
gatoux. com/ index.php/le-plan-dadressage/ (consulté le 13 juillet 2020 à 21h05min).

[w6] : blog.varonis, « Contrôleur de domaine : Qu’est-ce que c’est ? Dans quel cas est-il
nécessaire ? Comment le mettre en place ? », https://blog.varonis.fr/controleur-de-domaine/
(consulté le 15 juillet 2020 à 18h15min).

[w7] : systeme.developpez « solutions de virtualisation pour une petite entreprise »


https://système.developpez.com/tutoriels/virtualisation/livre-blanc-lucas-bonnet /#:~:text=

L'encyclop%C3%A9die%20francophone%20en%20ligne,comme%20s'ils%20fonctionnaient
%20sur (consulté le 15 juillet 2020 à 22h13min).

Vous aimerez peut-être aussi