Rechercher sur le site:

Recherche

Home | Publier un mémoire | Une page au hasard

‫هل الهوية قابلة للتغيير؟‬

‫أجدد دعوتي الدائمة لشبابنا بأن يصنعوا ذواتهم‬
‫ويشكلوا هويتهم الخاصة برؤية منفتحة‬

Memoire Online > Informatique et

Télécommunications > Sécurité informatique
Etude pour la sécurisation d'un
réseau par la mise en place d'un
pare-feu open source: cas de Disponible
C.A.F.E. informatique & en mode
télécommunications multipage
par Haleem SHITOU OGUNGBEMI
Université de Lomé - Licence professionnelle en
Maintenance et Réseaux Informatiques 2019

DEDICACES

Gloire à AllahSeigneur des mondes, le Tout Puissant pour Sa grâce, Son amour infini, Son assistance, Sa
miséricorde grâce à qui j'ai pu arriver à réaliser ce

modeste travail que je dédie :

A ma maman chérie RADJI Shérifa, celle qui n'a cessé de me soutenir, grâce à qui je ne baisserai jamais
les bras. Tes prières et tes bénédictions m'ont été d'un grand secours pour mener à bien mes études.
Aucune dédicace ne saurait être assez éloquente pour exprimer ce que tu mérites pour tous les sacrifices
que tu n'as cessé de m'accorder depuis ma naissance, durant mon enfance et même à l'âge adulte. Tu as
fait plus qu'une mère puisse faire pour que ses enfants suivent le bon chemin dans leur vie et leurs études.
Puisse Allah, le Tout Puissant, te préserve et t'accorde santé, longue vie et bonheur.

A mon père bien aimé, SHITOU OGUNGBEMI Issa, qui malgré les difficultés de la vie s'est engagé corps
et âme dans mon éducation.

A ma très chère soeur SHITOU OGUNGBEMI Soifat, pour son apport moral.

A mes frères SHITOU OGUNGBEMI Mansour et Nabil.

A tous mes camarades de promotion qui ont toujours été là pour moi.

A tous ceux qui m'ont encouragé, je ne saurais citer tous les noms de peur d'en oublier, mais

je vous remercie du fond du coeur.

Haleem SHITOU OGUNGBEMI

REMERCIEMENTS

Avant tout développement sur cette expérience professionnelle, il apparaît opportun de commencer ce
rapport de stage par des remerciements. Nous tenons à saisir cette occasion et adresser nos sincères
remerciements et nos profondes reconnaissances à Allah le tout puissant et miséricordieux qui nous a
donné la force et la puissance d'accomplir ce travail.

Nous adressons particulièrement nos remerciements aux membres du Jury, Dr. AMOU le Président du jury
et Dr. TEPE qui nous ont fait l'honneur de leur présence lors de notre soutenance. Nous profitons de
l'occasion pour leur adresser nos sincères respects. Leurs remarques et suggestions nous ont été très
utiles et fructueuses pour la finalisation de notre formation.

Nous remercions ceux qui de près ou de loin, nous ont aidés ou soutenus d'une manière ou d'une autre
pour l'élaboration de ce mémoire. Notre gratitude va particulièrement à :

Ø Monsieur Kossi ATCHONOUGLO, Maitre de conférences, Directeur du CIC ;

Ø Monsieur Venant Eyouleki PALANGA, Maitre-Assistant, Ex-Directeur Adjoint du CIC, pour son
encadrement et ses efforts consentis pour la réussite de notre cursus scolaire ;

Ø Monsieur Tchamye Tcha-Esso BOROZE, Maitre-Assistant, Directeur Adjoint du CIC ;

Ø Monsieur Salomon ADJONYO, Responsable de la Sécurité des Systèmes d'Information à la B.T.C.I,

Enseignant au Centre Informatique et de Calcul de l'Université de Lomé, notre directeur de mémoire pour
son implication, son suivi, son écoute et ses remarques judicieuses, qui malgré ses nombreuses
occupations a supervisé et encadré notre travail de mémoire pour l'orientation, la confiance, la patience qui
ont constitué un apport considérable sans lequel ce travail n'aurait pas pu être mené au bon port. Qu'il
trouve dans ce travail un hommage vivant à sa haute personnalité ;

Ø Monsieur Guy DJADOU, informaticien Télécom et coordonnateur des interventions techniques à C.A.F.E
I&T, notre maitre de stage pour son assistance et ses conseils tout le long du stage ;

Ø Ma mère Shérifa RADJI, pour son affection, son soutien et pour la confiance qu'elle a toujours dans ce
que j'entreprends ;

Ø Tout le personnel de C.A.F.E I&T en particulier à tous les techniciens et stagiaires du département
`support technique' ;

Ø Tout le personnel Enseignant, Administratif et Technique du CIC pour leur disponibilité et soutien durant
notre période de formation ;

Ø Nos promotionnaires, avec qui nous avons connu et continuons par vivre des moments de partage et
d'ambiance fraternelle.

Télésurveillance , Domotique

Le leader au Maroc et en
Afrique des nouvelles
technologies
MAKAYNASH MULTI SERVICES

Chapitre 1 : RESUME
Le renforcement de la sécurité informatique est devenu une nécessité primordiale vu l'apparition des
diverses formes d'attaques informatiques de nos jours. Et ce sont les réseaux d'entreprises, d'institutions,
de gouvernements qui ont le plus besoin de cette sécurisation car elles sont fréquemment les cibles des
attaques d'intrusion.Les pare-feu sont très populaires en tant qu'outils permettant d'élaborer efficacement
des stratégies pour sécuriser unréseau informatique. Un firewall offre au système une protection d'un
réseau interne, contre un certain nombre d'intrusions venant de l'extérieur, grâce à des techniques de
filtrage rapides et intelligentes.

L'objectif de ce travail est la mise en place d'un firewall open source, pfsense comme solution. Ce pare-feu
offre un panel de fonctionnalités de type NAT, DHCP, ...etc., auquel nous avons ajouté le package «
Ntopng » pour la supervision de la bande passante, le paquet « Snort » qui sert à la détection et la
prévention d'intrusions et « Free Radius» pour authentifier les utilisateurs avant l'accès à Internet. En
somme le pare-feu est une solution de premier choix, mais il nécessite quand même une intervention
humaine.

Télésurveillance , Domotique

Le leader au Maroc et en
Afrique des nouvelles
technologies
MAKAYNASH MULTI SERVICES

Chapitre 2 : ABSTRACT
The reinforcement of computer security has become a primary necessity given the appearance of various
forms of computer attacks these days. Moreover, it is the networks of companies, institutions and
governments that most need this security because they are frequently targets of intrusion attacks. Firewalls
are very popular as tools for effectively developing strategies for securing a computer network. A firewall
offers the system protection of an internal network, against a number of intrusions from outside, thanks to
fast and intelligent filtering techniques.

The objective of this work is the establishment of an open source firewall, pfsense as a solution. This
firewall offers a panel of NAT, DHCP, etc., features, to which we have added the "Ntopng" package for the
supervision of the bandwidth, the "Snort" package which serves for the detection and the prevention of
Intrusions and Free Radius to authenticate users before accessing the Internet. In short, the firewall is a
solution of choice, but it still requires human intervention.

TABLE DES MATIERES

Pages

DEDICACES i

REMERCIEMENTS ii

RESUME iii

ABSTRACT iii

TABLE DES MATIERES iv

LISTE DES FIGURES ix

LISTE DES TABLEAUX xi

GLOSSAIRE xii

INTRODUCTION GENERALE 1

Chapitre 1 : 2

PRESENTATION DU CADRE D'ETUDE ET DE STAGE 2

1.1 Introduction 3

1.2 Centre Informatique et de Calcul (CIC) 3

1.2.1 Présentation 3

1.2.2 Missions 4

1.2.3 Activités 4

1.2.4 Organisation administrative 4

1.2.5 Les formations 6

1.2.5.1 Licence professionnelle 6

1.2.5.2 Master professionnel 7

1.3 C.A.F.E Informatique & Télécommunications (Centre d'Assistance de Formation et d'Etude) 7

1.3.1 Présentation 7

1.3.2 Historique 8

1.3.3 Statut 9

1.3.4 Missions 10

1.3.5 Activités 10

1.3.6 Organisation administrative 10

1.3.7 Direction technique 11

1.4 Conclusion 12

Chapitre 2 : 13

PRSENTATION DU PROJET 13

2.1 Introduction 14

2.2 Présentation générale du projet 14

2.3 Etude de l'existant 14

2.3.1 Les ressources matérielles 14

2.3.2 Patrimoine logiciel 17

2.3.3 Architecture du réseau informatique 18

2.4 Critique de l'existant 19

2.5 Problématique 20

2.6 Objectifs 20

2.7 Résultats attendus 21

2.8 Périmètre du projet 21

2.9 Méthodologie du travail 21

2.10 Conclusion 22

Chapitre 3 : 23

GENERALITES SUR LA SECURITE DES RESEAUX INFORMATIQUES 23

3.1 Introduction 24

3.2 Les réseaux informatiques 24

3.2.1 Définition 24

3.2.2 Les réseaux sans fil 24

3.2.3 Les protocoles réseaux 25

3.2.4 Faiblesses réseaux 25

3.3 Les principales attaques 26

3.3.1 Attaques des réseaux 26

3.3.1.1 Man in the middle 26

3.3.1.2 Balayage de port 26

3.3.1.3 Attaque par rebond 26

3.3.1.4 Dénis de service (DoS) 27

3.3.1.5 Usurpation d'adresse IP 27

3.3.2 Attaques des réseaux sans fil 27

3.3.2.1 Le Sniffing 27

3.3.2.2 Le brouillage radio 28

3.3.2.3 L'interception des données 28

3.3.2.4 Le war driving 28

3.3.3 Attaques du système d'exploitation 28

3.3.3.1 L'écran bleu de la mort 28

3.3.4 Attaques applicatives 29

3.3.4.1 Exploit 29

3.3.4.2 Dépassement de tampon 29

3.3.4.3 Un « shellCode » 29

3.4 Mise en place d'une politique de sécurité réseau 29

3.4.1 Définition 29

3.4.2 Objectif d'une politique de sécurité 30

3.4.3 Les différents types de politique de sécurité 30

3.5 Les stratégies de sécurité réseau 31

3.5.1 Méthodologie pour élaborer une politique de sécurité réseau 31

3.5.2 Proposition de stratégies de sécurité réseau 32

3.5.2.1 Stratégie des périmètres de sécurité 32

3.5.2.2 Stratégie des goulets d'étranglement 32

3.5.2.3 Stratégie d'authentification en profondeur 33

3.5.2.4 Stratégie du moindre privilège 33

3.5.2.5 Stratégie de confidentialité des flux réseau 33

3.5.2.6 Stratégie de contrôle régulier 33

3.6 Les techniques de parade aux attaques 34

3.6.1 La cryptographie 34

3.6.1.1 Cryptographie symétrique 34

3.6.1.2 Cryptographie asymétrique 35

3.6.2 La suite de sécurité IPsec 36

3.6.3 Serveur Proxy 36

3.6.3.1 Présentation 36

3.6.3.2 Principe de fonctionnement 37

3.6.3.3 Fonctionnement d'un serveur Proxy 37

3.6.3.4 Traduction d'adresse (NAT) 38

3.6.3.5 Reverse Proxy 39

3.6.4 Réseaux privés virtuels 40

3.6.4.1 Présentation 40

3.6.4.2 Fonctionnement d'un VPN 41

3.6.4.3 Protocole de tunneling 41

3.6.4.4 Protection des accès 42

3.6.5 Sécurité physique des équipements 42

3.6.6 IDS : Intrusion Detection System 43

3.6.6.1 Définition 43

3.6.6.2 Les différents types d'IDS 43

3.6.6.3 Mode de fonctionnement d'un IDS 45

3.6.7 IPS : Intrusion Prevention System 46

3.6.7.1 Définition 46

3.6.7.2 Mode de fonctionnement 46

3.6.7.3 Différents types d'IPS 46

3.6.8 Pare-feu 47

3.6.8.1 Les différents types de filtrage 48

3.6.8.2 Les différentes catégories de pare-feu 49

3.6.8.3 Zone démilitarisée (DMZ) 51

3.6.8.4 Limite des systèmes pare-feu 52

3.7 Recherches d'informations et synthèses 52

3.7.1 Principe de fonctionnement d'un pare-feu 52

3.7.2 Facteurs à considérer pour l'implémentation d'un pare-feu en entreprise 53

3.7.3 Proposition de solutions pare-feu 53

3.7.3.1 Quelques solutions propriétaires 54

3.7.3.2 Quelques solutions libres 54

3.7.3.3 Comparaison des solutions libres 56

3.7.4 Synthèse et choix de la solution de sécurisation pour C.A.F.E I&T 57

3.7.4.1 Présentation générale de pfsense 57

3.7.4.2 Aperçu des fonctionnalités 58

3.7.4.3 Position de pfsense 59

3.7.5 Recommandations pour un pare-feu en entreprise 60

3.8 Conclusion 61

Chapitre 4 : 62

MISE EN OEUVRE 62

4.1 Introduction 63

4.2 Nouvelle architecture 63

4.3 Préparation de l'environnement de travail 64

4.4 Les éléments de mise en oeuvre 65

4.5 Installation de Pfsense 65

4.6 Configuration de Pfsense 68

4.6.1 Configuration générale 68

4.6.2 Paramètres généraux de Pfsense 69

4.6.3 Configuration des interfaces 70

4.6.3.1 Interface WAN 70

4.6.3.2 Interface LAN 70

4.6.3.3 Configuration du serveur DHCP 71

4.6.4 Définition des règles du firewall 72

4.6.4.1 Coté WAN 72

4.6.4.2 Coté LAN 72

4.7 Portail captif de Pfsense 73

4.7.1 Présentation d'un portail captif 73

4.7.2 Paramètres généraux du portail captif de pfsense 73

4.7.3 Authentification du portail captif de Pfsense 75

4.7.3.1 Authentification par RADIUS 75

4.7.3.2 Gestion des comptes utilisateurs sous Pfsense 76

4.7.4 Sécurité du portail captif 76

4.8 Contrôle de la bande passante 78

4.8.1 Introduction à la QoS 78

4.8.2 Présentation de Ntopng 79

4.8.3 Installation de Ntopng 79

4.8.4 Configuration du service Ntopng 79

4.9 Détection d'intrusion 81

4.9.1 Présentation de Snort 81

4.9.2 Installation et configuration de Snort 81

4.9.3 Test de la solution 83

4.10 Evaluation financière 85

4.11 Conclusion 87

CONCLUSION GENERALE 2

LISTE DES REFERENCES 2

LISTE DES FIGURES

Pages

Figure 1. 1 : Image satellite du CIC par Google Earth 2

Figure 1. 2 : Organigramme du CIC 6

Figure 1. 3 : Plan de localisation de C.A.F.E Informatique & Télécommunications 8

Figure 1. 4 : Organigramme de C.A.F.E. Informatique & Télécommunications 11

Figure 2. 1 : Architecture du réseau I.P de CAFE I&T 19

Figure 3. 1 : Attaque de Man in the middle 26

Figure 3. 2 : Attaque par rebond 27

Figure 3. 3 : Architecture d'un Proxy 37

Figure 3. 4 : Traduction d'adresse (NAT) 39

Figure 3. 5 : Reverse Proxy 40

Figure 3. 6 : Réseau privé virtuel 41

Figure 3. 7 : Pare-feu 48

Figure 3.7: Exemple d'une zone démilitarisée 51

Figure 3.8: Logo de pfsense 58

Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T 60

Figure 4. 1 : Nouvelle architecture du réseau local de C.A.F.E I&T 63

Figure 4. 2 : Ecran de démarrage de l'installation de Pfsense 66

Figure 4. 3 : Début de l'installation de Pfsense 66

Figure 4. 4 : Configuration du type de clavier de Pfsense 67

Figure 4. 5 : Partitionnement de l'espace disque de Pfsense 67

Figure 4. 6 : Fin de l'installation de Pfsense 68

Figure 4. 7 : Menu de configuration de Pfsense 68

Figure 4. 8 : Portail d'administration de Pfsense 69

Figure 4. 9 : Tableau de bord de l'interface d'administration de Pfsense 69

Figure 4. 10 : Paramétrage général de Pfsense 70

Figure 4. 11 : Configuration de l'interface WAN 70

Figure 4. 12 : Configuration de l'interface LAN 71

Figure 4. 13 : Configuration du serveur DHCP 71

Figure 4. 14 : Règles sur l'interface WAN 72

Figure 4. 15 : Règles sur l'interface LAN 72

Figure 4. 16 : Activation du portail captif de Pfsense 74

Figure 4. 17 : Page d'accueil du portail captif de Pfsense (page par défaut) 74

Figure 4. 18 : Création de l'utilisateur "client1" avec authentification FreeRadius 76

Figure 4. 19 : Activation de la sécurisation par HTTPS pour l'accès au portail captif 77

Figure 4. 20 : Activation du certificat d'authentification 77

Figure 4. 21: Importation du certificat d'authentification et de sa clé privée 78

Figure 4. 22 : Installation des paquets de Ntopng 79

Figure 4. 23 : Configuration du mot de passe de Ntopng 80

Figure 4. 24 : Interface d'administration de Ntopng 80

Figure 4. 25 : Activités d'un utilisateur connecté grâce à Ntopng 81

Figure 4. 26 : Installation des paquets de SNORT 82

Figure 4. 27 : Code oinkcode délivré après enregistrement sous Snort 82

Figure 4. 28 : Activation de Snort sur l'interface WAN 83

Figure 4. 29 : Architecture virtuelle de l'environnement de test 84

Figure 4. 30 : Scan de port effectué par la machine `Attaquant' 85

Figure 4. 31 : Alertes renseignées par Snort 85

LISTE DES TABLEAUX

Pages

Tableau 1 : les postes de travail et leurs caractéristiques 2

Tableau 2 : Liste des serveurs matériels et leurs caractéristiques 16

Tableau 3 : Liste des imprimantes et quelques caractéristiques techniques 17

Tableau 4 : Equipements réseau et caractéristiques techniques 17

Tableau 5 : Applications du réseau local de C.A.F.E I&T 18

Tableau 6 : Prix des solutions commerciales 54

Tableau 7: Comparaison de quelques solutions libres 57

Tableau 8 : Achat des matériels 86

Tableau 9 : Coût de l'implémentation 86

Tableau 10 : Coût de la formation 86

Tableau 11 : Coût d'entretien du serveur 87

GLOSSAIRE

802.1x : Norme wifi, utilisée pour désigner plusieurs groupes de 802.x

AAA: Authorization Authentication Accounting

ABIDS:Application Based Intrusion Detection System

ACK : Acknowledged, un accuse de réception

ACL: Access Control List

AES: Application Environment Services

ALCASAR : Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié Réseau

API : Application Programming Interface

C.A.F.E I&T : Centre d'Assistance de Formation et d'Etude en Informatique et Télécommunications

CPU : Central Processing Unit

DES : Data Encryption Standard

DHCP: Dynamic Host Configuration Protocol

DMZ : DeMilitarized Zone

DoS: Denis of Service

EAP-MD5: Extensible Authentication Protocol- Message Digest 5

EAP-TLS: Extensible Authentication Protocol - Transport Layer Security

ECC: Error-Correcting Code

FAI : Fournisseur d'Accès Internet

FTP: File Transfer Protocol

GPL: General Public License

This website uses cookies to ensure you get the best experience on our website. Learn more
HDD: Hard Disk Drive
Got it!
HIDS: Host-based Intrusion Detection System