Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
INTRODUCTION GENERALE.......................................................................................................iii
CHAPITRE I : FONDAMENTAUX SUR LESRESEAUX..............................................................2
INTRODUCTION...............................................................................................................................2
CONCLUSION..................................................................................................................................22
CHAPITRE II : GENERALITES SUR LA SECURITE INFORMATIQUE...............................23
INTRODUCTION.............................................................................................................................23
CONCLUSION..................................................................................................................................31
CHAPITRE III : LE FIREWALL...................................................................................................33
I. INTRODUCTION.....................................................................................................................33
CHAPITRE IV : ETUDE ET MISE EN PLACE D’UN SYSTEME PARE FEU AVEC
PFSENSE...........................................................................................................................................40
INTRODUCTION......................................................................................................................40
SECTI ON I I : CONFIGURATI ON DU PORTAIL CAPTIF ET CONNEXION AU SERVEUR
PFSENSE...........................................................................................................................................53
CONCLUSION..........................................................................................................................64
CONCLUSION GENERALE....................................................................................................65
Remerciements
Dédicaces
INTRODUCTION GENERALE
De nos jours, la plupart des entreprises possèdent de nombreux postes informatiques
qui ont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des
données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe
sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local
constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers
le monde extérieur, c'est à dire internet. En effet, une entreprise n'est jamais complètement
fermée sur elle-même. Il est par exemple nécessaire de pouvoir partager des informations
avec les clients de l'entreprise.
Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte
ouverte à divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles
ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction, vol,).
Les motifs pour effectuer de telles actions sont nombreux et variés : attaques visant le vol de
données, passe-temps, ... Pour parer à ces attaques, une architecture de réseau sécurisée est
nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel
qui est le firewall.
INTRODUCTION
Les réseaux ont pour fonction de transporter des données d’une machine terminale à
une autre. Une série d’équipements matériels et de processus logiciels sont mis en œuvre pour
assurer ce transport, depuis les câbles terrestres ou les ondes radio dans lesquels circulent les
données jusqu’aux protocoles et règles permettant de les traiter. Cette première partie de
l’ouvrage rappelle les principes de fonctionnement des réseaux et présente en détail les
matériels et architectures protocolaires sur lesquels ils se fondent. Un réseau est constitué de
périphériques, de supports et de services reliés par des règles et qui collaborent pour envoyer
des messages. Le terme messages sert à désigner des pages Web, des courriels, des messages
instantanés, des appels téléphoniques et toutes autres formes de communication prises en
charge par le réseau.
I.1 Définition
Un réseau est un ensemble d'objets interconnectés les uns avec les autres. Il permet de
faire circuler des éléments entre chacun de ces objets selon des règles bien définies. Réseau
(Network) : Un réseau désigne l'interconnexion entre plusieurs ordinateurs qui permet
l'échange et le partage d'informations. Internet est le plus grand réseau mondial, mais on
retrouve de petits réseaux, au sein d'une entreprise par exemple, ou même chez soi. A partir
du moment où plusieurs ordinateurs sont reliés ensemble via le boitier Internet, on peut parler
de réseau. Mise en réseau (Networking) : Mise en œuvre des outils et des tâches permettant
de relier des ordinateurs afin qu’ils puissent partager des ressources.
L’étude des réseaux fait largement appel aux représentations graphiques et dessymboles
sont couramment employés pour représenter les périphériques réseauet leurs connexions.
On distingue deux types de périphériques :
Serveurs,
Ordinateurs de bureau,
Ordinateurs portables,
Imprimantes,
Téléphones IP,
PDA, web phone,
…
Ce sont des réseaux de taille plus ou moins modeste, complexes, qui permettent
l'échange de données informatiques et le partage de ressources (données, disques durs,
périphériques divers, etc.). L’étendue géographique des réseaux locaux ne dépasse pas10 km
(ex. : pour un immeuble ou un campus). Le débit, ou la vitesse de communication, varie de
quelques Mbps à 100 Mbps. Le nombre de stations ne dépasse généralement pas 1 000. Une
variante du LAN est le LAN.
Fédérateur ou réseau de base (backbone) qui est la voie principale empruntée par le trafic.
Un réseau local virtuel est un groupe logique d'unités ou d'utilisateurs qui peuvent être
groupés par fonction, service ou application peu importe l'emplacement de leur segment
physique. La configuration d'un réseau local virtuel est effectuée dans le commutateur par un
logiciel. Les réseaux locaux virtuels ne sont pas uniformisés et nécessitent l'utilisation d'un
logiciel propriétaire vendu par le fournisseur de commutateurs.
Ce sont des réseaux sans connexions physiques visibles. Ces réseaux utilisent les
ondes (radio, infrarouges, etc.) comme support de communication. Les ordinateurs mobiles ou
les assistants personnels (Palm Pilot, etc.) constituent le secteur informatique en plus forte
progression. Beaucoup de possesseurs de ce type d'ordinateurs ont également un ordinateur
relié à des LAN ou des WAN, chez eux ou au bureau, auxquels ils sont reliés à tout instant.
Les WAN (Wide Area Network) appelés aussi réseaux longue distance se situent à
l’échelle nationale et internationale. Ce sont généralement des réseaux de télécommunications
gérés par des opérateurs, qui assurent la transmission des données entre les villes et les pays à
l’échelle de la planète. Leurs supports de transmission sont variés (ligne téléphonique, ondes
hertziennes, fibre optique, satellite, etc.). La plupart de ces types de réseaux sont publics. Le
taux d’erreurs de communication est plus élevé que celui des MAN. Les débits généralement
plus faibles que dans les réseaux locaux dépendent du support de transmission : ils varient de
56 kbps à plus de 625 Mbps pour les réseaux ATM (AsynchronousTransfer Mode).
Figure 4: la tunnelisation
Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes
de communication (câbles réseaux, etc.) et des éléments matériels (cartes réseau, ainsi que
d'autres équipements permettant d'assurer la bonne circulation des données). L'arrangement
physique, c'est-à-dire la configuration spatiale du réseau est appelée topologie physique. On
distingue généralement les topologies suivantes :
La topologie Réseau en bus (informatique) est représentée par un câblage unique des
unités réseaux. Il a également un faible coût de déploiement et la défaillance d'un nœud
(ordinateur) ne scinde pas le réseau en deux sous-réseaux. Ces unités sont reliées de façon
passive par dérivation électrique ou optique. Les caractéristiques de cette topologie sont les
suivantes :
I.3.2Topologie en étoile
La topologie Réseau en étoile aussi appelée Hub and spoke est la topologie la plus
courante actuellement. Omniprésente, elle est aussi très souple en matière de gestion et de
dépannage d'un réseau : la panne d'un nœud ne perturbe pas le fonctionnement global du
réseau. En revanche, l'équipement central (un concentrateur ou hub et plus souvent sur les
réseaux modernes, un commutateur ou switch) qui relie tous les nœuds, constitue un point
unique de défaillance : une panne à ce niveau rend le réseau totalement inutilisable. Le réseau
Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette topologie
réside dans la longueur des câbles utilisés.
Le réseau maillé (ou maillage en réseau) est une topologie de réseau (filaire et sans
fil) où tous les hôtes sont connectés pair à pair sans hiérarchie centrale, formant ainsi une
structure en forme de filet. Par conséquent, chaque nœud doit recevoir, envoyer et relayer les
données. Ceci évite d'avoir des points névralgiques qui, s'ils tombent en panne, isolent une
partie du réseau. Si un hôte est hors service, les données empruntent une route alternative. Un
réseau en maille peut relayer les données par « inondation » (footing) ou en utilisant des
routes (itinéraires) prédéfinis ; dans le second cas, le réseau doit prévoir des connexions sans
interruption ou prévoir des déviations (routes alternatives). Et aussi il y a des autres topologies
mais ce n’est pas essentiel dans notre cas.
Les mises à jour ou les modifications du système ne pouvaient être effectuées que par
le constructeur choisi, ce qui éliminait toute concurrence. Les utilisateurs d'aujourd'hui
peuvent se dire que rien n'a changé dans de nombreux secteurs de l'industrie informatique.
Les architectures propriétaires existent toujours. Cependant, le modèle OSI peut vous éclairer
sur la façon dont les différents éléments d'un réseau sont reliés entre eux.
La couche liaison de données assure un transit fiable des données sur une liaison
physique. Ainsi, la couche liaison de données s'occupe de l'adressage physique (plutôt que
logique), de la topologie du réseau, de l'accès au réseau, de la notification des erreurs, de la
livraison ordonnée des trames et du contrôle de flux.
La couche réseau est une couche complexe qui assure la connectivité et la sélection du
chemin entre deux systèmes hôtes pouvant être situés sur des réseaux géographiquement
éloignés et aussi beaucoup plus d’autres fonctionnalités.
La couche transport segmente les données envoyées par le système de l'hôte émetteur
et les rassemble en flux de données sur le système de l'hôte récepteur. En fournissant un
service de communication, la couche transport établit et raccorde les circuits virtuels, en plus
d'en assurer la maintenance. La fourniture d'un service fiable lui permet d'assurer la détection
et la correction des erreurs, ainsi que le contrôle du flux d'informations.
Comme son nom l'indique, la couche session ouvre, gère et ferme les sessions entre
deux systèmes hôtes en communication. Cette couche fournit des services à la couche
présentation. Elle synchronise également le dialogue entre les couches de présentation des
deux hôtes et gère l'échange des données.
La couche application est la couche OSI la plus proche de l'utilisateur. Elle fournit des
services réseau aux applications de l'utilisateur. Voici quelques exemples de ce type
d'application : tableurs, traitements de texte et logiciels de terminaux bancaires. La couche
application détermine la disponibilité des partenaires de communication voulus, assure la
synchronisation et établit une entente sur les procédures de correction d'erreur et de contrôle
d'intégrité des données.
L'encapsulation est un procédé consistant à inclure les données d'un protocole dans un
autre protocole. Lors d’une transmission, les données traversent chacune des couches au
niveau de la machine émettrice. À chaque couche, une information est ajoutée au paquet de
données, il s’agit d’un en-tête, ensemble d’informations qui garantit la transmission. Au
niveau de la machine réceptrice, lors du passage dans chaque couche, l’en-tête est lu, puis
supprimé. Ainsi à la réception, le message est dans son état original.
III.1 DESCRIPTION
Le rôle de la couche Internet consiste à envoyer des paquets source à partir d'un réseau
quelconque de l'inter réseau et à les faire parvenir à destination, indépendamment du trajet et
des réseaux traversés pour y arriver. Le protocole qui régit cette couche est appelé protocole
IP (Internet Protocol). L'identification du meilleur chemin et la commutation de paquets ont
lieu au niveau de cette couche.
Cette couche se charge de tout ce dont un paquet IP a besoin pour établir une liaison
physique, puis une autre liaison physique. Cela comprend les détails sur les technologies LAN
et WAN, ainsi que tous les détails dans les couches physiques et liaison de données du modèle
OSI
III.2.1 Similitudes
III.2.2 Différences
IV.1Hub
IV.2Switch
IV.3Pont
Un pont est un équipement informatique d'infrastructure de réseaux de type passerelle.
Dans les réseaux Ethernet, il intervient en couche 2 du modèle OSI (liaison). Son objectif est
d'interconnecter deux segments de réseaux distincts, soit de technologies différentes, soit de
même technologie, mais physiquement séparés à la conception pour diverses raisons
(géographique, extension de site etc.). Son usage le rapproche fortement de celui d'un
commutateur (Switch), à l'unique différence que le commutateur ne convertit pas les formats
de transmissions de données. Le pont ne doit pas être confondu avec le routeur.
IV.3.1 Principe
Un pont possède deux connexions à deux réseaux distincts. Lorsque le pont reçoit une
trame sur l'une de ses interfaces, il analyse l'adresse MAC du destinataire et de l'émetteur. Si
jamais le pont ne connaît pas l'émetteur, il stocke son adresse dans une table afin de se
"souvenir" de quel côté du réseau se trouve l'émetteur. Ainsi le pont est capable de savoir si
émetteur et destinataire sont situés du même côté ou bien de part et d'autre du pont. Dans le
premier cas le pont ignore le message, dans le second le pont transmet la trame sur l'autre
réseau.
IV.3.2 Fonctionnement
Un pont fonctionne selon la couche Liaison données du modèle OSI, c'est-à-dire qu'il
opère au niveau des adresses physiques des machines. En réalité le pont est relié à plusieurs
réseaux locaux, appelés segments. Le pont élabore une table de correspondance entre les
adresses des machines et le segment auquel elles appartiennent et "écoute" les données
circulant sur les segments. Lors d'une transmission de données, le pont vérifie sur la table de
correspondance le segment auquel appartiennent les ordinateurs émetteurs et récepteurs (grâce
à leur adresse physique, appelée adresse MAC, et non leur adresse IP. Si ceux-ci
appartiennent au même segment, le pont ne fait rien, dans le cas contraire il va faire basculer
les données vers le segment auquel appartient le destinataire.
IV.4 Routeur
La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie
par le masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée.
Ces protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de
communication inter sites et inter réseaux.
Tout d’abord le routage est le mécanisme par lequel des chemins sont sélectionnés dans
un réseau pour acheminer les données d'un expéditeur jusqu'à un ou plusieurs destinataires.
Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système
autonome. On retient les protocoles suivants :
Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui
les sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau
: RIP
CONCLUSION
L’informatique a connu son essor avec l'apparition des réseaux sociaux qui ont
révolutionné le monde. Nous sommes actuellement dans l'ère numérique où l'informatique
tient une grande place car elle est présente dans notre vie quotidienne. Elle a su s'imposée
dans nos foyers avec de nombreux appareils informatiques comme le téléphone, la télévision,
l'électroménager et bien d'autres, dans nos écoles avec de plus en plus de moyens mis en
œuvre pour les enseignants afin de perfectionner leur enseignement mais l'informatiques est
aussi dans les entreprises qui leurs permets de se développer plus rapidement et à coût réduit.
Comme toute technologie, l'informatique possède des avantages et des inconvénients. C'est
pour cela que de nombreuses recherches et des développements se font dans ce domaine afin
de réduire les nombres d'inconvénients.
INTRODUCTION
I. Gestion de sécurité
Nous définissons la sécurité des systèmes d’information et des réseaux, tout d’abord en
termes de risques et de menaces qu’ils encourent. À partir de l’analyse de ces derniers, nous
rappelons l’importance de la politique de sécurité. Risques et menaces sont deux concepts
fondamentaux pour la compréhension des techniques utilisées dans le domaine de la sécurité.
Le risque est une fonction de paramètres qu’on peut maîtriser à la différence de la menace
qui est liée à des actions ou des opérations émanant de tiers. Dans un réseau, la sécurité
concerne non seulement les éléments physiques (câbles, modems, routeurs, commutateurs…)
mais aussi les éléments logiques, voire volatils, que représentent les données qui circulent. Le
responsable de la sécurité doit analyser l’importance des risques encourus, les menaces
potentielles et définir un plan général de protection qu’on appelle politique de sécurité.
I.1 Risques
Acceptables : Ils n’induisent aucune conséquence grave pour les entités utilisatrices du
réseau. Ils sont facilement rattrapables : pannes électriques de quelques minutes, perte
d’une liaison…
Courants : Ce sont ceux qui ne portent pas un préjudice grave. Ils se traduisent, par
exemple, par une congestion d’une partie du réseau.
Majeurs : Ils sont liés à des facteurs rares. Ils causent des préjudices ou des dégâts
importants, mais ils peuvent encore être corrigés.
I.2 Menaces
On peut également classer les menaces en deux catégories selon qu’elles ne changent
rien (menaces passives) ou qu’elles perturbent effectivement le réseau (menaces actives).
Les menaces actives nuisent à l’intégrité des données. Elles se traduisent par différents
types d’attaques. On distingue le brouillage, le déguisement (modification des données au
cours de leur transmission, modification de l’identité de l’émetteur ou du destinataire),
l’interposition (création malveillante de messages en émission ou en réception).
II.1Authentification
L’authentification mutuelle : Elle assure que les deux entités émettrice et réceptrice
se contrôlent l’une l’autre. Le service d’authentification est inutilisable dans le cas
d’un réseau fonctionnant en mode sans connexion : dans les réseaux, comme dans la
vie courante, l’authentification nécessite un échange entre les deux partenaires.
II.2Contrôle d’accès
Garantir la confidentialité des données empêche une entité tierce (non autorisée, le
plus souvent en état de fraude passive) de récupérer ces données et de les exploiter. Seuls les
utilisateurs autorisés doivent être en mesure de prendre connaissance du contenu des données.
Un message ou un échange de messages à sa confidentialité garantie dès lors que tout
utilisateur non autorisé qui aurait le récupérer ne peut pas l’exploiter.
Garantir l’intégrité des données assure au récepteur que les données reçues sont celles
qui ont été émises. Les données ont pu être altérées, de manière accidentelle ou de manière
délibérée à la suite d’une fraude active. On distingue différents niveaux de service selon les
mécanismes mis en œuvre. Par ailleurs, l’intégrité possède une portée plus ou moins grande
(le message complet ou un champ spécifique du message seulement). Lorsque la
communication a lieu en mode non connecté, seule la détection des modifications peut être
mise en œuvre. Le récepteur refait le calcul sur le message qu’il a reçu et compare les deux
blocs de contrôle d’erreurs. Il vérifie ainsi l’intégrité du message, cette seule méthode est
insuffisante pour détecter des messages insérés dans un flux de données. Les protections
mises en œuvre s’inspirent du même principe.
II.5 Non-répudiation
La non-répudiation de l’origine fournit au récepteur une preuve empêchant l’émetteur
de contester l’envoi d’un message ou le contenu d’un message effectivement reçu. La non-
répudiation de la remise fournit à l’émetteur une preuve empêchant le récepteur de contester
la réception d’un message ou le contenu d’un message effectivement émis.
III. CRYPTOGRAPHIE
III.1Définition
Le problème de cette méthode est que tous les utilisateurs possèdent alors la même clé
partagée, la sécurité n’existe plus puisque pour déchiffrer les transactions d’un autre
utilisateur il suffit d’utiliser la clé unique que tous les utilisateurs possèdent.
Dans un crypto système asymétrique, les clés existent par paires (le terme de bi-clés est
généralement employé) :
CONCLUSION
Aujourd’hui, l'informatique est partout, il est donc très dur de se protéger face aux
pirates qui sont de plus en plus nombreux. Le nombre de piratage augmentent, ainsi que les
techniques qui sont de plus en plus rapides et efficaces. En effet, même si les pirates
informatiques ont un avantage en technique, certains pirates contribuent à la sécurité d'autrui
sur internet et autres réseaux sociaux.
On peut donc en déduire que la sécurité informatique avance grâce au piratage. Les
deux sont liés, donc un jour, peut-être que la sécurité contrera le piratage mais pour le
moment, le piratage est omni présent alors que la sécurité l'est peu. Il y a de plus en plus de
pirates informatiques ainsi, les lois évoluent au même rythme que le nombre de pirates
augmentent.
Dans ce chapitre, nous avons présenté une introduction générale sur la sécurité
informatique et les notions de base de la cryptographie, en distingue deux grandes classes des
méthodes cryptographiques, les cryptographies symétriques à clé secrète et le cryptage
asymétrique à clé publique. Le prochain sera consacré à l’architecture d’un firewall.
I. INTRODUCTION
Le terme de " Firewall " est un terme qui parfois prête à confusion. En effet, il regroupe
tous les systèmes de sécurité qui fonctionnent en connexion avec un réseau. Il en existe
différents types d’architectures que nous allons étudier.
Le firewall est à l'origine un équipement physique ou logiciel visant à filtrer les paquets
entrant et sortant suivant des règles définies, il doit être placé entre l'usager et la connexion
aux différents réseaux à filtrer. De nos jours un firewall fait bien plus, il est souvent sur le
poste de l'usager en tant qu'application et analyse les applications demandant la connexion
ainsi que le comportement des applications entre elles. Exemple : si une application en appelle
une autre pour établir une connexion, le firewall peut demander l'action à suivre ; si une
application de type p2p demande une connexion à internet le firewall peut la refuser.
Le firewall peut également faire plus que d'analyser le contenu des paquets, il peut être
capable de réagir suivant certain paramètre tel que l’heure de connexion (pour empêcher toute
connexion nocturne par exemple), les applications...
Le firewall peut donc avoir accès à différent niveau du modèle OSI, cependant un firewall
physique en restera souvent à des couches inférieures à la couche 5 (pour des raisons de
puissance de calcul nécessaire). Mais à l'avenir il n’est pas impossible de voir se généraliser
des firewalls pouvant avoir accès à toutes les couches du modèle OSI. Un proxy quant à lui
est une protection supplémentaire, il se place souvent entre le firewall et l'usager, et a pour
rôle de faire du filtrage de contenu, l'autorisation de connexion etc.
Ce n'est qu'une fois cette politique définie, dans ses grandes lignes que le choix de
solutions techniques et organisationnelles peut être opéré. Ceci pour dire que ce n'est pas la
technologie qui doit imposer une politique de sécurité, mais plutôt c’est la politique de
sécurité qui doit dicter les solutions.
Il faut donc trouver une solution adaptée aux besoins, aux moyens, à l'environnement, et à
la culture de l’entreprise. Grâce à cette analyse on pourra connaître les avantages, les
inconvénients ainsi que le fonctionnement des différentes architectures de Firewall.
Architectures du Firewall
Le Firewall n’est pas seulement une solution logicielle de sécurité implantée sur une
machine, c’est aussi une architecture réseau de machines filtrantes. L’approche simpliste d’un
Firewall localisé sur une machine jouant le rôle de grand chef d’orchestre n’a plus cours à
présent dans les grandes entreprises, car elle est trop peu sécurisée en cas de panne ou faille
dans cette unique défense. La mise en place de plusieurs filtres de différents niveaux assure
une meilleure sécurité du réseau, mais ils s’accompagnent d’un coût plus élevé.
La solution Firewall la plus simple, mais aussi la moins sûre, se borne au réseau. On
l'obtient en configurant le routeur qui assure la connexion avec l’Internet. Le routeur doit être
configuré avec une liste d'accès. L'image suivante illustre cette solution appelée Firewall avec
routeur de filtrage :
Une liste d'accès définit les conditions pour qu'un paquet puisse franchir un routeur. Les
informations contenues dans ces listes portent :
Inconvénients : du fait de tout ce qu'elle doit faire (routage et application), une telle
configuration pourrait rencontrer des problèmes de performance. S’ils parviennent à
s'introduire sur le réseau bastion par logiciel, les pirates peuvent accéder au réseau tout entier
(car c'est le seul rempart contre l'adversité).
La combinaison des deux méthodes est ici plus sûre et efficace. Au niveau du réseau,
un routeur sous écran est configuré de façon à n'autoriser les accès de l'extérieur et de
l'intérieur que par l'intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs
assurant les serveurs Internet. Cette possibilité est appelée Firewall avec réseau de filtrage.
L'image suivante illustre cette solution :
Firewall avec réseau de filtrage dans lequel seuls les accès au réseau bastion sont
autorisés.
Pour la grande majorité des entreprises, cette solution est sûre et abordable, car les prestataires
Internet assurent la seconde partie de la protection à l'autre bout de la ligne. En effet, votre
entreprise y est également connectée à un routeur, et le trafic de données est réglé par un
serveur Proxy au niveau de la couche application. Les pirates doivent par conséquent franchir
deux obstacles.
Cette solution est de loin la plus sûre, mais également la plus onéreuse. Un Firewall
avec sous-réseau de filtrage se compose de deux routeurs sous écran. L'un est connecté à
Internet, et l'autre à l’intranet/LAN. Plusieurs réseaux bastions peuvent s'intercaler pour
former entre ces deux routeurs, en quelque sorte, leur propre réseau constituant une zone
tampon entre un Intranet et l'Internet appelée " zone démilitarisée ".
De l'extérieur, seul l'accès aux réseaux bastions est autorisé. Le trafic IP n'est pas
directement transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels des
serveurs Proxy doivent être en service pour permettre l'accès à différents services Internet,
sont accessibles à partir du réseau interne. L'image suivante illustre cette variante :
Pour s'introduire sur le réseau d'entreprise à travers ce Firewall, il faut franchir les deux
routeurs, ainsi que les réseaux bastions intercalés.
Assure les fonctions de DNS vis à vis du réseau interne en envoyant ses requêtes au
bastion externe.
Assure les fonctions de proxy avec authentification pour les applications distantes
(Telnet, FTP, etc.).
Assure le relais du Mail sortant (SMTP).
Filtre au niveau applicatif les paquets en direction du réseau interne.
Assure le relais du Mail entrant.
Assure les fonctions de DNS vis à vis du réseau externe.
Avantages : système Firewall très sûr Inconvénients : coût d'investissement élevé, il faut
fournir un effort d’installation, et d’administration important.
CONCLUSION
Il y’a plusieurs types d’architectures de Pare-feu, chacune d’elle présente ses
inconvénients et ses avantages. Donc pour la mise en place d’une architecture Firewall a
toujours recours à revoir ces différentes architectures et choisir une selon les besoins, les
moyens, et la politique de sécurité que l’entreprise souhaite voir respectée. Il existe un grand
nombre d'attaques possibles sur les réseaux informatiques des entreprises. Le firewall est un
des éléments mis en place dans le cadre de la politique globale de sécurité définie par
l'entreprise. En effet, un firewall ne peut pas protéger de toutes les attaques, en particulier des
attaques dirigées vers les données. Mais il est très utile (et très efficace si celui-ci est bien
configuré) dans le domaine du contrôle des flux.
INTRODUCTION
Dans ce chapitre, il sera question pour nous de définir la notion de portail captif,
donner les différents logiciels pouvant servir à la mise en place e ce dernier. Ensuite nous
allons présenter pfsense ainsi que son fonctionnement. Nous terminerons par la mise en place
du pare-feu pfsense tout en sculptant ses configurations en illustrant une connexion d’un hôte
à notre portail captif.
1- CONTEXTE
De nos jours pouvoir sécuriser ses informations est une priorité tant dans le monde
physique que dans le virtuel. Pour cela la mise en place d’une sécurité d’authentification au
sein d’une entreprise est une priorité. Dans le cas des entreprises, offrant de multiple service
la promotion de ces derniers de manière esthétique est un facteur déterminant dans la
concurrence du marché ce qui nous pousse à mettre en place un portail captif où les
utilisateurs pourront de manière instantanée avoir un aperçu des différents services offert par
l’entreprise.
3-PROBLEMATIQUE
La mise en place d’une architecture wifi en entreprise est devenue indispensable. Pour
améliorer le confort des usagers et favoriser une meilleure adaptation aux nouveaux modes de
travail, éliminer le mode nomade car le réseau wifi n’est plus qu’un simple accès à internet.
Néanmoins une telle démarche nécessite le respect d’un certain nombre de contraintes
réglementaires d’où la mise en place d’un portail captif sécurisé avec accès wifi sera une
solution. Les entreprises doivent faire preuve de prudence en matière de sécurité informatique
car un réseau wifi mal maitrisé peut accroitre le risque de cyber attaques. Pour ce problème de
sécurité informatique, plus logiciels sont habilités pour pouvoir concevoir un pare-feu qui
peut faire office de solution.
1 - TELECHARGEMENT DE PFSENSE
PFSENSE est un logiciel gratuit de ce fait, l’obtention de ce dernier se fait de manière
aisée.
Tout d’abord aller dans son navigateur ensuite saisir télécharger pfsense, choisir ans la page
qui s’affiche télécharger pfsense ce qui va vous diriger vers le site officiel de pfsense. Choisir
le système installé dans votre ordinateur (Windows, linux…) et patienter le temps de
téléchargement.
Cliquer sur FINISH. Après avoir créé la machine virtuelle, avant de la lancer quelques
configurations s’imposent.
Aller sur le nom de votre machine virtuelle puis faire un clic droit et choisir setting
(Paramètres).
Vous allez avoir tous les paramètres de base tels que : la taille de la machine virtuelle
(espace), la mémoire de la machine virtuelle e (ram) le nombre de processeur.
Après avoir créé la machine virtuelle, nous allons passer à l’installation de Pfsense dans celle-
ci :
Cliquer sur DEMARRER dans le logiciel de virtualisation. Le logiciel va se lancer et
son logo sera affiché.
Dans la page qui va s’afficher, choisir le type de clavier à utiliser (français, anglais,
allemand…) puis cliquer sur <Select>.
Après avoir fini de s’installer, une page va s’afficher cliquer sur < NO> ;
Voilà pour l’installation de Pfsense mais pour une bonne utilisation, plusieurs configurations
s’imposent.
Dès lors que vous avez terminé l’installation de pfsense, il vous faudra passer par quelques
configurations pour une bonne gestion du logiciel notamment l’adresseipv4, l’adresse ipv6, le
DHCP…
Pour notre cas, nous allons essentiellement se focaliser sur l’adresse ipv4 et l e DHCP. Après
avoir lancé le logiciel.
Choisir l’interface LAN (2) car nous sommes en local et taper sur Entrée ;
Définir un masque pour votre adresse. Pour notre cas (exemple ci-dessus) nous allons
saisir /24car notre adresse est de classe C. Puis Entrée.
Entrer l’adresse de passerelle. Pour notre cas nous allons saisir192.168.1.1 ensuite
taper sur Entrée ;
Cliquer sur entrée car nous n’avons pas besoin d’une adresse ipv6 pour notre cas.
2. CONFIGURATION DU DHCP
Choisir si vous voulez ajouter un serveur DHCP. Saisir ‘’y’’ (yes) et ensuite taper
Entrée.
Saisir l’adresse de départ que votre DHCP devra attribuer au premier hôte à
se connecter. Exemple 192.168.1.3 ;
Saisir l’adresse de fin. Cette adresse représente la dernière adresse que votre serveur
DHCP va attribuer. Exemple 192.168.1.100 ;
Il vous sera demandé ensuite d’entrer une adresse ipv6 pas besoin de cette dernière
pour notre exemple. Taper sur Entrée.
Après les configurations de base de pfsene, nous allons passer à son utilisation. Ce qui nous
incombe : la connexion au logiciel en mode administrateur, la modification du mot de passe
pour plus de sécurité, l’établissement d’un portail captif ...
Aller dans son navigateur et saisir l’adresse ipv4 configurée ares l’installation du
logiciel. Pour notre cas c’est 192.168.1.1 ;
Une page va s’afficher et vous devez entrer le nom qui est ‘admin’ et le mot de passe
par défaut de pfsense qui est ‘pfsense’
NB : l’accès au serveur nécessite une connexion internet (la machine physique doit être
connectée à l’internet).
Et voilà vous allez accéder à pfsense pour pouvoir appliquer d’autres configurations et
pouvoir ainsi générer des services.
Pour plus de sécurité, il est nécessaire de mot de passe par défaut du logiciel. Pour cela :
Juste en dessous de la barre d’outils de pfsense il est marqué change user manager
passeword cliquer ;
Une fenêtre va s’ouvrir vous allez modifier si vous voulez le nom de l‘administrateur
qui est par défaut admin mais le plus important le passeword (mot de passe) ;
Après avoir mis un nouveau mot de passe et après avoir confirmé ce dernier, en
dessous de la page vous allez cliquer sur SAVE (enregistrer) ;
Se rendre sur service et cliquer. Dans le menu déroulant qui va s’afficher, choisir
captive portal ;
Une page va s’ouvrir. Cliquer sur +ADD pour pouvoir créer un nouveau portail
captif ;
Entrer le nom de votre portail captif, puis mettre une description pour notre exemple :
le nom est portail la description est portail captif pour TOUMAI et ensuite sur
SAVE&CONTINUE ;
Vous venez de créer un portail captif mais cela ne demeure qu’un intitulé il faudra aller le
configurer. Pour cela :
Une fenêtre va s’ouvrir, cochez la case ENABLE pour avoir accès à toutes les
configurations du portail captif ;
La configuration du portail captif fait intervenir plusieurs éléments tels que : le choix de
l’interface, le nombre de connexion maximale pour un utilisateur, le logo qui va s’afficher à la
page d’authentification, le temps accordé à un utilisateur, le site de redirection, le site
d’accueil ou page d’accueil …donc pour notre cas nous allons nous attarder sur quelques
paramètres :
Définir des adresses MAC (physique) ne pouvant jouir des services : liste noire ;
Ici vous avez la possibilité d’ajouter les adresses que les utilisateurs pourront
consulter. Et pour avoir les adresses des sites cela est simple se rassurer d’être connecté à
internet, puis entrer dans l’invite de commande (aller dans la barre de recherche dans
démarrer et saisir invite de commande) et saisir Ping + adresse du site (il doit avoir www
devant) et taper Entrée.
Après avoir effectué toutes ces configurations, il faudra enregistrer en cliquant sur
‘SAVE ‘tout au fond de la page de configuration.
Voilà votre portail captif est prêt mais pour plus de sécurité, il serait judicieux de créer un
groupe d’utilisateur pouvant franchir notre pare-feu par le billet de de mot de passe et de nom
d’utilisateur.
Voilà vous êtes maintenant prêt à utiliser pfsense. On vous propose de passer à l’étape de
connexion.
6. REGLE DE FILTRAGE
Légendes
*block
+passe
7. FILTRAGE URL
-Configuration de notre serveur proxy via l’onglet ACLS pour bloquer les URLS (sites web).
- facebook.com inaccessible.
1. CONNEXION FILAIRE
Ici, il sera question pour l’administrateur du réseau d’interconnecter les équipements grâce
à plusieurs dispositifs notamment les câbles, un routeur Switch…pour cela, les étapes à suivre
pour se connecter à Pfsense grâce à des supports physiques sont les suivants :
Connecter la machine possédant pfsense ainsi que toutes les autres machines ;
Configurer le Switch pour que celui-ci reconnaisse le DHCP (grâce à ce rôle, les
machines pourront ainsi être en réseau car il va distribuer automatiquement les
adresses aux ordinateurs connectés). Les commandes à taper sont les suivantes :
Exclure une page d’adresse (cette commande correspond à notre liste noire) avec la
commande IP DHCP EXCLUDED-ADDRESS et saisir la plage d’adresse ;
Créez un nouveau pool DHCP qui sera utilisé avec la commande IP DHCP POOL
nom ;
Définissez un sous-réseau qui sera utilisé pour attribuer les adresses IP aux hôtes avec
la commande NETWORK adresse du réseau et masque ;
Maintenant, tous les utilisateurs connectés peuvent avoir accès à pfsense en allant dans la
barre de recherche de leur navigateur et saisir le site de redirection.
- Se connecter à partir de sa machine en passant par le wifi (saisir le mot de passe que
vous aurez préalablement crée de connexion pour accès au réseau) ;
- Entrer votre nom, mot de passe et le code d’entré (tous ces éléments devrons être
fournir par le chargé de la gestion de connexion).
- Se rendre chef la secrétaire (qui peut être aussi le responsable en chargé du service) et
demander à avoir un code d’accès nom et mot de passe pour traverser le réseau ;
- Aller dans son navigateur, et taper l’adresse d’un site ce qui va vous rediriger vers la
page d’authentification ;
CONCLUSION
Dans ce chapitre, nous avons présentés les pré-requis utilises afin de configurer
pfsense, puis nous avons expliqué à travers diverses captures, les étapes de son installation et
de sa configuration, à travers lesquelles nous définissons quelques fonctionnalités que propose
cet outil.
CONCLUSION GENERALE
L’administration réseau est un travail compliqué. Le métier veut que l’on doive
souvent maîtriser différentes technologies et les faire travailler ensembles. La tâche se
complique encore si l’administration et la configuration de tout cela se fait manuellement. En
ce sens nous avons vérifié à travers ce rapport que PfSense répond à ces interrogations. Cet
Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler
ensemble un pare-feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque
réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des
« Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref
nous pensons que PfSense est voue à exister et se développer. Nous avons mis en place et
testé certains services (les principaux pour être précis) de PfSense.
Sommaire
INTRODUCTION GENERALE....................................................................................................iii
CHAPITRE I : FONDAMENTAUX SUR LESRESEAUX............................................................2
INTRODUCTION...........................................................................................................................2
I.1 Définition....................................................................................................................................2
I.2 TYPE DE RESEAU...................................................................................................................4
I.2.1Réseaux locaux (LAN: Local Area Network)..........................................................................4
I.2.2 Les réseaux locaux virtuels (VLAN).......................................................................................5
I.2.3 Les réseaux locaux sans fils (WLAN).....................................................................................5
I.2.4 Les réseaux métropolitains (MAN).........................................................................................5
I.2.5 Les réseaux étendus (WAN)....................................................................................................5
I.2.6 Les réseaux privés virtuels (VPN)...........................................................................................6
I.3 TOPOLOGIE DES RESEAUX.................................................................................................7
I.3.1 Topologie en BUS....................................................................................................................7
I.3.2Topologie en étoile....................................................................................................................8
I.3.3 Le réseau maillé......................................................................................................................8
II. LE MODELE OSI......................................................................................................................9
II.1 Description du modèle............................................................................................................10
II.2 Fonctions des couches.............................................................................................................10
II.2.1 Couche physique..................................................................................................................10
II.2.2 La couche liaison de données...............................................................................................11
II.2.3La couche réseau..................................................................................................................11
II.2.4La couche transport..............................................................................................................11
II.2.5 La couche session.................................................................................................................12
II.2.6 La couche présentation........................................................................................................12
II.2.7 La couche application..........................................................................................................13
II.3 Encapsulation des données.....................................................................................................13
III. MODELE TCP/IP...................................................................................................................14
III.1 DESCRIPTION.....................................................................................................................14
III.1.1 La couche application........................................................................................................15
III.1.3 La couche Internet.............................................................................................................15
III.1.4 La couche d'accès au réseau...............................................................................................15
III.2Comparaison du modèle OSI et du modèle TCP/IP..............................................................16
III.2.1 Similitudes..........................................................................................................................16
III.2.2 Différences..........................................................................................................................17
IV. Les éléments d’interconnexion................................................................................................17
IV.1 Hub........................................................................................................................................17
IV.2 Switch....................................................................................................................................18
IV.3Pont........................................................................................................................................19
IV.3.1 Principe...............................................................................................................................20
IV.3.2 Fonctionnement..................................................................................................................20
IV.4 Routeur..................................................................................................................................20
IV.4.1 Principe de fonctionnement................................................................................................21
IV.4.2 Les protocoles de routage...................................................................................................21
CONCLUSION.............................................................................................................................22
CHAPITRE II : GENERALITES SUR LA SECURITE INFORMATIQUE..............................23
INTRODUCTION.........................................................................................................................23
I. Gestion de sécurité.................................................................................................................23
I.1 Risques.....................................................................................................................................23
I.2 Menaces....................................................................................................................................24
I.2.1 Les menaces passives.............................................................................................................24
I.2.2 Les menaces actives...............................................................................................................25
I.3 Politique de sécurité.................................................................................................................25
II. Services de sécurité...................................................................................................................25
II.1Authentification.......................................................................................................................25
II.2Contrôle d’accès......................................................................................................................26
II.3 Confidentialité des données....................................................................................................26
II.4 Intégrité des données..............................................................................................................26
II.6 Protection contre l’analyse de trafic......................................................................................27
III. CRYPTOGRAPHIE...............................................................................................................27
III.1Définition................................................................................................................................27
III.2 Technique de chiffrement.....................................................................................................27
III.3 Comparaison deux méthodes de chiffrement dans la sécurité de réseau.............................29
III.3.1 Chiffrement symétrique.....................................................................................................29
III.3.2 Chiffrement asymétrique...................................................................................................30
CONCLUSION.............................................................................................................................30
CHAPITRE III : LE FIREWALL................................................................................................32
I. INTRODUCTION.................................................................................................................32
II. Analyse technique préalable..............................................................................................32
III . Les différents types d’architecture........................................................................................33
III.1Firewall avec routeur de filtrage...........................................................................................33
III.2Passerelle double- le réseau bastion.......................................................................................35
III.3Firewalls avec réseau de filtrage............................................................................................36
III.4 Firewall avec sous-réseau de filtrage....................................................................................37
III.4.1 Le Routeur interne.............................................................................................................37
III.4.2 Le Routeur externe............................................................................................................38
III.4.3 Le bastion interne...............................................................................................................38
CONCLUSION.............................................................................................................................38
CHAPITRE IV : ETUDE ET MISE EN PLACE D’UN SYSTEME PARE FEU AVEC
PFSENSE......................................................................................................................................39
INTRODUCTION......................................................................................................................39
I- JUSTIFICATION DU CHOIX DU THEME.....................................................................39
1- CONTEXTE.......................................................................................................................39
3-PROBLEMATIQUE..................................................................................................................40
I I - MISE EN PLACE DE PFSENSE........................................................................................41
1 - TELECHARGEMENT DE PFSENSE.................................................................................41
2-CREATION DE LA MACHINE VIRTUELLE AVEC POUR SYSTEME PFSENSE...........41
3 .I NSTALLATI ON DE PFSENSE.............................................................................................45
III - CONFI GURATI ONS DE BASE DE PFSENSE..................................................................48
1. CONFIGURATION DE L’ADRESSE IPV4.........................................................................48
2. CONFIGURATION DU DHCP................................................................................................50
SECTI ON I I : CONFIGURATI ON DU PORTAIL CAPTIF ET CONNEXION AU SERVEUR
PFSENSE......................................................................................................................................52
1. CONNEXION A PFSENSE EN MODE ADMINISTRATEUR........................................52
2. MODIFICATION DU MOT DE PASSE..............................................................................53
3. CREATION DU PORRTAIL CAPTIF..............................................................................54
4. CONFIGURATION DU PORTAIL CAPTIF........................................................................56
5. CREATION DES UTILISATEURS......................................................................................58
7.FILTRAGE URL.....................................................................................................................60
8.RESUTAT DES SITES BLOQUES........................................................................................60
II.CONNEXION D’UN UTILISATEUR A PFSENSE..............................................................61
1. CONNEXION FILAIRE....................................................................................................61
2.MODE SANS FIL....................................................................................................................62
III-CAS PRATIQUE DE CONNEXION D’UN UTILISATEUR A PFSENSE........................62
CONCLUSION..........................................................................................................................63
CONCLUSION GENERALE....................................................................................................64
Bibliographie
1. http://www.generation-linux.fr/index.php?post/2009/11/30/Presentation-de-pfSense
2. https://www.securiteinfo.com/attaques/hacking/typesattaques.shtml
3. https://www.commentcamarche.com/contents/610-serveur-proxy-et-reverse-proxy
4. https://www.rene-reyt.fr/documents/informatique/petit-resume-de-securite-
informatique/securite-informatique-les-techniques-dattaque/
5. https://www.generation-linux.fr/index.php
6. Olivier Salvatori, Jacques Nozick – Les Réseaux ,2008 Eyrolles
7. Laurent Block, Christophe Wolfhugel - Sécurité Informatique principes et méthodes
8. Danièle Dromard, Dominique Seret – Architecture des Réseaux Collection
Synthex ,258 pages
9. http://www.todoo.biz/pfsense.php : Les solutions de firewallingOpenSource
10. https://saboursecurity.wordpress.com/2010/12/30/quelques-solutions-pare-feu-open-
source/
11. Jean-Pierre Arnaud -Réseaux & Télécoms 2e édition DUNOD
12. https://fr.wikipedia.org/wiki/Pare-feu_ (informatique)
13. https://www.frameip.com/firewall