Académique Documents
Professionnel Documents
Culture Documents
RECHERCHE SCIENTIPIQUE
Ïltil'
Année académique 2010-2011
SAWADOGO MOUSSA
PRESIDENT:
MEMBRES:
« }l mes parents,
:Jvl. ~ îMme S}1.W}l<DOÇO
}l mon frère et ma sœur,
SJ1.W}l<DOÇO Soumaila ~S}1.W}l<DOÇO (J{,amata,
Merci à nos camarades qui ont été pour nous bien plus que des frères et
qui ont accepté de partager avec nous leurs connaissances, nous aidant beaucoup
dans la compréhension et la réalisation de notre thème.
En particulier à :
DEDICACE !
REMl:RCI EM ENTS 11
IGLES ET ABREVIATIONS VI
TABLES DES FIGURES ET DES TABLEAUX VII
INTRODUCTION l
PRO BLE MATI QUE 2
1
ADSL Asymmetric Digital Suscriber Line
CRL Certificat Revocation List
DMZ Demilitarized Zone
DNS Domain Name Server
1/0 Input/Output
IP ----------------
lnternet Protocol
IPSEC Internet Protocol Security
HTTP HyperText Transfer Protocol
L2TP Layer 2 Tunneling Protocol
(LAC -----------------1
L2TP Access Concentrator
ILNS L2TP Network Server
MPLS Multi Protocol Label Switching
--------~---;
MySQL My Structured Query Language
PPTP Point-to-Point Tunneling Protocol
~
RNIS Réseau Numérique à e Service
- -
!SAD Security Association )atabase
- - -
SGBD Système de Gestion e Base de Données
~PD Security Policy Data ase
fssLSQL
_ Structured Query Lan guage
Secure Sockets Laye
TCP Transmission Contro Protocol
-- ---
TLS Transport Layer Sec urity
UDP User Datagram Proto col
UTP User Datagram Proto col
VPN Virtual Private Netw rrk
VSAT Very Small Aperture Terminal
WAN Wide Area Network
IWPA Wifi Protected Acce 5S
[CA Certificate Authority
PAGE
FIGURES
--
Figure 1 Topologie en étoile 10
--
Figure 2 Schéma réseau de la situation initiale de Jathniel 13
Entreprise
--
Figure 3 Interconnexion de réseaux locaux par satellite 24
--
Figure 4 Représentation de l'interconnexion établie entre les 28
différentes agences de Jathniel Entreprise
-- -
Figure 5 Certificat Numérique contenant des informations et une 32
signature chiffrée avec la clé privée de la CA.
-- -
Figure 6 Schéma de principe pour vérifier un certificat numérique 33
Figure 7
-- Vérification de la validité d'un certificat avec les CRL
-
36
-- --
Figure 8 Schéma d'un VPN d'acces 36
--
Figure 9 Schéma d'un intranet VPN 37
~igure 10
-- Schéma d'un extranet VPN 37
Figure 11
-- Schéma d'un VPN en étoile 38
--
1 Figure 12 Schéma d'un VPN maille 38
l_Figure 13
-- Schéma d'une trame PPP 46
--
Figure 14 Schéma expliquant le principe du PPTP 48
1 Figure 15 Illustration d'un VPN avec le protocole PPTP 48
e 16 Schéma d'une trame L2TP 49
Figure 17
-- -
Illustration du fonctionnem~nt avec L2tp 51
Figure 18 Illustration du principe de fonctionnement du protocole 53
l Figure 19
Figure 20
--
--
---
IPSEC
Principe De fonctionnement du protocole OpenVpn
Installation de l'OpenVpn
55
61
~igure 21 Création du certificat d'autorité maitre et sa clé 63
--
Figure 22
~- Création du certificat et de la clé privée du serveur 64
-
Figure 23 Création d'un certificat et d'une clé pour notre client VPN 65
-- -
1 Figure 24 Génération des paramètres de Diffie-Hellman pour le 66
serveur
r
Figure 25
-- Fichier de configuration server.conf 67
--
Figure 26 Fichier de configuration client.conf 69
--
Figure 27 Interface de configuration de « BackupPc » 71
Figure 28
-- Interface de configuration de « BackupPc » en français
-- 72
Figure 29
-- Fichier de configuration « ddclient.conf »
--
74
Figure 30
-- Architecture dmz pour jathniel entreprise 75
--
f Figure 31
Figure 32
-- Dmz Livebox Orange
Dmz MTN Côte d'ivoire
76
77
Figure 33
--
Schéma de fonctionnement de la réplication avec MYSQL
- 83
-- - -
Figure 34 Adresses IP du serveur 89
--
1 Figure 35 Schéma résultant du ping effectué sur le serveur 90
70
-
INTRODUCTION
De nos jours, la grande majorité des grandes entreprises possèdent leur
propre réseau. Il s'agit bien souvent de réseau étendu qu'elles constituent en
reliant leurs différents sites. Pour permettre leurs interconnexions, elles
s'appuient généralement sur des liaisons louées longues distances, sur des
liaisons spécialisées, des lignes numériques fibres optiques et sur plusieurs
autres moyens.
Ce projet aura pour rôle de gérer les différents flux de données qui
circulent entre les différents modules du système d'information. Il devra, avoir
une interface simple, conviviale et ergonomique, assurer une connexion
sécurisée aux données, avoir un bon Système de Gestion de Base de Données
(SGBD) ainsi que plusieurs autres fonctions capables de répondre correctement
aux besoins des structures concernées.
PROBLEMATIQUE
Jathniel Entreprise est une agence de voyage. Dans l'exercice de ses
fonctions, elle utilise régulièrement des informations concernant les réservations
en ligne de vol, les achats et ventes de devises, de même que les transferts
d'argent et autres services.
De ce fait, les actions menées par les agents de Jathniel Entreprise dans le
cadre de leur service génèrent obligatoirement un flux d'informations. Il va
naître le besoin de diriger ces informations d'envoi ou de réception vers une
source commune ce qui va susciter la mise en place d'un système d'information.
De plus, le client doit pouvoir effectuer toutes les opérations désirées dans
l'une quelconque des agences sans être obligé de les refaire dans la même
agence. Toutes les agences doivent être interconnectées et de ce fait nous devons
pouvoir retrouver dans les autres succursales, les informations y existant déjà ou
ayant une trace réutilisable.
PREMIERE PARTIE:
APPROCHE
METHODOLOGIQUE
CHAPITRE 1 - PRESENTATION DE LA
STRUCTURE D'ACCUEIL
j;;:,, le serveur est initialement passif, à l'écoute, prêt à répondre aux requêtes
envoyées par des clients. Dès qu'une requête lui parvient, il la traite et
envoie une réponse ;
)"' L'état du réseau local devra pouvoir être connu à tout moment et les
moyennes de trafic sur les flux entrants et sortants devront être
visualisées;
NB : La solution béta mise en place devra être gratuite. Pour cela, il faudra
utiliser des logiciels sans licence payante. Néanmoins, pour un futur
prometteur, il faudra faire des propositions avec des applications ou des
logiciels payants pour accroître l'efficacité du système.
i. Topologie physique
Jathniel Entreprise utilise une topologie en étoile.
~~ : Ordinateur
~: Switch
------ - -
-- -- -----
Processeur
Système d'exploitation Windows Xp
Logiciels installes Office 2007, Jathniel Gestion, Delta
Works, Amadeus, Skype, Avira Antivir
Capacité disque dur 80 GIGA
Capacité ram 512 à 1 GIGA
Quantité 5
~ Serveurs
Chaque agence de Jathniel Entreprise possède un serveur qui permet de
faire fonctionner le logiciel de gestion« Jathniel Gestion». Les caractéristiques
du serveur sont présentées dans le tableau 3 ci -après :
Imprimante 4
Photocopieuse Canon 1
Clavier HP 6
Souris HP 6
Ecran plat 17 pouces HP 6
Onduleur 2
TA B. 4 : Descriptif d'autres matériels informatiques
eu,
~·
lmpnmnnrA
Agonco
2 Plateaux
~-
lmpnmante
Agence Agence
Attécoubé Zone4
t Gestion de la sécurité
2- Critique de l'existant
Pour un meilleur résultat, notre système sera axé sur les fonctionnalités
suivantes:
},:- La mise en place d'un tunnel virtuel sécurisé reliant les différentes
agences de Jathniel Entreprise;
j;;,, La synchronisation des données de chaque agence vers un serveur de base
de données;
j;;,, La création d'un « Back up» de chaque base de données des différentes
agences;
},:- La création d'un «Backup» de la base de données centrale vers un autre
site différent de son lieu d'installation.
2- Présentation de la solution
DEUXIEME PARTIE :
PRESENTATION DES
TECHNOLOGIES
D'INTERCONNEXIONS
Chapitre 5 : Le VPN
1- Définition et fonctionnement
La liaison spécialisée (LS) est une ligne téléphonique tirée directement entre
les locaux du client et le fournisseur d'accès internet (FAI). Le débit varie entre
64Kb/s à 20 Mb/s, et le coût est fonction du débit demandé.
2- Avantages et inconvénients
2- Avantages et inconvénients
2.1- Les avantages
2- Avantages et inconvénients
(2( Définition et fonctionnement de la fibre optique (source: ht1p://fr.wikipedia.11rg/wiki/Fihre 11ptiq11e visité le 04/02/12)
Un satellite est un engin spatial en orbite autour de la terre, qui assure des
communications à distance en relayant des signaux par ondes radio. Par
l'intermédiaire de stations terrestres, un satellite de télécommunication permet
de transmettre à grande distance des informations de diverses natures ( données
téléphoniques, télégraphiques, radiodiffusion, etc.) à un débit autour de 3Mb/s.
Il est placé en orbite par une fusée ou par un système de transport spatial.
Toutes les communications par satellites exploitent les ondes radio, en dehors
de quelques rares utilisations des rayons laser, capables de traverser l'eau et donc
appliqués aux transmissions entre satellites et sous-marins.
2- Avantages et inconvénients
2.1- Avantages
2.2- Inconvénients
~ La durée de vie restreinte ( car les propulseurs de stabilité des satellites ont
une réserve en carburant limitée) ;
~ Un coût de déploiement très élevé.
xouree : www ""'-'•fl<'•l.bfl1.u/int<>n:o.pdf
satellite
Le sigle VSAT pour Very Small Aperture Terminal (terminal à très petite
ouverture) désigne une technique de communication par satellite bidirectionnelle
qui utilise des antennes paraboliques dont le diamètre est inférieur à 3 mètres.
urce hup:/lwww.,on11posLbf/sat/inten:o.pdf
Fréquence VSAT
Bande Fréquence GHz Encombrement Puissance transmise Effet pluie
Bande C
Bande Ku
Bande Ka
3 à 7
10 à 18
18 à 31
i
Large
Moyen
Petit
~r Basse
Moyenne
Haut
Minimum
Modéré
Sévère
4
CHAPITRE 5 - LE VPN 1 1
1- Définition et fonctionnement
2- Avantages et inconvénients
(41 Définition et fonctionnement du VPN (source : http://fr.wikipcdia.org/wiki/Ré.~au privé virtuel visité le 04/02/12)
DESCRIPTIF Liaison filaire Ce sont des liaisons Le principe est On relie des sites en
TECHNIQUE filaires, passant par d'interconnect installant des
les câbles de CIT. er des sites en stations de
passant par réception/
internet émission satellitaire
de types VSAT
AVANTAGES Insensibilité Transmission de Coût faible (il Très grande
aux l'information en suffit d'une fiabilité.
perturbations temps réel. connexion Indépendance
radio internet à (aucun câble, tout
électriques chaque bout) se passe par
satellite).
Tout le pays peut
être couvert, y
compris les endroits
les plus reculés.
INCONVENIENTS Très couteux Dépendance Débits non Prix plus élevé que
et nécessite technique de CIT. garantis (le les solutions
des travaux Coût élevé débit dépend précédentes
de génie civil (investissement de de la qualité (investissement de
pour son l'ordre de Smillions dela l'ordre de 20
installation de FCFA, avec un connexion millions par site,
abonnement internet entre abonnement
mensuel de l'ordre chaque site) mensuel de l'ordre
de 3Millions de de 1,5 millions par
FCFA par liaison) site)
DEBIT Elevé Moyen Moyen Faible
De plus, Jathniel Entreprise souhaitait que la solution béta choisie soit facile
d'accès et surtout « Open Source». c'est le cas de la solution VPN.
Agence Agence
2 Plateaux Angre
Connexion ADSL
Pa.~u.x Connexion ADSL 2Mbp/s
l..j 3Mbp/s
Commul.\leur
/45,
Imprimante Fax
Fax
Agence Agence
Attécoubé Zone 4
TROISIEME PARTIE :
CONCEPTION DU
SYSTEME
1.1- la confidentialité
Bob et Alice possèdent chacun une paire de clés (clé publique et clé
privée). Bob utilise la clé publique d'Alice pour chiffrer son message. Alice
reçoit le message venant de Bob mais ce message est chiffré donc illisible. Mm
de décoder ce message elle utilise sa clé privée pour déchiffrer le message. Nous
parlons ici de confidentialité.
1.2- L 'authentification
L'authentification d'un message consiste à utiliser la clé privée de
l'expéditeur pour coder le message qu'il désire envoyer. Le destinataire utilisera
la clé publique correspondante pour décoder le message qui sera ainsi
authentifié.
(5( Définition de l'infrastructure à clé publique (source; http://fr.wlkipcdi11.org/wiki/lnfrnstructurc i1 clés puhligur, visité le
04/02/12)
Bob et Alice possèdent chacun une paire de clés ( clé publique et clé
privée). Bob utilise sa clé privée pour coder son message. Alice reçoit le
message venant de Bob mais ce message est codé donc illisible. Afin de décoder
ce message elle utilise la clé publique correspondante pour décoder le message.
Nous parlons ici d'authentification.
2- La notion de certificat
Ainsi un certificat permet d'associer une clé publique à une entité (une
personne, une machine) afin d'en assurer la validité. Le certificat est en quelque
sorte la carte d'identité de cette entité. Il est délivré par l'organisme appelé
autorité de certification.
Cert1"cat
lnformatfons:
Signature:
3d:c5:b12:9a:bd:e6
Signature avec la clé privee de
l'autorité de certification
Fig. 5 : Certificat Numérique contenant des informations et une signature chiffrée avec la clé
privée de la CA
Informa tfons:
Signature:
3d:c5:b12:9a: bd:e6
Déchltfrement à l'aide de la cr
publique de l'autorité d
certification
rrll~ntUIATIOUCS
QIJOIMATIQUI •r
AJI Mémoire de fin d'études
CRL
CRL
1- Définition
2- Concept de V PN
Le VPN a été mis en place dans Je but de répondre à un type de
problématique : « comment une succursale d'une entreprise peut-elle accéder
aux données situées sur un serveur de la maison mère distante de plusieurs
milliers de kilomètres à moindre coûts ? »
Ce réseau est dit virtuel car il relie deux réseaux «physiques» (réseaux
locaux) par une liaison non fiable (internet), et privée car seuls les ordinateurs
des réseaux locaux de part et d'autre du VPN peuvent voir les données.
3- Fonctionnement du VPN
SAWADOGO Moussa
Q3s5 Diplôme d'ingénieur de Conception Option Génie Informatique
Mémoire de fin d'études
~ Le VPN d'accès;
~ L' intranet VPN ;
~ L' extranet VPN.
3.1.2- L 'intranet VP
L' intranet VPN est utilisé pour relier au moins deux intranets entre eux.
Ce type de réseau est particulièrement utile au sein d'une entreprise possédant
plusieurs sites distants.
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et
ses partenaires. Elle ouvre alors son réseau local à ces derniers.
--------"
1
1
1
1
On distingue deux types de topologies pour les VPN : les VPN en étoile et
les VPN maillés.
VPN en étoile :
)i:>
Agence 1
Siegc
>"' VPNMAILLE
Pour cette autre topologie, les routeurs ou passerelles présents aux extrémités
de chaque site seront considérés comme des serveurs d'accès distants. Les
ressources dans ce cas sont décentralisées sur chacun des sites autrement dit, les
employés pourront accéder aux informations présentes sur tous les réseaux.
Site 1 Site 4
Fig. 12: Schéma d'un VPN maille
Nous pouvons classer les protocoles que nous allons étudier en deux
catégories :
)"' Une méthode pour encapsuler les datagrammes sur la liaison série. PPP
utilise le format de trame Hight Data Level Contrai (HDLC) de
l 'International Standartization Organisation (ISO) ;
)"' Un protocole de contrôle de liaison LCP (Link Control Protocol) pour
établir, configurer et tester la connexion de liaison de données ;
)i.,, Plusieurs protocoles de contrôle de réseaux NCPS (Network Control
Protocol) pour établir et configurer les différents protocoles de couche
réseau.
D01U1ées
YYY~ ~ y
l
Adresse
l
Protocole
l
Fanion
,
Mémoire de fin d'études
- accès ; :p~·. :P -
: 1.;l ('ln- A
t l:,d,. t
p
Fig. 15 : Tllustration d'un VPN avec le protocole PPTP
Le principe du protocole L2TP est d'encapsuJer des trames PPP pour les
envoyer sur des réseaux IP, X25, relais de trames ou A TM. Lorsqu'il est
configuré pour transporter les données sur IP, le protocole L2TP peut être utilisé
pour faire du tunnelling sur Internet. Dans ce cas, le protocole L2TP transporte
des trames PPP dans des paquets 1P.
0 - 2 bits réservés pour des extensions futures. Pour l'instant ces bits sont mis à 0
et ignorés.
S - 1 bit qui positionné à 1, indique la présence des champs Ns et Nr. Ce bit doit
être à 1 dans les messages de contrôle.
0 - 1 bit réservé pour des extensions futures. Pour l'instant, ce bit est mis à O et
ignoré.
0 - 4 bits réservés pour des extensions futures. Pour l'instant ces bits sont mis à 0
et ignorés.
Demande Sockets
création SA 1------------------1
SPD Transport (TCP, UOP)
Consulte
Liaison
Lorsque la "couche" IPSEC reçoit des données à envoyer, elle commence par
consulter la base de données des politiques de sécurité (SPD) pour savoir
comment traiter ces données. Si cette base lui indique que le trafic doit se voir
appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises
pour la SA correspondante et va consulter la base des SA (SAD). Si la SA
nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le
cas contraire, IPSEC fait appel à IKE pour établir une nouvelle SA avec les
caractéristiques requises.
Une fois le paquet vérifié et/ou déchiffré, la Spd est consultée pour savoir si
l'association de sécurité appliquée au paquet correspondait bien à celle requise
par les politiques de sécurité. Dans le cas où Je paquet reçu est un paquet IP
classique, la Spd permet de savoir s'il a néanmoins le droit de passer. Par
exemple, les paquets IKE sont une exception. Ils sont traités par IKE, qui peut
envoyer des alertes administratives en cas de tentative de connexion
infructueuse.
SAWADOGO Moussa
21:49~ Diplôme d'ingénieur de Conception Option Génie Informatique
ï,a
ura 01
W.mtUAATIDIJCS.
5.6- OPENVPN
Créé en 2002, Open est un outil open source utilisé pour construire des
VPNs site à site avec le protocole SSL/TLS ou avec des clefs partagées. Son
rôle est de "tunneliser", de manière sécurisée, des données sur un seul port
TCP/UDP à travers un réseau non sûr comme Internet et ainsi établir des VPNs.
Local Sile A
Ü-l,ia
Desktop
OPENVPN est basé sur une architecture client/serveur. Il doit être installé
aux deux extrémités du VPN, une est désignée comme serveur, l'autre comme
client. La première étape dans la configuration d'OPENVPN est d'établir une
ICP (Infrastructure de Clés Publiques).
),>, Le serveur n'a besoin que de ses propres certificats/clés, il n'a pas besoin
de connaître chacune des clés des clients qui peuvent s'y connecter.
),>, Le serveur n'acceptera les clients que lorsque le certificat sera signé par
l'autorité de certification maître (qui l'aura généré avant). Et comme le
serveur peut vérifier cette signature sans avoir besoin d'accéder à la clé
privée de l'autorité de certification elle-même, il est possible pour la clé
de l'autorité de certification (clé la plus sensible dans toute l'infrastructure
de clés publiques) de résider sur une toute autre machine.
QUATRIEME PARTIE:
REALISATION
Chapitre 3 : Sécurité
Chapitre 4 : Test
Pour faire toutes nos installations et nos configurations, il nous faut passer
en mode administrateur qui correspond ici au compte « Root » qui dispose de
tous les droits sur notre serveur. Pour passer en mode « Root » tapez la
commande suivante :
« sudo su»
Nous faisons ensuite la mise à jour des dépôts officiels : « Apt-get update ».
Nous faisons la copie des différents fichiers de configuration dans le dossier que nous
aurons créé spécialement à cet effet:
Nous commençons par éditer le fichier « vars » qui se trouve dans le répertoire :
/etc/openvpn/easy-rsa/ ·
- « . ./vars » ;
- Nous nettoyons toutes les clés et certificats existants : «. /clean-all » ;
- Puis, nous créons le certificat et la clé de l'Autorité de Certification Maitre
(master Certificate Authority (CA) : «. /build-ca » ;
- La dernière commande (build-ca) va construire le certificat de l'Autorité
de Certification et la clé en utilisant la commande interactive OPENSSL
et sortira:
--A'll
--- Mémoire de fin d'études
A'II
= Mémoire de fin d'études
«. /build-key-server serveurmoussbighome ».
SAWADOGO Moussa
-~-7 Diplôme d'ingénieur de Conception Option Génie Informatique
59 ~
ur1 0 1
IUll!UlATIDIJlS.
«. /build-key clientvpn 1 ».
Fig. 23 : Création d'un certificat et d'une clé pour notre client VPN
«. /build-dh».
Aj1·
___. Mémoire de fin d'études
I•~ :e:
Configuration du routage :
« cd /etc/openvpn/clientvpnl/ »
« vi client.conf»
1- Présentation de BackupPc
Compte tenu du coût sans cesse décroissant des disques et des systèmes de
raid, il est pratique et rentable de sauvegarder un grand nombre de machines sur
un disque local ou un serveur de stockage en réseau. Pour certains sites, cela
pourrait être la solution de sauvegarde complète.
2- Installation de BackupPc
Nous ouvrons notre navigateur web pour ensuite taper le lien suivant :
http://@serveur/backuppc
Dans notre cas précis pour des raisons de sécurité nous avons modifié le port par
défaut d'Apache2 donc notre lien ne sera plus exact. Nous devons entrer comme
nouveau lien http://@serveur:portApache/backuppc
User Actions
sourceForçe E.xlsttng files are those already in the pool; new files are those added to the pool. Empty files and 5MB errors aren't counted ln the
reuse and new counts.
NB:
A l'installation de BackupPc nous avons un login du nom de backuppc et le mot
de passe est attribué de façon aléatoire.
focalhost
Démarrer la sauwg.ardo complète
=i
Rê-sum• de la sauv.,. ard•
Chercher
arquer sur le numéro de rarchive pour nZMguer et restaurer les flch1en de szu,.rvegorde,
Les fichiers existants sont ceux qui sont déjà sur le serveur; Les nouve&u.x fichierS SIOnt ceux qui ont ,té ajoutés au serveur. Les fichiers
vides et les erreurs de SMB ne sont pas comptabîlis4s dons les fichiers nouveaux ou réunüsés,
Totaux
Sôluvegard@
n•
Nbde
Fldùers
Nbde
Adllo,rs
.•...•..
(Mo)
llbde
Flchlo,rs
partielle 2L22 3.21 2122 16.1 0
Risu,nj de la compression
Performance de lo compres5'0n pour les fichiers dfJ6 sur le serveur et récemment compressés.
Nbde
AUVegarde,
CHAPITRE 3 - SECURITE
l .1- Présentation
Un Domain Name Server (DNS) est le processus qui permet de. lier un
nom de domaine à une adresse IP (« www.miageci.com » à« 82.211.81.166 »
par exemple).
En ce qui nous concerne, nous allons choisir la première option et créer notre
domaine.
Pid=lvar/run/'ddclient.pid
Ssl=yes
Protocol=dyndns2
Use=web
Login= identifiant
@root@serveurmoussbighome: /etc
2- Configuration de Ja DMZ
Il est à noter qu'il est possible de mettre en place des DMZ en interne afin
de cloisonner le réseau interne selon différents niveaux de protection et d'éviter
ainsi les intrusions venant de l'intérieur.
2.1.2- Architecture de lu D1\!Z pour Jathniel Entreprise (JE)
Postes d1ents
Reseau public
Réseau local
Serveur Web
Pour activer la DMZ sur son routeur, il faut se rendre dans l'onglet des
configurations avancées du routeur et y mettre l'adresse du serveur que nous
voulons mettre dans la DMZ.
·• lies services
~
.
Serveurs LAN
= ~lormations
Sé~oode0~
CorwiooADSl
Sar5n1W211g
lAN
lcgael
USB
VroS1JI.P
DECT
>IW>IIZ
N.G
Netfilter est une architecture de filtrage des paquets pour les noyaux Linux
2.4 et 2.6. Le filtrage se fait au sein du noyau au niveau des couches 2, 3 et 4 du
modèle OSI, c'est-à-dire les liaisons de données, réseau et transport. Il est par
exemple capable, d'agir à bas niveau sur les interfaces Ethernet, sur la pile IP et
sur les protocoles de transport comme TCP.
Voici une liste non exhaustive des règles de filtrage et de redirection de port
qui ont été implémentées dans notre pare-feu pour l'accès à la DMZ:
4. 1 - Services
De nombreux services se lancent au démarrage du système. Certains sont
quasiment indispensables, d'autres apportent des fonctionnalités
supplémentaires. Il faut essayer de limiter le nombre de services lancés à ceux
qui sont rendus nécessaires par l 'uti li sati on de l'ordinateur. Plus il y a de
services lancés, plus les ressources matérielles seront utilisées à mauvais escient
et plus le potentiel de failles sera important. Il est donc bon de surveiller ces
services et particulièrement après les mises à jour du système.
Une solution serait de changer les ports qu'utilisent certains logiciels. Dans
notre cas, SSH (Secure Shell), qui est à la fois un programme informatique et un
protocole de communication sécurisé, se verra changer de port. Nativement SSH
utilise le port 22.
5.1- PORTSENTR Y
« vi /etc/portsentry/portsentry.conf »
Cette fonction permet d'empêcher les scans sur les ports TCP/UDP.
5.2- FAIL2BAN
F AIL2BAN est un script surveillant les accès réseau grâce aux logs des
serveurs. Lorsqu'il détecte des erreurs d'authentification répétées, il prend des
contre-mesures en bannissant l'adresse IP grâce à Iptables/Netfilter. Cela permet
d'éviter bon nombre d'attaques « brute force » et/ou par dictionnaire.
5.4-NIKTO
Mémoire de fin d'études
NIKTO est un scanner de sécurité pour les serveurs web et est programmé
en langage P.E.R.L. Ses fonctionnalités sont d'auditer les serveurs web à la
recherche de failles diverses, de tester potentiellement près de 6000
vuJnérabilités CGI et fichiers dangereux, de vérifier l'obsolescence du serveur et
ses composants logiciels, de rechercher les dossiers pouvant contenir des
informations sensibles.
5.5- DENYHOSTS
Lorsque nous mettons un serveur en ligne sur internet, nous avons tous à
subir de nombreuses tentatives de connexion sur le port SSH (les
attaques SSH par dictionnaire sont courantes). Il est difficile de fermer ce port
que nous utilisons pour nous connecter de chez nous à notre serveur préféré (pas
toujours simple de n'utiliser que la console!).
),, Deux serveurs distants sur lesquels les données doivent être
consistantes ;
),, Deux serveurs, un comme serveur principal. l'autre comme serveur
de backup à chaud ;
),, Plusieurs serveurs en cluster utilisés pour de l'équilibrage de charge
et de la tolérance à la panne.
Lscluras
[mysqld]
server-id= 1
log-bin = /home/mysql/logs/mysql-bin.log
[mysqld]
Server-id = 2
Master-port = 3306
SLAVE STOP;
A~l 1
Mémoire de fin d'études
CHAPITRE 4 - TEST
1- OPENVPN
Pour réaliser nos tests, nous allons utiliser deux ordinateurs avec deux
connexions internet différentes.
@ root@serveurmoussbighome: (V
NB: Ce test nous permet de savoir si la connexion internet passe sans problème
sur le serveur.
Etape 5 : Passer à présent sur le terminal qui se trouve sur 1 'ordinateur qut nous
sert de client pour notre VPN.
root@ClientVpnl:/home/clientvpnl#
Etape 9 : Effectuer des tests de connexion entre les deux bouts de notre tunnel
OPENVPN.
A(
--- 10.8.0.l ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 84.944/131.872/198.914/46.804 ms
root@ClientVpnl:/home/clientvpnl# 1
Ai:I~
U.lTMtM&TIQIJIS.
Nous observons d'après la figure que précédente que la connexion passe entre
notre client OPENVPN et notre serveur OPENVPN.
=t []
19 15.887959 192.168.11.131 41.189.47 .65 TCP 57957 > rsf-1 [SYNI Secp8 Win:14688 Len:& HSS:1468 SAC
0000
0010
-0020
0030
Frame (frame). 60 bytes Packets: 168 Displayed: 168 Marked: O Dropped: O Profile: Delault
root@ChentVpnl: - root@ClientVpnl: tes: .. ethO · Wiresharic
SAWADOGO Moussa
B:=95~ Diplôme d'ingénieur de Conception Option Génie Informatique
Mémoire de fin d'études JATHNIILENTRIPRUI
Les coûts prévisionnels de mise en place de notre solution sont résumés dans le
tableau suivant :
NB:
CONCLUSION
Cette étude des solutions VPN aborde les architectures les plus courantes
pour les accès distants et détaille les avantages et inconvénients de chacune. La
comparaison des différentes technologies de mise en œuvre nous a permis de
faire un choix en fonction de nos besoins.
Jathniel Entreprise a ainsi choisi la solution VPN comme étant la plus apte
à satisfaire son cahier de charges. De plus, la contribution de l'open source
permet de déployer à moindre coût une telle infrastructure sans oublier les
avantages en termes de facilité, de mobilité, d'évolution et de sécurité.
BIBLIOGRAPHIE
j,,, OUVRAGES
GLOSSAIRE
Base de données : entité dans laquelle il est possible de stocker des données de
façon structurée et avec le moins de redondance possible.
Kernel: est aussi appelé noyau, il s'agit de la partie fondamentale d'un système
d'exploitation. Le kemel permet de simplifier et sécuriser l'utilisation des
différents composants et périphériques de l'ordinateur. Il détermine également
quel programme doit s'exécuter et pendant combien de temps grâce à une
méthode appelée l'ordonnancement.
Pentium IV: Microprocesseur d'Intel sortie fin 2000. Proposé de base à une
fréquence de 1,4 GHz. Il intègre le nouveau moteur d'exécution Netburst qui est
capable de fonctionner quatre fois plus vite que la vitesse d'horloge et ne
supporte que la DRD Ram. 144 nouvelles instructions (SSE2) ont été intégrées
entre autres pour accélérer l'encodage MPEG et le cryptage. Le niveau d'unité
d'exécution (pipelines) est porté à 20 contre 10 pour le Pentium m.
Réseau : ensemble des moyens matériels et logiciels mis en œuvre pour assurer
les communications entre les orclinateurs, stations de travail et terminaux
informatiques.
ANNEXES
ANNEXE 1
DIRECTION GENERALE
SERVICE
INFORMATIQUE
,,