Vous êtes sur la page 1sur 90

Agence Tunisienne de la Formation Professionnelle

Centre Sectoriel de Formation en Télécommunications – Cité El Khadhra

Projet de fin de formation


Pour l’obtention du diplôme de Technicien
Supérieur en Infrastructures et Réseaux d’Accès

Titre de projet :

Architecture sécurisée Siège –


Succursales – Client mobile chez Topnet

Réalisé par :
Nahed ATHIMNI & Ameni HADHRI

Encadré par :
Hela Bejaoui (CSFT) & Yassine Ben Ali (TOPNET)

Avril 2022
Dédicaces

A mes chers parents, pour tous leurs sacrifices, leur amour, leur
tendresse, et leurs prières tout au long de mes études,

A mes chères sœurs pour leurs encouragements permanents, et leur


soutien moral,

A mon cher frère pour son appui et son encouragement,

Que ce travail soit l’accomplissement de vos vœux tant allégués, et le


fruit de votre soutien infaillible,

À tous mes chers collègues Conseillers Clientèles Technique


travaillant à Topnet pour tous les bons moments passés avec vous.

Merci d’être toujours là pour moi.

Nahed ATHIMNI
Dédicaces

À mes très Chers Parents Aucun hommage ne pourrait être à la


hauteur de vos sacrifices, de l'amour et de l'affection dont vous n'avez
jamais cessé de m'entourer toutes au long de ces années d’études.

J’espère que vous trouvez dans ce travail un vrai témoignage de mon


profond amour et éternelle reconnaissance.

À toute ma famille, À mon binôme, à qui je souhaite bonne chance


pour son prochain projet.

À toutes mes chères amies Pour tous les instants inoubliables que j’ai
passés avec vous, A tous ceux qui m’aiment.

A tous ceux que j’aime.

Ameni HADHRI
Remerciements

A l’occasion de notre projet de fin de formation, nous tenons à remercier tout


d’abord le bon Dieu qui nous a soutenus par la bonne santé, le courage et la volonté de traiter
ce sujet.

Nous remercions également tous ceux et celles qui ont participé de près ou de loin
à l’élaboration de ce travail. Nos encadrants : Mme Hela Bejaoui et Mr Yassine Ben Ali,
nous leur accordons le grand respect pour leur profond soutien et leur contribution ainsi leurs
apports d’aide qui ne cessent de nous garder toujours sur la bonne voie et d’éclaircir tout ce
qui nous parait sombre.

Par la même occasion, nous remercions nos enseignants pour le grand effort qu’ils
ont fourni tout au long de ces années pour nous garantir un bon niveau académique et
professionnel.

Nous ne pouvons pas oublier également de remercier chaleureusement tout le


cadre administratif et technique de la société TOPNET, nous leurs souhaitons bonne vie, bon
travail en leur disant que nous vous remercions infiniment pour tout ce que vous avez fait
pour nous surtout lors de la période de stage en nous facilitant toutes les tâches.

Enfin, nous remercions profondément tous les membres du jury d’avoir bien
voulu accepter de juger ce modeste travail.
Glossaire
VPN : Virtual Private Network

IPSEC : Internet Protocol Security

PPTP: Point-To-Point Tunneling Protocol

FSI : Fournisseur Des Services Internet

LAN : Local Area Network

IT : Information Technology

ADSL : Asymmetric Digital Subscriber Line

LNPA : Ligne Numérique à Paire Asymétrique

POTS : Plain Old Telephone Service

VDSL : Very High Digital Subscriber Line

GPON : Gigabit Passive Optical Network

FTTH : Fiber To The Home

FTTO : Fiber To The Office

PON : Passive Optical Network

QoS : Quality Of Service

AES : Advanced Encryption Standard

OSI : Open Systems Interconnection

ATM : Asynchronous Transfer Mode

L2TP : Layer 2 Tunneling Protocol

PPP : Point-To-Point Protocol

TCP : Transmission Control Protocol

IP : Internet Protocol

GRE : Generic Routing Encapsulation

MPPE : Microsoft Point-To-Point Encryption

MPPC : Microsoft Point-To-Point Compression

RTC : Réseau Téléphonique Commuté


RFC : Request For Comments

LAC : L2TP Access Concentrator

LNS : L2TP Network Server

DH : Diffie Hellman

IETF : Internet Engineering Task Force

SSH : Secure Shell

TLS : Transport Layer Security

SSL : Secure Sockets Layer

AH : Authentication Header

ESP : Encapsulating Security Payload

NAT : Network Address Translation

IKE : Internet Key Exchange

SA : Security Association

DES : Data Encryption Standard

3DES : Triple Data Encryption Standard

AES : Advanced Encryption Standard

PSK : Pre Shared Key

ISAKMP : Internet Security Association And Key Management Protocol

FAI : Fournisseur D'accès Internet

MITM : Man-In-The-Middle Attack

DDoS : Distributed Denial Of Service

DNS : Domain Name System

HTTP : Hypertext Transfer Protocol

DHCP : Dynamic Host Configuration Protocol


Liste des figures
FIGURE 1 : EXEMPLES DE LOGICIELS ANTIVIRUS .................................................................................... 5
FIGURE 2 : LE VPN ACCES A DISCTANCE .............................................................................................. 13
FIGURE 3 : LE VPN SITE A SITE ............................................................................................................. 13
FIGURE 4 : ARCHITECTURE DU PROTOCOLE L2TP ................................................................................ 16
FIGURE 5 : POSITIONNEMENT DE L'IPSEC DANS LE MODELE OSI.......................................................... 19
FIGURE 6 : AUTHENTIFICATION HEADER .............................................................................................. 20
FIGURE 7 : ENCAPSULATION SECURITY PAYLOAD ................................................................................ 21
FIGURE 8 : CRYPTAGE ET DECRYPTAGE ................................................................................................ 24
FIGURE 9 : PARAMETRES DE CRYPTOGRAPHIE ...................................................................................... 25
FIGURE 10 : TOPOLOGIE DE LA REALISATION PRATIQUE EN 3D ............................................................ 36
FIGURE 11 : MAQUETTE DETAILLEE DE LA REALISATION PRATIQUE .................................................... 37
FIGURE 12 : VUE EN AVANT ROUTEUR CISCO 867VAE-K9 .................................................................. 38
FIGURE 13 : VUE EN ARRIERE ROUTEUR CISCO 867VAE-K9 ............................................................... 39
FIGURE 14 : CABLAGE DU RESEAU ........................................................................................................ 40
FIGURE 15 : PUTTY ............................................................................................................................... 40
FIGURE 16 : REGISTRE DU ROUTEUR ..................................................................................................... 41
FIGURE 17 : DEFINITION DU NOM DU ROUTEUR .................................................................................... 41
FIGURE 18 : CREATION DU MOT DE PASSE ENABLE ............................................................................... 42
FIGURE 19 : CREATION DU MOT DE PASSE TELNET ............................................................................... 42
FIGURE 20 : ACTIVATION DU TELNET ................................................................................................... 42
FIGURE 21 : CONFIGURATION DE L'INTERFACE LAN ............................................................................ 42
FIGURE 22 : CONFIGURATION DE L'INTERFACE GE 1 ............................................................................. 43
FIGURE 23 : CONFIGURATION DE L'INTERFACE DIALER 0 ..................................................................... 43
FIGURE 24 : CONFIGURATION DU DHCP ............................................................................................... 44
FIGURE 25 : ACTIVATION DU DHCP...................................................................................................... 44
FIGURE 26 : CREATION DE L'ACL.......................................................................................................... 45
FIGURE 27 : CONFIGURATION DU NAT ................................................................................................. 45
FIGURE 28 : CONFIGURATION MODEM GPON EN MODE BRIDGE .......................................................... 45
FIGURE 29 : CONFIGURATION DU ROUTAGE STATIQUE ......................................................................... 45
FIGURE 30 : TEST DE NAVIGATION 8.8.8.8............................................................................................. 46
FIGURE 31 : TEST DE NAVIGATION @ 41.230.28.217 ............................................................................ 46
FIGURE 32 : TEST DE NAVIGATION @ 192.168.1.1 ................................................................................ 46
FIGURE 33 : SYNCHRONISATION DES INTERFACES ................................................................................ 46
FIGURE 34 : DEFINITION DU NOM DU ROUTEUR .................................................................................... 47
FIGURE 35 : CREATION DU MOT DE PASSE ENABLE ............................................................................... 47
FIGURE 36 : CREATION DU MOT DE PASSE TELNET ............................................................................... 47
FIGURE 37 : ACTIVATION DU TELNET ................................................................................................... 47
FIGURE 38 : CONFIGURATION DE L'INTERFACE LAN ............................................................................ 47
FIGURE 39 : CONFIGURATION DE L'INTERFACE ETHERNET 0 ................................................................ 48
FIGURE 40 : CONFIGURATION DE L'INTERFACE ETHERNET 0.35 ........................................................... 48
FIGURE 41 : CONFIGURATION DE L'INTERFACE DIALER 0 ..................................................................... 48
FIGURE 42 : CONFIGURATION DU DHCP ............................................................................................... 49
FIGURE 43 : ACTIVATION DU DHCP...................................................................................................... 49
FIGURE 44 : CREATION DE L'ACL.......................................................................................................... 49
FIGURE 45 : CONFIGURATION DU NAT ................................................................................................. 49
FIGURE 46 : CONFIGURATION DU ROUTAGE STATIQUE ......................................................................... 49
FIGURE 47 : TEST DE NAVIGATION GOOGLE.......................................................................................... 50
FIGURE 48 : TEST DE NAVIGATION @ 41.230.28.218 ............................................................................ 50
FIGURE 49 : TEST DE NAVIGATION @192.168.2.1 ................................................................................. 50
FIGURE 50 : SYNCHRONISATION DES INTERFACES ................................................................................ 50
FIGURE 51 : DEFINITION DU NOM DU ROUTEUR .................................................................................... 51
FIGURE 52 : CREATION DU MOT DE PASSE ENABLE ............................................................................... 51
FIGURE 53 : CREATION DU MOT DE PASSE TELNET ............................................................................... 51
FIGURE 54 : ACTIVATION DU TELNET ................................................................................................... 51
FIGURE 55 : CONFIGURATION DE L'INTERFACE LAN ............................................................................ 51
FIGURE 56 : CONFIGURATION DE L'INTERFACE ATM 0 ......................................................................... 52
FIGURE 57 : CONFIGURATION DE L'INTERFACE ATM 0.1 ...................................................................... 52
FIGURE 58 : CONFIGURATION DE L'INTERFACE DIALER 0 ..................................................................... 52
FIGURE 59 : CONFIGURATION DU DHCP ............................................................................................... 53
FIGURE 60 : ACTIVATION DU DHCP...................................................................................................... 53
FIGURE 61 : CREATION DE L'ACL.......................................................................................................... 53
FIGURE 62 : CONFIGURATION DU NAT ................................................................................................. 53
FIGURE 63 : CONFIGURATION DU ROUTAGE STATIQUE ......................................................................... 53
FIGURE 64 : TEST DE NAVIGATION @ 41.230.28.219 ............................................................................ 54
FIGURE 65 : TEST DE NAVIGATION GOOGLE.......................................................................................... 54
FIGURE 66 : TEST DE NAVIGATION @ 192.168.3.1 ................................................................................ 54
FIGURE 67 : SYNCHRONISATION DES INTERFACES ................................................................................ 54
FIGURE 68 : CONFIGURATION VPN IPSEC SITE 1 A SITE 2 ................................................................... 56
FIGURE 69 : CONFIGURATION ISAKMP – SITE 1 ................................................................................. 56
FIGURE 70 : DEFINITION D'UNE CLE PRE-PARTAGEE – SITE 1............................................................... 57
FIGURE 71 : CREATION D’ACL ETENDUE – SITE 1 ............................................................................... 58
FIGURE 72 : CREATION DE LA TRANSFORMATION IPSEC – SITE 1 ....................................................... 58
FIGURE 73 : CREATION D'UN CRYPTO MAP – SITE 1............................................................................ 58
FIGURE 74 : APPLICATION DE CRYPTO MAP A L'INTERFACE PUBLIQUE – SITE 1 .................................. 59
FIGURE 75 : CONFIGURATION ISAKMP - SITE 2 .................................................................................. 59
FIGURE 76 : DEFINITION D'UNE CLE PRE-PARTAGEE - SITE 2 ............................................................... 60
FIGURE 77 : CREATION D'ACL ETENDUE - SITE 2 ................................................................................ 60
FIGURE 78 : FIGURE 77 : CREATION D'UNE TRANSFORMATION IPSEC - SITE 2 .................................... 60
FIGURE 79 : CREATION D'UN CRYPTO MAP - SITE 2 ............................................................................. 60
FIGURE 80 : APPLICATION DE CRYPTO MAP A L'INTERFACE PUBLIQUE - SITE 2 ................................... 60
FIGURE 81 : CONFIGURATION VPN IPSEC SITE 1 A SITE 3 ................................................................... 61
FIGURE 82 : CONFIGURATION VPN DU SITE 1....................................................................................... 61
FIGURE 83 : CREATION D'ACL AU NIVEAU SITE 1................................................................................. 62
FIGURE 84 : CONFIGURATION VPN DU SITE 3....................................................................................... 62
FIGURE 85 : CREATION D'ACL AU NIVEAU SITE 3................................................................................. 62
FIGURE 86 : APPLICATION DE CRYPTO MAP A L’INTERFACE PUBLIQUE DU SITE 3 ................................ 62
FIGURE 87 : TEST PING DU SITE 1 A SITE 2 ............................................................................................ 63
FIGURE 88 : VERIFICATION D'ACTIVATION DU TUNNEL VPN ............................................................... 63
FIGURE 89 : ADRESSE IP DU PC DU SITE 1 ............................................................................................ 64
FIGURE 90 : ADRESSE IP DU PC DU SITE 2 ............................................................................................ 64
FIGURE 91 : DESACTIVATION DU PARE-FEU .......................................................................................... 65
FIGURE 92 : TEST PING PC SITE 2 - PC SITE 1 ....................................................................................... 65
FIGURE 93 : TEST PING DU SITE 1 A SITE 3 ............................................................................................ 66
FIGURE 94 : TEST PING DU SITE 3 A SITE 1 ............................................................................................ 66
FIGURE 95 : VERIFICATION D'ACTIVATION DU TUNNEL VPN ............................................................... 66
FIGURE 96 : ADRESSE IP DU PC DU SITE 1............................................................................................. 67
FIGURE 97 : ADRESSE IP DU PC DU SITE 3............................................................................................. 67
FIGURE 98 : TEST PING PC SITE 1 - PC SITE 3 ....................................................................................... 67
FIGURE 99 : CONFIGURATION VPN PPTP SIEGE - AGENT MOBILE ....................................................... 68
FIGURE 100 : ACTIVATION VPDN ......................................................................................................... 68
FIGURE 101 : LIAISON DE L'INTERFACE VIRTUELLE TEMPLATE 1 ......................................................... 69
FIGURE 102 : ATTRIBUTION D'UNE PLAGE D'ADRESSES IP AUX CLIENTS VPDN .................................. 70
FIGURE 103 : CREATION COMPTE UTILISATEUR VPN DISTANT............................................................. 70
FIGURE 104 : SELECTION RESEAU ET INTERNET ................................................................................... 70
FIGURE 105 : SELECTION VPN .............................................................................................................. 71
FIGURE 106 : AJOUT D'UNE CONNEXION VPN ....................................................................................... 71
FIGURE 107 : AJOUT D'UNE CONNEXION VPN CLIENT ......................................................................... 72
FIGURE 108 : SAISIE DES PARAMETRES (FACULTATIF) .......................................................................... 72
FIGURE 109 : SELECTION DU CLIENT VPN ............................................................................................ 73
FIGURE 110 : SAISIE DES PARAMETRES D'ACCES VPN PPTP ................................................................ 73
FIGURE 111 : CONNEXION VPN PPTP ETABLIE .................................................................................... 74
FIGURE 112 : ADRESSE IP CLIENT PPP ................................................................................................. 74
FIGURE 113 : TEST DE CONNECTIVITE ................................................................................................... 74
Introduction générale

L’évolution des technologies de l’information et de la communication, notamment


avec le développement d’Internet, a fait que les réseaux et les systèmes d’information jouent
désormais un rôle crucial dans notre société, dont la sécurité de nos citoyens n’est pas
marginalisée.

La situation économique et sanitaire suite la pandémie du Covid-19 pousse les


entreprises à adapter leurs méthodes de travail. La notion de travail à distance prend de
l’ampleur et devient même indispensable dans certains cas de figure. L’enjeu du travail
hybride entre le présentiel et le télétravail est désormais tel qu’il devient un sujet central pour
bon nombre d’organisations. Alors comment assurer la meilleure sécurité informatique dans
un tel contexte ?

Il est important de veiller à ce que tout le système informatique soit parfaitement


protégé contre les éventuelles fuites de données ou intrusions malveillantes. Face à une
multiplicité d’appareils, souvent utilisés hors du réseau interne lors du télétravail, l’antivirus
ou autres pares-feux sont pratiquement indispensables.

Les pirates informatiques étant particulièrement dangereux pour les entreprises,


les informations confidentielles doivent être particulièrement bien protégées. Pour ce faire, il
est important de privatiser son réseau interne, afin d’accorder les accès uniquement au
personnel, en passant notamment par l’utilisation d’un antivirus ou d’un pare-feu, qui sont des
options de premier choix. L’objectif de ces mesures de sécurité est simple : détecter,
neutraliser, voire éradiquer tous les logiciels malveillants.

D’autres solutions sont disponibles pour se prémunir des dangers liés à


l’informatique. L’antivirus et pare-feu sont d’excellentes solutions, mais il est également
possible de sécuriser les navigations sur Internet des collaborateurs grâce à un VPN. Le
système informatique utilise notamment un protocole de cryptage des données, afin que
l’adresse IP de navigation soit masquée. Les entreprises ont donc tout intérêt à souscrire une
offre de VPN pour assurer leur sécurité.
De ce fait, le premier objectif de notre travail alors est de mettre en place une
architecture sécurisée utilisant un VPN IPSec site à site permettant deux succursales de
Topnet de communiquer avec leur siège. Alors que le second objectif, est de permettre les
travailleurs distants de se connecter en toute sécurité à un réseau interne local en utilisant le
protocole PPTP.

Ce travail est divisé en six chapitres :

Au niveau du chapitre 1, on va présenter l’organisme d’accueil Topnet.

Au niveau du chapitre 2, on va introduire la sécurité des réseaux.

Au niveau du chapitre 3, on va présenter le VPN et différencier les différents protocoles de


sécurité de réseaux.

Au niveau du chapitre 4, on va présenter les différents paramètres de la cryptographie.

Au niveau du chapitre 5, on va définir le concept du cyber sécurité et ses différents aspects.

Et on finit par, au niveau du chapitre 6, nos réalisations pratiques au sein du Topnet lors de
notre stage.
Sommaire
Chapitre 1 : Présentation du cadre du projet.......................................................................................... 1
Introduction......................................................................................................................................... 1
1. Présentation de la société ........................................................................................................... 1
1.1. Organisme d’accueil ............................................................................................................ 1
1.2. Objectifs de la société ......................................................................................................... 1
2. Etude de l’existant ....................................................................................................................... 1
2.1. Description de l’existant ...................................................................................................... 1
2.2. Critique de l’existant ........................................................................................................... 2
2.3. Solution proposée ............................................................................................................... 3
Conclusion ........................................................................................................................................... 3
Chapitre 2 : Introduction sur la sécurité des réseaux ............................................................................. 4
Introduction......................................................................................................................................... 4
1. Définition de la sécurité des réseaux .......................................................................................... 4
2. Outils de protection des réseaux des entreprises ....................................................................... 4
2.1. Un antivirus ......................................................................................................................... 4
2.2. Un pare-feu.......................................................................................................................... 5
2.3. Un logiciel de sauvegarde.................................................................................................... 6
2.4. Un logiciel de chiffrement de données ............................................................................... 6
2.5. Un antispam ........................................................................................................................ 7
2.6. Un VPN................................................................................................................................. 7
2.7. Un gestionnaire de mots de passe ...................................................................................... 7
2.8. Un logiciel de surveillance de réseau .................................................................................. 8
3. Généralités sur les réseaux des entreprises ................................................................................ 8
3.1. La technologie ADSL ............................................................................................................ 8
3.2. La technologie VDSL ............................................................................................................ 9
3.3. La technologie GPON ........................................................................................................... 9
Conclusion ......................................................................................................................................... 10
Chapitre 3 : Réseau privé virtuel (VPN) ................................................................................................. 11
Introduction....................................................................................................................................... 11
1. Virtual Private Network (VPN) ................................................................................................... 11
1.1. Définition des VPN............................................................................................................. 11
1.2. Utilisations des VPN........................................................................................................... 12
1.3. Différents types des VPN ................................................................................................... 13
1.4. Les différents protocoles utilisés pour le VPN IP............................................................... 14
2. Point-to-point tunneling protocol (PPTP).................................................................................. 14
2.1. Définition du protocole PPTP ............................................................................................ 14
2.2. Fonctionnement du protocole PPTP ................................................................................. 14
2.3. Implémentations du protocole PPTP................................................................................. 15
2.4. Avantages du protocole PPTP ........................................................................................... 15
2.5. Désavantages du protocole PPTP ...................................................................................... 15
3. Layer 2 Tunneling Protocol (L2TP) ............................................................................................. 16
3.1. Définition du protocole L2TP ............................................................................................. 16
3.2. Architecture du protocole L2TP ........................................................................................ 16
3.3. Avantages du protocole L2TP ............................................................................................ 17
3.4. Désavantages du protocole L2TP ...................................................................................... 17
4. Internet Protocol Security (IPSec) ............................................................................................. 18
4.1. Besoins de sécurité sur IP .................................................................................................. 18
4.2. Présentation d’IPsec .......................................................................................................... 19
4.3. Les protocoles de transformation d’IPSec......................................................................... 20
4.4. Les modes Transport et Tunnel ......................................................................................... 21
4.5. La gestion de clés : IKE ....................................................................................................... 22
Conclusion ......................................................................................................................................... 23
Chapitre 4 : Le cryptographie ................................................................................................................ 24
Introduction....................................................................................................................................... 24
1. Définition de la cryptographie................................................................................................... 24
2. Fonctionnement de la cryptographie ........................................................................................ 24
3. Méthode de distribution des clés .............................................................................................. 25
4. Algorithme de chiffrement ou de cryptage ............................................................................... 26
5. Algorithme de hachage ............................................................................................................. 27
6. Méthode d’authentification ...................................................................................................... 27
7. Groupe de Protocole DH (Diffie-Hellman)................................................................................. 27
8. Durée de vie de la clé de cryptage ............................................................................................ 28
Conclusion ......................................................................................................................................... 28
Chapitre 5 : La cybersécurité ................................................................................................................. 29
Introduction....................................................................................................................................... 29
1. La cybersécurité......................................................................................................................... 29
2. La cyberattaque ......................................................................................................................... 29
3. La cyberguerre ........................................................................................................................... 31
4. Prévention des cyberattaques................................................................................................... 33
Conclusion ......................................................................................................................................... 33
Chapitre 6 : Réalisations pratiques........................................................................................................ 35
1. Topologie de la réalisation pratique en 3D ................................................................................... 36
2. Objectifs......................................................................................................................................... 38
3. Contexte / Scénario ....................................................................................................................... 38
4. Ressources requises ...................................................................................................................... 39
5. Réalisation ..................................................................................................................................... 39
5.1. Création du réseau et configuration des paramètres de base des périphériques ................ 40
5.2. Configuration du VPN IPSec au niveau de chaque routeur ................................................... 55
5.2.1. Configuration VPN IPSec Site 1 à Site 2 ......................................................................... 56
5.2.2. Configuration VPN IPSec Site 1 à Site 3 ......................................................................... 61
5.3. Vérification de connectivité site à site .................................................................................. 63
5.3.1. Test de connectivité VPN entre Siège et Succursale Bizerte ......................................... 63
5.3.2. Test de connectivité VPN entre Siège et Succursale Nabeul ......................................... 66
5.4. Configuration VPN PPTP au niveau du Routeur 1 (Siège) ..................................................... 68
5.5. Vérification de connectivité Client-Serveur .......................................................................... 73
Conclusion générale .............................................................................................................................. 75
Bibliographie.......................................................................................................................................... 76
Chapitre 1 : Présentation du cadre du projet

Introduction
Ce chapitre a pour objectif de situer notre travail. Nous commençons tout d’abord par la
présentation de la société, ensuite nous passons à l’étude de l’existant suivi d’une critique de
la situation actuelle passant à notre solution. Enfin, nous enchaînons avec le chapitre suivant
relatif à une introduction sur la sécurité des réseaux.

1. Présentation de la société
1.1. Organisme d’accueil

Topnet est une entreprise tunisienne qui a démarré ses activités le 02 mai 2001, elle est le
leader, aujourd’hui, des Fournisseurs d'accès Internet en Tunisie.

Topnet devient une filiale de groupe Tunisie Télécom, en Juin 2010, cette acquisition est
considérée par Tunisie Télécom comme étant une opération stratégique permettant le
renforcement de son leadership à travers un acteur qui, en quelques années, a réussi à se hisser
en leader sur le marché des fournisseurs de services Internet (FSI).

1.2. Objectifs de la société

Topnet s’engage à garantir la satisfaction du client en étant à son écoute et en répondant à ses
attentes, tout en assurant sa rentabilité. Elle enracine au niveau de son équipe le sens de
l’excellence permanente au service du client, et ce, via l’amélioration continue de son
fonctionnement interne. Ainsi, elle offre continuellement de nouveaux produits et services qui
répondent aux besoins évolutifs de la clientèle. Finalement, elle consolide sa position de
leader et sa notoriété pour afficher une meilleure image sur le marché.

2. Etude de l’existant
L’étude de l’existant vise à comprendre le fonctionnement actuel pour en dégager les
insuffisances qui seront résolues à travers la solution retenue.

2.1. Description de l’existant

Pour permettre à ses employés, de profiter d’une connectivité à internet dans son siège,
Topnet a mis en place un réseau LAN. Il est conçu pour permettre un transfert rapide de

1
grandes quantités de données entre les différents périphériques qui sont connectés au réseau.
Au niveau Topnet, il est courant que plusieurs ordinateurs de travail partagent des serveurs de
fichiers, des imprimantes réseau ou des applications sur le LAN. Les données sont transmises
très rapidement car le nombre d’ordinateurs liés est limité. Le LAN couvre une zone
géographique plus petite. De ce fait, les succursales ne peuvent plus connecter à leur siège via
le LAN.

Ainsi, afin de limiter le risque d'exposition des salariés au Covid-19, Topnet parmi d’autres
entreprises, prévoit l’adoption du télétravail. Pour elle, dans cette conjoncture le télétravail
permet de protéger les employés et les personnes porteuses de maladies chroniques et la santé
du salarié. Il s’agit également d’une méthode qui contribue à diminuer la pression sur les
moyens de transport et sur toute l’infrastructure. Actuellement, cette solution est praticable
chez Topnet.

2.2. Critique de l’existant

L’étude de l’existant chez Topnet, nous a permis de déterminer un nombre de problèmes qui
touchent au réseau de la société.

Nous constatons que le réseau interne n’a aucun système de sécurité lui permettant de
contrôler les accès et le trafic du réseau. Le réseau étant ouvert, il est vulnérable et s’expose
aux attaques, ainsi que la possibilité que des intrus accèdent au réseau wifi.

La charge du trafic générée par les utilisateurs, des applications complexes et des fichiers
volumineux ralentit le réseau. Tous ces facteurs contribuent à l’insuffisance du débit internet
par conséquent, ils diminuent les performances du réseau. Notons par ailleurs l’utilisation des
réseaux sociaux (YouTube, Facebook, etc.) qui utilisent une grande partie de la bande
passante et cela a comme conséquence le ralentissement du réseau.

Nous remarquons aussi l’absence d’une architecture sécurisée des connexions. Tout ceci rend
le réseau de Topnet vulnérable et constitue un vrai danger vu l’importance et la confidentialité
des informations qu’elle gère en son sein.

2
2.3. Solution proposée

Pour remédier aux problèmes déjà mentionnés, la solution serait de mettre en place une
architecture sécurisée entre siège, succursales et agent mobile en télétravail. Il s’agit d’un
mécanisme d’authentification et de connexion au réseau local d’une manière sécurisée. Cette
solution doit être capable d’identifier chaque usager souhaitant se connecter au réseau local,
d’enregistrer et de stocker ses données de toutes les sessions établies. Cette proposition se
traduit par la mise en place d’une solution sécurisée en utilisant le protocole IPSec permettant
les succursales de se connecter à leur siège et d’utiliser le protocole PPTP qui oblige tout
employé désirant naviguer sur le réseau local de l’entreprise de s'identifier grâce notamment à
des paramètres offerts par l’entreprise lui permettant de connecter à distance.

Conclusion
Ce chapitre a présenté l'environnement du travail tout en décrivant l'organisme d'accueil d’une
part. D’autre part, l'état de l’existant est déterminé pour mieux cerner la problématique. Une
critique de l’existant est aussi présente afin de dégager les différentes solutions possibles.
Dans le chapitre suivant, on va acheminer avec une introduction portant sur la sécurité des
réseaux.

3
Chapitre 2 : Introduction sur la sécurité des réseaux

Introduction
Au niveau de ce chapitre on va présenter les réseaux de l’entreprise en premier lieu. Par la
suite on citer les différents outils que l’entreprise puisse mettre en place afin de sécuriser son
réseau local.

1. Définition de la sécurité des réseaux


La sécurité du réseau comprend les politiques et les pratiques adoptées pour empêcher et
surveiller l'accès non autorisé, l'utilisation abusive, la modification ou le refus d'un réseau
informatique et des ressources accessibles sur le réseau.

L'autorisation d'accès aux données dans un réseau est prise en charge par la sécurité du réseau,
qui est contrôlée par l'administrateur réseau ou l'ingénieur de sécurité réseau.

La sécurité du réseau couvre également les transactions et les communications entre les
entreprises, les agences gouvernementales et les particuliers. Les réseaux peuvent être privés,
comme au sein de l'entreprise, ou être ouverts à l'accès public, et la sécurité est impliquée
dans les deux couches.

2. Outils de protection des réseaux des entreprises

2.1. Un antivirus

L’antivirus est l’un des outils indispensables pour protéger l’ensemble des appareils du parc
informatique. Lorsque le système informatique d’une entreprise n’est pas bien sécurisé avec
un bon logiciel de protection, l’entreprise peut facilement être victime des logiciels
malveillants, des logiciels espions, des ramsomwares et autres types de virus. Pour faire face à
tous ces risques mettant en péril l’entreprise, il est important de protéger l’intégralité de son
système informatique. Cela concerne les ordinateurs de travail, les serveurs, les routeurs wifi,
les périphériques de stockage, etc.

4
La mise en place d’une solution de protection comme Avast (ou Norton Security) serait alors
idéale. Généralement, ces logiciels disposent d’un filtre antispam, antivirus, anti-phishing et
anti-ransomware. Un logiciel de protection va intégrer plusieurs niveaux de sécurité afin de
bloquer les virus, tout type d’attaque qui vient d’internet et détecter les fichiers infectés sur les
ordinateurs de l’entreprise.

Figure 1 : Exemples de logiciels Antivirus

2.2. Un pare-feu

Le pare-feu est un autre outil indispensable pour les entreprises (il peut être matériel et/ou
logiciel). Le rôle principal d’un pare-feu est de protéger le réseau informatique (protection des
ordinateurs et serveurs reliés à Internet via le réseau de l’entreprise). En plus d’avoir un pare-
feu matériel relié au réseau informatique de l’entreprise, il faut également installer et activer
un pare-feu logiciel sur les serveurs ou sur les routeurs de l’entreprise.

Le pare-feu joue un rôle très important dans la protection des données de l’entreprise, car il
s’agit de la première ligne de défense contre les menaces. Avec un pare-feu, l’entreprise peut
contrôler l’accès à son réseau informatique en appliquant des règles de son choix et laisse le
pare-feu effectuer son travail d’autoriser et/ou de bloquer les données entrantes et sortantes de
l’entreprise via internet. Un pare-feu est un outil très important que doit mettre en place dans
tous les appareils qui se connectent à Internet et ont accès aux données de l’entreprise ; il est
aussi possible de configurer le pare-feu au niveau du routeur qui relie le réseau de l’entreprise
à internet.

5
2.3. Un logiciel de sauvegarde

Il faut garder à l’esprit qu’aucune protection n’est impénétrable. Les outils et les solutions qui
existent ne garantissent pas une protection totale contre les virus et le piratage informatique.

Pour une raison ou pour une autre, il se peut qu’un pirate particulièrement intelligent arrive à
accéder au réseau de l’entreprise et infecte tous les ordinateurs et les serveurs de l’entreprise
par un ransomware ou tout autre type de logiciel malveillant. Dans une telle situation, elle
n’aurait plus accès à leurs données. C’est pourquoi la sauvegarde des données de l’entreprise
est très importante. Quand elle crée des sauvegardes, elle protège à la fois ses données contre
le piratage informatique et les virus, mais aussi, en cas de problèmes matériels, elle peut
récupérer ses données très facilement.

Pour sauvegarder les données de votre entreprise, il y a différents supports de sauvegarde que
vous pouvez utiliser :

• Le support de sauvegarde locale : elle consiste à sauvegarder les données de


l’entreprise localement, sur des supports physiques tels que le disque dur externe,
la clé USB ou un serveur de stockage ;

• Le support de sauvegarde Cloud : il s’agit de sauvegarder les données dans un


service Cloud (en ligne), c’est une option beaucoup plus fiable que la première.

2.4. Un logiciel de chiffrement de données

Protéger les ordinateurs et les serveurs de l’entreprise par des mots de passe n’empêche pas
l’accès aux données de l’entreprise. On entend souvent sur les sites d’actualité des histoires de
vol de données.

C’est pour cette raison qu’il faut penser à utiliser un logiciel de chiffrement de données, pour
chiffrer les données de l’entreprise, afin de rendre l’accès à ses documents, fichiers et dossiers
impossible, en cas de vol ou de fuite de données.

6
2.5. Un antispam

Que ce soit le logiciel de messagerie utilisé dans l’entreprise, les employés sont
inévitablement infestés de messages non sollicités. Souvent, les logiciels de messagerie
intègrent un antispam, mais il ne suffit pas pour bloquer tous les emails spams et les courriers
indésirables. Pour éviter que les employés reçoivent des spam, il faut coupler le logiciel de
messagerie avec un logiciel antispam. L’utilisation d’un logiciel antispam au sein d’une
entreprise permet de limiter les risques d’attaques qui peuvent se produire, qui manipulent le
comportement humain en envoyant des emails de phishing et des e-mails frauduleux.

2.6. Un VPN

Le VPN (on l’appelle aussi « réseau privé virtuel ») est un autre outil indispensable pour
protéger les données de l’entreprise. Il s’agit d’un outil qui permet d’établir une connexion
sécurisée et chiffrée entre deux réseaux ou entre un utilisateur individuel et un réseau.

Le VPN peut être utile pour une entreprise en deux cas :

• Les employés installés à domicile ou en déplacement peuvent accéder aux réseaux


et systèmes d’information de l’entreprise avec un VPN de manière sécurisée ;

• Si un employé utilise un réseau wifi dans l’entreprise, un VPN (qui peut être
installé dans le routeur wifi) peut protéger les données qui circulent dans le
réseau en cas de piratage du réseau wifi.

L’utilisation d’un VPN n’est pas compliquée et ne demande pas de compétence particulière, il
vous suffit de suivre les guides proposés par le fournisseur de VPN choisi.

2.7. Un gestionnaire de mots de passe

La gestion des mots de passe en entreprise est très importante pour la sécurité de système
informatique de l’entreprise. Les mots de passe sont la première barrière de protection contre
les attaques des pirates et le vol de données. Que ce soit pour les mots de passe du système
interne de l’entreprise ou pour des services en ligne, une mauvaise gestion des mots de passe
met en danger les données de l’entreprise. Tous les employés de l’entreprise doivent être
sensibilisés aux bonnes pratiques pour gérer leurs mots de passe :

7
• Il ne faut jamais utiliser un mot de passe unique pour tous logiciels et services
utilisés en entreprise ;

• Il ne faut aussi jamais envoyer les mots de passe par email ;

• Il ne faut pas enregistrer des mots de passe sur un fichier de texte dans un poste de
travail ;

• Il faut choisir des mots de passe complexes (qui contiennent des chiffres, des lettres
majuscules et minuscules, des caractères spéciaux, etc.).

Il existe un outil qui permet de faire tout ça, c’est le gestionnaire de mots de passe. Ce logiciel
s’installe sur un ordinateur ou un serveur, permet de créer des mots de passe uniques et
complexes, et les enregistre de manière sécurisée.

2.8. Un logiciel de surveillance de réseau

La surveillance du réseau informatique de l’entreprise est l’une des tâches essentielles qui doit
être exécutée régulièrement par le responsable IT (ou l’administrateur réseau) de l’entreprise.
La bonne nouvelle est qu’il existe pour cette tâche plusieurs logiciels gratuits qui permettent
d’analyser et de surveiller le trafic des réseaux informatiques. Ils aident à identifier les
problèmes réseau et vérifier qu’il n’y a aucun accès non autorisé au réseau de l’entreprise.
Parmi ces logiciels, il y a Wireshark. C’est un logiciel gratuit qui vous permettra de surveiller
le réseau de votre entreprise, mais son utilisation nécessite des connaissances en réseau
informatique.

3. Généralités sur les réseaux des entreprises

3.1. La technologie ADSL

Le terme ADSL signifie Asymmetric Digital Subscriber Line (dans les pays francophones ce
terme est parfois remplacé par LNPA qui signifie Ligne Numérique à Paire Asymétrique. Ce
système permet de faire coexister sur une même ligne un canal descendant (downstream) de
haut débit, un canal montant (upstream) moyen débit ainsi qu’un canal de téléphonie
(appelé POTS en télécommunication qui signifie : Plain Old Telephone Service).

8
C’est une technique de communication numérique permettant de faire passer des données
numériques par le biais des câbles cuivrés des lignes téléphoniques, indépendamment du
service téléphonique.

3.2. La technologie VDSL

Le VDSL, pour Very High Bitrate Digital Subscriber Line, utilise la même technologie que
l’ADSL en faisant passer des données numériques par la paire de cuivre d’une ligne
téléphonique. Cependant, les signaux VDSL étant transportés sur la ligne simultanément et
sans interférences, le débit atteint est supérieur à celui de l’ADSL. Le VDSL autorise une
vitesse de connexion jusqu’à 100 Mb/s. L’évolution de la technologie VDSL est le VDSL 2,
qui permet d’atteindre un débit théorique (donc maximal) de connexion de 100 Mb/s, soit la
même vitesse que la fibre optique actuelle.

L’utilisation de plus hautes fréquences pour les technologies VDSL et VDSL 2 a plusieurs
conséquences :

• Le débit potentiel est plus élevé (jusqu’à 100 Mégabits par seconde en VDSL 2) ;
• La technologie fonctionne mieux à faible distance (moins d’un kilomètre), donc les
zones éligibles sont plus réduites ;
• Les perturbations électromagnétiques perturbent plus facilement le signal.

En résumé, les technologies ADSL et VDSL diffèrent par leurs performances. Les débits
VDSL sont plus élevés, mais une proximité plus grande avec le répartiteur est nécessaire.

3.3. La technologie GPON

GPON (Gigabit-Passive Optical Network) GPON est un réseau optique passif à une fibre
optique. Issue de la technologie longue distance FTTH (Fiber To The Home), la technologie
GPON offre à la FTTO (Fibre To The Office) ou au POL (Passive Optical LAN) une nouvelle
approche du câblage tertiaire. Cette technique est utilisée dans le domaine des réseaux de
transmission de données et des réseaux d'accès à Internet à très haut débit. Le déploiement
croissant des fibres optiques sur les territoires, puis dans les maisons, arrive maintenant
jusqu’aux bureaux. Synonyme de durabilité, d’économies et de sécurité, le GPON se distingue
sur un marché tourné vers le cloud computing, les bâtiments intelligents et la convergence des
applications en réseau.

9
Une trame GPON dispose intrinsèquement de mécanismes fonctionnellement importants, tels
que :

• La gestion de la qualité de service (QoS) dès les couches de bas niveaux ;


• Le chiffrement des données utilisant l'algorithme AES (en mode compteur),
permettant une confidentialité point-à-point dans le sens descendant (central vers
maison) sans devoir recourir à des protocoles des couches supérieures. Dans le sens
montant cette confidentialité est intrinsèque à l'architecture d'un réseau PON.

La fibre optique utilise un support différent pour le transport de l’information par rapport aux
technologies ADSL ou VDSL. Là où l’ADSL utilise les câbles en cuivre téléphoniques, la
fibre optique utilise un câble du même nom. Un câble fibre optique est composé d’un cœur
dans lequel circule la lumière et de plusieurs gaines qui assurent sa non-dispersion et la
protection du cœur. Les principaux avantages de la fibre optique sont les suivants :

• Le débit potentiel est élevé : parfois jusqu’à 1 gigabit par seconde ;


• Il est symétrique, données ascendantes et descendantes sont reçues à la même vitesse ;
• La déperdition de débit le long de la ligne est limitée.

En bref, la fibre optique offre des performances beaucoup plus hautes que l’ADSL ou le
VDSL, mais elle est encore limitée par son éligibilité, la technologie ne couvrant encore
qu’une part limitée du territoire.

Conclusion
Ce chapitre montre les différentes composantes de notre sujet en abordant les trois
technologies de réseau ADSL, VDSL et GPON sur lesquelles on va travailler. Ainsi on a
présenté les différentes solutions menant les entreprises à adopter des architectures sécurisées.
Le chapitre suivant présentera les réseaux privés virtuels et les différents protocoles pour en
tirer celui qui convient le mieux avec nos objectifs.

10
Chapitre 3 : Réseau privé virtuel (VPN)

Introduction
Au niveau de ce chapitre on va définir le réseau privé virtuel (VPN) et ses différents aspects
en premier lieu. Par la suite on va citer les différents protocoles de sécurité.

1. Virtual Private Network (VPN)

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données
confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité,
on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces
réseaux privés « intranet ». Y sont stockés des serveurs propres à l'entreprise : portails,
serveurs de partage de données, etc ... Pour garantir cette confidentialité, le réseau privé est
coupé logiquement du réseau internet. En général, les machines se trouvant à l'extérieur du
réseau privé ne peut accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au
sein d'un réseau privé pourra accéder au réseau internet.

1.1. Définition des VPN

Les réseaux privés virtuels ou VPN (Virtual Private Network) permettent d’accéder, de
manière totalement sécurisée, soit à des applications informatiques sur un réseau d’entreprise,
soit à des réseaux d’entreprise distants.

Les applications des VPN sont multiples, ils sont couramment utilisés, par exemple, pour
relier les succursales d’une entreprise au siège social, pour assurer la communication des
travailleurs nomades ou des télé travailleurs avec les ressources informatiques de la société,
voire, pour établir des liaisons entre plusieurs établissements d’intérêt commun (clients,
fournisseurs, sous-traitants, prestataires divers …). Les VPN peuvent aussi être utilisés très
simplement pour assurer la confidentialité des communications, sur un LAN (Local Area
Network), entre utilisateurs appartenant à un même groupe fonctionnel (Direction générale,
Comptabilité, Groupe Projet …).

11
Le but d'un réseau privé virtuel est de « fournir aux utilisateurs et administrateurs du système
d'information des conditions d'exploitation, d'utilisation et de sécurité à travers un réseau
public identiques à celles disponibles sur un réseau privé ». En d’autres termes, on veut
regrouper des réseaux privés, séparés par un réseau public (internet) en donnant l'illusion pour
l'utilisateur qu'ils ne sont pas séparés, et toute en gardant l'aspect sécurisé qui était assuré par
la coupure logique au réseau internet. Le tunneling consiste, après identification et
authentification des protagonistes, à établir un chemin virtuel entre l’émetteur et le
destinataire, de telle sorte que les données chiffrées empruntent ce tunnel, assurant ainsi des
communications sécurisées.

Les protocoles de tunneling opèrent au niveau 2 ou 3 au sens OSI. Les différences entre les
VPN de niveau 2 et de niveau 3 sont étroites. Les tunnels de niveau 3 sont plus indépendants
du réseau. Ils peuvent transporter toute forme de données : voix, données, vidéo.

1.2. Utilisations des VPN

On peut trouver plusieurs cas d'utilisation d'un VPN dont :

• Le Télétravail : Il existe des entreprises sans locaux, ou les employés travaillent chez
eux. Quand ce type de travail est possible, pourquoi dépenser plus pour des locaux,
des problèmes de transport, etc ... ? Le VPN apporte la possibilité pour tous ces
employés de travailler sur un même réseau privé virtuel. Il doit alors évidement
disposer d'une connexion internet qui lui permet de travailler à distance, et d'utiliser
les différents services du réseau, et même exploiter des outils de travail collaboratif.

• Connexion de sites distants : Pour une entreprise possédant plusieurs sites, il est
parfois avantageux de les relier. Une solution serait d'utiliser le VPN qui ne coûte pas
plus que 2 connexions d'accès à internet.

12
1.3. Différents types des VPN

Il existe deux types de VPN de base :

• Un VPN d’accès à distance permet aux utilisateurs de se connecter à un autre réseau via
un tunnel privé et chiffré, qu’il s’agisse d’Internet ou du système interne de leur
entreprise.

Figure 2 : Le VPN accès à disctance

• L’autre type de VPN, un VPN site-à-site, est également appelé VPN routeur-à-routeur.
Ce type de VPN est principalement utilisé dans le monde professionnel, en particulier
lorsqu’une entreprise possède des bureaux à différents emplacements. Le VPN site-à-site
crée un réseau interne fermé auquel les différents sites peuvent se connecter les uns aux
autres. Ce modèle est appelé intranet.

Figure 3 : Le VPN Site à site

13
1.4. Les différents protocoles utilisés pour le VPN IP

Les principaux protocoles de tunneling sont :

• PPTP (Point to Point Tunneling Protocol)


• L2TP (Layer Two Tunneling Protocol)
• IPSEC (Internet Protocol Security)

PPTP et L2TP étant des protocoles de niveau 2 et IPSec un protocole de niveau 3.

2. Point-to-point tunneling protocol (PPTP)

2.1. Définition du protocole PPTP

PPTP (Point-to-point tunneling protocol), protocole de tunnel point-à-point, est un protocole


d'encapsulation PPP sur IP conçu par Microsoft. Il permet de mettre en place des réseaux
privés virtuels (VPN) au-dessus d'un réseau public. Layer 2 Tunneling Protocol (L2TP)
et IPsec sont des protocoles inspirés de PPTP et chargés de le remplacer. Cependant, le
protocole PPTP continue d'être utilisé car il est implémenté nativement sur les machines
Windows depuis Windows 2000. Toute machine Microsoft est donc capable de mettre en
place un tunnel PPTP avec une machine distante sans devoir ajouter de mécanisme
supplémentaire.

2.2. Fonctionnement du protocole PPTP

Ce protocole ouvre deux canaux de communication entre le client et le serveur :

• Un canal de contrôle pour la gestion du lien, qui consiste en une connexion TCP sur le
port 1723 du serveur ;
• Un canal de données transportant les données du réseau privé et utilisant le
protocole IP numéro 47.

Le canal de données consiste en une version non standard du protocole Generic Routing
Encapsulation (GRE). Les paquets GRE modifiés transportent des trames PPP. Enfin, les
trames PPP encapsulent les paquets IP transportés par le tunnel.

14
Le flux PPP peut être chiffré, authentifié et compressé à l'aide des mécanismes standard
de PPP, auxquels Microsoft a ajouté l'authentification MS-CHAP, le chiffrement Microsoft
Point-to-Point Encryption (MPPE) et la compression Microsoft Point-to-Point Compression
(MPPC).

Point-to-Point Tunneling Protocol (PPTP) est un protocole VPN qui permet au Point à
Point Protocol (PPP) de traverser un réseau IP.

2.3. Implémentations du protocole PPTP

Sous Windows, PPTP est décrit comme la fonction « accès VPN ». Il existe un client
PPTP ainsi qu'un serveur PPTP sous Linux, ce qui permet d'établir des VPN en
environnement hétérogène. Mac OS X comporte un client PPTP.

2.4. Avantages du protocole PPTP

Vitesse : PPTP offre la vitesse la plus rapide parmi tous les autres protocoles.

Configuration : Tout utilisateur ayant quelques connaissances ou peu peut configurer


facilement le protocole PPTP.

Disponibilité : Il est disponible sur tous les principaux systèmes d’exploitation actuels.

Compatibilité : Compatibilité Windows par défaut.

2.5. Désavantages du protocole PPTP

Cryptage : PPTP est fourni avec les algorithmes RSA et RC4 qui utilisent un cryptage 128
bits.

Performances : PPTP a plusieurs problèmes de performances lorsque l’utilisateur est


connecté via une connexion instable.

Sécurité : le protocole n’est pas idéal pour les utilisateurs et les entreprises qui souhaitent
protéger leurs données.

15
3. Layer 2 Tunneling Protocol (L2TP)

3.1. Définition du protocole L2TP

Layer 2 Tunneling Protocol (L2TP) signifie protocole de tunnellisation de niveau 2. Il s'agit


d'un protocole réseau utilisé pour créer des réseaux privés virtuels (VPN), le plus souvent
entre un opérateur de collecte de trafic (dégroupeur ADSL ou opérateur de téléphonie pour les
accès RTC) et les fournisseurs d'accès à Internet. C’est un protocole s'appuyant sur PPP et
permettant l'établissement d'un tunnel. Ce protocole n'assure que le transport des données et
leur intégrité, pas leur confidentialité. Ainsi les données qui transitent par l'intermédiaire de ce
protocole ne sont pas cryptées et donc potentiellement lisible par quelqu'un.

Pour cette raison, L2TP encapsule souvent des paquets IPSec pour assurer la confidentialité
des données. Cette procédure d'encapsulation fait l'objet d'une RFC, la RFC 3193.

3.2. Architecture du protocole L2TP

La mise en place d'un VPN L2TP nécessite deux serveurs d'accès.

Figure 4 : Architecture du protocole L2TP

Les concentrateurs d'accès L2TP, signifiant L2TP Access Concentrateur (LAC), peuvent être
intégrés à la structure d'un réseau commuté comme le réseau téléphonique commuté (RTC) ou
encore associé à un système d'extrémité PPP prenant en charge le protocole L2TP.

16
Le rôle du concentrateur d'accès LAC se limite à fournir un support physique qui sera utilisé
par L2TP pour transférer le trafic vers un ou plusieurs serveurs réseau L2TP (LNS). Il assure
le fractionnement en canaux pour tout protocole basé sur PPP. Le concentrateur d'accès LAC
joue le rôle de serveur d'accès, il est à l'origine du tunnel et est responsable de l'identification
du VPN.

Les serveurs réseau LNS, signifiant L2TP Network Server, peuvent fonctionner sur toute
plate-forme prenant en charge la terminaison PPP et gèrent le protocole L2TP côté serveur.
Les serveurs LNS sont les émetteurs des appels sortants et les destinataires des appels
entrants. Ils sont responsables de l'authentification du tunnel.

3.3. Avantages du protocole L2TP

• Contrairement au PPTP, il offre un excellent niveau de cryptage et de sécurité.


• Le protocole encapsule les données deux fois, ce qui signifie une double vérification
des données.
• Le protocole est disponible non seulement sur les ordinateurs de bureau mais aussi sur
les systèmes d’exploitation mobiles.
• L2TP est assez facile à configurer sur tous les systèmes d’exploitation qu’il prend en
charge.
• Prise en charge du multithread pour des performances améliorées.

3.4. Désavantages du protocole L2TP

• Il offre des performances lentes en raison de la double authentification (encapsulation)


• Certains pares-feux peuvent bloquer les ports du protocole L2TP
• Le protocole est difficile à configurer sur les appareils qui s’exécutent sur des routeurs
NAT
• La rumeur dit que L2TP/IPSec est délibérément affaibli par la National Security
Agency (NSA)

17
4. Internet Protocol Security (IPSec)

4.1. Besoins de sécurité sur IP

Avec IP sans IPsec, les données IP sont transportées en clair dans les paquets. Il est donc
possible, en écoutant le trafic réseau, de lire et de modifier les paquets soit le contenu
(données) soit l'entête (adresse source, adresse destination ...). IP étant utilisé aussi bien pour
les communications d’Internet qu’au sein des réseaux privées, ces faiblesses peuvent avoir de
larges répercussions.

Les besoins classiques de sécurité auxquels doit répondre la couche IP sont :

- Confidentialité : les données ne peuvent être compréhensibles que par le destinataire final.

- Authentification : vérification de l’identité de l’émetteur supposé lors des données reçues.

- Intégrité : la modification des données par des intermédiaires ne peut pas être possible.

Les deux grandes classes de solutions cryptographiques d’aujourd’hui sont les systèmes de
chiffrement à :

- Clés symétriques : une même clé sert à chiffrer et à déchiffrer. Elle est partagée
uniquement par l’émetteur et le récepteur. Les algorithmes utilisés sont DES (Data Encryption
Standard) ou AES (Advanced Encryption Standard), et permettent d’assurer la confidentialité
et l’intégrité des paquets.

- Clés asymétriques : qui fait intervenir deux clés, une publique et une autre privée. Entre
communicants, chacun garde sa clé privée et distribue aux autres sa clé publique. Deux cas
sont à considérer : l’authentification et la confidentialité.

Pour authentifier une donnée on chiffrera avec la clé privé, détenue par un nœud unique, et on
déchiffrera avec la clé publique associée. On suppose que si l'on déchiffre avec la clé
publique, le chiffrement a été effectué avec la clé privée.

Pour assurer la confidentialité d'une donnée, c'est-à-dire pour qu'une donnée ne soit lu que par
le propriétaire d'une clé privée, on chiffrera avec la clé publique associée. Seul le propriétaire
de la clé privée associée pourra déchiffrer la donnée. Les algorithmes, comme RSA ou

18
l’algorithme de Diffie-Hellman, sont basés sur des problèmes mathématiques de factorisation
de grands nombres. Les opérations surtout de déchiffrement sont plus coûteuses que dans le
cas du chiffrement / déchiffrement symétrique.

En général, pour la communication entre deux entités, on commence par utiliser un système à
clés asymétriques pour s’authentifier et s’échanger un secret partagé qui est utilisé comme clé
symétrique pour chiffrer les messages.

4.2. Présentation d’IPsec

IPsec (Internet Protocol Security) est un ensemble de protocoles permettant le transport de


données IP sécurisées. IPSec n'est pas un remplaçant d'IP mais un complément. Il comprend
des mécanismes de chiffrement et d’authentification. L’IETF (Internet Engineering Task
Force) standardise ce protocole et son architecture depuis 1995, et publie des RFCs dont la
plus important aujourd’hui est IPsecv2. Il a été décidé que IPsec serait obligatoire dans IPv6
et facultatif dans IPv4, mais avec un mécanisme identique. C’est un ensemble de mécanismes
permettant de protéger le trafic au niveau IP.

Figure 5 : Positionnement de l'IPSec dans le modèle OSI

Les protocoles d’IPsec agissent au niveau de la couche de réseau (niveau 3 du modèle OSI). Il
existe d’autres protocoles de sécurité aussi très étendus. On peut citer SSH (Secure SHell) qui
permet à un utilisateur distant d’avoir un interpréteur de commande à distance sécurisé

19
(chiffrement et authentification). Il y a aussi TLS (Transport Layer Security), descendant de
SSL (Secure Socket Layer), qui offre la possibilité d’ouvrir des sockets TCP sécurisées, mais
les applications doivent alors explicitement faire appel à cette bibliothèque. Ces protocoles
opèrent à partir de la couche de transport vers la couche applicative (niveau 4 à 7).
L’utilisation d’IPsec permet de protéger d’avantage les données dès la couche 3. Son grand
succès est qu’il sécurise toutes les applications et leurs communications au-dessus d’IP de
façon transparente, évitant ainsi les vulnérabilités des couches supérieures.

L'IPSec (Internet Protocol Security) regroupe un ensemble de protocoles, qui utilisent des
algorithmes destinés à transporter des données sur un réseau IP de façon sécurisée. L'IETF le
définit comme un cadre de standards ouverts pour assurer des communications privées et
protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques.

L'IPSec est intimement lié aux protocoles IPv4 et IPv6. Il permet d'authentifier et de chiffrer
des données, de sorte à assurer une certaine confidentialité et une certaine intégrité des flux
des données.

4.3. Les protocoles de transformation d’IPSec

IPSec regroupe deux mécanismes ou services de sécurité au niveau réseau :

- AH (Authentication Header) qui sert à valider l’intégrité des messages. Il permet la


codification de message. Il ajoute un datagramme IP au datagramme d’origine qui permet au
destinataire de vérifier l’authenticité des données. Il n’y a pas de chiffrement des données.

Figure 6 : Authentification Header

20
- ESP (Encapsulation Security Payload) qui sert à assurer la confidentialité des messages. Il
assure la confidentialité, l’intégrité en mode non connecté et une protection partielle en mode
tunneling. ESP régénère un datagramme IP chiffré à partir du datagramme origine (données et
entête ou données seules). Contrairement à AH, où l'on se contentait d'ajouter un en-tête
supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : Les
données originales sont chiffrées puis encapsulées entre un en-tête et un trailer. Voici
l'organisation d’ESP :

Figure 7 : Encapsulation Security Payload

4.4. Les modes Transport et Tunnel

IPSec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.

4.4.1. Mode transport

Dans le mode transport, ce sont uniquement les données transférées (la partie payload du
paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce
fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être
modifiées par le NAT sans corrompre le hash de l'en-tête AH généré par IPsec, AH ne peut
pas être utilisé dans un environnement nécessitant ces modifications d'en-tête. En revanche, il
est possible d'avoir recours à l'encapsulation NAT-T pour encapsuler IPSec ESP. Le mode
transport est utilisé pour les communications dites hôte à hôte (Host-to-Host).

21
4.4.2. Mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode
transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé.
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à
distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée.)

4.5. La gestion de clés : IKE

IKE (Internet Key Exchange) est un protocole qui permet, lorsque deux nœuds souhaitent
communiquer entre eux via un canal IPsec, l’authentification et la négociation du matériel
cryptographique en accord avec les SP (Politiques de sécurité) respectives, pour enfin la mise
en place de SA (Association de sécurité). La spécification de IKEv2 synthétise les différentes
fonctionnalités de IKEv1 (documenté dans plusieurs RFCs) ainsi que des fonctionnalités
introduites par les diverses implémentations de IKEv1 (comme par exemple les extensions
permettant l’utilisation d’IPsec à travers le réseau NAT, l’héritage d’authentification…).
Ainsi, IKEv2 est une réécriture de IKEv1 qui préserve la plupart des fonctions d’IKEv1
(cacher l’identité, deux phases, négociation cryptographique…), qui fixe plusieurs problèmes
d’IKEv1 trouvés pendant son déploiement ou analyse, et qui améliore le protocole afin de la
rendre plus efficace, plus robuste et plus interopérable.

4.5.1. Le principe du protocole IKE

Le principe devient justement le même qu’on applique pour le trafic sortant. Il existe une
exception à ce principe : les paquets IKE ne sont jamais soumis à IPsec par un ajout d'une
règle précisant de ne pas utiliser IPsec dans ce cas. Cela permet de casser le problème de
l'oeuf et de la poule (pour mettre en place IPsec, on ne peut pas utiliser IPsec). A noter qu'IKE
effectue ses échanges au-dessus du niveau transport (UDP, port 500, en général). Cela permet
bien de découpler la négociation IPsec des fonctionnalités d'IPsec.

22
4.5.2. Les phases d’IKE

IKEv2 se décompose en deux phases pour négocier les SA :

- La première phase permet de vérifier l'identité des entités en présence. On choisit les
algorithmes de cryptographie utilisés pour les futures négociations. Á la fin de cette phase,
chaque entité doit disposer d'une clé de chiffrement, d'une clé d'authentification et d'un secret
partagé qui servira de "graine" dans la phase suivante (on produit une clé en fonction de
valeurs déjà calculées).

- La deuxième phase permet de négocier les attributs plus spécifiques à IPsec (utilisation
d'AH ou d'ESP par exemple), ces échanges sont chiffrés et authentifiés grâce aux éléments
décidés lors de la première phase. Il y a un intérêt à ce découpage. La première phase fait
appel à la cryptographie asymétrique lente, elle est de plus utilisée qu'une seule fois pour
définir les paramètres qui vont permettre de sécuriser les échanges de phase 2. La phase 2 est
en revanche appelée plusieurs fois. En effet, les clés qui servent à chiffrer deviennent
vulnérables avec le temps ou quand on s'en sert beaucoup. Cette phase est donc régulièrement
réeffectuée pour changer certaines clés de sessions

Conclusion
Ce chapitre montre les protocoles de sécurité les plus utilisés. On enchaine avec le chapitre
suivant dans lequel on va présenter les différents paramètres de cryptographie relatives au
protocole IPSec.

23
Chapitre 4 : Le cryptographie

Introduction

La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages
(assurant confidentialité, authenticité et intégrité) en s'aidant souvent de secrets ou clés. Elle
se distingue de la stéganographie qui fait passer inaperçu un message dans un autre message
alors que la cryptographie rend un message supposément inintelligible à autre que qui-de-
droit.

1. Définition de la cryptographie

Le cryptage est un moyen de convertir les données d’un format lisible en un format codé et
illisible à l’aide d’un algorithme. Ce format encodé ne peut être décodé qu’avec la bonne clé
de décryptage. Le cryptage des données VPN est utilisé pour sécuriser le trafic et les
informations des utilisateurs, ce qui le rend essentiellement insensible à la surveillance pour le
protéger de la surveillance des FAI, des cybercriminels et de la surveillance gouvernementale.

2. Fonctionnement de la cryptographie

Voici comment cela fonctionne : Le client VPN crypte d’abord les requêtes de connexion,
puis les envoie au serveur VPN qui les décrypte et les transmet au web. Ensuite, les données
reçues sont cryptées par le serveur VPN et envoyées au client VPN, qui décrypte ensuite les
informations reçues pour l’utilisateur.

Figure 8 : Cryptage et décryptage

24
Pour qu'un VPN fonctionne correctement, les stratégies IKE pour les deux points d'extrémité
devraient être identiques.

Paramètres Critères *
Méthode de distribution des clés Manuelle ou ISAKMP
Algorithme de chiffrement ou de cryptage DES, 3DES, AES (128/192/256)
Algorithme de hachage MD5, SHA-1, SHA2-256
Méthode d’authentification PSK (pre shared keys), RSA
Groupe de protocole DH (Diffie-Hellman) Group1, Group2, Group5
Durée de vie de la clé de cryptage 86400 ou inférieur **
Clé ISAKMP C’est à vous de choisir la clé ***

Figure 9 : Paramètres de cryptographie

*Les critéres écrites en gras sont les critères utlisées dans la partie pratique.

**La durée de vie choisie dans notre réalisation pratique est 480 secondes.

***La clé ISAKMP choisie dans notre réalisation pratique est : topnet

3. Méthode de distribution des clés

IPsec utilise une association de sécurité (Security association) pour dicter comment les parties
vont faire usage de AH (Authentication header), protocole définissant un format d'en-tête
spécifique portant les informations d'authentification, et de l'encapsulation de la charge utile
d'un paquet.

• Une association de sécurité (SA) est l'établissement d'information de sécurité partagée


entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être
établie par une intervention manuelle ou par ISAKMP (Internet Security Association and
Key Management Protocol).

• ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA
entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de

25
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le
nombre d'heures exigé par l'installation de communications, en négociant tous les services
simultanément.

4. Algorithme de chiffrement ou de cryptage

• DES : Le Norme de chiffrement de données (DES) utilise une taille de clé 56-bit pour
le chiffrement de données. Le DES est périmé et devrait être seulement utilisé si un
point final prend en charge seulement le DES.

• 3DES : Le Norme 3DES (Triple Data Encryption Standard) exécute le DES trois fois
mais varie la taille de clé de 168 bits à 112 bits et de 112 bits à 56 bits selon le rond du
DES exécuté. 3DES est plus sécurisé que le DES et l'AES.

• AES-128 : L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une
clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES.
Généralement AES est également plus rapide mais moins sécurisé que 3DES, mais
quelques types de matériel permettent à 3DES d'être plus rapide. AES-128 est plus
rapide mais moins sécurisé qu'AES-192 et AES-256.

• AES-192 : AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus
lent mais plus sécurisé qu'AES-128, et AES-192 est plus rapide mais moins sécurisé
qu'AES-256.

• AES-256 : AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus
lent mais plus sécurisé qu'AES-128 et AES-192.

26
5. Algorithme de hachage

• MD5 : L'algorithme 5 (MD5) de message-digest utilise une valeur de hachage 128-


bits pour l'authentification. Le MD5 est moins sécurisé mais plus rapide que SHA-1 et
SHA2-256.

• SHA-1 : La fonction de Secure Hash Algorithm 1 (SHA-1) utilise une valeur de


hachage 160 bits pour l'authentification. SHA-1 est plus lent mais plus sécurisé que le
MD5, et SHA-1 est plus rapide mais moins sécurisé que SHA2-256.

• SHA2-256 : Le Secure Hash Algorithm 2 avec une valeur de hachage 256 bits
(SHA2-256) utilise une valeur de hachage 256 bits pour l'authentification. SHA2-256
est plus lent mais plus sécurisé que le MD5 et le SHA-1.

6. Méthode d’authentification

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités
d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types
d'authentifications, PSK (secret pré-partagée ou secret partagé) pour la génération de clefs de
sessions RSA ou à l'aide de certificats.

Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une
tierce-partie appelée Autorité de certification (CA) assure l'authentification. Tandis qu'avec
l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés.

7. Groupe de Protocole DH (Diffie-Hellman)

Plus le nombre de bits de groupe est élevé, plus il est plus sécurisé :

• Groupe 1 - bit 768 : la clé la plus de moindre force et le groupe d'authentification le


plus non sécurisé. Mais cela prend moins de temps de calculer les clés d'IKE. Cette
option est préférée si la vitesse du réseau est basse.

27
• Groupe 2 - bit 1024 : la clé qui a plus de haute résistance et plus groupe sécurisé
d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.

• Groupe 5 - le bit 1536 : représente la clé qui a la plus haute résistance et le groupe le
plus sécurisé d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE.
On le préfère si la vitesse du réseau est élevée.

8. Durée de vie de la clé de cryptage


Elle est exprimée en quelques secondes (inférieur ou égale à 86400 secondes).

Conclusion

Aujourd’hui, la cryptographie tente de concevoir des systèmes plus sûrs et plus efficaces
comme par exemple des systèmes garantissant intégrité et confidentialité en passant une seule
fois sur le message clair au lieu de passer une première fois pour le chiffrer et de repasser
pour garantir l’intégrité du chiffré.

28
Chapitre 5 : La cybersécurité

Introduction

À l'heure actuelle, les propriétaires d'entreprise ne disposent pas des connaissances techniques
et de l'expertise nécessaires pour protéger leurs activités contre les cyber menaces internes et
externes. Selon les rapports, non seulement les grandes entreprises, mais les petites entreprises
sont également vulnérables aux cyberattaques. L'époque où les chefs d'entreprise pouvaient se
tourner vers le service informatique chaque fois qu'une menace se présentait était de plus en
plus problématique, raison pour laquelle les entreprises passent au numérique, raison pour
laquelle les entreprises doivent mettre en œuvre les protocoles de sécurité appropriés afin de
protéger leurs activités contre les cyber menaces.

1. La cybersécurité

Le cyber sécurité consiste à protéger les informations et les données confidentielles d’une
entreprise contre tout accès non autorisé en mettant en place plusieurs protocoles de sécurité.
L'idée est d'atténuer ces menaces dans leur ensemble, non seulement pour l'entreprise, mais
également pour ses clients. En termes simples, le cyber sécurité protège les données sous
forme électronique. Il s'agit d'un sous-ensemble de la sécurité de l'information qui traite de la
sécurité de l’infrastructure informatique d’une entreprise afin de la sécuriser en permanence.
Le cyber sécurité à plusieurs objectifs, bien sûr liés aux types de menaces ainsi qu’aux types
de ressources. Néanmoins, les points principaux sont les suivants :

• Empêcher la divulgation non-autorisée de données.


• Empêcher la modification non-autorisée de données.
• Empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon
générale.

2. La cyberattaque

Une cyberattaque est une tentative malveillante et délibérée d'une personne ou d'une
organisation de violer le système d'information d'une autre personne ou organisation. En

29
général, le hacker cherche à tirer parti de la perturbation du réseau de la victime. Elle
implique souvent la collecte d'informations pour des raisons politiques. Les types courants de
cyberattaques sont les suivants :
• Les malwares

Le terme « programme malveillant » ou « malware » désigne les logiciels malveillants,


notamment les logiciels espions, les ransomwares, les virus et les vers. Les malwares
attaquent un réseau par le biais d'une vulnérabilité, généralement lorsqu'un utilisateur clique
sur un lien dangereux ou une pièce jointe à un e-mail qui installe ensuite un logiciel risqué.
Une fois à l'intérieur du système, un malware peut : bloquer l'accès aux principaux
composants du réseau (ransomware), installer des malwares ou des logiciels nuisibles
supplémentaires, obtenir secrètement des informations en extrayant des données du disque dur
(logiciel espion) ou interrompre certains composants et rendre le système inutilisable.

• Le phishing

Le phishing consiste à envoyer des communications frauduleuses qui semblent provenir d'une
source fiable, généralement par e-mail. L'objectif est de voler des données sensibles telles que
les informations de carte bancaire et de connexion ou d'installer un malware sur la machine de
la victime. Le phishing est une cybermenace de plus en plus répandue.

• Les attaques Man-in-the-Middle

Les attaques de type « Man-in-the-Middle » (MitM), également appelées attaques par


espionnage, se produisent lorsque les hackers s'immiscent dans une transaction à deux. Une
fois que les hackers ont interrompu le trafic, ils peuvent filtrer et voler des données.

• Les attaques par déni de service

Une attaque par déni de service inonde de trafic les systèmes, les serveurs ou les réseaux pour
épuiser les ressources et la bande passante. Par conséquent, le système n'est pas en mesure de
répondre aux demandes légitimes. Les hackers peuvent également utiliser plusieurs

30
périphériques compromis pour lancer cette attaque. C'est ce qu'on appelle une attaque par déni
de service distribué (DDoS).

• L'injection SQL

Une injection SQL (Structured Query Language) se produit lorsqu'un hacker insère du code
malveillant dans un serveur qui utilise SQL et oblige le serveur à révéler des informations
qu'il n'aurait normalement pas révélées. Il est possible d'effectuer une injection SQL
simplement en envoyant du code malveillant dans une zone de recherche de site web
vulnérable.

• Les attaques zero-day

Une attaque zero-day exploite une vulnérabilité du réseau entre l'annonce de cette dernière et
la mise en œuvre d'un correctif ou d'une solution. Les hackers ciblent la vulnérabilité pendant
cet intervalle de temps. Pour détecter les menaces liées aux vulnérabilités zero-day, une
attention de tous les instants est cruciale.

• La tunnelisation DNS

La tunnelisation DNS utilise le protocole DNS pour communiquer le trafic non DNS sur le
port 53. Il envoie le trafic HTTP et d'autres protocoles via DNS. Il existe diverses raisons
légitimes d'utiliser la tunnelisation DNS. Cependant, il existe également des raisons
malveillantes d'utiliser les services VPN de tunnelisation DNS. Ils peuvent être employés
pour déguiser le trafic sortant en tant que DNS, dissimulant les données généralement
partagées via une connexion Internet. Dans le cadre d'une attaque, les requêtes DNS sont
manipulées pour exfiltrer les données d'un système compromis vers l'infrastructure du hacker.
Cette méthode peut également être utilisée pour les rappels de contrôle-commande, de
l'infrastructure du hacker vers un système compromis.

3. La cyberguerre

Alors que la guerre entre la Russie et l'Ukraine est toujours en cours, les experts en
cybersécurité mettent en évidence un front numérique qui s'est formé bien avant que les
troupes russes ne franchissent la frontière. Dans les mois qui ont précédé le déclenchement de

31
la guerre, des sites Web ukrainiens ont été attaqués et modifiés pour afficher des messages
menaçants sur l'invasion à venir.

Au cours des dix dernières années, la durée passée en ligne a considérablement augmenté.
Une étude menée par NordVPN a montré que les Français passent près de 28 ans de leur vie
en ligne. On imagine donc assez facilement comment les cyberguerres peuvent causer des
dommages bien réels. Voici quelques-uns des principales actions que les "soldats" en ligne
sont capables de réaliser :

• Sabotage et terrorisme

Le but de nombreuses actions de cyberguerre est de saboter et de causer des dommages sans
discernement. Qu'il s'agisse de mettre un site hors ligne par une attaque DDoS ou de défigurer
des pages web avec des messages politiques, les cyber terroristes lancent de multiples
opérations chaque année. L'événement qui a eu le plus d'impact s'est produit en Turquie
lorsque des hackers iraniens ont réussi à mettre hors service le réseau électrique pendant une
douzaine d'heures, affectant plus de 40 millions de personnes.

• Espionnage

Si le cyber espionnage se pratique également entre entreprises, où les concurrents se disputent


les brevets et les informations sensibles, il constitue une stratégie essentielle pour les
gouvernements qui se livrent à une guerre secrète. Les services de renseignement chinois sont
souvent désignés comme les coupables de telles opérations, bien qu'ils nient
systématiquement ces accusations.

• Activisme civil (hacktivisme)

La tendance croissante de l'hacktivisme a vu des cyber activistes civils s'attaquer aux


gouvernements et aux autorités du monde entier. Le groupe Anonymous, qui a revendiqué des
agressions contre des agences gouvernementales aux États-Unis, est un parfait exemple
d'hacktivisme. En 2022, Anonymous a lancé une cyber campagne ciblée contre la Russie
après l'invasion de l'Ukraine, dans le but de perturber les systèmes gouvernementaux et de
combattre la propagande russe.

32
• Propagande et désinformation

En 2020, 81 pays auraient eu recours à une forme de manipulation sur les réseaux sociaux. Ce
type de manipulation était généralement commandé par des agences gouvernementales, des
partis politiques ou des politiciens. Ces campagnes, qui impliquent en grande partie la
diffusion de fausses nouvelles, avaient tendance à se concentrer sur trois objectifs clés :
détourner les conversations ou les détourner des questions importantes, accroître la
polarisation entre les groupes religieux, politiques ou sociaux, et supprimer les droits humains
fondamentaux, tels que le droit à la liberté d'expression ou à la liberté d'information.

4. Prévention des cyberattaques

Le télétravail est devenu une nécessité face à l’expansion de la pandémie, mais il devient la
cible préférée des hackers qui y voient une occasion de choix pour récupérer des
données. Face aux contraintes de la pandémie COVID-19, les entreprises sont de plus en plus
nombreuses à encourager le télétravail pour garantir la continuité d’activité et mettre leur
personnel en sécurité mais cette pratique n’est pas sans risque. Il donne plusieurs
recommandations pour se protéger. Pour faire face nous devons :

• Fournir un accès VPN le plus sécurisé possible avec un accès double authentification.
• Mettre à jour régulièrement les systèmes d’exploitation et les applications pour se
prémunir contre toute faille de sécurité.
• Sensibiliser périodiquement les équipes au risque cyber. Ainsi, il ne faut ni répondre
aux messages suspects ni ouvrir les pièces-jointes qui pourraient s’y trouver.
• Tester en continu le niveau de cybersécurité de l’entreprise (Audit réglementaire, Scan
de vulnérabilités des systèmes…)
• Souscrire à une assurance Cyber (produit qui est en cours d’être offert en Tunisie par
plusieurs assurances).

Conclusion

De l’omniprésence des systèmes d’information dépendent des versants entiers de notre


existence (vie privée, données médicales ou bancaires), nos modes de production
(informatique d’entreprise ou équipements industriels) et notre défense (numérisation de

33
l’espace de bataille et des systèmes d’armes). La cybersécurité est donc une nécessité vitale
pour nos collectivités modernes. En permettant à chaque individu d’accéder au réseau des
réseaux, les occasions de le fragiliser sont multiples. Puisque la sécurisation de l’intégralité du
maillage informatique passe par la responsabilisation de l’ensemble de ses utilisateurs, il
convient de diffuser une culture de la cybersécurité auprès de l’opinion publique. Non pas
pour transformer chaque citoyen en informaticien, mais bien pour en faire un consommateur
de technologies responsable, conscient de l’ampleur de la menace potentielle et de la valeur
de l’information, dans un monde où les données circulent à la vitesse de la lumière.

34
Chapitre 6 : Réalisations pratiques

35
Agent mobile en travail
hybride habite à Bardo
1. Topologie de la réalisation pratique en 3D

Siège Topnet au
Centre Urbain Nord
VPN PPTP
Client Serveur

VPN IPSec VPN IPSec


Site to Site Site to Site

Succursale Topnet à Succursale Topnet à


Bizerte Nabeul
Figure 10 : Topologie de la réalisation pratique en 3D

36
SITE 1 : Siège Topnet Agent mobile
Centre Urbain Nord

R1 : Adresse publique : R1 : Adresse privée :


41.230.28.217 192.168.1.1

R2 : R3 :
@ Réseau : 192.168.1.0
Adresse publique : Adresse publique :
41.230.28.218 41.230.28.219

Adresse privée : Adresse privée :


192.168.2.1 R1 192.168.3.1

@ Réseau : 192.168.2.0 @ Réseau : 192.168.3.0


Accès GPON

R2 Accès VDSL Accès ADSL R3

SITE 2 : Succursale Topnet SITE 3 : Succursale Topnet

Bizerte Nabeul

Figure 11 : Maquette détaillée de la réalisation pratique

37
2. Objectifs

Partie 1 : Créer le réseau et configurer les paramètres de base de chaque périphérique.


Partie 2 : Configuration VPN IPSec au niveau de chaque routeur R1, R2 et R3.
Partie 3 : Vérification de connectivité Site à Site
Partie 4 : Configuration VPN PPTP au niveau du Routeur 1 (Siège Topnet)
Partie 5 : Vérification de connectivité Client-Serveur

3. Contexte / Scénario

Ce travail montre comment configurer deux routeurs Cisco pour créer un tunnel VPN
permanent de site à site sécurisé sur Internet, en utilisant le protocole IP Security (IPSec).

Ainsi, on va configurer le routeur Cisco du Siège pour qu'il accepte les requêtes VPDN,
permettre aux clients distants de se connecter au réseau interne, leur attribuer une adresse IP
interne et leur donner accès à toutes les ressources du réseau, en utilisant le protocole Point to
Point Tunneling (PPTP).

Remarque : Les routeurs utilisés lors de la réalisation pratique sont les routeurs à services
intégrés (ISR) Cisco 867VAE-K9.

Figure 12 : Vue en avant Routeur Cisco 867VAE-K9

38
Figure 13 : Vue en arrière Routeur Cisco 867VAE-K9

Remarque : Il faut vérifier que la mémoire des routeurs a été effacée et qu'aucune
configuration de démarrage n'est présente.

4. Ressources requises

• 3 routeurs Cisco 867VAE-K9.

• 3 PC (Windows 7, Windows 10, équipés d'un programme d'émulation de terminal PuTTy)

• Câbles de console pour configurer les périphériques Cisco IOS via les ports de console

• Câbles Ethernet et série conformément à la topologie

5. Réalisation

39
5.1. Création du réseau et configuration des paramètres de base des
périphériques

Dans la première partie, on va créer le réseau, configurer les paramètres de base ainsi que la
configuration des interfaces relatives à chaque routeur tout en vérifiant que la mémoire des
routeurs a été réinitialisée.

Étape 1 : Câbler le réseau conformément à la topologie indiquée.

Figure 14 : Câblage du réseau

Pour réaliser le travail demandé, on a installé PuTTY sur nos Pcs qui est un émulateur de
terminal doublé d'un client pour les protocoles SSH, Telnet, rlogin, et TCP brut. Il permet
également des connexions directes par liaison série RS-232. À l'origine disponible
uniquement pour Windows, il est à présent porté sur diverses plates-formes Unix (et non-
officiellement sur d'autres plates-formes). PuTTY est écrit et maintenu principalement
par Simon Tatham.

Figure 15 : PuTTY

40
Étape 2 : Initialiser et redémarrer chaque routeur.

Initialiser les paramètres par défaut, en s’appuyant sur les deux boutons du clavier « Ctrl » et
« Pause » simultanément avec le bouton On/Off du routeur jusqu’à que le mode Rommon
apparait. Par la suite, on écrit :

Rommon 1 > confreg 0x2102

Figure 16 : Registre du Routeur

Rommon 2 > reset

Sinon, on peut réinitialiser les paramètres par défaut si on dispose le mot passe enable aves les
deux commandes suivantes :

Router # wr erase

Router # reload

Étape 3 : Configurer les paramètres de base de chaque routeur.

Au niveau de cette étape on va configurer 3 routeurs, le premier en mode GPON, le deuxième


en mode VDSL et le dernier en mode ADSL.

• Routeur 1 : Siège Topnet Centre Urbain Nord : (GPON)


La configuration du Routeur du Siège en mode GPON consiste tout d’abord à lui attribuer un
nom (Hostname), un mot de passe enable (Password), une adresse IP au niveau de l’interface
vlan 1 et on utilise le protocole Telnet en attribuant un mot de passe pour qu’on puisse
accéder au routeur à distance.

1. Définir le nom du routeur : TP-GPON

Figure 17 : Définition du nom du Routeur

41
2. Création du mot de passe en mode d’exécution privilégié

Figure 18 : Création du mot de passe Enable

3. Création du mot de passe en mode Telnet

Figure 19 : Création du mot de passe Telnet

Suite cette configuration, on va essayer le Telnet depuis un ordinateur pour accéder au routeur à
distance.

Soit avec Invite de commandes ou via PuTTY en changeant le modem du « Serial » vers « Telnet ».

4. Activation Telnet

Figure 20 : Activation du Telnet

Passons maintenant à la configuration de l’interface logique vlan 1 tout en attribuant l’adresse


de la passerelle 192.168.1.1/24. L’interface vlan 1 est définie comme l’interface inside pour la
configuration du NAT.

5. Configuration de l’interface LAN : Vlan 1

Figure 21 : Configuration de l'interface LAN

42
Par la suite on va configurer l’interface WAN du routeur Cisco. On spécifie que l’on utilise
PPPOE et que l’on utilisera les paramètres du pool 1. La configuration de cette interface est
indispensable lorsqu’il s’agit d’un accès GPON.

6. Configuration de l’interface Giga Ethernet 1

Figure 22 : Configuration de l'interface Ge 1

L’adresse IP de dialer0 sera négociée par PPP. On configure l’authentification PPP CHAP en
utilisant le nom d’utilisateur et le mot de passe fourni par le fournisseur d’accès. L’option
callin réalise une one-way authentication. Cela veut dire que pour la connexion s’établie, il
suffit que notre équipement s’authentifie vis-à-vis de l’équipement du fournisseur d’accès.
L’interface dialer0 est définie comme l’interface outside pour la configuration du NAT.

7. Configuration de l’interface Dialer 0

Figure 23 : Configuration de l'interface Dialer 0

43
On indique que l’on souhaite utiliser une adresse IP fournie par un serveur DHCP. On a donc
créé ici un pool DHCP nommé GPON, dans lequelles les machines recevront comme
passerelle par défaut 192.168.1.1 (l’adresse de R1 dans le LAN1), un serveur DNS 8.8.8.8 et
cette configuration sera valable pour le réseau 192.168.1.0/24

8. Configuration du DHCP

Figure 24 : Configuration du DHCP

On a vérifié si notre machine a pris une adresse IP suite l’activation du DHCP ou non.
Comme vous pouvez le voir l’adresse IP est là : 192.168.1.2 et la passerelle par défaut était
192.168.1.1.

9. Activation du DHCP

Figure 25 : Activation du DHCP

44
L’Access List 101 autorise tous les paquets IP provenant du sous-réseau 192.168.1.0/24.

10. Création de l’ACL

Figure 26 : Création de l'ACL

Les adresses inside autorisés sont définies par l’Access List 101.

11. Configuration du NAT

Figure 27 : Configuration du NAT

Passons maintenant à l’interface du modem GPON qu’on va le configurer en mode Bridge


pour avoir un accès à Internet.

12. Configuration du modem GPON en mode Bridge

Figure 28 : Configuration modem GPON en mode Bridge

On configure la route par défaut sur l’interface dialer0.


13. Configuration du routage statique

Figure 29 : Configuration du routage statique

45
14. Test de navigation Google : 8.8.8.8

Figure 30 : Test de navigation 8.8.8.8

15. Test de navigation Adresse IP : 41.230.28.217

Figure 31 : Test de navigation @ 41.230.28.217

16. Test de navigation Adresse IP : 192.168.1.1

Figure 32 : Test de navigation @ 192.168.1.1

17. Synchronisation des interfaces

Figure 33 : Synchronisation des interfaces

46
• Routeur 2 : Succursale Topnet Bizerte : (VDSL)

Dans le but de configurer le routeur en mode VDSL, on va suivre cette démarche :

1. Définir le nom du routeur : TP-VDSL

Figure 34 : Définition du nom du routeur

2. Création du mot de passe en mode d’exécution privilégié

Figure 35 : Création du mot de passe Enable

3. Création du mot de passe en mode Telnet

Figure 36 : Création du mot de passe Telnet

4. Activation du Telnet

Figure 37 : Activation du Telnet

5. Configuration de l’interface LAN : Vlan 1

Figure 38 : Configuration de l'interface LAN

47
6. Configuration de l’interface Ethernet 0

Figure 39 : Configuration de l'interface Ethernet 0

7. Configuration de l’interface Ethernet 0.35

Figure 40 : Configuration de l'interface Ethernet 0.35

8. Configuration de l’interface Dialer 0

Figure 41 : Configuration de l'interface Dialer 0

48
9. Configuration du DHCP

Figure 42 : Configuration du DHCP

10. Activation du DHCP

Figure 43 : Activation du DHCP

11. Création de l’ACL

Figure 44 : Création de l'ACL

12. Configuration du NAT

Figure 45 : Configuration du NAT

13. Configuration du routage statique : IP route

Figure 46 : Configuration du routage statique

49
14. Test de navigation Google : 8.8.8.8

Figure 47 : Test de navigation Google

15. Test de navigation Adresse IP : 41.230.28.218

Figure 48 : Test de navigation @ 41.230.28.218

16. Test de navigation Adresse IP : 192.168.2.1

Figure 49 : Test de navigation @192.168.2.1

17. Synchronisation des interfaces

Figure 50 : Synchronisation des interfaces

50
• Routeur 3 : Succursale Topnet Nabeul : (ADSL)
Dans le but de configurer le routeur en mode ADSL, on va suivre cette démarche :

1. Définir le nom du routeur : TP-ADSL

Figure 51 : Définition du nom du routeur

2. Création du mot de passe en mode d’exécution privilégié

Figure 52 : Création du mot de passe Enable

3. Création du mot de passe en mode Telnet

Figure 53 : Création du mot de passe Telnet

4. Activation du Telnet

Figure 54 : Activation du Telnet

5. Configuration de l’interface LAN : Vlan 1

Figure 55 : Configuration de l'interface LAN

51
6. Configuration de l’interface ATM 0

Figure 56 : Configuration de l'interface ATM 0

7. Configuration de l’interface ATM 0.1

Figure 57 : Configuration de l'interface ATM 0.1

8. Configuration de l’interface Dialer 0

Figure 58 : Configuration de l'interface Dialer 0

52
9. Configuration du DHCP

Figure 59 : Configuration du DHCP

10. Activation du DHCP

Figure 60 : Activation du DHCP

11. Création de l’ACL

Figure 61 : Création de l'ACL

12. Configuration du NAT

Figure 62 : Configuration du NAT

13. Configuration du routage statique : IP route

Figure 63 : Configuration du routage statique

53
14. Test de navigation 8.8.8.8

Figure 65 : Test de navigation Google

15. Test de navigation 41.230.28.219

Figure 64 : Test de navigation @ 41.230.28.219

16. Test de navigation 192.168.3.1

Figure 66 : Test de navigation @ 192.168.3.1

17. Synchronisation des interfaces

Figure 67 : Synchronisation des interfaces

54
5.2. Configuration du VPN IPSec au niveau de chaque routeur

Les tunnels VPN IPSec de site à site sont utilisés pour permettre la transmission sécurisée de
données entre deux sites. Le tunnel VPN est créé sur le réseau public Internet et crypté à
l’aide d’un certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité
des données transmises entre les deux sites. On va montrer par la suite comment configurer
deux routeurs Cisco pour créer un tunnel VPN permanent de site à site sécurisé sur Internet,
en utilisant le protocole IP Security (IPSec).

ISAKMP (Internet Security Association et Key Management Protocol) et IPSec sont


essentiels à la construction et au chiffrement du tunnel VPN. ISAKMP, également appelé IKE
(Internet Key Exchange), est le protocole de négociation qui permet à deux hôtes de
s’accorder sur la manière de construire une association de sécurité IPSec. La négociation
ISAKMP se compose de deux phases : Phase 1 et Phase 2.

• La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP
ultérieurs.

• La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour
crypter les données en utilisant des algorithmes de cryptage et fournit des services
d’authentification, de cryptage et d’anti-répétition.

Pour faciliter ce processus, nous l’avons divisé en deux étapes nécessaires pour que le tunnel
VPN IPSec de site à site fonctionne. Ces étapes sont :

(1) Configurer ISAKMP (ISAKMP Phase 1)

(2) Configurer IPSec (ISAKMP Phase 2, ACL, Crypto MAP)

Notre exemple de configuration se situe entre le siège Topnet situé au Centre Urbain Nord
(Site1) et deux succursales Topnet, l’une se trouve à Bizerte (Site2) et l’autre à Nabeul
(Site3). Les trois routeurs se connectent à Internet et ont une adresse IP statique.

55
5.2.1. Configuration VPN IPSec Site 1 à Site 2

On va commencer par la configuration VPN entre Site1 (Siège) et Site2 (Succursale


Bizerte).

SITE 1 SITE 2
Réseau : 192.168.1.0/24 Réseau : 192.168.2.0/24

IPSEC

R1 R2

192.168.1.1 41.230.28.217 41.230.28.218 192.168.2.1

Centre Urbain Nord Bizerte

Figure 68 : Configuration VPN IPSec Site 1 à Site 2

Le site 1 est configuré avec un réseau interne de 192.168.1.0/24, tandis que le site 2 est
configuré avec le réseau 192.168.2.0/24. L’objectif est de connecter en toute sécurité les deux
réseaux LAN et permettre une communication complète entre eux, sans aucune restriction.
Pour commencer, nous allons commencer à travailler sur le routeur Site 1 du siège Topnet.

– Routeur 1 : SITE 1 : Siège Topnet : Centre Urbain Nord

Phase 1 : Configuration ISAKMP

La première étape consiste à configurer une stratégie ISAKMP Phase 1 :

Figure 69 : Configuration ISAKMP – SITE 1

56
Les commandes ci-dessus définissent les éléments suivants (dans l’ordre indiqué) :

• 3des : La méthode de cryptage à utiliser pour la Phase 1.


• md5 : L’algorithme de hachage.
• pre-share : Utiliser la clé pré-partagée comme méthode d’authentification.
• group 2 : Groupe Diffie-Hellman à utiliser.
• 480 : Durée de vie de la clé de session. Exprimé en kilo-octets (après x-quantité de
trafic, changer la clé) ou en secondes. La valeur définie est la valeur par défaut.
Ensuite, nous allons définir une clé pré-partagée pour l’authentification avec notre homologue
(Routeur 2) en utilisant la commande suivante :

Figure 70 : Définition d'une clé pré-partagée – SITE 1

La clé pré-partagée de l’homologue est définie sur topnet et son adresse IP publique est
41.230.28.218. Chaque fois que R1 essaie d’établir un tunnel VPN avec R2 (41.230.28.218),
cette clé pré-partagée sera utilisée.

Phase 2 : Configuration IPSEC

Pour configurer IPSec, nous devons configurer les éléments suivants dans l’ordre :
➢ Créer une liste de contrôle d’accès étendue
➢ Créer une transformation IPSec
➢ Créer un Crypto Map
➢ Appliquer la carte cryptographique à l’interface publique
Laissez-nous examiner chacune des étapes ci-dessus.

1. Création d’ACL étendue :

L’étape suivante consiste à créer une liste d’accès et à définir le trafic que nous aimerions que
le routeur traverse le tunnel VPN. Dans notre travail, il s’agirait du trafic d’un réseau à l’autre,
192.168.1.0/24 à 192.168.2.0/24. Et ceux à travers ces commandes :

57
Figure 71 : Création d’ACL étendue – SITE 1

2. Création d’une transformation IPSec :

Cette étape consiste à créer l’ensemble de transformation utilisé pour protéger les données.
Nous avons nommé ce topset :

Figure 72 : Création de la transformation IPSec – SITE 1

La commande ci-dessus définit les éléments suivants :

➢ esp-3des : Méthode de cryptage


➢ md5 : Algorithme de hachage

3. Création d’un crypto MAP :

Le crypto MAP est la dernière étape de notre configuration et connecte la configuration


ISAKMP et IPSec précédemment définie ensemble :

Figure 73 : Création d'un crypto MAP – SITE 1

Nous avons nommé notre crypto Map topmap. La balise ipsec-isakmp indique au routeur que
cette carte cryptographique est une carte crypto IPsec. Bien qu’il n’y ait qu’un seul pair
déclaré dans cette carte de chiffrement (41.230.28.218), il est possible d’avoir plusieurs
homologues dans une carte de chiffrement donnée.

58
4. Application de crypto map à l’interface publique :

La dernière étape consiste à appliquer la carte de chiffrement à l’interface sortante du routeur.


Ici, l’interface sortante est Dialer 0.

Figure 74 : Application de crypto map à l'interface publique – SITE 1

Notez que vous ne pouvez affecter qu’un seul crypto map à une interface. Dès que nous
appliquons crypto map sur l’interface, nous recevons un message du routeur qui confirme que
isakmp est activé : « ISAKMP is ON ». À ce stade, nous avons terminé la configuration VPN
IPSec sur le routeur Site 1.

– Routeur 2 : SITE 2 : Succursale Topnet : Bizerte

Nous passons maintenant au routeur Site 2 pour compléter la configuration VPN. Les
paramètres du routeur 2 sont identiques, la seule différence étant les adresses IP homologues
et les listes d’accès :

Phase 1 : Configuration ISAKMP

Figure 75 : Configuration ISAKMP - SITE 2

59
La clé pré-partagée de l’homologue est définie sur topnet et son adresse IP publique est
41.230.28.217 relatif au site 1.

Figure 76 : Définition d'une clé pré-partagée - SITE 2

Phase 2 : Configuration IPSEC

1. Création d’ACL étendue :

Figure 77 : Création d'ACL étendue - SITE 2

2. Création d’une transformation IPSec :

Figure 78 : Figure 77 : Création d'une transformation IPSec - SITE 2

3. Création d’un crypto MAP :

Figure 79 : Création d'un crypto Map - SITE 2

4. Application de crypto map à l’interface publique :

Figure 80 : Application de crypto map à l'interface publique - SITE 2

60
5.2.2. Configuration VPN IPSec Site 1 à Site 3

On va maintenant passer à la configuration VPN entre Site1 (Siège) et Site3 (Succursale


Nabeul).

SITE 1 SITE 3
Réseau : 192.168.1.0/24 Réseau : 192.168.3.0/24
Réseau
IPSEC
R1 Réseau
R3
Réseau : 192.168.1.0/24 Réseau : 192.168.3.0/24
41.230.28.217
IPSEC 41.230.28.219

R1
192.168.1.1 R3192.168.3.1
Centre Urbain Nord Nabeul
41.230.28.217
Figure 81 : Configuration VPN IPSec Site 1 à Site 3
41.230.28.219

Centre Urbain Nord


▪ Routeur 1 : SITE 1 : Siège Topnet : Centre Urbain
192.168.1.1 Nord
192.168.3.1 Nabeul
Les paramètres du routeur 1 sont identiques, la seule différence étant les adresses1 IP
homologues et les listes d’accès :

Figure 82 : Configuration VPN du Site 1

61
Figure 83 : Création d'ACL au niveau Site 1

▪ Routeur 3 : SITE 3 : Succursale Topnet : Nabeul

Passons maintenant au routeur Site 3 pour compléter la configuration VPN. Les paramètres du
routeur 3 sont identiques, la seule différence étant les adresses IP homologues et les listes
d’accès :

Figure 84 : Configuration VPN du Site 3

Figure 85 : Création d'ACL au niveau Site 3

Figure 86 : Application de crypto map à l’interface publique du Site 3

62
5.3. Vérification de connectivité site à site
5.3.1. Test de connectivité VPN entre Siège et Succursale Bizerte

À ce stade, nous avons terminé notre configuration et le tunnel VPN est prêt à être mis en
place. Pour lancer le tunnel VPN, nous devons forcer un paquet à traverser le VPN et cela
peut être réalisé en envoyant un ping d’un routeur à un autre :

Figure 87 : Test ping du Site 1 à Site 2

Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps
nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes,
provoquant le premier ping à la temporisation.

Pour vérifier le tunnel VPN, on utilise la commande show crypto ISAKMP sa :

Figure 88 : Vérification d'activation du Tunnel VPN

63
Par la suite, on va tester le ping entre un pc appartenant au Site 1 et un autre appartenant au
Site 3.

Figure 89 : Adresse IP du PC du Site 1

Figure 90 : Adresse IP du PC du Site 2

Le pare-feu protège la totalité du trafic réseau et a la capacité d'identifier et de bloquer le


trafic indésirable. C’est pour cette raison l’activation du pare-feu peut être la cause pour
lequel le ping entre les machines sera bloqué. Même aussi l’activation des anti-virus peut
inhiber la transmission des données entre ces machines. De ce fait nous avons désactiver le
pare-feu dans les différentes machines en suivant ces étapes :

1. Ouvrez le Menu de démarrage (cliquez sur l’icône de Windows) et tapez « Pare-feu


Windows » dans la barre de recherche de Windows.
2. Parmi les résultats proposés, cliquez sur Pare-feu Windows Defender.
3. Cliquez ensuite sur Activer ou désactiver le pare-feu Windows Defender.
4. Cochez l’option Désactiver le Pare-feu Windows Defender » autant pour les réseaux
privés que pour les réseaux publics.

64
Figure 91 : Désactivation du pare-feu

On a désactivé le pare-feu. Passons maintenant au test du ping entre les machines du siège et
celles du succursale Bizerte :

Figure 92 : Test ping PC Site 2 - PC Site 1

Le ping est bien réussi entre les deux machines relatives au siège et succursale Bizerte. Ce qui
permet de conclure que les deux sites peuvent échanger les données entre eux tout en sécurité.

65
5.3.2. Test de connectivité VPN entre Siège et Succursale Nabeul

Passons maintenant au lancement tunnel VPN entre le siège et la succursale du Nabeul, nous
devons forcer un paquet à traverser le VPN en envoyant un ping d’un routeur à un autre :

Figure 93 : Test ping du Site 1 à Site 3

Figure 94 : Test ping du Site 3 à Site 1

Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps
nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes,
provoquant le premier ping à la temporisation. Pour vérifier le tunnel VPN, on utilise la
commande show crypto ISAKMP sa :

Figure 95 : Vérification d'activation du Tunnel VPN

66
Par la suite, on va tester le ping entre un pc appartenant au Site 1 et un autre appartenant au
Site 3.

Figure 96 : Adresse IP du Pc du Site 1

Figure 97 : Adresse IP du Pc du Site 3

Après la désactivation du pare-feu, on peut conclure que le ping entre les deux machines
appartenant aux deux sites 1 et 3 est fait avec succès.

Figure 98 : Test ping PC Site 1 - PC Site 3

67
5.4. Configuration VPN PPTP au niveau du Routeur 1 (Siège)

Le protocole PPTP est utilisé pour créer des tunnels VPN entre les réseaux publics. Ces
tunnels VPN sont cryptés d'un bout à l'autre et permettent le transfert sécurisé des données
entre eux. PPTP est généralement mis en œuvre entre un serveur et un client, le serveur
appartenant au réseau de l'entreprise et le client étant un poste de travail distant. Les routeurs
Cisco peuvent être configurés pour agir en tant que serveurs PPTP, également appelés
serveurs de réseau commuté privé virtuel (VPDN).

Nous devons configurer notre routeur Cisco pour qu'il accepte les requêtes VPDN, permettre
à notre client distant qui est en travail hybride entre siège et maison (habitant à Bardo) de se
connecter au réseau interne, leur attribuer une adresse IP interne et leur donner accès à toutes
les ressources du réseau :

SITE 1 Adresse publique


Réseau : 192.168.1.0/24 41.230.28.217

Tunnel PPTP
R1 INTERNET
Réseau : 192.168.1.0/24 Adresse publique
192.168.1.1 Tunnel PPTP
41.230.28.217
Client VPN

R1Intervalle Adresse IP : INTERNET


192.168.1.200 – 192.168.1.250
Client VPN distant
192.168.1.1
Figure 99 : Configuration VPN PPTP Siège - Agent mobile

Client VPN

Pour configurer le serveur PPTP sur


Intervalle le routeur
Adresse IP : du siège Topnet (Site1), veuillezClient VPNles
suivre distant

instructions ci-dessous.192.168.1.200
La première– étape consiste à activer VPDN et à créer les paramètres
192.168.1.250
de groupe VPDN qui définiront divers aspects de la connexion PPTP :

Figure 100 : Activation VPDN

68
La configuration ci-dessus permet au routeur d'accepter les connexions PPTP entrantes et
spécifie l'interface virtuelle sur laquelle le tunnel PPTP est configuré.

Ensuite, nous devons lier l'interface virtuelle à une interface réelle. Cela lie efficacement les
connexions PPTP à l'interface réelle. Nous devrons également créer un pool d'adresses IP qui
seront attribuées aux utilisateurs VPDN. Ce pool est nommé ‘test’ et nous attribuerons plus
tard les adresses à allouer aux utilisateurs VPN.

Figure 101 : Liaison de l'interface virtuelle Template 1

La commande ' ppp encrypt ' spécifie le cryptage à utiliser - dans notre cas, c'est auto pour
une compatibilité maximale.

L'authentification est définie sur ms-chap et ms-chap v2 afin que nous puissions proposer la
meilleure méthode d'authentification possible dans ce cas.

La commande ' ip unnumbered <interface> ' mérite d'être analysée un peu plus en détail.

Tous les clients VPDN obtiendront soit une adresse IP faisant partie du réseau interne existant
(comme dans notre exemple), soit une adresse IP totalement différente du schéma de réseau
interne leur sera attribuée, par exemple 192.168.5.20 - 192.168.5.25.

Si on souhaite leur attribuer une adresse IP faisant partie du réseau interne existant (la plupart
des cas), on doit utiliser la commande "ip unnumbered" pour lier l'adaptateur virtuel à
l'interface réelle connectée au réseau interne - dans notre exemple, c'est l’interface vlan 1.

Si par contre on souhaite fournir aux clients VPDN une adresse IP totalement différente de
celle de notre réseau interne, alors on doit configurer l'interface Virtual-Template avec une
adresse IP appartenant à ce réseau par exemple 192.168.5.1 et configurer le pool VPDN avec
la plage appropriée, par exemple 192.168.5.20 - 192.168.5.25.

Les modèles de routeur Cisco plus anciens, tels que les séries 836 et 837, avaient des
problèmes pour attribuer aux clients VPDN une adresse IP appartenant au réseau interne

69
existant. Les ingénieurs n'avaient donc pas d'autre choix que d'attribuer un schéma d'adressage
IP différent aux clients VPDN.

À partir de la configuration et du diagramme fournis jusqu'à présent, on peut voir que nous
allons attribuer aux clients VPDN une plage d'adresses IP faisant partie du réseau interne
existant :

Figure 102 : Attribution d'une plage d'adresses IP aux clients VPDN

La dernière étape consiste à créer les comptes d'utilisateurs dont les clients VPDN auront
besoin pour s'authentifier auprès du routeur et accéder aux ressources internes. C’est une
tâche assez simple car il vous suffit d'ajouter un nom d'utilisateur, suivi du mot de passe :

Figure 103 : Création compte utilisateur VPN distant

L'utilisateur distant aura besoin du nom d'utilisateur et du mot de passe ci-dessus pour se
connecter avec succès au VPN.

L'utilisateur VPN distant devra créer une connexion VPDN à partir de son système
d'exploitation (Windows 10) afin d'initier la connexion VPN et de s'authentifier auprès du
routeur Cisco. Voici les étapes à suivre :

1. Faites un clic droit sur le bouton Démarrer et aller à Réseau et Internet.

Figure 104 : Sélection Réseau et Internet

70
2. Choisir VPN.

Figure 105 : Sélection VPN

3. Cliquez sur Ajouter une connexion VPN.

Figure 106 : Ajout d'une connexion VPN

4. Au niveau Fournisseur VPN, choisissez Windows (intégré).


5. Au niveau Nom de la connexion, saisissez un nom d'affichage.
6. Au niveau Nom ou adresse du serveur, écrivez le serveur VPN ou son adresse.
7. Au niveau Type de VPN, Sélectionnez Protocole de tunneling point à point (PPTP).

8. Au niveau Type d'informations de connexion, choisissez nom d'utilisateur et mot


de passe*.
*Vous pouvez également configurer une connexion VPN PPTP sur Windows 10 à l'aide
d'une carte à puce, d'un mot de passe à usage unique ou d'une authentification par
certificat. Cependant, la combinaison nom d'utilisateur et mot de passe est plus courante.

71
Figure 107 : Ajout d'une connexion VPN Client

9. Écrivez vos identifiants VPN sur Nom d'utilisateur (facultatif) et Mot de passe
(facultatif).

Figure 108 : Saisie des paramètres (facultatif)

10. Enregistrer :

Afin de valider les paramètres saisis cliquez sur enregistrer. Passons maintenant à la
vérification de la connectivité Client -Serveur

72
5.5. Vérification de connectivité Client-Serveur

On va maintenant vérifier la connectivité entre l’Agent mobile et le routeur du siège (Site1).

Voici les étapes à suivre :

1. Cliquez sur icône de réseau dans la zone de notification.


2. Sélectionnez votre connexion VPN PPTP et appuyer sur ‘Se connecter’.

Figure 109 : Sélection du Client VPN

3. Ecrivez les paramètres d’accès VPN PPTP déclarés sur le Routeur du Site 1.

Figure 110 : Saisie des paramètres d'accès VPN PPTP

73
4. Vous êtes connectés !

Figure 111 : Connexion VPN PPTP établie

5. Demandez quelle est votre adresse IP pour voir si cela a changé.

Figure 112 : Adresse IP Client PPP

6. Tester de faire le Ping vers 192.168.

Figure 113 : Test de connectivité

74
Conclusion générale

Topnet est un fournisseur de services internet composé de plusieurs sites distants


répartis sur le territoire tunisien. Pour sécuriser les communications entre la siège et ses
succursales distants et protéger le réseau de l’entreprise, une solution proposée est
l’implémentation d’une stratégie de sécurité entre siège et succursale.

En effet, le premier objectif de notre travail consiste à mettre en place une


« infrastructure sécurisée basée sur le protocole IPSEC entre siège et deux succursales avec
des accès GPON, VDSL et ADSL » Le deuxième objectif vise à « permettre aux agents
mobiles travaillant à distance ou en télétravail de se connecter au réseau local tout en sécurité
en utilisant le protocole PPTP ». Ce travail a été réalisé dans le cadre du projet de fin de
formation en Infrastructures et Réseaux d’accès au Centre Sectoriel de Formation en
Télécommunications (CSFT) au profit de l’entreprise Topnet.

Sur le plan applicatif, nous avons créé des sites à trois accès internet différents
pour faciliter la connexion et visualiser l’état de connexion à distance. Nous avons configuré
le tunnel sécurisé dans chaque routeur de chaque site. Les équipements utilisés sont des
équipements Cisco assisté par le logiciel PuTTY.

Ce stage au sein de Topnet a été énormément profitable sur le plan théorique et


surtout pratique. En effet cette expérience nous a permis d’avoir une idée sur les équipements
Cisco ainsi que son mode de fonctionnement. Le plus important en effet est d’en sortir du
simulateur Packet Tracer vers la configuration des équipements réels.

75
Bibliographie

https://www.topnet.tn/

https://clubtutoinformatique.blogspot.com/

https://www.firsttechacademy.com/

https://www.firewall.cx/

https://www.lafabriquedunet.fr/

https://www.avast.com/

https://www.purevpn.fr/

https://upcommons.upc.edu/

https://fr.sawakinome.com/

https://www.cisco.com/

https://itrnews.com/

76

Vous aimerez peut-être aussi