Académique Documents
Professionnel Documents
Culture Documents
Titre de projet :
Réalisé par :
Nahed ATHIMNI & Ameni HADHRI
Encadré par :
Hela Bejaoui (CSFT) & Yassine Ben Ali (TOPNET)
Avril 2022
Dédicaces
A mes chers parents, pour tous leurs sacrifices, leur amour, leur
tendresse, et leurs prières tout au long de mes études,
Nahed ATHIMNI
Dédicaces
À toutes mes chères amies Pour tous les instants inoubliables que j’ai
passés avec vous, A tous ceux qui m’aiment.
Ameni HADHRI
Remerciements
Nous remercions également tous ceux et celles qui ont participé de près ou de loin
à l’élaboration de ce travail. Nos encadrants : Mme Hela Bejaoui et Mr Yassine Ben Ali,
nous leur accordons le grand respect pour leur profond soutien et leur contribution ainsi leurs
apports d’aide qui ne cessent de nous garder toujours sur la bonne voie et d’éclaircir tout ce
qui nous parait sombre.
Par la même occasion, nous remercions nos enseignants pour le grand effort qu’ils
ont fourni tout au long de ces années pour nous garantir un bon niveau académique et
professionnel.
Enfin, nous remercions profondément tous les membres du jury d’avoir bien
voulu accepter de juger ce modeste travail.
Glossaire
VPN : Virtual Private Network
IT : Information Technology
IP : Internet Protocol
DH : Diffie Hellman
AH : Authentication Header
SA : Security Association
Et on finit par, au niveau du chapitre 6, nos réalisations pratiques au sein du Topnet lors de
notre stage.
Sommaire
Chapitre 1 : Présentation du cadre du projet.......................................................................................... 1
Introduction......................................................................................................................................... 1
1. Présentation de la société ........................................................................................................... 1
1.1. Organisme d’accueil ............................................................................................................ 1
1.2. Objectifs de la société ......................................................................................................... 1
2. Etude de l’existant ....................................................................................................................... 1
2.1. Description de l’existant ...................................................................................................... 1
2.2. Critique de l’existant ........................................................................................................... 2
2.3. Solution proposée ............................................................................................................... 3
Conclusion ........................................................................................................................................... 3
Chapitre 2 : Introduction sur la sécurité des réseaux ............................................................................. 4
Introduction......................................................................................................................................... 4
1. Définition de la sécurité des réseaux .......................................................................................... 4
2. Outils de protection des réseaux des entreprises ....................................................................... 4
2.1. Un antivirus ......................................................................................................................... 4
2.2. Un pare-feu.......................................................................................................................... 5
2.3. Un logiciel de sauvegarde.................................................................................................... 6
2.4. Un logiciel de chiffrement de données ............................................................................... 6
2.5. Un antispam ........................................................................................................................ 7
2.6. Un VPN................................................................................................................................. 7
2.7. Un gestionnaire de mots de passe ...................................................................................... 7
2.8. Un logiciel de surveillance de réseau .................................................................................. 8
3. Généralités sur les réseaux des entreprises ................................................................................ 8
3.1. La technologie ADSL ............................................................................................................ 8
3.2. La technologie VDSL ............................................................................................................ 9
3.3. La technologie GPON ........................................................................................................... 9
Conclusion ......................................................................................................................................... 10
Chapitre 3 : Réseau privé virtuel (VPN) ................................................................................................. 11
Introduction....................................................................................................................................... 11
1. Virtual Private Network (VPN) ................................................................................................... 11
1.1. Définition des VPN............................................................................................................. 11
1.2. Utilisations des VPN........................................................................................................... 12
1.3. Différents types des VPN ................................................................................................... 13
1.4. Les différents protocoles utilisés pour le VPN IP............................................................... 14
2. Point-to-point tunneling protocol (PPTP).................................................................................. 14
2.1. Définition du protocole PPTP ............................................................................................ 14
2.2. Fonctionnement du protocole PPTP ................................................................................. 14
2.3. Implémentations du protocole PPTP................................................................................. 15
2.4. Avantages du protocole PPTP ........................................................................................... 15
2.5. Désavantages du protocole PPTP ...................................................................................... 15
3. Layer 2 Tunneling Protocol (L2TP) ............................................................................................. 16
3.1. Définition du protocole L2TP ............................................................................................. 16
3.2. Architecture du protocole L2TP ........................................................................................ 16
3.3. Avantages du protocole L2TP ............................................................................................ 17
3.4. Désavantages du protocole L2TP ...................................................................................... 17
4. Internet Protocol Security (IPSec) ............................................................................................. 18
4.1. Besoins de sécurité sur IP .................................................................................................. 18
4.2. Présentation d’IPsec .......................................................................................................... 19
4.3. Les protocoles de transformation d’IPSec......................................................................... 20
4.4. Les modes Transport et Tunnel ......................................................................................... 21
4.5. La gestion de clés : IKE ....................................................................................................... 22
Conclusion ......................................................................................................................................... 23
Chapitre 4 : Le cryptographie ................................................................................................................ 24
Introduction....................................................................................................................................... 24
1. Définition de la cryptographie................................................................................................... 24
2. Fonctionnement de la cryptographie ........................................................................................ 24
3. Méthode de distribution des clés .............................................................................................. 25
4. Algorithme de chiffrement ou de cryptage ............................................................................... 26
5. Algorithme de hachage ............................................................................................................. 27
6. Méthode d’authentification ...................................................................................................... 27
7. Groupe de Protocole DH (Diffie-Hellman)................................................................................. 27
8. Durée de vie de la clé de cryptage ............................................................................................ 28
Conclusion ......................................................................................................................................... 28
Chapitre 5 : La cybersécurité ................................................................................................................. 29
Introduction....................................................................................................................................... 29
1. La cybersécurité......................................................................................................................... 29
2. La cyberattaque ......................................................................................................................... 29
3. La cyberguerre ........................................................................................................................... 31
4. Prévention des cyberattaques................................................................................................... 33
Conclusion ......................................................................................................................................... 33
Chapitre 6 : Réalisations pratiques........................................................................................................ 35
1. Topologie de la réalisation pratique en 3D ................................................................................... 36
2. Objectifs......................................................................................................................................... 38
3. Contexte / Scénario ....................................................................................................................... 38
4. Ressources requises ...................................................................................................................... 39
5. Réalisation ..................................................................................................................................... 39
5.1. Création du réseau et configuration des paramètres de base des périphériques ................ 40
5.2. Configuration du VPN IPSec au niveau de chaque routeur ................................................... 55
5.2.1. Configuration VPN IPSec Site 1 à Site 2 ......................................................................... 56
5.2.2. Configuration VPN IPSec Site 1 à Site 3 ......................................................................... 61
5.3. Vérification de connectivité site à site .................................................................................. 63
5.3.1. Test de connectivité VPN entre Siège et Succursale Bizerte ......................................... 63
5.3.2. Test de connectivité VPN entre Siège et Succursale Nabeul ......................................... 66
5.4. Configuration VPN PPTP au niveau du Routeur 1 (Siège) ..................................................... 68
5.5. Vérification de connectivité Client-Serveur .......................................................................... 73
Conclusion générale .............................................................................................................................. 75
Bibliographie.......................................................................................................................................... 76
Chapitre 1 : Présentation du cadre du projet
Introduction
Ce chapitre a pour objectif de situer notre travail. Nous commençons tout d’abord par la
présentation de la société, ensuite nous passons à l’étude de l’existant suivi d’une critique de
la situation actuelle passant à notre solution. Enfin, nous enchaînons avec le chapitre suivant
relatif à une introduction sur la sécurité des réseaux.
1. Présentation de la société
1.1. Organisme d’accueil
Topnet est une entreprise tunisienne qui a démarré ses activités le 02 mai 2001, elle est le
leader, aujourd’hui, des Fournisseurs d'accès Internet en Tunisie.
Topnet devient une filiale de groupe Tunisie Télécom, en Juin 2010, cette acquisition est
considérée par Tunisie Télécom comme étant une opération stratégique permettant le
renforcement de son leadership à travers un acteur qui, en quelques années, a réussi à se hisser
en leader sur le marché des fournisseurs de services Internet (FSI).
Topnet s’engage à garantir la satisfaction du client en étant à son écoute et en répondant à ses
attentes, tout en assurant sa rentabilité. Elle enracine au niveau de son équipe le sens de
l’excellence permanente au service du client, et ce, via l’amélioration continue de son
fonctionnement interne. Ainsi, elle offre continuellement de nouveaux produits et services qui
répondent aux besoins évolutifs de la clientèle. Finalement, elle consolide sa position de
leader et sa notoriété pour afficher une meilleure image sur le marché.
2. Etude de l’existant
L’étude de l’existant vise à comprendre le fonctionnement actuel pour en dégager les
insuffisances qui seront résolues à travers la solution retenue.
Pour permettre à ses employés, de profiter d’une connectivité à internet dans son siège,
Topnet a mis en place un réseau LAN. Il est conçu pour permettre un transfert rapide de
1
grandes quantités de données entre les différents périphériques qui sont connectés au réseau.
Au niveau Topnet, il est courant que plusieurs ordinateurs de travail partagent des serveurs de
fichiers, des imprimantes réseau ou des applications sur le LAN. Les données sont transmises
très rapidement car le nombre d’ordinateurs liés est limité. Le LAN couvre une zone
géographique plus petite. De ce fait, les succursales ne peuvent plus connecter à leur siège via
le LAN.
Ainsi, afin de limiter le risque d'exposition des salariés au Covid-19, Topnet parmi d’autres
entreprises, prévoit l’adoption du télétravail. Pour elle, dans cette conjoncture le télétravail
permet de protéger les employés et les personnes porteuses de maladies chroniques et la santé
du salarié. Il s’agit également d’une méthode qui contribue à diminuer la pression sur les
moyens de transport et sur toute l’infrastructure. Actuellement, cette solution est praticable
chez Topnet.
L’étude de l’existant chez Topnet, nous a permis de déterminer un nombre de problèmes qui
touchent au réseau de la société.
Nous constatons que le réseau interne n’a aucun système de sécurité lui permettant de
contrôler les accès et le trafic du réseau. Le réseau étant ouvert, il est vulnérable et s’expose
aux attaques, ainsi que la possibilité que des intrus accèdent au réseau wifi.
La charge du trafic générée par les utilisateurs, des applications complexes et des fichiers
volumineux ralentit le réseau. Tous ces facteurs contribuent à l’insuffisance du débit internet
par conséquent, ils diminuent les performances du réseau. Notons par ailleurs l’utilisation des
réseaux sociaux (YouTube, Facebook, etc.) qui utilisent une grande partie de la bande
passante et cela a comme conséquence le ralentissement du réseau.
Nous remarquons aussi l’absence d’une architecture sécurisée des connexions. Tout ceci rend
le réseau de Topnet vulnérable et constitue un vrai danger vu l’importance et la confidentialité
des informations qu’elle gère en son sein.
2
2.3. Solution proposée
Pour remédier aux problèmes déjà mentionnés, la solution serait de mettre en place une
architecture sécurisée entre siège, succursales et agent mobile en télétravail. Il s’agit d’un
mécanisme d’authentification et de connexion au réseau local d’une manière sécurisée. Cette
solution doit être capable d’identifier chaque usager souhaitant se connecter au réseau local,
d’enregistrer et de stocker ses données de toutes les sessions établies. Cette proposition se
traduit par la mise en place d’une solution sécurisée en utilisant le protocole IPSec permettant
les succursales de se connecter à leur siège et d’utiliser le protocole PPTP qui oblige tout
employé désirant naviguer sur le réseau local de l’entreprise de s'identifier grâce notamment à
des paramètres offerts par l’entreprise lui permettant de connecter à distance.
Conclusion
Ce chapitre a présenté l'environnement du travail tout en décrivant l'organisme d'accueil d’une
part. D’autre part, l'état de l’existant est déterminé pour mieux cerner la problématique. Une
critique de l’existant est aussi présente afin de dégager les différentes solutions possibles.
Dans le chapitre suivant, on va acheminer avec une introduction portant sur la sécurité des
réseaux.
3
Chapitre 2 : Introduction sur la sécurité des réseaux
Introduction
Au niveau de ce chapitre on va présenter les réseaux de l’entreprise en premier lieu. Par la
suite on citer les différents outils que l’entreprise puisse mettre en place afin de sécuriser son
réseau local.
L'autorisation d'accès aux données dans un réseau est prise en charge par la sécurité du réseau,
qui est contrôlée par l'administrateur réseau ou l'ingénieur de sécurité réseau.
La sécurité du réseau couvre également les transactions et les communications entre les
entreprises, les agences gouvernementales et les particuliers. Les réseaux peuvent être privés,
comme au sein de l'entreprise, ou être ouverts à l'accès public, et la sécurité est impliquée
dans les deux couches.
2.1. Un antivirus
L’antivirus est l’un des outils indispensables pour protéger l’ensemble des appareils du parc
informatique. Lorsque le système informatique d’une entreprise n’est pas bien sécurisé avec
un bon logiciel de protection, l’entreprise peut facilement être victime des logiciels
malveillants, des logiciels espions, des ramsomwares et autres types de virus. Pour faire face à
tous ces risques mettant en péril l’entreprise, il est important de protéger l’intégralité de son
système informatique. Cela concerne les ordinateurs de travail, les serveurs, les routeurs wifi,
les périphériques de stockage, etc.
4
La mise en place d’une solution de protection comme Avast (ou Norton Security) serait alors
idéale. Généralement, ces logiciels disposent d’un filtre antispam, antivirus, anti-phishing et
anti-ransomware. Un logiciel de protection va intégrer plusieurs niveaux de sécurité afin de
bloquer les virus, tout type d’attaque qui vient d’internet et détecter les fichiers infectés sur les
ordinateurs de l’entreprise.
2.2. Un pare-feu
Le pare-feu est un autre outil indispensable pour les entreprises (il peut être matériel et/ou
logiciel). Le rôle principal d’un pare-feu est de protéger le réseau informatique (protection des
ordinateurs et serveurs reliés à Internet via le réseau de l’entreprise). En plus d’avoir un pare-
feu matériel relié au réseau informatique de l’entreprise, il faut également installer et activer
un pare-feu logiciel sur les serveurs ou sur les routeurs de l’entreprise.
Le pare-feu joue un rôle très important dans la protection des données de l’entreprise, car il
s’agit de la première ligne de défense contre les menaces. Avec un pare-feu, l’entreprise peut
contrôler l’accès à son réseau informatique en appliquant des règles de son choix et laisse le
pare-feu effectuer son travail d’autoriser et/ou de bloquer les données entrantes et sortantes de
l’entreprise via internet. Un pare-feu est un outil très important que doit mettre en place dans
tous les appareils qui se connectent à Internet et ont accès aux données de l’entreprise ; il est
aussi possible de configurer le pare-feu au niveau du routeur qui relie le réseau de l’entreprise
à internet.
5
2.3. Un logiciel de sauvegarde
Il faut garder à l’esprit qu’aucune protection n’est impénétrable. Les outils et les solutions qui
existent ne garantissent pas une protection totale contre les virus et le piratage informatique.
Pour une raison ou pour une autre, il se peut qu’un pirate particulièrement intelligent arrive à
accéder au réseau de l’entreprise et infecte tous les ordinateurs et les serveurs de l’entreprise
par un ransomware ou tout autre type de logiciel malveillant. Dans une telle situation, elle
n’aurait plus accès à leurs données. C’est pourquoi la sauvegarde des données de l’entreprise
est très importante. Quand elle crée des sauvegardes, elle protège à la fois ses données contre
le piratage informatique et les virus, mais aussi, en cas de problèmes matériels, elle peut
récupérer ses données très facilement.
Pour sauvegarder les données de votre entreprise, il y a différents supports de sauvegarde que
vous pouvez utiliser :
Protéger les ordinateurs et les serveurs de l’entreprise par des mots de passe n’empêche pas
l’accès aux données de l’entreprise. On entend souvent sur les sites d’actualité des histoires de
vol de données.
C’est pour cette raison qu’il faut penser à utiliser un logiciel de chiffrement de données, pour
chiffrer les données de l’entreprise, afin de rendre l’accès à ses documents, fichiers et dossiers
impossible, en cas de vol ou de fuite de données.
6
2.5. Un antispam
Que ce soit le logiciel de messagerie utilisé dans l’entreprise, les employés sont
inévitablement infestés de messages non sollicités. Souvent, les logiciels de messagerie
intègrent un antispam, mais il ne suffit pas pour bloquer tous les emails spams et les courriers
indésirables. Pour éviter que les employés reçoivent des spam, il faut coupler le logiciel de
messagerie avec un logiciel antispam. L’utilisation d’un logiciel antispam au sein d’une
entreprise permet de limiter les risques d’attaques qui peuvent se produire, qui manipulent le
comportement humain en envoyant des emails de phishing et des e-mails frauduleux.
2.6. Un VPN
Le VPN (on l’appelle aussi « réseau privé virtuel ») est un autre outil indispensable pour
protéger les données de l’entreprise. Il s’agit d’un outil qui permet d’établir une connexion
sécurisée et chiffrée entre deux réseaux ou entre un utilisateur individuel et un réseau.
• Si un employé utilise un réseau wifi dans l’entreprise, un VPN (qui peut être
installé dans le routeur wifi) peut protéger les données qui circulent dans le
réseau en cas de piratage du réseau wifi.
L’utilisation d’un VPN n’est pas compliquée et ne demande pas de compétence particulière, il
vous suffit de suivre les guides proposés par le fournisseur de VPN choisi.
La gestion des mots de passe en entreprise est très importante pour la sécurité de système
informatique de l’entreprise. Les mots de passe sont la première barrière de protection contre
les attaques des pirates et le vol de données. Que ce soit pour les mots de passe du système
interne de l’entreprise ou pour des services en ligne, une mauvaise gestion des mots de passe
met en danger les données de l’entreprise. Tous les employés de l’entreprise doivent être
sensibilisés aux bonnes pratiques pour gérer leurs mots de passe :
7
• Il ne faut jamais utiliser un mot de passe unique pour tous logiciels et services
utilisés en entreprise ;
• Il ne faut pas enregistrer des mots de passe sur un fichier de texte dans un poste de
travail ;
• Il faut choisir des mots de passe complexes (qui contiennent des chiffres, des lettres
majuscules et minuscules, des caractères spéciaux, etc.).
Il existe un outil qui permet de faire tout ça, c’est le gestionnaire de mots de passe. Ce logiciel
s’installe sur un ordinateur ou un serveur, permet de créer des mots de passe uniques et
complexes, et les enregistre de manière sécurisée.
La surveillance du réseau informatique de l’entreprise est l’une des tâches essentielles qui doit
être exécutée régulièrement par le responsable IT (ou l’administrateur réseau) de l’entreprise.
La bonne nouvelle est qu’il existe pour cette tâche plusieurs logiciels gratuits qui permettent
d’analyser et de surveiller le trafic des réseaux informatiques. Ils aident à identifier les
problèmes réseau et vérifier qu’il n’y a aucun accès non autorisé au réseau de l’entreprise.
Parmi ces logiciels, il y a Wireshark. C’est un logiciel gratuit qui vous permettra de surveiller
le réseau de votre entreprise, mais son utilisation nécessite des connaissances en réseau
informatique.
Le terme ADSL signifie Asymmetric Digital Subscriber Line (dans les pays francophones ce
terme est parfois remplacé par LNPA qui signifie Ligne Numérique à Paire Asymétrique. Ce
système permet de faire coexister sur une même ligne un canal descendant (downstream) de
haut débit, un canal montant (upstream) moyen débit ainsi qu’un canal de téléphonie
(appelé POTS en télécommunication qui signifie : Plain Old Telephone Service).
8
C’est une technique de communication numérique permettant de faire passer des données
numériques par le biais des câbles cuivrés des lignes téléphoniques, indépendamment du
service téléphonique.
Le VDSL, pour Very High Bitrate Digital Subscriber Line, utilise la même technologie que
l’ADSL en faisant passer des données numériques par la paire de cuivre d’une ligne
téléphonique. Cependant, les signaux VDSL étant transportés sur la ligne simultanément et
sans interférences, le débit atteint est supérieur à celui de l’ADSL. Le VDSL autorise une
vitesse de connexion jusqu’à 100 Mb/s. L’évolution de la technologie VDSL est le VDSL 2,
qui permet d’atteindre un débit théorique (donc maximal) de connexion de 100 Mb/s, soit la
même vitesse que la fibre optique actuelle.
L’utilisation de plus hautes fréquences pour les technologies VDSL et VDSL 2 a plusieurs
conséquences :
• Le débit potentiel est plus élevé (jusqu’à 100 Mégabits par seconde en VDSL 2) ;
• La technologie fonctionne mieux à faible distance (moins d’un kilomètre), donc les
zones éligibles sont plus réduites ;
• Les perturbations électromagnétiques perturbent plus facilement le signal.
En résumé, les technologies ADSL et VDSL diffèrent par leurs performances. Les débits
VDSL sont plus élevés, mais une proximité plus grande avec le répartiteur est nécessaire.
GPON (Gigabit-Passive Optical Network) GPON est un réseau optique passif à une fibre
optique. Issue de la technologie longue distance FTTH (Fiber To The Home), la technologie
GPON offre à la FTTO (Fibre To The Office) ou au POL (Passive Optical LAN) une nouvelle
approche du câblage tertiaire. Cette technique est utilisée dans le domaine des réseaux de
transmission de données et des réseaux d'accès à Internet à très haut débit. Le déploiement
croissant des fibres optiques sur les territoires, puis dans les maisons, arrive maintenant
jusqu’aux bureaux. Synonyme de durabilité, d’économies et de sécurité, le GPON se distingue
sur un marché tourné vers le cloud computing, les bâtiments intelligents et la convergence des
applications en réseau.
9
Une trame GPON dispose intrinsèquement de mécanismes fonctionnellement importants, tels
que :
La fibre optique utilise un support différent pour le transport de l’information par rapport aux
technologies ADSL ou VDSL. Là où l’ADSL utilise les câbles en cuivre téléphoniques, la
fibre optique utilise un câble du même nom. Un câble fibre optique est composé d’un cœur
dans lequel circule la lumière et de plusieurs gaines qui assurent sa non-dispersion et la
protection du cœur. Les principaux avantages de la fibre optique sont les suivants :
En bref, la fibre optique offre des performances beaucoup plus hautes que l’ADSL ou le
VDSL, mais elle est encore limitée par son éligibilité, la technologie ne couvrant encore
qu’une part limitée du territoire.
Conclusion
Ce chapitre montre les différentes composantes de notre sujet en abordant les trois
technologies de réseau ADSL, VDSL et GPON sur lesquelles on va travailler. Ainsi on a
présenté les différentes solutions menant les entreprises à adopter des architectures sécurisées.
Le chapitre suivant présentera les réseaux privés virtuels et les différents protocoles pour en
tirer celui qui convient le mieux avec nos objectifs.
10
Chapitre 3 : Réseau privé virtuel (VPN)
Introduction
Au niveau de ce chapitre on va définir le réseau privé virtuel (VPN) et ses différents aspects
en premier lieu. Par la suite on va citer les différents protocoles de sécurité.
Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données
confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité,
on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces
réseaux privés « intranet ». Y sont stockés des serveurs propres à l'entreprise : portails,
serveurs de partage de données, etc ... Pour garantir cette confidentialité, le réseau privé est
coupé logiquement du réseau internet. En général, les machines se trouvant à l'extérieur du
réseau privé ne peut accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au
sein d'un réseau privé pourra accéder au réseau internet.
Les réseaux privés virtuels ou VPN (Virtual Private Network) permettent d’accéder, de
manière totalement sécurisée, soit à des applications informatiques sur un réseau d’entreprise,
soit à des réseaux d’entreprise distants.
Les applications des VPN sont multiples, ils sont couramment utilisés, par exemple, pour
relier les succursales d’une entreprise au siège social, pour assurer la communication des
travailleurs nomades ou des télé travailleurs avec les ressources informatiques de la société,
voire, pour établir des liaisons entre plusieurs établissements d’intérêt commun (clients,
fournisseurs, sous-traitants, prestataires divers …). Les VPN peuvent aussi être utilisés très
simplement pour assurer la confidentialité des communications, sur un LAN (Local Area
Network), entre utilisateurs appartenant à un même groupe fonctionnel (Direction générale,
Comptabilité, Groupe Projet …).
11
Le but d'un réseau privé virtuel est de « fournir aux utilisateurs et administrateurs du système
d'information des conditions d'exploitation, d'utilisation et de sécurité à travers un réseau
public identiques à celles disponibles sur un réseau privé ». En d’autres termes, on veut
regrouper des réseaux privés, séparés par un réseau public (internet) en donnant l'illusion pour
l'utilisateur qu'ils ne sont pas séparés, et toute en gardant l'aspect sécurisé qui était assuré par
la coupure logique au réseau internet. Le tunneling consiste, après identification et
authentification des protagonistes, à établir un chemin virtuel entre l’émetteur et le
destinataire, de telle sorte que les données chiffrées empruntent ce tunnel, assurant ainsi des
communications sécurisées.
Les protocoles de tunneling opèrent au niveau 2 ou 3 au sens OSI. Les différences entre les
VPN de niveau 2 et de niveau 3 sont étroites. Les tunnels de niveau 3 sont plus indépendants
du réseau. Ils peuvent transporter toute forme de données : voix, données, vidéo.
• Le Télétravail : Il existe des entreprises sans locaux, ou les employés travaillent chez
eux. Quand ce type de travail est possible, pourquoi dépenser plus pour des locaux,
des problèmes de transport, etc ... ? Le VPN apporte la possibilité pour tous ces
employés de travailler sur un même réseau privé virtuel. Il doit alors évidement
disposer d'une connexion internet qui lui permet de travailler à distance, et d'utiliser
les différents services du réseau, et même exploiter des outils de travail collaboratif.
• Connexion de sites distants : Pour une entreprise possédant plusieurs sites, il est
parfois avantageux de les relier. Une solution serait d'utiliser le VPN qui ne coûte pas
plus que 2 connexions d'accès à internet.
12
1.3. Différents types des VPN
• Un VPN d’accès à distance permet aux utilisateurs de se connecter à un autre réseau via
un tunnel privé et chiffré, qu’il s’agisse d’Internet ou du système interne de leur
entreprise.
• L’autre type de VPN, un VPN site-à-site, est également appelé VPN routeur-à-routeur.
Ce type de VPN est principalement utilisé dans le monde professionnel, en particulier
lorsqu’une entreprise possède des bureaux à différents emplacements. Le VPN site-à-site
crée un réseau interne fermé auquel les différents sites peuvent se connecter les uns aux
autres. Ce modèle est appelé intranet.
13
1.4. Les différents protocoles utilisés pour le VPN IP
• Un canal de contrôle pour la gestion du lien, qui consiste en une connexion TCP sur le
port 1723 du serveur ;
• Un canal de données transportant les données du réseau privé et utilisant le
protocole IP numéro 47.
Le canal de données consiste en une version non standard du protocole Generic Routing
Encapsulation (GRE). Les paquets GRE modifiés transportent des trames PPP. Enfin, les
trames PPP encapsulent les paquets IP transportés par le tunnel.
14
Le flux PPP peut être chiffré, authentifié et compressé à l'aide des mécanismes standard
de PPP, auxquels Microsoft a ajouté l'authentification MS-CHAP, le chiffrement Microsoft
Point-to-Point Encryption (MPPE) et la compression Microsoft Point-to-Point Compression
(MPPC).
Point-to-Point Tunneling Protocol (PPTP) est un protocole VPN qui permet au Point à
Point Protocol (PPP) de traverser un réseau IP.
Sous Windows, PPTP est décrit comme la fonction « accès VPN ». Il existe un client
PPTP ainsi qu'un serveur PPTP sous Linux, ce qui permet d'établir des VPN en
environnement hétérogène. Mac OS X comporte un client PPTP.
Vitesse : PPTP offre la vitesse la plus rapide parmi tous les autres protocoles.
Disponibilité : Il est disponible sur tous les principaux systèmes d’exploitation actuels.
Cryptage : PPTP est fourni avec les algorithmes RSA et RC4 qui utilisent un cryptage 128
bits.
Sécurité : le protocole n’est pas idéal pour les utilisateurs et les entreprises qui souhaitent
protéger leurs données.
15
3. Layer 2 Tunneling Protocol (L2TP)
Pour cette raison, L2TP encapsule souvent des paquets IPSec pour assurer la confidentialité
des données. Cette procédure d'encapsulation fait l'objet d'une RFC, la RFC 3193.
Les concentrateurs d'accès L2TP, signifiant L2TP Access Concentrateur (LAC), peuvent être
intégrés à la structure d'un réseau commuté comme le réseau téléphonique commuté (RTC) ou
encore associé à un système d'extrémité PPP prenant en charge le protocole L2TP.
16
Le rôle du concentrateur d'accès LAC se limite à fournir un support physique qui sera utilisé
par L2TP pour transférer le trafic vers un ou plusieurs serveurs réseau L2TP (LNS). Il assure
le fractionnement en canaux pour tout protocole basé sur PPP. Le concentrateur d'accès LAC
joue le rôle de serveur d'accès, il est à l'origine du tunnel et est responsable de l'identification
du VPN.
Les serveurs réseau LNS, signifiant L2TP Network Server, peuvent fonctionner sur toute
plate-forme prenant en charge la terminaison PPP et gèrent le protocole L2TP côté serveur.
Les serveurs LNS sont les émetteurs des appels sortants et les destinataires des appels
entrants. Ils sont responsables de l'authentification du tunnel.
17
4. Internet Protocol Security (IPSec)
Avec IP sans IPsec, les données IP sont transportées en clair dans les paquets. Il est donc
possible, en écoutant le trafic réseau, de lire et de modifier les paquets soit le contenu
(données) soit l'entête (adresse source, adresse destination ...). IP étant utilisé aussi bien pour
les communications d’Internet qu’au sein des réseaux privées, ces faiblesses peuvent avoir de
larges répercussions.
- Confidentialité : les données ne peuvent être compréhensibles que par le destinataire final.
- Intégrité : la modification des données par des intermédiaires ne peut pas être possible.
Les deux grandes classes de solutions cryptographiques d’aujourd’hui sont les systèmes de
chiffrement à :
- Clés symétriques : une même clé sert à chiffrer et à déchiffrer. Elle est partagée
uniquement par l’émetteur et le récepteur. Les algorithmes utilisés sont DES (Data Encryption
Standard) ou AES (Advanced Encryption Standard), et permettent d’assurer la confidentialité
et l’intégrité des paquets.
- Clés asymétriques : qui fait intervenir deux clés, une publique et une autre privée. Entre
communicants, chacun garde sa clé privée et distribue aux autres sa clé publique. Deux cas
sont à considérer : l’authentification et la confidentialité.
Pour authentifier une donnée on chiffrera avec la clé privé, détenue par un nœud unique, et on
déchiffrera avec la clé publique associée. On suppose que si l'on déchiffre avec la clé
publique, le chiffrement a été effectué avec la clé privée.
Pour assurer la confidentialité d'une donnée, c'est-à-dire pour qu'une donnée ne soit lu que par
le propriétaire d'une clé privée, on chiffrera avec la clé publique associée. Seul le propriétaire
de la clé privée associée pourra déchiffrer la donnée. Les algorithmes, comme RSA ou
18
l’algorithme de Diffie-Hellman, sont basés sur des problèmes mathématiques de factorisation
de grands nombres. Les opérations surtout de déchiffrement sont plus coûteuses que dans le
cas du chiffrement / déchiffrement symétrique.
En général, pour la communication entre deux entités, on commence par utiliser un système à
clés asymétriques pour s’authentifier et s’échanger un secret partagé qui est utilisé comme clé
symétrique pour chiffrer les messages.
Les protocoles d’IPsec agissent au niveau de la couche de réseau (niveau 3 du modèle OSI). Il
existe d’autres protocoles de sécurité aussi très étendus. On peut citer SSH (Secure SHell) qui
permet à un utilisateur distant d’avoir un interpréteur de commande à distance sécurisé
19
(chiffrement et authentification). Il y a aussi TLS (Transport Layer Security), descendant de
SSL (Secure Socket Layer), qui offre la possibilité d’ouvrir des sockets TCP sécurisées, mais
les applications doivent alors explicitement faire appel à cette bibliothèque. Ces protocoles
opèrent à partir de la couche de transport vers la couche applicative (niveau 4 à 7).
L’utilisation d’IPsec permet de protéger d’avantage les données dès la couche 3. Son grand
succès est qu’il sécurise toutes les applications et leurs communications au-dessus d’IP de
façon transparente, évitant ainsi les vulnérabilités des couches supérieures.
L'IPSec (Internet Protocol Security) regroupe un ensemble de protocoles, qui utilisent des
algorithmes destinés à transporter des données sur un réseau IP de façon sécurisée. L'IETF le
définit comme un cadre de standards ouverts pour assurer des communications privées et
protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques.
L'IPSec est intimement lié aux protocoles IPv4 et IPv6. Il permet d'authentifier et de chiffrer
des données, de sorte à assurer une certaine confidentialité et une certaine intégrité des flux
des données.
20
- ESP (Encapsulation Security Payload) qui sert à assurer la confidentialité des messages. Il
assure la confidentialité, l’intégrité en mode non connecté et une protection partielle en mode
tunneling. ESP régénère un datagramme IP chiffré à partir du datagramme origine (données et
entête ou données seules). Contrairement à AH, où l'on se contentait d'ajouter un en-tête
supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : Les
données originales sont chiffrées puis encapsulées entre un en-tête et un trailer. Voici
l'organisation d’ESP :
IPSec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.
Dans le mode transport, ce sont uniquement les données transférées (la partie payload du
paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce
fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être
modifiées par le NAT sans corrompre le hash de l'en-tête AH généré par IPsec, AH ne peut
pas être utilisé dans un environnement nécessitant ces modifications d'en-tête. En revanche, il
est possible d'avoir recours à l'encapsulation NAT-T pour encapsuler IPSec ESP. Le mode
transport est utilisé pour les communications dites hôte à hôte (Host-to-Host).
21
4.4.2. Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode
transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé.
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à
distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée.)
IKE (Internet Key Exchange) est un protocole qui permet, lorsque deux nœuds souhaitent
communiquer entre eux via un canal IPsec, l’authentification et la négociation du matériel
cryptographique en accord avec les SP (Politiques de sécurité) respectives, pour enfin la mise
en place de SA (Association de sécurité). La spécification de IKEv2 synthétise les différentes
fonctionnalités de IKEv1 (documenté dans plusieurs RFCs) ainsi que des fonctionnalités
introduites par les diverses implémentations de IKEv1 (comme par exemple les extensions
permettant l’utilisation d’IPsec à travers le réseau NAT, l’héritage d’authentification…).
Ainsi, IKEv2 est une réécriture de IKEv1 qui préserve la plupart des fonctions d’IKEv1
(cacher l’identité, deux phases, négociation cryptographique…), qui fixe plusieurs problèmes
d’IKEv1 trouvés pendant son déploiement ou analyse, et qui améliore le protocole afin de la
rendre plus efficace, plus robuste et plus interopérable.
Le principe devient justement le même qu’on applique pour le trafic sortant. Il existe une
exception à ce principe : les paquets IKE ne sont jamais soumis à IPsec par un ajout d'une
règle précisant de ne pas utiliser IPsec dans ce cas. Cela permet de casser le problème de
l'oeuf et de la poule (pour mettre en place IPsec, on ne peut pas utiliser IPsec). A noter qu'IKE
effectue ses échanges au-dessus du niveau transport (UDP, port 500, en général). Cela permet
bien de découpler la négociation IPsec des fonctionnalités d'IPsec.
22
4.5.2. Les phases d’IKE
- La première phase permet de vérifier l'identité des entités en présence. On choisit les
algorithmes de cryptographie utilisés pour les futures négociations. Á la fin de cette phase,
chaque entité doit disposer d'une clé de chiffrement, d'une clé d'authentification et d'un secret
partagé qui servira de "graine" dans la phase suivante (on produit une clé en fonction de
valeurs déjà calculées).
- La deuxième phase permet de négocier les attributs plus spécifiques à IPsec (utilisation
d'AH ou d'ESP par exemple), ces échanges sont chiffrés et authentifiés grâce aux éléments
décidés lors de la première phase. Il y a un intérêt à ce découpage. La première phase fait
appel à la cryptographie asymétrique lente, elle est de plus utilisée qu'une seule fois pour
définir les paramètres qui vont permettre de sécuriser les échanges de phase 2. La phase 2 est
en revanche appelée plusieurs fois. En effet, les clés qui servent à chiffrer deviennent
vulnérables avec le temps ou quand on s'en sert beaucoup. Cette phase est donc régulièrement
réeffectuée pour changer certaines clés de sessions
Conclusion
Ce chapitre montre les protocoles de sécurité les plus utilisés. On enchaine avec le chapitre
suivant dans lequel on va présenter les différents paramètres de cryptographie relatives au
protocole IPSec.
23
Chapitre 4 : Le cryptographie
Introduction
La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages
(assurant confidentialité, authenticité et intégrité) en s'aidant souvent de secrets ou clés. Elle
se distingue de la stéganographie qui fait passer inaperçu un message dans un autre message
alors que la cryptographie rend un message supposément inintelligible à autre que qui-de-
droit.
1. Définition de la cryptographie
Le cryptage est un moyen de convertir les données d’un format lisible en un format codé et
illisible à l’aide d’un algorithme. Ce format encodé ne peut être décodé qu’avec la bonne clé
de décryptage. Le cryptage des données VPN est utilisé pour sécuriser le trafic et les
informations des utilisateurs, ce qui le rend essentiellement insensible à la surveillance pour le
protéger de la surveillance des FAI, des cybercriminels et de la surveillance gouvernementale.
2. Fonctionnement de la cryptographie
Voici comment cela fonctionne : Le client VPN crypte d’abord les requêtes de connexion,
puis les envoie au serveur VPN qui les décrypte et les transmet au web. Ensuite, les données
reçues sont cryptées par le serveur VPN et envoyées au client VPN, qui décrypte ensuite les
informations reçues pour l’utilisateur.
24
Pour qu'un VPN fonctionne correctement, les stratégies IKE pour les deux points d'extrémité
devraient être identiques.
Paramètres Critères *
Méthode de distribution des clés Manuelle ou ISAKMP
Algorithme de chiffrement ou de cryptage DES, 3DES, AES (128/192/256)
Algorithme de hachage MD5, SHA-1, SHA2-256
Méthode d’authentification PSK (pre shared keys), RSA
Groupe de protocole DH (Diffie-Hellman) Group1, Group2, Group5
Durée de vie de la clé de cryptage 86400 ou inférieur **
Clé ISAKMP C’est à vous de choisir la clé ***
*Les critéres écrites en gras sont les critères utlisées dans la partie pratique.
**La durée de vie choisie dans notre réalisation pratique est 480 secondes.
***La clé ISAKMP choisie dans notre réalisation pratique est : topnet
IPsec utilise une association de sécurité (Security association) pour dicter comment les parties
vont faire usage de AH (Authentication header), protocole définissant un format d'en-tête
spécifique portant les informations d'authentification, et de l'encapsulation de la charge utile
d'un paquet.
• ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA
entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de
25
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le
nombre d'heures exigé par l'installation de communications, en négociant tous les services
simultanément.
• DES : Le Norme de chiffrement de données (DES) utilise une taille de clé 56-bit pour
le chiffrement de données. Le DES est périmé et devrait être seulement utilisé si un
point final prend en charge seulement le DES.
• 3DES : Le Norme 3DES (Triple Data Encryption Standard) exécute le DES trois fois
mais varie la taille de clé de 168 bits à 112 bits et de 112 bits à 56 bits selon le rond du
DES exécuté. 3DES est plus sécurisé que le DES et l'AES.
• AES-128 : L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une
clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES.
Généralement AES est également plus rapide mais moins sécurisé que 3DES, mais
quelques types de matériel permettent à 3DES d'être plus rapide. AES-128 est plus
rapide mais moins sécurisé qu'AES-192 et AES-256.
• AES-192 : AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus
lent mais plus sécurisé qu'AES-128, et AES-192 est plus rapide mais moins sécurisé
qu'AES-256.
• AES-256 : AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus
lent mais plus sécurisé qu'AES-128 et AES-192.
26
5. Algorithme de hachage
• SHA2-256 : Le Secure Hash Algorithm 2 avec une valeur de hachage 256 bits
(SHA2-256) utilise une valeur de hachage 256 bits pour l'authentification. SHA2-256
est plus lent mais plus sécurisé que le MD5 et le SHA-1.
6. Méthode d’authentification
Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités
d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types
d'authentifications, PSK (secret pré-partagée ou secret partagé) pour la génération de clefs de
sessions RSA ou à l'aide de certificats.
Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une
tierce-partie appelée Autorité de certification (CA) assure l'authentification. Tandis qu'avec
l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés.
Plus le nombre de bits de groupe est élevé, plus il est plus sécurisé :
27
• Groupe 2 - bit 1024 : la clé qui a plus de haute résistance et plus groupe sécurisé
d'authentification. Mais il a besoin d'un certain temps pour calculer les clés d'IKE.
• Groupe 5 - le bit 1536 : représente la clé qui a la plus haute résistance et le groupe le
plus sécurisé d'authentification. Il a besoin de plus d'heure de calculer les clés d'IKE.
On le préfère si la vitesse du réseau est élevée.
Conclusion
Aujourd’hui, la cryptographie tente de concevoir des systèmes plus sûrs et plus efficaces
comme par exemple des systèmes garantissant intégrité et confidentialité en passant une seule
fois sur le message clair au lieu de passer une première fois pour le chiffrer et de repasser
pour garantir l’intégrité du chiffré.
28
Chapitre 5 : La cybersécurité
Introduction
À l'heure actuelle, les propriétaires d'entreprise ne disposent pas des connaissances techniques
et de l'expertise nécessaires pour protéger leurs activités contre les cyber menaces internes et
externes. Selon les rapports, non seulement les grandes entreprises, mais les petites entreprises
sont également vulnérables aux cyberattaques. L'époque où les chefs d'entreprise pouvaient se
tourner vers le service informatique chaque fois qu'une menace se présentait était de plus en
plus problématique, raison pour laquelle les entreprises passent au numérique, raison pour
laquelle les entreprises doivent mettre en œuvre les protocoles de sécurité appropriés afin de
protéger leurs activités contre les cyber menaces.
1. La cybersécurité
Le cyber sécurité consiste à protéger les informations et les données confidentielles d’une
entreprise contre tout accès non autorisé en mettant en place plusieurs protocoles de sécurité.
L'idée est d'atténuer ces menaces dans leur ensemble, non seulement pour l'entreprise, mais
également pour ses clients. En termes simples, le cyber sécurité protège les données sous
forme électronique. Il s'agit d'un sous-ensemble de la sécurité de l'information qui traite de la
sécurité de l’infrastructure informatique d’une entreprise afin de la sécuriser en permanence.
Le cyber sécurité à plusieurs objectifs, bien sûr liés aux types de menaces ainsi qu’aux types
de ressources. Néanmoins, les points principaux sont les suivants :
2. La cyberattaque
Une cyberattaque est une tentative malveillante et délibérée d'une personne ou d'une
organisation de violer le système d'information d'une autre personne ou organisation. En
29
général, le hacker cherche à tirer parti de la perturbation du réseau de la victime. Elle
implique souvent la collecte d'informations pour des raisons politiques. Les types courants de
cyberattaques sont les suivants :
• Les malwares
• Le phishing
Le phishing consiste à envoyer des communications frauduleuses qui semblent provenir d'une
source fiable, généralement par e-mail. L'objectif est de voler des données sensibles telles que
les informations de carte bancaire et de connexion ou d'installer un malware sur la machine de
la victime. Le phishing est une cybermenace de plus en plus répandue.
Une attaque par déni de service inonde de trafic les systèmes, les serveurs ou les réseaux pour
épuiser les ressources et la bande passante. Par conséquent, le système n'est pas en mesure de
répondre aux demandes légitimes. Les hackers peuvent également utiliser plusieurs
30
périphériques compromis pour lancer cette attaque. C'est ce qu'on appelle une attaque par déni
de service distribué (DDoS).
• L'injection SQL
Une injection SQL (Structured Query Language) se produit lorsqu'un hacker insère du code
malveillant dans un serveur qui utilise SQL et oblige le serveur à révéler des informations
qu'il n'aurait normalement pas révélées. Il est possible d'effectuer une injection SQL
simplement en envoyant du code malveillant dans une zone de recherche de site web
vulnérable.
Une attaque zero-day exploite une vulnérabilité du réseau entre l'annonce de cette dernière et
la mise en œuvre d'un correctif ou d'une solution. Les hackers ciblent la vulnérabilité pendant
cet intervalle de temps. Pour détecter les menaces liées aux vulnérabilités zero-day, une
attention de tous les instants est cruciale.
• La tunnelisation DNS
La tunnelisation DNS utilise le protocole DNS pour communiquer le trafic non DNS sur le
port 53. Il envoie le trafic HTTP et d'autres protocoles via DNS. Il existe diverses raisons
légitimes d'utiliser la tunnelisation DNS. Cependant, il existe également des raisons
malveillantes d'utiliser les services VPN de tunnelisation DNS. Ils peuvent être employés
pour déguiser le trafic sortant en tant que DNS, dissimulant les données généralement
partagées via une connexion Internet. Dans le cadre d'une attaque, les requêtes DNS sont
manipulées pour exfiltrer les données d'un système compromis vers l'infrastructure du hacker.
Cette méthode peut également être utilisée pour les rappels de contrôle-commande, de
l'infrastructure du hacker vers un système compromis.
3. La cyberguerre
Alors que la guerre entre la Russie et l'Ukraine est toujours en cours, les experts en
cybersécurité mettent en évidence un front numérique qui s'est formé bien avant que les
troupes russes ne franchissent la frontière. Dans les mois qui ont précédé le déclenchement de
31
la guerre, des sites Web ukrainiens ont été attaqués et modifiés pour afficher des messages
menaçants sur l'invasion à venir.
Au cours des dix dernières années, la durée passée en ligne a considérablement augmenté.
Une étude menée par NordVPN a montré que les Français passent près de 28 ans de leur vie
en ligne. On imagine donc assez facilement comment les cyberguerres peuvent causer des
dommages bien réels. Voici quelques-uns des principales actions que les "soldats" en ligne
sont capables de réaliser :
• Sabotage et terrorisme
Le but de nombreuses actions de cyberguerre est de saboter et de causer des dommages sans
discernement. Qu'il s'agisse de mettre un site hors ligne par une attaque DDoS ou de défigurer
des pages web avec des messages politiques, les cyber terroristes lancent de multiples
opérations chaque année. L'événement qui a eu le plus d'impact s'est produit en Turquie
lorsque des hackers iraniens ont réussi à mettre hors service le réseau électrique pendant une
douzaine d'heures, affectant plus de 40 millions de personnes.
• Espionnage
32
• Propagande et désinformation
En 2020, 81 pays auraient eu recours à une forme de manipulation sur les réseaux sociaux. Ce
type de manipulation était généralement commandé par des agences gouvernementales, des
partis politiques ou des politiciens. Ces campagnes, qui impliquent en grande partie la
diffusion de fausses nouvelles, avaient tendance à se concentrer sur trois objectifs clés :
détourner les conversations ou les détourner des questions importantes, accroître la
polarisation entre les groupes religieux, politiques ou sociaux, et supprimer les droits humains
fondamentaux, tels que le droit à la liberté d'expression ou à la liberté d'information.
Le télétravail est devenu une nécessité face à l’expansion de la pandémie, mais il devient la
cible préférée des hackers qui y voient une occasion de choix pour récupérer des
données. Face aux contraintes de la pandémie COVID-19, les entreprises sont de plus en plus
nombreuses à encourager le télétravail pour garantir la continuité d’activité et mettre leur
personnel en sécurité mais cette pratique n’est pas sans risque. Il donne plusieurs
recommandations pour se protéger. Pour faire face nous devons :
• Fournir un accès VPN le plus sécurisé possible avec un accès double authentification.
• Mettre à jour régulièrement les systèmes d’exploitation et les applications pour se
prémunir contre toute faille de sécurité.
• Sensibiliser périodiquement les équipes au risque cyber. Ainsi, il ne faut ni répondre
aux messages suspects ni ouvrir les pièces-jointes qui pourraient s’y trouver.
• Tester en continu le niveau de cybersécurité de l’entreprise (Audit réglementaire, Scan
de vulnérabilités des systèmes…)
• Souscrire à une assurance Cyber (produit qui est en cours d’être offert en Tunisie par
plusieurs assurances).
Conclusion
33
l’espace de bataille et des systèmes d’armes). La cybersécurité est donc une nécessité vitale
pour nos collectivités modernes. En permettant à chaque individu d’accéder au réseau des
réseaux, les occasions de le fragiliser sont multiples. Puisque la sécurisation de l’intégralité du
maillage informatique passe par la responsabilisation de l’ensemble de ses utilisateurs, il
convient de diffuser une culture de la cybersécurité auprès de l’opinion publique. Non pas
pour transformer chaque citoyen en informaticien, mais bien pour en faire un consommateur
de technologies responsable, conscient de l’ampleur de la menace potentielle et de la valeur
de l’information, dans un monde où les données circulent à la vitesse de la lumière.
34
Chapitre 6 : Réalisations pratiques
35
Agent mobile en travail
hybride habite à Bardo
1. Topologie de la réalisation pratique en 3D
Siège Topnet au
Centre Urbain Nord
VPN PPTP
Client Serveur
36
SITE 1 : Siège Topnet Agent mobile
Centre Urbain Nord
R2 : R3 :
@ Réseau : 192.168.1.0
Adresse publique : Adresse publique :
41.230.28.218 41.230.28.219
Bizerte Nabeul
37
2. Objectifs
3. Contexte / Scénario
Ce travail montre comment configurer deux routeurs Cisco pour créer un tunnel VPN
permanent de site à site sécurisé sur Internet, en utilisant le protocole IP Security (IPSec).
Ainsi, on va configurer le routeur Cisco du Siège pour qu'il accepte les requêtes VPDN,
permettre aux clients distants de se connecter au réseau interne, leur attribuer une adresse IP
interne et leur donner accès à toutes les ressources du réseau, en utilisant le protocole Point to
Point Tunneling (PPTP).
Remarque : Les routeurs utilisés lors de la réalisation pratique sont les routeurs à services
intégrés (ISR) Cisco 867VAE-K9.
38
Figure 13 : Vue en arrière Routeur Cisco 867VAE-K9
Remarque : Il faut vérifier que la mémoire des routeurs a été effacée et qu'aucune
configuration de démarrage n'est présente.
4. Ressources requises
• Câbles de console pour configurer les périphériques Cisco IOS via les ports de console
5. Réalisation
39
5.1. Création du réseau et configuration des paramètres de base des
périphériques
Dans la première partie, on va créer le réseau, configurer les paramètres de base ainsi que la
configuration des interfaces relatives à chaque routeur tout en vérifiant que la mémoire des
routeurs a été réinitialisée.
Pour réaliser le travail demandé, on a installé PuTTY sur nos Pcs qui est un émulateur de
terminal doublé d'un client pour les protocoles SSH, Telnet, rlogin, et TCP brut. Il permet
également des connexions directes par liaison série RS-232. À l'origine disponible
uniquement pour Windows, il est à présent porté sur diverses plates-formes Unix (et non-
officiellement sur d'autres plates-formes). PuTTY est écrit et maintenu principalement
par Simon Tatham.
Figure 15 : PuTTY
40
Étape 2 : Initialiser et redémarrer chaque routeur.
Initialiser les paramètres par défaut, en s’appuyant sur les deux boutons du clavier « Ctrl » et
« Pause » simultanément avec le bouton On/Off du routeur jusqu’à que le mode Rommon
apparait. Par la suite, on écrit :
Sinon, on peut réinitialiser les paramètres par défaut si on dispose le mot passe enable aves les
deux commandes suivantes :
Router # wr erase
Router # reload
41
2. Création du mot de passe en mode d’exécution privilégié
Suite cette configuration, on va essayer le Telnet depuis un ordinateur pour accéder au routeur à
distance.
Soit avec Invite de commandes ou via PuTTY en changeant le modem du « Serial » vers « Telnet ».
4. Activation Telnet
42
Par la suite on va configurer l’interface WAN du routeur Cisco. On spécifie que l’on utilise
PPPOE et que l’on utilisera les paramètres du pool 1. La configuration de cette interface est
indispensable lorsqu’il s’agit d’un accès GPON.
L’adresse IP de dialer0 sera négociée par PPP. On configure l’authentification PPP CHAP en
utilisant le nom d’utilisateur et le mot de passe fourni par le fournisseur d’accès. L’option
callin réalise une one-way authentication. Cela veut dire que pour la connexion s’établie, il
suffit que notre équipement s’authentifie vis-à-vis de l’équipement du fournisseur d’accès.
L’interface dialer0 est définie comme l’interface outside pour la configuration du NAT.
43
On indique que l’on souhaite utiliser une adresse IP fournie par un serveur DHCP. On a donc
créé ici un pool DHCP nommé GPON, dans lequelles les machines recevront comme
passerelle par défaut 192.168.1.1 (l’adresse de R1 dans le LAN1), un serveur DNS 8.8.8.8 et
cette configuration sera valable pour le réseau 192.168.1.0/24
8. Configuration du DHCP
On a vérifié si notre machine a pris une adresse IP suite l’activation du DHCP ou non.
Comme vous pouvez le voir l’adresse IP est là : 192.168.1.2 et la passerelle par défaut était
192.168.1.1.
9. Activation du DHCP
44
L’Access List 101 autorise tous les paquets IP provenant du sous-réseau 192.168.1.0/24.
Les adresses inside autorisés sont définies par l’Access List 101.
45
14. Test de navigation Google : 8.8.8.8
46
• Routeur 2 : Succursale Topnet Bizerte : (VDSL)
4. Activation du Telnet
47
6. Configuration de l’interface Ethernet 0
48
9. Configuration du DHCP
49
14. Test de navigation Google : 8.8.8.8
50
• Routeur 3 : Succursale Topnet Nabeul : (ADSL)
Dans le but de configurer le routeur en mode ADSL, on va suivre cette démarche :
4. Activation du Telnet
51
6. Configuration de l’interface ATM 0
52
9. Configuration du DHCP
53
14. Test de navigation 8.8.8.8
54
5.2. Configuration du VPN IPSec au niveau de chaque routeur
Les tunnels VPN IPSec de site à site sont utilisés pour permettre la transmission sécurisée de
données entre deux sites. Le tunnel VPN est créé sur le réseau public Internet et crypté à
l’aide d’un certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité
des données transmises entre les deux sites. On va montrer par la suite comment configurer
deux routeurs Cisco pour créer un tunnel VPN permanent de site à site sécurisé sur Internet,
en utilisant le protocole IP Security (IPSec).
• La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP
ultérieurs.
• La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour
crypter les données en utilisant des algorithmes de cryptage et fournit des services
d’authentification, de cryptage et d’anti-répétition.
Pour faciliter ce processus, nous l’avons divisé en deux étapes nécessaires pour que le tunnel
VPN IPSec de site à site fonctionne. Ces étapes sont :
Notre exemple de configuration se situe entre le siège Topnet situé au Centre Urbain Nord
(Site1) et deux succursales Topnet, l’une se trouve à Bizerte (Site2) et l’autre à Nabeul
(Site3). Les trois routeurs se connectent à Internet et ont une adresse IP statique.
55
5.2.1. Configuration VPN IPSec Site 1 à Site 2
SITE 1 SITE 2
Réseau : 192.168.1.0/24 Réseau : 192.168.2.0/24
IPSEC
R1 R2
Le site 1 est configuré avec un réseau interne de 192.168.1.0/24, tandis que le site 2 est
configuré avec le réseau 192.168.2.0/24. L’objectif est de connecter en toute sécurité les deux
réseaux LAN et permettre une communication complète entre eux, sans aucune restriction.
Pour commencer, nous allons commencer à travailler sur le routeur Site 1 du siège Topnet.
56
Les commandes ci-dessus définissent les éléments suivants (dans l’ordre indiqué) :
La clé pré-partagée de l’homologue est définie sur topnet et son adresse IP publique est
41.230.28.218. Chaque fois que R1 essaie d’établir un tunnel VPN avec R2 (41.230.28.218),
cette clé pré-partagée sera utilisée.
Pour configurer IPSec, nous devons configurer les éléments suivants dans l’ordre :
➢ Créer une liste de contrôle d’accès étendue
➢ Créer une transformation IPSec
➢ Créer un Crypto Map
➢ Appliquer la carte cryptographique à l’interface publique
Laissez-nous examiner chacune des étapes ci-dessus.
L’étape suivante consiste à créer une liste d’accès et à définir le trafic que nous aimerions que
le routeur traverse le tunnel VPN. Dans notre travail, il s’agirait du trafic d’un réseau à l’autre,
192.168.1.0/24 à 192.168.2.0/24. Et ceux à travers ces commandes :
57
Figure 71 : Création d’ACL étendue – SITE 1
Cette étape consiste à créer l’ensemble de transformation utilisé pour protéger les données.
Nous avons nommé ce topset :
Nous avons nommé notre crypto Map topmap. La balise ipsec-isakmp indique au routeur que
cette carte cryptographique est une carte crypto IPsec. Bien qu’il n’y ait qu’un seul pair
déclaré dans cette carte de chiffrement (41.230.28.218), il est possible d’avoir plusieurs
homologues dans une carte de chiffrement donnée.
58
4. Application de crypto map à l’interface publique :
Notez que vous ne pouvez affecter qu’un seul crypto map à une interface. Dès que nous
appliquons crypto map sur l’interface, nous recevons un message du routeur qui confirme que
isakmp est activé : « ISAKMP is ON ». À ce stade, nous avons terminé la configuration VPN
IPSec sur le routeur Site 1.
Nous passons maintenant au routeur Site 2 pour compléter la configuration VPN. Les
paramètres du routeur 2 sont identiques, la seule différence étant les adresses IP homologues
et les listes d’accès :
59
La clé pré-partagée de l’homologue est définie sur topnet et son adresse IP publique est
41.230.28.217 relatif au site 1.
60
5.2.2. Configuration VPN IPSec Site 1 à Site 3
SITE 1 SITE 3
Réseau : 192.168.1.0/24 Réseau : 192.168.3.0/24
Réseau
IPSEC
R1 Réseau
R3
Réseau : 192.168.1.0/24 Réseau : 192.168.3.0/24
41.230.28.217
IPSEC 41.230.28.219
R1
192.168.1.1 R3192.168.3.1
Centre Urbain Nord Nabeul
41.230.28.217
Figure 81 : Configuration VPN IPSec Site 1 à Site 3
41.230.28.219
61
Figure 83 : Création d'ACL au niveau Site 1
Passons maintenant au routeur Site 3 pour compléter la configuration VPN. Les paramètres du
routeur 3 sont identiques, la seule différence étant les adresses IP homologues et les listes
d’accès :
62
5.3. Vérification de connectivité site à site
5.3.1. Test de connectivité VPN entre Siège et Succursale Bizerte
À ce stade, nous avons terminé notre configuration et le tunnel VPN est prêt à être mis en
place. Pour lancer le tunnel VPN, nous devons forcer un paquet à traverser le VPN et cela
peut être réalisé en envoyant un ping d’un routeur à un autre :
Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps
nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes,
provoquant le premier ping à la temporisation.
63
Par la suite, on va tester le ping entre un pc appartenant au Site 1 et un autre appartenant au
Site 3.
64
Figure 91 : Désactivation du pare-feu
On a désactivé le pare-feu. Passons maintenant au test du ping entre les machines du siège et
celles du succursale Bizerte :
Le ping est bien réussi entre les deux machines relatives au siège et succursale Bizerte. Ce qui
permet de conclure que les deux sites peuvent échanger les données entre eux tout en sécurité.
65
5.3.2. Test de connectivité VPN entre Siège et Succursale Nabeul
Passons maintenant au lancement tunnel VPN entre le siège et la succursale du Nabeul, nous
devons forcer un paquet à traverser le VPN en envoyant un ping d’un routeur à un autre :
Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps
nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes,
provoquant le premier ping à la temporisation. Pour vérifier le tunnel VPN, on utilise la
commande show crypto ISAKMP sa :
66
Par la suite, on va tester le ping entre un pc appartenant au Site 1 et un autre appartenant au
Site 3.
Après la désactivation du pare-feu, on peut conclure que le ping entre les deux machines
appartenant aux deux sites 1 et 3 est fait avec succès.
67
5.4. Configuration VPN PPTP au niveau du Routeur 1 (Siège)
Le protocole PPTP est utilisé pour créer des tunnels VPN entre les réseaux publics. Ces
tunnels VPN sont cryptés d'un bout à l'autre et permettent le transfert sécurisé des données
entre eux. PPTP est généralement mis en œuvre entre un serveur et un client, le serveur
appartenant au réseau de l'entreprise et le client étant un poste de travail distant. Les routeurs
Cisco peuvent être configurés pour agir en tant que serveurs PPTP, également appelés
serveurs de réseau commuté privé virtuel (VPDN).
Nous devons configurer notre routeur Cisco pour qu'il accepte les requêtes VPDN, permettre
à notre client distant qui est en travail hybride entre siège et maison (habitant à Bardo) de se
connecter au réseau interne, leur attribuer une adresse IP interne et leur donner accès à toutes
les ressources du réseau :
Tunnel PPTP
R1 INTERNET
Réseau : 192.168.1.0/24 Adresse publique
192.168.1.1 Tunnel PPTP
41.230.28.217
Client VPN
Client VPN
instructions ci-dessous.192.168.1.200
La première– étape consiste à activer VPDN et à créer les paramètres
192.168.1.250
de groupe VPDN qui définiront divers aspects de la connexion PPTP :
68
La configuration ci-dessus permet au routeur d'accepter les connexions PPTP entrantes et
spécifie l'interface virtuelle sur laquelle le tunnel PPTP est configuré.
Ensuite, nous devons lier l'interface virtuelle à une interface réelle. Cela lie efficacement les
connexions PPTP à l'interface réelle. Nous devrons également créer un pool d'adresses IP qui
seront attribuées aux utilisateurs VPDN. Ce pool est nommé ‘test’ et nous attribuerons plus
tard les adresses à allouer aux utilisateurs VPN.
La commande ' ppp encrypt ' spécifie le cryptage à utiliser - dans notre cas, c'est auto pour
une compatibilité maximale.
L'authentification est définie sur ms-chap et ms-chap v2 afin que nous puissions proposer la
meilleure méthode d'authentification possible dans ce cas.
La commande ' ip unnumbered <interface> ' mérite d'être analysée un peu plus en détail.
Tous les clients VPDN obtiendront soit une adresse IP faisant partie du réseau interne existant
(comme dans notre exemple), soit une adresse IP totalement différente du schéma de réseau
interne leur sera attribuée, par exemple 192.168.5.20 - 192.168.5.25.
Si on souhaite leur attribuer une adresse IP faisant partie du réseau interne existant (la plupart
des cas), on doit utiliser la commande "ip unnumbered" pour lier l'adaptateur virtuel à
l'interface réelle connectée au réseau interne - dans notre exemple, c'est l’interface vlan 1.
Si par contre on souhaite fournir aux clients VPDN une adresse IP totalement différente de
celle de notre réseau interne, alors on doit configurer l'interface Virtual-Template avec une
adresse IP appartenant à ce réseau par exemple 192.168.5.1 et configurer le pool VPDN avec
la plage appropriée, par exemple 192.168.5.20 - 192.168.5.25.
Les modèles de routeur Cisco plus anciens, tels que les séries 836 et 837, avaient des
problèmes pour attribuer aux clients VPDN une adresse IP appartenant au réseau interne
69
existant. Les ingénieurs n'avaient donc pas d'autre choix que d'attribuer un schéma d'adressage
IP différent aux clients VPDN.
À partir de la configuration et du diagramme fournis jusqu'à présent, on peut voir que nous
allons attribuer aux clients VPDN une plage d'adresses IP faisant partie du réseau interne
existant :
La dernière étape consiste à créer les comptes d'utilisateurs dont les clients VPDN auront
besoin pour s'authentifier auprès du routeur et accéder aux ressources internes. C’est une
tâche assez simple car il vous suffit d'ajouter un nom d'utilisateur, suivi du mot de passe :
L'utilisateur distant aura besoin du nom d'utilisateur et du mot de passe ci-dessus pour se
connecter avec succès au VPN.
L'utilisateur VPN distant devra créer une connexion VPDN à partir de son système
d'exploitation (Windows 10) afin d'initier la connexion VPN et de s'authentifier auprès du
routeur Cisco. Voici les étapes à suivre :
70
2. Choisir VPN.
71
Figure 107 : Ajout d'une connexion VPN Client
9. Écrivez vos identifiants VPN sur Nom d'utilisateur (facultatif) et Mot de passe
(facultatif).
10. Enregistrer :
Afin de valider les paramètres saisis cliquez sur enregistrer. Passons maintenant à la
vérification de la connectivité Client -Serveur
72
5.5. Vérification de connectivité Client-Serveur
3. Ecrivez les paramètres d’accès VPN PPTP déclarés sur le Routeur du Site 1.
73
4. Vous êtes connectés !
74
Conclusion générale
Sur le plan applicatif, nous avons créé des sites à trois accès internet différents
pour faciliter la connexion et visualiser l’état de connexion à distance. Nous avons configuré
le tunnel sécurisé dans chaque routeur de chaque site. Les équipements utilisés sont des
équipements Cisco assisté par le logiciel PuTTY.
75
Bibliographie
https://www.topnet.tn/
https://clubtutoinformatique.blogspot.com/
https://www.firsttechacademy.com/
https://www.firewall.cx/
https://www.lafabriquedunet.fr/
https://www.avast.com/
https://www.purevpn.fr/
https://upcommons.upc.edu/
https://fr.sawakinome.com/
https://www.cisco.com/
https://itrnews.com/
76