Rapport 3

[TITRE DU DOCUMENT]
SOMMAIRE
SOMMAIRE..........................................................................................................................................I
DEDICACE..........................................................................................................................................II
REMERCIEMENTS...........................................................................................................................III
LISTE DES ABREVIATIONS...........................................................................................................IV
RESUME..............................................................................................................................................V
ABSTRACT..........................................................................................................................................V
LISTES DE TABLEAUX...................................................................................................................VI
LISTE DES FIGURES......................................................................................................................VII
INTRODUCTION................................................................................................................................1
PREMIERE PARTIE:............................................................................................................................2
CADRE DU STAGE..............................................................................................................................2
Chapitre I :...........................................................................................................................................3
PRESENTATION DE L'ENTREPRISE............................................................................................3
I. TOTAL ENGINEERING SYSTEMS.....................................................................................................3
I. ORGANIGRAMME DE L'ENTREPRISE..............................................................................................4
II. IDENTIFICATION.............................................................................................................................4
Chapitre II :..........................................................................................................................................6
DEROULEMENT DU STAGE...........................................................................................................6
DEUXIEME PARTIE:...........................................................................................................................7
CADRE THEORIQUE DE L'ETUDE...................................................................................................7
Chapitre III :........................................................................................................................................8
ETUDES THEORIQUE DE LA SOLUTION POUR L'ENTREPRISE..........................................8
I. PRESENTATION GENERAL DU PROJET.............................................................................8
II. ETUDE DE L'EXIXTANT (cas de TES Sarl)........................................................................8
III. CRITIQUE DE L'EXISTANT..............................................................................................10
IV. PROBLEMATIQUE..............................................................................................................11
V. OBJECTIFS................................................................................................................................11
VI. LES ATTENTES DU PROJET.............................................................................................11
VII. METHODOLOGIE................................................................................................................11
A. GENERALITES SUR LES RESEAUX SANS FILS ET LEURS FAILLES DANS LA SECURITE RESEAU.......12
Rédigé Et Présenté par : MANYENGUE François I

[TITRE DU DOCUMENT]
DEDICACE
A
Ma famille
NGO BEND
Rédigé Et Présenté par : MANYENGUE François II

[TITRE DU DOCUMENT]
REMERCIEMENTS
Ce travail est non seulement l’aboutissement de multiples efforts, mais aussi le résultat
de précieux conseils et encouragements reçus. Ainsi nous tenons à adresser notre
reconnaissance à tous ceux qui de près ou de loin ont contribué à son édification.
Une pensée particulière :
 A monsieur le fondateur de l'Institut Universitaire des Sciences, des Technologies et
de l'Ethique (IUSTE) en la personne de monsieur DONTSI pour son le cadre de notre
formation.
 Au directeur de l'entreprise TOTAL ENGINEERING SYSTEMS Sarl en la personne de
Monsieur KAMGA Bertin qui a bien voulu nous accueillir et nous encadré au sein de son
entreprise.
 A monsieur NOUBISSIE WENDEU Gaël encadreur professionnel pour son
encadrement, ses conseils.
 A monsieur ZEUTEKOUAME encadreur académique pour l'encadrement ; le soutient,
les conseils,
 A mes parents et mes frères pour le soutien financier et moral ;
 A tous ceux que je n'ai pas cité mais qui m'ont soutenu et assisté.
Rédigé Et Présenté par : MANYENGUE François III

[TITRE DU DOCUMENT]
LISTE DES ABREVIATIONS
Rédigé Et Présenté par : MANYENGUE François IV

[TITRE DU DOCUMENT]
RESUME
Le renforcement de la sécurité informatique est devenu une nécessité primordiale vu

l'apparition des diverses formes d'attaques informatiques de nos jours. Et ce sont les réseaux
d'entreprises, d'institutions, de gouvernements qui ont le plus besoin de cette sécurisation
car elles sont fréquemment les cibles des attaques d'intrusion. Les pare-feu sont très
populaires en tant qu'outils permettant d'élaborer efficacement des stratégies pour
sécuriser un réseau informatique. Un firewall offre au système une protection d'un réseau
interne, contre un certain nombre d'intrusions venant de l'extérieur, grâce à des techniques
de filtrage rapides et intelligentes.
L'objectif de ce travail est la mise en place d'un firewall open source, pfsense comme
solution. Ce pare-feu offre un panel de fonctionnalités de type NAT, DHCP, ...etc., auquel
nous avons ajouté le package « Ntopng » pour la supervision de la bande passante, le paquet
« Snort » qui sert à la détection et la prévention d'intrusions et « Free Radius» pour
authentifier les utilisateurs avant l'accès à Internet. En somme le pare-feu est une solution
de premier choix, mais il nécessite quand même une intervention humaine.
ABSTRACT
Rédigé Et Présenté par : MANYENGUE François V

[TITRE DU DOCUMENT]
The reinforcement of computer security has become a primary necessity given

the appearance of various forms of computer attacks these days. Moreover, it is
the networks of companies, institutions and governments that most need this
security because they are frequently targets of intrusion attacks. Firewalls are very
popular as tools for effectively developing strategies for securing a computer
network. A firewall offers the system protection of an internal network, against a
number of intrusions from outside, thanks to fast and intelligent filtering
techniques.
The objective of this work is the establishment of an open source firewall,

pfsense as a solution. This firewall offers a panel of NAT, DHCP, etc., features, to
which we have added the "Ntopng" package for the supervision of the bandwidth,
the "Snort" package which serves for the detection and the prevention of
Intrusions and Free Radius to authenticate users before accessing the Internet. In
short, the firewall is a solution of choice, but it still requires human intervention.
LISTES DE TABLEAUX
Rédigé Et Présenté par : MANYENGUE François VI

[TITRE DU DOCUMENT]
LISTE DES FIGURES
Rédigé Et Présenté par : MANYENGUE François VII

[TITRE DU DOCUMENT]
INTRODUCTION
De nos jours, le développement du réseau Internet, et de ses déclinaisons sous

forme d'Intranet et d'Extranet, soulève des questions essentielles en matière de sécurité
informatique. Toutes les entreprises, possédant un réseau local disposent aussi d'un
accès à Internet, afin d'accéder à la manne d'information disponible sur le réseau des
réseaux, et de pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est
indispensable et dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie
aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de
l'entreprise, et y accomplir des actions douteuses (les attaques de vers et virus
informatiques, les chevaux de Troie bancaires,...), de destruction, vol d'informations
confidentielles, perte de périphériques mobiles, ...
Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le
coeur d'une telle architecture doit êtrebasé sur un pare-feu. Cet outil a pour but de
sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire
rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de
restreindre l'accès interne vers l'extérieur. En plaçant un pare-feu limitant ou interdisant
l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se
déroulant dans son enceinte. Le pare-feu propose donc un véritable contrôle sur le trafic
réseau de l'entreprise. Il permet d'analyser, de sécuriser, de gérer le trafic et ainsi
d'utiliser le réseau de la façon pour laquelle il a été prévu et sans l'encombrer avec des
activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de
données. C'est dans le but d'authentifier et de contrôler les activités des utilisateurs,
d'identifier les sources de menaces et ses dégâts informationnels au sein d'un réseau
informatique, que le thème :«Etude pour la sécurisation d'un réseau par la mise en
place d'un pare-feu open source », nous a été assigné. Pfsense est l'outil qui fait l'objet
de ce mémoire de fin d'étude.
Ce présent document comprend cinq chapitres : en premier lieu nous présenterons

notre cadre de formation et de stage, ensuite nous ferons une étude préalable du projet
à la suite de laquelle nous entamerons les généralités sur la sécurité des réseaux
informatiques ; il s'en suivra les généralités sur les pare-feu, leur principe de
fonctionnement, leurs composants et architectures suivi d'une étude technique de
Pfsense ;et en dernier chapitre, nous clôturerons par la mise en oeuvre de Pfsense.
Rédigé Et Présenté par : MANYENGUE François 1

[TITRE DU DOCUMENT]
PREMIERE PARTIE:
CADRE DU STAGE

[TITRE DU DOCUMENT]
Chapitre I :
PRESENTATION DE L'ENTREPRISE
I. TOTAL ENGINEERING SYSTEMS
La structure TOTAL ENGINEERING SYSTEMS SARL (TES SARL) est une jeune entreprise du secteur
tertiaire créé en 2021 par son directeur général actuel en la personne de monsieur KAMGA Hyppolyte Bertin
(ingénieur de conception en télécommunication option radio diffusion). Cette entreprise a pour but principal
d'offrir de nombreux services à savoir,
 Les systèmes informatiques

 La radiocommunication
 L'installation et la maintenances des réseaux et télécommunication
 La sécurité électronique (système de vidéo surveillance, système d'authentification, système
d'alarme, et incendie…
 L'énergie solaire
 Electricité bâtiment et industriel
 Infographie et design graphic
 Autres prestations technologique
TOTAL ENGINEERING SYSTEMS SARL (TES SARL) est une structure qui compte en son sein 09 personnels
permanents dynamique et très accueillant repartie comme suit :
1. Le directeur général
Il est le principal responsable de la structure, il veille à l'application du cahier de charge de l'entreprise et
responsable de son personnel et des travaux effectués chez les clients et partenaire de la structure.
2. La secrétaire
La secrétaire a pour fonction au sein de l'entreprise de prendre des notes à chaque réunion du personnel
régulièrement tenue chaque lundi, de prendre des rende vous de la direction, d'accueillir les clients et
visiteurs, d'effectuer des saisies et impressions, d'archiver les documents de l'entreprise.
3. La division des affaires financière

Elle a pour rôle de s'occuper de toutes les finances de l'entreprise à savoir les entrées et sorties, la
régularisation des factures et des salaires du personnelle.
4. La division marketing et communication

Cette division a pour principale rôle d'accroitre le portefeuille de l'entreprise a travers des campagnes
publicitaire, les descentes sur le terrain, les publications médiatiques,… Bref elle développe des stratégies
pour étendre le champ d'action de l'entreprise. Elle offre également des services de design graphic à travers
la conception des logos, et affiches publicitaires pour les clients

[TITRE DU DOCUMENT]
5. La division technologique
Essentiellement constituer d'ingénieur et techniciens supérieurs dévoués a la taches, c'est l'une des
divisions essentiel de TOTAL ENGINEERING SYSTEMS SARL (TES SARL), elle veille à la satisfaction de sa
clientèle à travers des services de qualité, elle s'occupe de la veille technologique et proposes au client les
solutions adapter à leur besoins. ELLE TRAVAIL en partenariat avec d'autre structure ou techniciens quand
besoin s'impose lors de la réalisation d'une œuvres nécessitant un effectif plus considerable.
I. ORGANIGRAMME DE L'ENTREPRISE
L'organigramme est un schéma qui représente

[TITRE DU DOCUMENT]
II. IDENTIFICATION
Dénomination TOTAL ENGINEERING SYSTEMS

Code T.E.S
Situation géographique Logbessou – Douala Cameroun
Secteur d’activité Technologie et numerique
Nombres du personnel 09
Téléphone (+237) 620 29 86 71 – 678 19 62 17
BP : 970 Douala
Site web
Horaires de travail 07h30 – 17h
Forme juridique SARL
RCCM: RC/DLA/2021/B/2485

[TITRE DU DOCUMENT]
Chapitre II :
DEROULEMENT DU STAGE

[TITRE DU DOCUMENT]
DEUXIEME PARTIE:
CADRE THEORIQUE DE
L'ETUDE

[TITRE DU DOCUMENT]
Chapitre III :
ETUDES THEORIQUE DE LA SOLUTION POUR L'ENTREPRISE
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet et

celle de la solution à implémenter. Il est alors indispensable de disposer d'un ensemble d'informations sur
l'infrastructure informatique existante afin de déceler ses points forts et ses insuffisances. Dans ce chapitre,
nous aborderons d'abord l'étude et critique de l'existant de TES SARL pour faire ressortir la problématique et
les objectifs à atteindre. Ensuite nous présenterons la méthodologie à adopter et enfin les résultats attendus
du projet
I. PRESENTATION GENERAL DU PROJET
Notre thème intitulé « Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu Open
source », s'inscrit dans un contexte pour une mise en place d'un système de contrôle d'accès au réseau pour
la structure TES Sarl et les potentielles entreprises ou elle opère en tant que sous-traitant.
De ce fait, TOTAL ENGINEERING SYSTEMS Sarl disposant d'un système informatique grandissant et
évolutif souhaite y ajouter à sa plateforme, un service pour contrôler et sécuriser l'accès à son réseau. Le
projet consiste à faire une étude pour une mise en place d'un pare-feu pour la sécurisation du réseau LAN de
l'entreprise.
II. ETUDE DE L'EXIXTANT (cas de TES Sarl)

Toute révision, modification ou action visant à apporter des améliorations au système informatique doit
passer par une connaissance préalable de l'ensemble des différents éléments constituant l'architecture de
son système informatique existant. L'analyse de l'existant a pour but d'évaluer le niveau de performance et
de disponibilité de l'infrastructure réseau, et de déterminer quelles améliorations peuvent être apportées
afin de la rendre plus performante tout en facilitant sa gestion.
1. Les ressources matérielles

[TITRE DU DOCUMENT]
Le matériel qui constitue le système informatique de TES Sarl peut se présenter comme suit :
MATERIELS MARQUE CARACTERISTIQUES DES MATERIELS

ORDINATEURS
09 ordinateurs de bureaux Dell optiplex 7010 Ram : 8GO DDR3
HDD : 500 Go
CPU : I5-3470 3.20 GHz
03 Ordinateurs portables Hp probook Ram : 6 Go DDR3
HDD : 500Go
CPU : I3 44OO 2.8 GHz
02 serveurs HP z620 xeon RAM : 12 Go
CPU : 12 cœurs
IMPRIMANTES
02 imprimantes HP LASERJET 1510 3 en 1
Canon pixma TS 5300
COPIEUR
photocopieuse ricoh aficio 2500 impression couleur et noir
photocopie
RESEAUX
02 switchs Cisco 2960 12 ports 10/100 Fast ethernet
01 switch Tp link 16 Ports
01 routeur Cisco 2900 series Gigabits 8 ports
01 routeur netgear 4 ports LAN et 1 port internet
01 Antenne UBIQUITI 5.4-5.8 GHz 13dBi double polarité
2. Patrimoine logiciel
Il s'agit ici de faire l'inventaire des logiciels ainsi que des différents services ou applications installées. Le
principal système d'exploitation utilisé sur les machines au sein de TES Sarl est Windows 10 Professionnelle
64 bits pour les ordinateurs de bureau et Linux pour les serveurs.
Applications Rôles

[TITRE DU DOCUMENT]
MS Office 2016 Saisie et traitement de texte, tableur et presentation

Adobe photoshop, illustrator, Infographie et création graphique
coreldraw
Putty Configuration cisco
VMware workstation pro Virtualisation des machines
Cisco packet tracer Simulation des configurations cisco
3. Architecture du réseau informatique
Le réseau local de TES Sarl sur lequel la solution va être implémentée est constitué des équipements
d'interconnexion (routeur et switch) de l'équipementier Cisco, des ordinateurs qui sont interconnectés avec
les paires torsadées de catégories 6 avec la technologie Ethernet et une sortie vers un réseau Wi-Fi pour les
utilisateurs du réseau sans fil.
Notre réseau est constitué de deux switch et un routeur Cisco. Nous disposons des connexions avec les
paires torsadées de catégorie 6 reliant le réseau des serveurs à partir d'un switch et reliant l'ensemble du
personnel, et le hotspot extérieur au second switch.
L'illustration n'a pas été possible parce qu'il ne nous a pas été permis de reproduire l'architecture réseau
pour des raisons de sécurité.
III. CRITIQUE DE L'EXISTANT
L'étude de l'existant de TES sarl nous a permis de relever quelques imperfections. Nous pouvons citer :
 L'Absence d'un système d'authentification sécurisée pour l'accès à Internet :
En effet, l'accès au réseau sans fil se fait actuellement grâce à une authentification par mot de passe
partagé (PSK). Bien qu'il existe sur le réseau un système d'authentification RADIUS, celui-ci ne couvre que le
segment des serveurs et hotspot extérieur et ne prend pas en compte les utilisateurs finaux ayant accès à
Internet. Cela reste insuffisant si l'on considère les risques auxquels la technologie sans fil est exposée
aujourd'hui, quand on sait surtout qu'il existe de nombreux logiciels qui facilitent le contournement des
mesures de sécurité basées sur un mot de passe partagé et surtout dans un contexte où l'Homme
(utilisateur) reste toujours un maillon faible. Par ailleurs, la connexion par câble autorise sans contrôle ou
sans authentification des machines externes à la structure, c'est-à-dire qu'un utilisateur qui venait brancher
sa machine personnelle au réseau à partir d'un câble, pouvait se connecter à Internet sans qu'il ne lui soit
demandé de s'authentifier.
 L'absence des outils de traçabilité des opérations effectuées sur le réseau :
Avec l'authentification par mot de passe, il n'est pas possible de pouvoir reconstituer l'historique des
activités effectuées par les différents utilisateurs sur le système d'information. De même, le pare-feu de part
sa nature est incapable de relater en clair les trafics réseaux des utilisateurs et ne permet pas donc à lui seul
de faire une analyse intelligente des activités suspectes ;
 L'utilisation d'un simple pare-feu permettant d'assurer la sécurité des systèmes informatiques

[TITRE DU DOCUMENT]
Le pare-feu actuel en exploitation à TES Sarl filtre les informations en se basant uniquement sur les
adresses IP et les ports comme c'est le cas de tous les pare-feu traditionnels. Il ne prend pas en compte le
comportement de l'individu et les attaques identifiables à partir de leurs signatures, ce qui reste une faille
considérable.
IV. PROBLEMATIQUE
De nos jours, Internet apporte une réelle valeur ajoutée aux entreprises, en permettant la communication
avec de nombreux partenaires, fournisseurs et clients. Ce qui expose les systèmes des entreprises à de
nouvelles formes de menaces. Le véritable défi est la sécurisation du réseau informatique pour conserver un
haut degré de fiabilité du trafic sur le réseau. Au cours de notre stage, suivant les remarques
susmentionnées, nous avons constaté des anomalies au niveau de la sécurisation du réseau de TES Sarl. On
en déduit les risques principaux qui pèsent sur ce dernier à ce jour, notamment ceux en lien avec
l'authentification et la traçabilité. Ce dernier pose entre autres un problème de non-conformité aux
exigences légales qui pourraient engendrer des conséquences fâcheuses suivant la loi sur la cybercriminalité
du 26 Novembre 2018.
Les questions importantes qui méritent une attention particulière sont les suivantes :
Comment TES Sarl peut protéger son réseau des menaces et intrusions ?
Qui doit être connecté au réseau (filaire ou sans fil)?
Que fait-il sur le réseau ?
Qui attaque le réseau et quand est-ce que l'attaque a-t-elle eut lieu ?
Dans l'optique de trouver une solution adéquate à la problématique ainsi posée, il nous a été demandé
de faire une étude en vue d'une mise en place d'un pare-feu open source qui sera associé au pare-feu
existant suivant le principe de la défense en profondeur .
V. OBJECTIFS
Au regard des risques identifiés, notre projet est poursuivi dans le but de :
 Assurer la disponibilité des ressources réseaux : les informations et services sont accessibles lorsque
nécessaire ;
 Assurer la traçabilité des opérations : possibilité de tracer l'intrus et de reconstituer l'historique des
opérations effectuées sur le système d'information ;
 Assurer l'intégrité des données : l'information est authentique et exacte ;
 Assurer la confidentialité des données : empêcher la fuite de l'information ;
VI. LES ATTENTES DU PROJET
À la fin de ce projet, un pare-feu doit être mis en place. Les solutions proposées en termes de résultats
attendus sont :
 Un portail captif au réseau LAN de l'entreprise pour forcer les utilisateurs à s'authentifier avant
l'accès à Internet ;
 Un outil capable de superviser l'activité des différents utilisateurs ;
 Un outil de détection et de prévention d'intrusion réseau.

[TITRE DU DOCUMENT]
VII. METHODOLOGIE
Après une étude et analyse poussée de notre situation, l'implémentation d'un pare-feu retiendra
notre attention dans le but de contrôler l'accès au réseau interne de TES Sarl. La démarche
méthodologique est la suivante :
 Généralités sur les réseaux sans fils et leurs failles dans la sécurité réseau ;
 Etude des techniques et outils d'authentification, de supervision et de traçabilité ;
 Comparaison des solutions propriétaires et Open Source disponibles afin de faire un choix ;
 Présentation de la solution pare-feu retenue ;
 Synthèse et choix de la solution retenue
Nous avons présenté les problèmes de sécurité auxquels fait face le réseau informatique local de TES
Sarl et surement d'autres entreprises dont peut intervenir notre structure d'accueil pour proposer une tel
solution. Pour remédier aux problèmes posés, nous avons opté pour la mise en place d'un pare-feu. Nous
avons eu à exposer les objectifs, les résultats attendus du projet et la méthodologie à suivre. La suite fera un
bref aperçu sur les réseaux informatiques, la sécurité informatique, les menaces et les attaques que
subissent les systèmes informatiques de nos jours ainsi que les mesures de protection
A. GENERALITES SUR LES RESEAUX SANS FILS ET LEURS FAILLES

DANS LA SECURITE RESEAU
1.1 LES RESEAUX INFORMATIQUES

Le réseau informatique est l'interconnexion d'équipements informatiques en vue d'échange et du partage
des ressources (disque dur, imprimantes, données, etc.)
a) Les réseaux sans fils
Un réseau sans fils (Wireless network) est, comme son nom l'indique, un réseau dans lequel au moins
deux terminaux peuvent communiquer sans liaison filaire. A la base, les réseaux sans fil peuvent être vus
comme un ensemble de technologies permettant d'établir un réseau local sans l'utilisation du câblage pour
les liaisons entre les ordinateurs. Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecter
tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on
entend parfois parler de "mobilité". Les réseaux sans fils sont basés sur une liaison utilisant des ondes
radioélectriques (radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se
distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des transmissions.
Les principales technologies permettant de développer des réseaux sans fil sont celles appartenant aux
normes IEEE 802.11.
On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre géographique
offrant une connectivité (zone de couverture) :
 Les réseaux personnels sans fils (WPAN pour Wireless Personal Area Network) : de l'ordre de
quelques dizaines mètres. Ces types de réseau servent généralement à relier des périphériques (imprimante,
téléphone portable, appareils domestiques, ...) ou un assistant personnel (PDA) à un ordinateur sans liaison
filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. On peut citer : la
technologie Bluetooth, Zigbee, HomeRF,..

[TITRE DU DOCUMENT]
 Les réseaux locaux sans fils (WLAN pour Wireless Local Area Network) : Ce sont des réseaux
permettant de couvrir l'équivalent d'un réseau local d'entreprise, soit une portée d'environ une centaine de
mètres. Ils permettent de relier entre eux les terminaux présents dans la zone de couverture. On peut citer
comme exemple la technologie Wi-Fi.
 Les réseaux métropolitains sans fils (WMAN pour Wireless Metropolitan Area Network) : Ils sont
connus sous le nom de Boucle Locale Radio (BLR). Les WMAN sont basés sur la norme IEEE 802.16. La boucle
locale radio offre un débit utile de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine
principalement cette technologie aux opérateurs de télécommunication.
 Les réseaux étendus sans fils (WWAN pour Wireless Wide Area Network) : Ils également connu sous
le nom de réseau cellulaire mobile. Il s'agit des réseaux sans fils les plus répandus puisque tous les
téléphones mobiles sont connectés à un réseau étendu sans fils. On peut citer : la technologie GSM, GPRS, ...
b) Les protocoles réseaux
Un protocole réseaux est un langage utilisé pour communiquer entre les machines dans un réseau
informatique. On peut citer :
 le protocole ICMP (Internet Control Message Protocol) qui permet de contrôler les erreurs de
transmission et aide au débogage réseau,
 le protocole IP (Internet Protocol) qui est le protocole de base du réseau Internet,
 le protocole TCP (Transmission Control Protocol) qui permet aux applications de communiquer de
façon sûre (grâce au système d'accusés de réception ACK) indépendamment des couches inférieures,
 le protocole UDP (User Datagram Protocol) qui permet l'envoi des messages appelés datagrammes
en évitant la surcharge du réseau, entre autres.
Le protocole IP est le plus courant des protocoles utilisés.
c) Faiblesses réseaux
Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux n'aient pas été
conçus avec une prise en compte des problèmes sécuritaires dès le départ. A cela, se rajoute les faiblesses
issues de l'erreur humaine. Ainsi, on peut classifier les faiblesses réseaux comme suit :
 Faiblesses des protocoles : les protocoles réseaux n'ont pas été conçus pour contrecarrer les
attaques de sécurité potentielles ; ainsi les protocoles réseaux ne s'appuient pas sur une couche "sécurité" et
offrent donc plusieurs vulnérabilités ;
 Faiblesses d'authentification : la majorité des protocoles ne s'appuient sur aucun mécanisme
d'authentification. Ceci facilite les attaques se basant sur l'usurpation d'identité comme « IP Spoofing » ;
 Faiblesses d'implémentation : certains protocoles sont mal implémentés ou mal programmés ce qui
offre certaines vulnérabilités exploitables comme TCP SYN ou « Ping-of-the-death »;
 Faiblesses de configuration : beaucoup d'attaques sont dues à l'erreur humaine qui se manifeste, par
exemple par une mauvaise configuration de pare-feu, des serveurs, des routeurs ou des switchs
I.2 les principales attaques

[TITRE DU DOCUMENT]
a. Man in the middle

Encore connu sous le nom de « l'attaque de l'homme du milieu », c'est une attaque qui a pour but
d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse douter que le
canal de communication entre elles a été compromis.
Figure : man in the middle
b. Balayage de port
Le balayage de port ou « port scanning » en anglais, est une technique qui consiste à rechercher les ports
ouverts sur un serveur de réseau. Les pirates utilisent cette technique pour tenter de trouver des failles dans
les systèmes. Un balayage de port effectué sur un système tiers est généralement considéré comme une
tentative d'intrusion, car un balayage de port sert à préparer une intrusion.
c. Attaque par rebond
Les attaques par rebond constituent une famille d'attaques de systèmes informatiques qui consistent à
utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester
caché lors d'une intrusion.

Figure : attaque par rebond
[TITRE DU DOCUMENT]
d. Dénis de service (DoS)
Une « attaque par déni de service » (Denial of Service en anglais), est une attaque ayant pour but de
rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir
de :
 L'inondation d'un réseau afin d'empêcher son fonctionnement ;

 La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
 L'obstruction d'accès à un service à une personne en particulier
e. Usurpation d'adresse IP
L'usurpation d'adresse IP (mystification ou en anglais « IP spoofing ») est une technique de piratage
informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été
attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un
serveur, ou d'usurper en quelque sort l'identité d'un autre équipement du réseau pour bénéficier des
services auxquels il a accès.
f. Le Sniffing
C'est l'attaque la plus classique. Par définition, un réseau sans fil est ouvert, c'est-à-dire non sécurisé. Cette
attaque consiste à écouter les transmissions des différents utilisateurs du réseau sans fil, et de récupérer
n'importe qu'elles données transitant sur le réseau si celles-ci ne sont pas cryptées. Il s'agit d'une attaque sur
la confidentialité. Pour un particulier la menace est faible car les données sont rarement confidentielles. En
revanche, dans le cas d'un réseau d'entreprise, l'enjeu stratégique peut être très important.
g. Le brouillage radio
Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement
être brouillé par une émission radio ayant une fréquence proche de celle utilisée dans le réseau sans fil. Un
simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu'il fonctionne
dans le rayon d'action d'un point d'accès.
h. L'interception des données

Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se
trouvant dans le rayon de portée d'un point d'accès peut potentiellement écouter toutes les communications
circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement confidentielles,
si ce n'est les données à caractère personnel. Pour une entreprise en revanche l'enjeu stratégique peut être
très important.

[TITRE DU DOCUMENT]
i. Le war driving
Elle consiste à circuler dans des zones urbaines avec un équipement d'analyse Wi-Fi à la recherche des
réseaux sans fils « ouverts ». Il existe des logiciels spécialisés permettant de détecter des réseaux Wi-Fi et de
les localiser géographiquement en exploitant un GPS (Global Positioning System). L'ensemble des
informations, relative au réseau découvert, est mis en commun sur des sites Internet dédiés au recensement.
On y trouve généralement une cartographie des réseaux à laquelle sont associées les informations
techniques nécessaires à la connexion, y compris le nom du réseau SSID et éventuellement la clé WEP de
cryptage.
Nous avons aussi de attaques du systèmes d'exploitation à savoir :
j. L'écran bleu de la mort
Elle se réfère à l'écran affiché par le système d'exploitation Windows lorsqu'il est au point Fork bomb
critique d'une erreur fatale. En général, la vue de cet écran signifie que l'ordinateur est devenu
complètement inutilisable. Pour certains « Black Hat », leur but est d'arriver à provoquer cet « écran bleu de
la mort » sur plus d'ordinateurs possibles.
Une « fork bomb » fonctionne en créant un grand nombre de processus très rapidement afin de saturer
l'espace disponible dans la liste des processus gardés par le système d'exploitation. Si la table des processus
se met à saturer, aucun nouveau programme ne peut démarrer tant qu'aucun autre ne termine. Même si
cela arrive, il est peu probable qu'un programme utile démarre étant donné que les instances de la bombe
attendent chacune d'occuper cet emplacement libre. Non seulement les « fork-bombs » utilisent de la place
dans la table des processus, mais elles utilisent chacune du temps processeur et de la mémoire. En
conséquence, le système et les programmes tournant à ce moment-là ralentissent et deviennent même
impossibles à utiliser.
Nous avons également les attaques applicatives tels que :
k. Exploit
Un « exploit » est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter
une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance
ou sur la machine sur laquelle cet exploit est exécuté ; ceci, afin de prendre le contrôle d'un ordinateur ou
d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou encore
d'effectuer une attaque par déni de service.
l. Dépassement de tampon
Un « dépassement de tampon » est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit
à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Lorsque
le bug se produit, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du
programme, voire de tout le système. Le bug peut aussi être provoqué intentionnellement et être exploité
pour violer la politique de sécurité d'un système. Cette technique est couramment utilisée par les pirates.
m. Un « shellCode »

[TITRE DU DOCUMENT]
Un « shellCode » est une chaîne de caractères qui représente un code binaire exécutable. À
l'origine destiné à lancer un « Shell » (interface utilisateur d'un système d'exploitation), le mot a
évolué pour désigner tout code malveillant qui détourne un programme de son exécution normale.
Un « shellCode » peut être utilisé par un hacker voulant avoir accès à la ligne de commande.
NB : Les attaques applicatives se basent sur des failles dans les programmes utilisés, ou encore des erreurs
de configuration.
1.3 Politique de sécurité

Une politique de sécurité réseau est un document générique qui définit les règles à suivre pour les accès
au réseau informatique et pour les flux autorisés ou non, détermine comment les politiques sont appliquées
et présente une partie de l'architecture de base de l'environnement de sécurité du réseau. La mise en place
d'une politique de sécurité adéquate est essentielle à la bonne sécurisation des réseaux et systèmes
d'information.
a. Objectifs d'une politique de sécurité
La définition d'une politique de sécurité est une démarche de toute l'entreprise visant à protéger son
personnel et ses biens d'éventuels incidents de sécurité dommageables pour son activité. La définition d'une
politique de sécurité réseau fait intégralement partie de la démarche sécuritaire de l'entreprise. Elle s'étend
à de nombreux domaines, dont les suivants :
 Audit des éléments physiques, techniques et logiques constituant le système d'information de

l'entreprise ;
 Sensibilisation des responsables de l'entreprise et du personnel aux incidents de sécurité et aux
risques associés ;
 Formation du personnel utilisant les moyens informatiques du système d'information ;
 Structuration et protection des locaux abritant les systèmes informatiques et les équipements de
télécommunication, incluant le réseau et les matériels ;
 Ingénierie et maîtrise d'œuvre des projets incluant les contraintes de sécurité dès la phase de
conception ;
 Gestion du système d'information de l'entreprise lui permettant de suivre et d'appliquer les
recommandations des procédures opérationnelles en matière de sécurité ;
 Définition du cadre juridique et réglementaire de l'entreprise face à la politique de sécurité et aux
actes de malveillance, 80% des actes malveillants provenant de l'intérieur de l'entreprise ;
 Classification des informations de l'entreprise selon différents niveaux de confidentialité et de criticité.
b. Les différents types de politique de sécurités
Une politique de sécurité réseau couvre les éléments suivants :
 Sécurité de l'infrastructure : couvre la sécurité logique et physique des équipements et des

connexions réseaux, aussi bien internes que celles fournies par des fournisseurs d'accès internet (FAI).

[TITRE DU DOCUMENT]
 Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux ressources de
l'entreprise, ainsi que la gestion des utilisateurs et de leurs droits d'accès au système d'informations de
l'entreprise.
 Sécurité du réseau intranet face à Internet ou aux autres parties : couvre la sécurité logique des
accès aux ressources de l'entreprise (Intranet) et l'accès aux ressources extérieures (Extranet).
Pour résumer, la définition d'une politique de sécurité réseau vise à la fois à définir les besoins de sécurité
de l'entreprise, à élaborer des stratégies de sécurité afin de protéger les biens les plus critiques et à définir le
référentiel des contrôles de sécurité.
c. Les stratégies de sécurité réseau
Après avoir défini les objectifs et les différents types de politiques de sécurité réseau, nous détaillons à
présent les stratégies de sécurité à adopter pour mettre en œuvre une telle politique. La conception de
stratégies de sécurité exige de prendre en compte l'historique de l'entreprise, l'étendue de son réseau, le
nombre d'employés, la sous-traitance avec des tierces parties, le nombre de serveurs, l'organisation du
réseau, etc. D'une manière générale, une bonne stratégie de sécurité vise à définir et à mettre en œuvre des
mécanismes de sécurité, des procédures de surveillance des équipements de sécurité, des procédures de
réponse aux incidents de sécurité et des contrôles et audits de sécurité. Elle veille en outre à ce que les
dirigeants de l'entreprise approuvent la politique de sécurité de l'entreprise.
c.1 Méthodologie pour l'élaboration d'une stratégie de sécurités réseaux
Diverses méthodes permettent d'élaborer des stratégies de sécurité. Nous décrivons ici la méthodologie
générique à savoir :
 Prédiction des attaques potentielles et analyse de risque : La première étape consiste à déterminer
les menaces qui pèsent sur les biens de l'entreprise, ainsi que les impacts de ces menaces sur l'activité de
l'entreprise si elles devaient se concrétiser. Le rapprochement entre les ressources critiques de l'entreprise et
les risques de sécurité associés, déterminés par le triptyque menace/vulnérabilité/conséquence, permet de
définir la stratégie sécurité de l'entreprise. Afin de protéger ses biens critiques des menaces identifiées,
l'entreprise doit aussi analyser les techniques d'attaque utilisées pour enfreindre les contrôles de sécurité ou
tirer parti des vulnérabilités. Ce deuxième niveau d'analyse permet de définir des stratégies de sécurité
proactives, visant à diminuer les probabilités d'occurrence des menaces ;
 Analyse des résultats et amélioration des stratégies de sécurité : Les différentes simulations sont
l'occasion d'améliorer les contre-mesures de sécurité, voire de les remettre en question. Par exemple, si l'on
constate que certains types d'attaques ne sont pas détectés par un pare-feu, les règles de filtrage définies ou
le pare-feu lui-même doivent être remis en cause. Il faut aussi valider l'efficacité des stratégies de sécurité
mises en place face aux simulations exécutées. Enfin, dans la mesure où la stratégie existante n'a pas apporté
de résolution satisfaisante, il est nécessaire de la modifier ou d'en créer une nouvelle ;
 Règles élémentaires d'une stratégie de sécurité réseau : Lors de la conception d'une stratégie de
sécurité, il faut toujours garder à l'esprit quelques règles ou principes élémentaires afin de se prémunir des
erreurs possibles dans le choix de contre-mesures.
1.4 Techniques de parades aux attaques

[TITRE DU DOCUMENT]
1.4.1 La cryptographie
La cryptographie permet l'échange sûr des renseignements privés et confidentiels. Un texte
compréhensible est converti en texte inintelligible (chiffrement), en vue de sa transmission d'un poste de
travail à un autre. Sur le poste récepteur, le texte chiffré est reconverti en format intelligible (déchiffrement).
On peut également utiliser la cryptographie pour assurer l'authentification, la non-répudiation et l'intégrité
de l'information, grâce à un processus cryptographique spécial appelé signature numérique. Celle-ci permet
de garantir l'origine et l'intégrité de l'information échangée, et aussi de confirmer l'authenticité d'un
document
a. Cryptographie symétrique
La cryptographie à clé symétrique a très longtemps été utilisée pour le chiffrement de messages
confidentiels. Son usage a été progressivement réduit depuis l'apparition de la cryptographie à clé publique
(cryptographie asymétrique) même si les deux techniques sont encore parfois utilisées conjointement. Dans
le chiffrement à clé symétrique ou clé secrète, c'est la même clé qui sert à la fois à chiffrer et à déchiffrer un
message. C'est exactement le même principe qu'une clé de porte : c'est la même qui sert à ouvrir et à fermer
une serrure. Il existe plusieurs algorithmes de cryptographie symétrique dont les plus utilisés sont :
 Advanced Encryption Standard (AES)ou « standard de chiffrement avancé » en français, aussi connu
sous le nom de « Rijndael ». C'est un algorithme de chiffrement actuellement le plus utilisé et le plus sûr ;
 Data Encryption Standard (DES), est un algorithme de chiffrement symétrique par bloc utilisant des
clés de 56 bits. Son emploi n'est plus recommandé aujourd'hui, du fait de sa lenteur à l'exécution et de son
espace de clés trop petit permettant une attaque systématique en un temps raisonnable ;
 Le Triple DES aussi appelé 3DES est un algorithme de chiffrement symétrique par bloc, enchaînant 3
applications successives de l'algorithme DES sur le même bloc de données de 64 bits, avec 2 ou 3 clés DES
différentes ;
 International Data Encryption Algorithm (IDEA) est un algorithme de chiffrement symétrique par
blocs utilisé pour chiffrer et déchiffrer des données. Il manipule des blocs de texte en clair de 64 bits. Une clé
de chiffrement longue de 128 bits (qui doit être choisie aléatoirement) est utilisée pour le chiffrement des
données. La même clé secrète est requise pour les déchiffrer. L'algorithme consiste à appliquer huit fois une
même transformation (ou ronde) suivi d'une transformation finale (appelée demi-ronde) ;
 Blowfish est un algorithme de chiffrement par blocs conçu par Bruce Schneier en 1993. Elle est basée
sur l'idée qu'une bonne sécurité contre les attaques de cryptanalyse peut être obtenue en utilisant de très
grandes clés pseudo-aléatoires. Blowfish présente une bonne rapidité d'exécution excepté lors d'un
changement de clé ; il est environ 5 fois plus rapide que Triple DES et deux fois plus rapide que IDEA. Malgré
son âge, il demeure encore solide du point de vue cryptographique avec relativement peu d'attaques
efficaces sur les versions avec moins de tours.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes
qui en principe sont les seules qui doivent connaître cette clé. Pour surmonter cette faiblesse, d'autres
algorithmes de cryptographie ont été élaborés, notamment la cryptographie asymétrique.
b. Cryptographie asymétrique

[TITRE DU DOCUMENT]
La cryptographie asymétrique appelée également cryptographie à clé publique est une méthode utilisée
pour transmettre et échanger des messages de façon sécurisée en s'assurant de respecter les principes
suivants :
 Authentification de l'émetteur ;
 Garantie d'intégrité ;
 Garantie de confidentialité.
Cette technique repose sur le principe de « paire de clés » (ou bi-clés) composée d'une clé dite « privée »
conservée totalement secrète et ne doit être communiquée à personne et d'une clé dite « publique » qui,
comme son nom l'indique peut-être transmise à tous sans aucune restriction. Ces deux clés sont
mathématiquement liées. Dans la pratique, la clé publique sert à crypter les messages, et la clé privée sert à
les décrypter. Une fois le message crypté, seul le destinataire est en mesure de le décrypter. Parlant des
algorithmes de la cryptographie asymétrique les plus utilisés, nous pouvons citer :
 Le chiffrement RSA, est le premier système à clé publique solide à avoir été inventé, et le plus utilisé
actuellement. Publié en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman de l'Institut de
technologie du Massachusetts (MIT), le RSA est fondé sur la difficulté de factoriser des grands
nombres, et la fonction à sens unique utilisée est une fonction "puissance" ;
 Le cryptosystème d'ElGamal, ou chiffrement El Gamal (ou encore système d'El Gamal) est l'œuvre
de Taher ElGamal et construit à partir du problème de logarithme discret en 1985. Il est en particulier
utilisé dans certains logiciels libres de messagerie ;
 DSA signifie Digital Signature Algorithm (Algorithme de Signature Digitale). Il s'agit d'un algorithme
inventé en 1991 aux Etats-Unis par le « National Institute of Standards and Technology (NIST) » et
adopté par le « Federal Information Processing Standard (FIPS) » en 1993. L'algorithme DSA fut utilisé
en premier lieu pour signer électroniquement des données, mais on l'utilise désormais à la fois
comme algorithme de signature et de chiffrement dans les certificats SSL;
 « Elliptic Curve Cryptography » ou ECC (Cryptographie sur les Coubes Elliptiques), est la méthode de
chiffrement la plus récente, elle offre une connexion plus rapide et plus sécurisée que les méthodes
RSA et DSA. L'ECC est en effet 12 fois plus puissante que la méthode RSA : un chiffrement 3072 bits
avec la méthode RSA correspond à un chiffrement 256 bits en ECC. L'ECC offre également des
longueurs de clés plus courtes, qui requièrent moins de bande-passante et de capacité de stockage. Il
s'agit donc d'une méthode beaucoup plus adaptée aux connexions mobiles.
1.4.2 La suite de sécurité IPSec
Les différents types de cryptographies présentées dans les sections précédentes sont utilisés dans divers
protocoles de sécurité, tels que IPsec, SSH (Secure Shell), SSL (Secure Sockets Layer), etc. Pour faire face aux
faiblesses de sécurité du protocole IPv4 (faiblesse d'authentification des paquets IP, faiblesse de
confidentialité des paquets IP), une suite de protocoles de sécurité pour IP, appelée IPsec (IP Security), a été
définie par l'IETF (Internet Engineering Task Force) afin d'offrir des services de chiffrement et
d'authentification. IPsec est issu d'études menées sur la future génération du protocole IPv6, appelée IPNG
(Internet Protocol Next Generation), afin de faire face, entre autres, à la pénurie future d'adresses IP et à
l'impossibilité d'allouer de la bande passante pour les applications multimédias. Cette suite de sécurité

[TITRE DU DOCUMENT]
s'impose aujourd'hui comme une solution majeure pour créer des réseaux privés virtuels, sur Internet par
exemple. IPsec offre des services de contrôle d'accès, d'intégrité des données, d'authentification de l'origine
des données, de parade contre les attaques de type paquets rejoués (replay) et de confidentialité. De plus, il
encapsule nativement tous les protocoles IP (TCP, UDP, ICMP, etc.).
1.4.3 Serveur proxy
Un serveur Proxy, aussi appelé serveur mandataire est à l'origine une machine faisant fonction
d'intermédiaire entre les ordinateurs d'un réseau local, utilisant parfois des protocoles autre que le
protocole TCP/IP et Internet. Un proxy est donc un ensemble de processus permettant d'éliminer la
connexion directe entre les applications des clients et les serveurs. La plupart du temps le serveur Proxy est
utilisé pour le web, il s'agit alors d'un Proxy HTTP. Toutefois il peut exister des serveurs Proxy pour chaque
protocole applicatif (FTP, etc.).
Figure : Architecture d'un proxy
a. Principe de fonctionnement
Le principe de fonctionnement d'un serveur Proxy est assez simple : il établit en lieu et place de
l'utilisateur le service invoqué par celui-ci (FTP, etc.). Ainsi lorsqu'un utilisateur se connecte à l'aide d'une
application cliente configurée pour utiliser un serveur Proxy, celle-ci va se connecter en premier lieu au
serveur proxy et lui donner sa requête. Le serveur Proxy va alors se connecter au serveur que l'application
cliente cherche à joindre et lui transmettre la requête (le serveur Proxy contacte le serveur externe sollicité
sur internet avec sa propre adresse ou une adresse issue d'un pool d'adresses IP libres). Le serveur va ensuite
donner sa réponse au Proxy, qui va à son tour la transmettre à l'application cliente. Le Proxy cache de la sorte
toute l'infrastructure du réseau local et ne dévoile en aucun cas les adresses des machines internes
(masquage d'adresse).
b. Fonctionnement d'un serveur Proxy
Avec l'utilisation de TCP/IP au sein des réseaux locaux, le rôle de relais du serveur proxy est directement
assuré par les passerelles et les routeurs. Les serveurs Proxys sont toujours d'actualité grâce à un certain
nombre d'autres fonctionnalités.
 Cache

[TITRE DU DOCUMENT]
La plupart des Proxys assurent ainsi une fonction de cache (caching), c'est-à-dire la capacité à garder en
mémoire (en « cache ») les pages les plus souvent visitées par les utilisateurs du réseau local afin de pouvoir
les leur fournir le plus rapidement possible. En effet, en informatique, le terme de « cache » désigne un
espace de stockage temporaire de données (le terme de « tampon » est également parfois utilisé). Un
serveur Proxy ayant la possibilité de cacher (néologisme signifiant « mettre en mémoire cache ») les
informations sont généralement appelé serveur Proxy-cache. Cette fonctionnalité implémentée dans
certains serveurs Proxys permet d'une part de réduire l'utilisation de la bande passante vers Internet ainsi
que de réduire le temps d'accès aux documents pour les utilisateurs. Toutefois, pour mener à bien cette
mission, il est nécessaire que le Proxy compare régulièrement les données qu'il stocke en mémoire cache
avec les données distantes afin de s'assurer que les données en cache sont toujours valides.
 Filtrage
D'autre part, grâce à l'utilisation d'un Proxy, il est possible d'assurer un suivi des connections via la
constitution des journaux d'activités (logs) en enregistrant systématiquement les requêtes des utilisateurs
lors de leurs demandes de connexion à Internet. Il est ainsi possible de filtrer les connexions à internet en
analysant d'une part les requêtes des clients, d'autre part les réponses des serveurs. Le filtrage basé sur
l'adresse des ressources consultées est appelé filtrage d'URL. Lorsque le filtrage est réalisé en comparant la
requête du client à une liste de requêtes autorisées, on parle de liste blanche, lorsqu'il s'agit d'une liste de
sites interdits on parle de liste noire. En fin l'analyse des réponses des serveurs conformément à une liste de
critères (mots-clés...) est appelée filtrage de contenu.
 Authentification
Dans la mesure où le Proxy est l'intermédiaire indispensable des utilisateurs du réseau interne pour
accéder à des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est-
à-dire de leur demander de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est
ainsi aisé de donner l'accès aux ressources externes aux seules personnes autorisées à le faire et de pouvoir
enregistrer dans les fichiers journaux des accès identifiés. Ce type de mécanisme lorsqu'il est mise en œuvre
pose bien évidement de nombreux problèmes relatifs aux libertés individuelles et aux droits des personnes.
c. Traduction d'adresse (NAT)
Son principe consiste à modifier l'adresse IP source ou destination, dans l'en-tête d'un datagramme IP
lorsque le paquet transite dans le Pare-feu (Proxy) en fonction de l'adresse source ou destination et du port
source ou destination. Lors de cette opération, le Pare-feu garde en mémoire l'information lui permettant
d'appliquer la transformation inverse sur le paquet de retour. La traduction d'adresse permet de masquer le
plan d'adressage interne (non routable) à l'entreprise par une ou plusieurs adresses routables sur le réseau
externe ou sur Internet. Cette technologie permet donc de cacher le schéma d'adressage réseau présent
dans une entreprise derrière un environnement protégé.

[TITRE DU DOCUMENT]
1.4.4 Réseaux privés virtuels

a- Présentation
Il arrive ainsi souvent que les entreprises éprouvent le besoin de communiquer avec les filiales, des
clients ou même du personnel géographiquement éloignés via internet. Pour autant, les données transmises
sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une
organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent
une infrastructure réseau publique appartenant à différents opérateurs. Ainsi, il n'est pas impossible que sur
le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas
concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou
l'entreprise. La solution consiste à utiliser Internet comme support de transmission en utilisant un protocole
d'encapsulation (tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle
alors de réseau privé virtuel (noté RPV ou VPN, Virtual Private Network) pour désigner le réseau ainsi
artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux « physiques » (réseaux locaux) par une
liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN
peuvent voir les données.
b- Fonctionnement d'un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunneling, c'est-à-dire un protocole
permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de
cryptographie. L'expression tunnel chiffré est utilisée pour symboliser le fait qu'entre l'entrée et la sortie du
VPN, les données sont chiffrées (cryptées) et donc incompréhensibles pour toute personne située entre les
deux extrémités du VPN, comme si les données passaient dans un tunnel. Dans le cas d'un VPN établi entre
deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté
utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et
déchiffrant les données du côté de l'organisation.
Rédigé Et Figure
Présenté
: réseaux par : MANYENGUE François
privé virtuel
23
[TITRE DU DOCUMENT]
De cette façon, lorsqu'un utilisateur a besoin d'accéder au réseau privé virtuel, sa requête va être
transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une
infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors
fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A
réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur.
c- Protocole de tunneling
Les principaux protocoles de tunneling sont les suivants :
 PPTP (point-to-point tunneling protocol) est un protocole de niveau 2 développé par Microsoft, 3

Com, Ascend, US Robotics et ECI Telematics ;
 L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et
Shiva. Il est désormais quasi obsolète ;
 L2TP (Layer Two Tunneling Protocole) est l'aboutissement des travaux de l'IETF ( RFC 2661) pour faire
converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 ;
 IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des
données chiffrées pour les réseaux IP.
d- Protection des accès
Les accès distants au réseau d'entreprise offrent de nombreuses possibilités de pénétration. Les
faiblesses de sécurité classiques reposent à la fois sur des lacunes d'authentification des utilisateurs et sur
des failles des protocoles utilisés pour ces accès distants. Pour les outils de protection d'accès distant nous
avons le SSH et SSL.
· SSH : « Secure Shell »
La commande SSH est une version sécurisée de RSH (« Remote Shell ») et rlogin. Elle se situe au niveau de
la couche application du modèle OSI et permet d'obtenir un interprète de commande (« shell ») distant
sécurisé avec un système cible donné. Le protocole SSH s'insère entre les couches applicatives et la couche
réseau TCP afin d'offrir ses services de sécurité.
· SSL : « Secure Sockets Layer »
Conçu et développé par Netscape, le protocole SSL a été développé au-dessus de la couche TCP afin
d'offrir aux navigateurs Internet la possibilité d'établir des sessions authentifiées et chiffrées. La première
version de SSL date de 1994. La version actuelle est la version 3. Afin de standardiser officiellement le
protocole SSL, un groupe de travail TLS (« Transport Layer Security ») a été formé au sein de l'IETF afin de

[TITRE DU DOCUMENT]
faire de SSL un standard d'internet. SSL s'insère entre les couches applicatives et la couche réseau TCP afin
d'offrir ses services de sécurité.
1.4.5 La sécurité physique des équipements
La sécurité physique vise à définir des périmètres de sécurité associés à des mesures de sécurité de plus
en plus strictes suivant la nature des équipements à protéger. D'une manière générale, tout équipement
réseau ou lié au réseau doit être situé dans des locaux dédiés, réservés au personnel habilité (badge, clé, les
carte à puce, etc.). De plus, tous les accès doivent être archivés à des fins d'investigation en cas d'incident de
sécurité. Tout local contenant des équipements de télécommunications doit être protégé des menaces telles
que l'humidité, le feu, les inondations, la température, le survoltage, les coupures de courant, etc. La
localisation d'un tel local doit suivre des règles de sécurité précises. Il est préférable qu'il ne soit ni au rez-de-
chaussée ni au dernier étage d'un immeuble et qu'il ne se situe pas dans une zone géographique réputée à
risque (inondations, orages, etc.). D'autres règles peuvent être définies selon les critères de sécurité de
l'entreprise, telles que le marquage des matériels, un plan de maintenance pour les pièces de rechange, des
normes de sécurité centrales, etc.
La sécurité physique mérite que chaque entreprise s'y attarde, afin de définir une politique de sécurité
adaptée pour protéger ses équipements les plus critiques.
1.4.6 Intrusion Detection System (IDS)
a- Définition
« Intrusion Detection System », signifie système de détection d'intrusion. C'est un logiciel, un matériel ou
une combinaison des deux utilisé pour détecter l'activité d'un intrus.
b- les types d'IDS
La diversité des attaques utilisées par les pirates et des failles exploitées par ces attaques sur les différents
niveaux des systèmes d'informations justifie l'existence de plusieurs types d'IDS.
On distingue : NIDS, HIDS et les IDS hybrides.
 NIDS: Network Intrusion Detection System

Le rôle essentiel d'un « Network IDS » est l'analyse et l'interprétation des paquets circulant sur un réseau
informatique. Ce type d'IDS écoute tout le trafic réseau, analyse de manière passive les flux et détecte les
intrusions en temps réel afin de générer des alertes. L'implantation d'un NIDS sur un réseau se fait de la
façon suivante : des capteurs sont placés aux endroits stratégiques du réseau et génèrent des alertes s'ils
détectent une attaque. Ces alertes sont envoyées à une console sécurisée, qui les analyse et les traite
éventuellement. Cette console est généralement située sur un réseau isolé, qui relie uniquement les capteurs
et la console sur ce réseau. Un capteur est une machine dont la carte réseau est configurée en mode
« promiscuous ». Pour cela, un capteur possède en général deux cartes réseaux, une placée en mode furtif
sur le réseau, l'autre permettant de le connecter à la console de sécurité. Du fait de leur invisibilité sur le
réseau, il est beaucoup plus difficile de les attaquer et de savoir qu'un IDS est utilisé sur ce réseau.
 HIDS: Hosted-based Intrusion Detection System

[TITRE DU DOCUMENT]
Il s'agit des systèmes de détection d'intrusion basés sur les hôtes. Les HIDS analysent le fonctionnement et
l'état des machines sur lesquelles ils sont installés afin de détecter les attaques en se basant sur des démons
de services. L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent être générées.
Comme ils n'ont pas à contrôler le trafic du réseau, mais "seulement" les activités d'un hôte, ils se
montrent habituellement plus précis sur les types d'attaques subies, par exemple dans le cas d'une attaque
réussie par un utilisateur, les HIDS utilisent deux types de sources pour fournir une information sur l'activité
de la machine : les logs et les traces d'audit du système d'exploitation. Les traces d'audit sont plus précises et
détaillées et fournissent une meilleure information.
 Les systèmes de détection d'intrusion hybrides

Ces types d'IDS sont utilisés dans des environnements décentralisés. Ils centralisent les informations en
provenance de plusieurs emplacements (capteurs) sur le réseau. Le but de ce type d'IDS est d'avoir une
vision globale sur les composants constituant un système d'information en permettant une supervision
centralisée en matière d'alertes d'intrusions remontées par les NIDS et les HIDS présents sur l'architecture du
réseau supervisé. Les IDS hybrides présentent les avantages des NIDS et HIDS sans leurs inconvénients avec
la normalisation des formats et centralisation des événements.
En dehors des IDS précédents, d'autres types de systèmes de détection d'intrusion ont vu le jour afin de
contrer les nouvelles attaques des pirates, à savoir les systèmes de détection d'intrusion basée sur une
application (ABIDS), les systèmes de détection d'intrusion de nœud réseau (NNIDS).
 ABIDS: Application Based Intrusion Detection System

Les systèmes de détection d'intrusion basés sur une application, sont des IDS sous-groupe des HIDS. Ils
ont pour rôle de contrôler l'interaction entre un utilisateur et un programme. Puisque les ABIDS opèrent
entre un utilisateur et une application, il est beaucoup plus facile de filtrer tout comportement suspect et
anormal de l'application surveillée afin de fournir des informations sur les activités du service proposé par
l'application.
 NNIDS: Network Node Intrusion Detection system

Les systèmes de détection d'intrusion de nœud réseau, sont de nouveaux types d'IDS qui fonctionnent
comme les NIDS classiques, c'est-à-dire l'analyse des paquets du trafic réseau. Mais ceci ne concerne que les
paquets destinés à un nœud du réseau (d'où le nom). Une autre différence entre NNIDS et NIDS vient de ce
que le NIDS fonctionne en mode « promiscuous », ce qui n'est pas le cas du NNIDS. Celui-ci n'étudie que les
paquets à destination d'une adresse ou d'une plage d'adresses. Puisque tous les paquets ne sont pas
analysés, les performances de l'ensemble sont améliorées.
De nouveaux types d'IDS sont conçus actuellement, comme les IDS basés sur la pile, qui étudient la pile
d'un système. Le secteur des IDS est en plein développement, le besoin des entreprises en sécurité réseaux
étant de plus en plus pressant, du fait de la multiplication des attaques. Actuellement, les IDS les plus
employés sont les NIDS et HIDS, de plus en plus souvent en association. Les ABIDS restent limités à une
utilisation pour des applications extrêmement sensibles. Nous allons à présent étudier le mode de
fonctionnement d'un IDS.
c- Mode de fonctionnement d'un IDS
Il faut distinguer deux aspects dans le fonctionnement d'un IDS : le mode de détection utilisé et
la réponse apportée par l'IDS lors de la détection d'une intrusion.

[TITRE DU DOCUMENT]
Pour la détection, il existe deux modes de détection qui sont l'approche par scénario ou approche par
signature basée sur un modèle constitué des actions interdites contrairement à l'approche
comportementale qui est basé sur un modèle constitué des actions autorisées.
De même, il existe deux types de réponses qui sont la réponse passive et la réponse active. Nous allons tout
d'abord étudier les méthodes de détection d'un IDS, avant de présenter les réponses possibles à une attaque.
· Méthode de détection
Il faut noter que la reconnaissance de signature est le mode de fonctionnement le plus implémenté par
les IDS présents sur le marché. Cependant, les nouveaux produits tendent à combiner les deux méthodes
pour la détection d'intrusion.
 La détection d'anomalies : Les détecteurs d'intrusion comportementaux reposent sur la création

d'un modèle de référence qui représente le comportement de l'entité surveillée en situation de
fonctionnement normale. Ce modèle est ensuite utilisé durant la phase de détection afin de pouvoir mettre
en évidence d'éventuelles déviations comportementales. Pour cela, le comportement de l'entité surveillée
est comparé à son modèle de référence. Le principe de cette approche est de considérer tout comportement
n'appartenant pas au modèle de comportement normal comme une anomalie symptomatique d'une
intrusion ou d'une tentative d'intrusion.
 Approche par signature : Dans cette approche, les détecteurs d'intrusion reposent sur la création
d'une base de motifs qui représente des scénarios d'attaque connus au préalable et qui sera utilisé par la
suite, le plus souvent en temps réel, sur les informations fournies par les sondes de détection. C'est donc un
système de reconnaissance de motifs qui permet de mettre en évidence dans ces informations la présence
d'une intrusion connue par la base de signature.
Une fois une attaque détectée, un IDS a le choix entre deux types de réponses : réponse passive et
réponse active.
· Réponses passive et active

Les types de réponses d'un IDS varient suivant les IDS utilisés. La réponse passive est disponible pour tous
les IDS et la réponse active est moins implémentée.
 Réponse passive : la réponse passive d'un IDS consiste à enregistrer les intrusions détectées dans un
fichier de log qui sera analysé par l'administrateur ;
 Réponse active : la réponse active, au contraire, a pour but de stopper une attaque au moment de sa
détection. Pour cela on dispose de deux techniques : la reconfiguration du « firewall » et l'interruption d'une
connexion TCP.
1.4.7 Intrusion Prevention System
a- Définition
Les systèmes de prévention d'intrusions sont des systèmes de détection d'intrusions particuliers qui
permettent, en plus de repérer les tentatives d'intrusion à un système, d'agir pour contrer ces tentatives. En
effet, les IPS constituent des IDS actifs qui tentent de bloquer les intrusions. Pour mieux comprendre le
concept d'IPS, nous étudierons le mode de fonctionnement des IPS et présenterons les différents types d'IPS.

[TITRE DU DOCUMENT]
b- Mode de fonctionnement
Un système IPS est placé en ligne et examine en théorie tous les paquets entrants ou sortants. Il réalise
un ensemble d'analyses de détection, non seulement sur chaque paquet individuel, mais également sur les
conversations et motifs du réseau, en visualisant chaque transaction dans le contexte de celles qui précèdent
où qui suivent. Si le système IPS considère le paquet inoffensif, il le transmet sous forme d'un élément
traditionnel de couches 2 ou 3 du réseau. Les utilisateurs finaux ne doivent en ressentir aucun effet.
Cependant, lorsque le système IPS détecte un trafic douteux il doit pouvoir activer un mécanisme de réponse
adéquat en un temps record.
c- Différents types d'IPS

Tout comme les IDS, on distingue plusieurs types d'IPS tels que :
 Les HIPS
« Host-based Intrusion Prevention System », sont des IPS permettant de surveiller le poste de travail à
travers différentes techniques, ils surveillent les processus, les drivers, entre autres. En cas de détection de
processus suspect le HIPS peut le tuer pour mettre fin à ses agissements.
 Les NIPS
« Network Intrusion Prevention System », un NIPS est un logiciel ou matériel connecté directement à un
segment du réseau. Il a comme rôle d'analyser tous les paquets circulant dans ce réseau.
 Les KIPS
Il s'agit de « Kernel Intrusion Prevention System » ou systèmes de prévention d'intrusions au niveau du

noyau. Grâce à un KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant ainsi toute
modification dangereuse pour le système. Le KIPS peut reconnaître des motifs caractéristiques du
débordement de mémoire, et peut ainsi interdire l'exécution du code. Le KIPS peut également interdire le
système d'exploitation d'exécuter un appel système qui ouvrirait un Shell de commandes. Puisqu'un KIPS
analyse les appels systèmes, il ralentit l'exécution. C'est pourquoi ce sont des solutions rarement utilisées sur
des serveurs souvent sollicités.
1.4.8 Pare-Feu
Un pare-feu, (appelé aussi Coupe-feu, Garde-barrière) l'anglais « firewall », est un logiciel et/ou un
matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur passage
en se basant sur un ensemble de règles appelées ACL (Access Control List). Il enregistre également les
tentatives d'intrusions dans un journal transmis aux administrateurs du réseau et permet de contrôler l'accès
aux applications et d'empêcher le détournement d'usage. Un pare-feu dans un réseau a pour but de
déterminer le type de trafic qui sera acheminé ou bloqué, de limiter le trafic réseau et accroître les
performances, contrôler le flux de trafic, fournir un niveau de sécurité d'accès réseau de base, autoriser un
administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau, filtrer certains hôtes
afin de leur accorder ou de leur refuser l'accès à une section de réseau. Il s'agit ainsi d'une passerelle filtrante
comportant au minimum les interfaces réseau (cartes réseau) suivantes :
 Une interface pour le réseau à protéger (réseau interne) ;

[TITRE DU DOCUMENT]
 Une interface pour le réseau externe.
Figure : pare-feu
a- Les différents types de filtrage
Filtrage simple de pacquets

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (stateless packet filtring). Il
analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau
interne et une machine extérieure.
Ainsi, les paquets de données échangés entre une machine du réseau extérieur et une machine du réseau
interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le pare-
feu :
 Adresse IP de la machine émettrice ;
 Adresse IP de la machine réceptrice ;
 Type de paquet (TCP, UDP, etc.) ;
 Numéro de port (rappel : un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine
cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
Filtrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des
autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole
TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de
nombreux services initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de
manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine
client.

[TITRE DU DOCUMENT]
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir des ports à laisser passer ou à
interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des
couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur.
Filtrage applicatif
Le filtrage applicatif permet comme son nom l'indique de filtrer les communications application par
application. Ce filtrage opère donc au niveau 7 (couche application) du modèle OSI. Le filtrage applicatif
suppose donc, une connaissance des applications présentes sur le réseau, et notamment de la manière dont
les données sont échangées (ports, etc.).
Un pare-feu effectuant un filtrage applicatif est appelé généralement passerelle applicative (ou

Proxy), car il sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du
contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau
interne et le réseau externe, subissant les attaques à leur place. De plus, le filtrage applicatif permet la
destruction des en-têtes, précédant le message applicatif, ce qui permet de fournir un niveau de sécurité
supplémentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il
soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une
grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque
paquet devant être finement analysé. Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter
une vaste gamme de protocoles et connaître les failles afférentes pour être efficace.
b- Les différentes catégories de pare-feu
Depuis leur création, les pare-feu ont grandement évolué. Ils sont effectivement la première
solution technologique utilisée pour la sécurisation des réseaux. De ce fait, il existe maintenant
différentes catégories de pare-feu. Chacune d'entre-elles disposent des avantages et des inconvénients qui
lui sont propres. Le choix d'un type de pare-feu plutôt qu'un autre dépendra de l'utilisation que l'on souhaite
en faire, mais aussi des différentes contraintes imposées par le réseau devant être protégé.
Pare-feu sans états (stateless)

Ce sont les pare-feu les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôle de
chaque paquets indépendamment des autres en se basant sur les règles prédéfinies par l'administrateur
Pare-feu à états (stateful)

Les pare-feu à états sont une évolution des pare-feu sans états. La différence entre ces deux types de pare-
feu réside dans la manière dont les paquets sont contrôlés. Ils prennent en compte la validité des paquets
qui transitent par rapport aux paquets précédemment reçus. Ils gardent alors en mémoire les différents
attributs de chaque connexion, de leur commencement jusqu'à leur fin, c'est le mécanisme de « stateful
inspection ».
 NEW : Un client envoie sa première requête ;

 ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW ;
 RELATED : Peut-être une nouvelle connexion, mais elle présente un rapport direct avec une
connexion déjà connue ;
 INVALID : Correspond à un paquet qui n'est pas valide.

[TITRE DU DOCUMENT]
Pare-feu applicatif
Le pare-feu applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la
couche 7 du modèle OSI. Cela suppose que le pare-feu connaisse l'ensemble des protocoles utilisés par
chaque application. Chaque protocole dispose d'un module spécifique à celui-ci. C'est à dire que, par
exemple, le protocole HTTP sera filtré par un processus proxy HTTP. Ce type de pare-feu permet alors
d'effectuer une analyse beaucoup plus fine des informations qu'ils font transiter. Ils peuvent ainsi rejeter
toutes les requêtes non conformes aux spécifications du protocole. Ils sont alors capables de vérifier, par
exemple, que seul le protocole HTTP transite à travers le port 80. Il est également possible d'interdire
l'utilisation de tunnels TCP permettant de contourner le filtrage par ports.
Pare-feu d'authentification
Les pare-feu authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurs et
non plus uniquement suivant des machines à travers le filtre IP. Il est alors possible de suivre l'activité réseau
par utilisateur. Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur connecté et
l'adresse IP de la machine qu'il utilise. Il existe plusieurs méthodes d'association. Par exemple authpf, qui
utilise SSH, ou encore NuFW qui effectue l'authentification par connexion.
Pare-feu personnel
Les pare-feu personnels sont installés directement sur les postes de travail. Leur principal but est de
contrer les virus informatiques et logiciels espions (spyware).Leur principal atout est qu'ils permettent de
contrôler les accès aux réseaux des applications installées sur la machines. Ils sont capables en effet de
repérer et d'empêcher l'ouverture de ports par des applications non autorisées à utiliser le réseau.
Portail captif
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de consultation
afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation, demande
d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer la traçabilité des
connexions et/ou limiter l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le
cadre de réseaux de consultation Internet mutualisés filaires ou Wi-Fi
c- Zone démilitarisée (DMZ)

Les systèmes pare-feu (Firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins,
dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité
différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des architectures de systèmes
pare-feu permettant d'isoler les différents réseaux de l'entreprise : on parle ainsi de cloisonnement des
réseaux ou isolation des réseaux.
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web,
serveur de messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface
vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de
compromettre la sécurité de l'entreprise. On parle ainsi de Zone démilitarisée (notée DMZ, Demilitarised
Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public. La DMZ fait
ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.

[TITRE DU DOCUMENT]
Figure : exemple de DMZ
La politique de sécurité mise en œuvre sur la DMZ est généralement la suivante :
 trafic du réseau externe vers la DMZ autorisé ;

 trafic du réseau externe vers le réseau interne interdit ;
 trafic du réseau interne vers la DMZ autorisé ;
 trafic du réseau interne vers le réseau externe autorisé ;
 trafic de la DMZ vers le réseau interne interdit ;
 trafic de la DMZ vers le réseau externe interdit.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas
suffisant pour y stocker des données critiques de l'entreprise.
d- Limite des systèmes pare-feu
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au
contraire. Les pare-feu n'offrent une protection que dans la mesure où l'ensemble des
communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont
correctement configurées. Ainsi, les accès au réseau extérieur par contournement du pare-feu
sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du
réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du
pare-feu.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur

sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement
préjudice à la politique de sécurité globale. Enfin, afin de garantir un niveau de protection maximal, il est
nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure
de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille
de sécurité (en s'abonnant aux alertes de sécurité) afin de modifier le paramétrage de son dispositif en
fonction de la publication des alertes.

[TITRE DU DOCUMENT]
2. Recherches D'informations Et Synthèses

Pour pouvoir s'approprier cette solution, il est d'une grande importance de comprendre le fonctionnement
d'un pare-feu et les autres concepts qui tournent autour de ce dernier.
2.1 Principes de fonctionnement d'un pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
 D'autoriser la connexion [ allow] ;

 De bloquer la connexion [ deny] ;
 De rejeter la demande de connexion sans avertir l'émetteur [ drop ].
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique
de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de
sécurité permettant :
 Soit d'autoriser uniquement les communications ayant été explicitement autorisées : « tout ce qui
n'est pas explicitement autorisé est interdit » ;
 Soit d'empêcher les échanges qui ont été explicitement interdites.
La première méthode est sans doute la plus sûre, mais elle impose toutefois une définition précise et
contraignante des besoins en communication.
2.2 Facteurs a considéré pour l'implémentation d'un pare-feu en entreprise
La façon de configurer un pare-feu et de le gérer est tout aussi importante que les
capacités intrinsèques qu'il possède.
Toutefois, lorsque le choix s'impose, on prendra en considération les critères suivants :
 La nature, le nombre des applications appréhendées (FTP, messagerie, HTTP, SNMP,

vidéoconférence, etc.),
 Type de filtres, niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité de combiner ces
niveaux),
 Facilités d'enregistrement des actions et des événements pour audits future,
 Les outils et facilités d'administration (interface graphique ou lignes de commandes,
administration distante après authentification de gestionnaire, etc.),
 Simplicité de configuration et de mise en œuvre,
 Sa capacité à supporter un tunnel chiffré permettant éventuellement de réaliser un réseau
privé virtuel (VPN pour Virtuel Private Network),
 La disponibilité d'outils de surveillance, d'alarmes, d'audit actif ;
 L'existence dans l'entreprise de compétences en matière d'administration du système
d'exploitation du pare-feu ;
 Son prix.
2.3 Proposition de solution pare-feu

[TITRE DU DOCUMENT]
On retrouve sur le marché comme solutions pare-feu, des « Appliances » (matériels et logiciels déjà prêt
pour l'usage) et des logiciels (qui nécessitent une installation et configuration). Il faut également noter que
certains pare-feu sont propriétaires et d'autres viennent du monde des logiciels libres. Afin de déterminer la
solution qui convient au mieux à notre situation, nous présenterons dans cette partie certaines solutions
commerciales et Open Source.
a. Quelques solutions propriétaires

Les solutions propriétaires sont proposées par des éditeurs de logiciels ou des constructeurs
d'équipements informatiques. Du coté des solutions commerciales, les principaux acteurs du
marché sont :
 Avast Internet Security

 ZoneAlarm PRO Firewal
 KasperskyInternet Security
 GlassWire
 …
b. Quelques solutions libres
Les pare-feu du domaine libre n'ont rien à envier aux pare-feu commerciaux. Nous présenterons dans
cette parie certaines solutions open source à savoir : Smoothwall Express, IPCop et PFSense.
Smoothwall Express
Smoothwall est un projet qui a été initié au Royaume-Uni à l'été 2000 par Lawrence Manning (principal
développeur de code) et Richard Morrell (Manager du projet). Leur idée de base était de créer une
distribution Linux qui pouvait convertir un ordinateur personnel en un équipement pare-feu Il faut noter que
la distribution Smoothwall est Open Source et distribué sous licence GPL. C'est un système d'exploitation
basé sur RedHat Linux (devenu plus tard Fedora Core Project).Parmi les acquis de la communauté
Smoothwall, nous citerons surtout l'attribution en 2008 du prix du meilleur pare-feu Open Source des
BOSSIES (Best Open Source Software Awards) à Smoothwall Express.
Les fonctionnalités assurées par défaut par Smoothwall Express sont les suivantes :
 Possibilité d'administration via une interface web.
 Consultation de l'état de la machine sur laquelle est installé le pare-feu (état de la mémoire et les
disques durs).
 supervision du trafic réseau en temps réel sur les différentes cartes.
 services de proxy web, SIP, POP3, NAT
 service dhcp, dns, NTP
 accès distant via SSH.
 système de détection d'intrusions.
 de trafic et QoS,...
IPCop

[TITRE DU DOCUMENT]
IPCop est à l'origine un fork de Smoothwall Express. Ceci signifie qu'IPCop est basé sur linux Red hat. La
première version est sortie en décembre 2001. Aujourd'hui on est à la version 1.4.21, qui a été mise à
disposition du grand public en Juillet 2008. IPCop est distribué sous licence GPL. Il fonctionne aussi sur du
matériel non propriétaire.
IPCop partage avec Smoothwall plusieurs fonctionnalités et s'en démarque par d'autres. Par exemple,
IPCop ne propose pas de proxy IM ou de proxy POP3. Il supporte par contre le « VLAN trunking » définit par
la RFC 802.1Q, le protocole Telnet et le protocole d'encapsulation de niveau 2 L2TP. La supervision de trafic
en temps réel n'est aussi pas possible sur IPCop. Plusieurs fonctionnalités peuvent être ajoutées au pare-feu
IPCop via des add-on afin de mieux le personnaliser.
PFSense
PFSense est le descendant de m0n0wall. C'est donc un système d'exploitation pare-feu basé sur le noyau
FreeBSD et sur le module de filtrage « ipfw ». La configuration de PFSense est stockée dans un seul fichier
xml à l'instar de m0n0wall. La séquence de démarrage est aussi fondée sur des fichiers php.
Néanmoins, PFSense n'est pas vraiment orienté à l'embarqué. Ceci explique la panoplie de fonctionnalités
offertes par cette distribution. Par rapport à m0n0wall (son ancêtre), Pfsense offre en plus les possibilités
suivantes :
 Common Address Redundency Protocol (CARP) et PFsync (synchronisation entre machines PFSense)
 Possibilités d'alias étendue (alias pour interfaces réseau, utilisateurs...).
 Configuration XML de synchronisation entre maître et hôte de backup permettant de faire un point
unique d'administration pour un cluster pare-feu. La synchronisation est assurée via XML-RPC.
 Equilibrage de charge (load balancing) pour les trafics entrant et sortant.
 Graphes montrant les statuts des files d'attentes.
 Support du protocole SSH pour l'accès distant.
 Support de multiples interfaces réseaux WAN.
 Serveur PPPoE.
2.4 Comparaison des solutions libres
Nous présentons ci-dessous un tableau comparatif des différentes solutions pare-feu libre qu'on vient de
présenter. Notez aussi que « x » signifie que la fonctionnalité est présente et que le signe « - » signifie qu'elle
est absente :
SOLUTIONS
SERVICES Smoothwall IPCop PFSense
Express
PROXY WEB x x x
PROXY IM, POP3, SIP x - x
DNS x x x
VPN, WEBGUI VIA HTTP x x x
POSSIBILITÉ DE DÉTECTION x x x
D'INTRUSIONS
Tableau : Comparaison de quelques solutions libre
A partir du tableau ci-dessus, on constate que deux produits ressortent de cette recherche : PFSense et
Smoothwall Express. Ce sont tous les deux des outils libres. Les avantages de pfsense sont sa popularité, sa

[TITRE DU DOCUMENT]
disponibilité sur plusieurs systèmes d'exploitation et sa communauté très active. Parmi les solutions
informatiques existantes pour la mise en place d'un pare-feu, notre choix s'est porté sur pfsense.

Rapport 3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport 3

Transféré par

Droits d'auteur :

Formats disponibles

[TITRE DU DOCUMENT]

Rédigé Et Présenté par : MANYENGUE François I

Rédigé Et Présenté par : MANYENGUE François II

Rédigé Et Présenté par : MANYENGUE François III

LISTE DES ABREVIATIONS

Rédigé Et Présenté par : MANYENGUE François IV

Le renforcement de la sécurité informatique est devenu une nécessité primordiale vu

Rédigé Et Présenté par : MANYENGUE François V

The reinforcement of computer security has become a primary necessity given

The objective of this work is the establishment of an open source firewall,

Rédigé Et Présenté par : MANYENGUE François VI

LISTE DES FIGURES

Rédigé Et Présenté par : MANYENGUE François VII

De nos jours, le développement du réseau Internet, et de ses déclinaisons sous

Ce présent document comprend cinq chapitres : en premier lieu nous présenterons

Rédigé Et Présenté par : MANYENGUE François 1

Rédigé Et Présenté par : MANYENGUE François 2

I. TOTAL ENGINEERING SYSTEMS

 Les systèmes informatiques

3. La division des affaires financière

4. La division marketing et communication

Rédigé Et Présenté par : MANYENGUE François 3

L'organigramme est un schéma qui représente

Rédigé Et Présenté par : MANYENGUE François 4

Dénomination TOTAL ENGINEERING SYSTEMS

Rédigé Et Présenté par : MANYENGUE François 5

Rédigé Et Présenté par : MANYENGUE François 6

Rédigé Et Présenté par : MANYENGUE François 7

ETUDES THEORIQUE DE LA SOLUTION POUR L'ENTREPRISE

Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet et

I. PRESENTATION GENERAL DU PROJET

II. ETUDE DE L'EXIXTANT (cas de TES Sarl)

1. Les ressources matérielles

Rédigé Et Présenté par : MANYENGUE François 8

MATERIELS MARQUE CARACTERISTIQUES DES MATERIELS

Rédigé Et Présenté par : MANYENGUE François 9

MS Office 2016 Saisie et traitement de texte, tableur et presentation

3. Architecture du réseau informatique

III. CRITIQUE DE L'EXISTANT

 L'Absence d'un système d'authentification sécurisée pour l'accès à Internet :

 L'absence des outils de traçabilité des opérations effectuées sur le réseau :

Rédigé Et Présenté par : MANYENGUE François 10

VI. LES ATTENTES DU PROJET

Rédigé Et Présenté par : MANYENGUE François 11

A. GENERALITES SUR LES RESEAUX SANS FILS ET LEURS FAILLES

1.1 LES RESEAUX INFORMATIQUES

a) Les réseaux sans fils

Rédigé Et Présenté par : MANYENGUE François 12

b) Les protocoles réseaux

Le protocole IP est le plus courant des protocoles utilisés.

I.2 les principales attaques

Rédigé Et Présenté par : MANYENGUE François 13

a. Man in the middle

Figure : man in the middle

c. Attaque par rebond

Rédigé Et Présenté par : MANYENGUE François 14

d. Dénis de service (DoS)

 L'inondation d'un réseau afin d'empêcher son fonctionnement ;

h. L'interception des données

Rédigé Et Présenté par : MANYENGUE François 15

Nous avons aussi de attaques du systèmes d'exploitation à savoir :

j. L'écran bleu de la mort

Nous avons également les attaques applicatives tels que :