Académique Documents
Professionnel Documents
Culture Documents
KherroubiYounes IdirKrim
KherroubiYounes IdirKrim
Présenté par :
Mr KHERROUBI Younes
Mr IDIR Krim
Introduction …………………………………………………………………………...……...01
I.1 Préambule…..………………………………………………………………………….….03
I.3.1 La confidentialité…...………………………………………………………………..….03
I.3.2 L’authentification……………………………………………………........................….04
I.3.3 L’intégrité…...……………………………………………………………………….….04
I.3.4 La non-répudiation……....................................................................................................05
I.3.5 Disponibilité……………………………………………………………………….……05
I.4.1 Vulnérabilité……………………………………………………………………….……05
I.4.2 Attaque…………………………………………………………………………..………06
I.5.4 Contrôles…………………………………………………………………………….......13
I.5.6 Communication……………………………………………………………………….....13
I.7.2 Proxy…………………………………………………………………….........................19
I.7.3.1 Définition……………………………………………………………………………...20
I.7.4 Cryptographie…………………………………………………………………………..22
I.8 Discussion……………………………………………………………................................25
Chapitre II : Architectures de pare-feu……………………………………………………..…26
II.1 Préambule………………………………………………………………………………...26
II.2 Firewall………………………………………………………………………………..….26
II.5.2 Passerelle…………………………………………………………………………….....29
II.9 Discussion………………………………………………………………..........................38
CHAPITRE III : implémentation d’un pare-feu……………………………………………...39
III.1Préambule………………………………………………………………………………...39
III.2.2.1 Missions……………………………………………………………………………..40
III.2.2.2 Objectifs………………………………………………………………………..……40
III.7.1DMZ ………………………………………………………………...............................54
III.9.1.1 Nmap…………………………………………………………………………...……61
III.9.3 Teste de connexion entre les réseaux avant et après la configuration du pare-feu……65
III.10 Discussion……………………………………………………………………………...67
Conclusion …………………………………………………………………………………...68
Liste des figures
Figure III.8 : L’interface web d’accueil de pfsense après la configuration basique …....……52
Figure III.17 : Teste de connexion à partir internet vers notre réseau DMZ………………...65
DHCP : Dynamic Host Aucune entrée de table d'illustration n'a été trouvée.
PF : Packet Fiter
SI : Spring Integration
La sécurité réseau est devenue un sujet de recherche très intense [1] ; [2]. Ces recherches ont
permis le développement de certains dispositifs de protection des systèmes informatiques et
des réseaux tel que les pare-feu, les antivirus, les systèmes de cryptographie, …etc.
Dans le cadre de notre projet de fin d’études nous avons effectué un stage au niveau du centre
CAH de Tizi-Ouzou de l’entreprise Algérie Télécom. L’objectif est d’étudier les failles de
sécurité du réseau informatique de ladite entreprise puis d’implémenter une architecture
sécurisée.
La solution de sécurité proposée repose sur l’utilisation d’un pare-feu. Ce dernier, appelé
aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais, est un système permettant de
protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers
ou externe (Internet). Ce système permettant de filtrer les paquets de données échangés avec
le réseau. Il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces
réseau suivantes :
Une interface pour le réseau à protéger (réseau interne).
Une interface pour le réseau externe.
1
Le troisième chapitre est consacré à présenter des défaillances du réseau de départ puis la
solution proposée. De plus, nous présenterons les outils de simulation utilisée et les
configurations nécessaires de PfSence. La dernière partie du chapitre est destiné à
donner les tests de bon fonctionnement de la solution.
2
CHAPITRE I
Généralités su la sécurité.
CHAPITRE I : GENERALITES SUR LA SECURITE
I.1 Préambule :
La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des
réseaux d’entreprises ainsi que pour les particuliers toujours plus nombreux à se connecter à
Internet. Les réseaux sont toujours devant des menaces. Il y a de plus en plus de techniques
pour les protéger, mais il y a aussi de plus en plus de techniques pour les attaquer.
Au long de ce chapitre nous allons présenter d’abord les mesures et les techniques de sécurité,
les étapes d’une mise en œuvre d’une politique de sécurité, ensuite les différents types
d’attaque qui peuvent nuire à un système et enfin les différents mécanismes de sécurité pour
permettre la protection des données et des ressources et d’assurer le bon fonctionnement du
système.
La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une
organisation sont uniquement utilisées dans le cadre prévu.
Nous allons maintenant parler de la sécurité informatique, ses objectifs et de son impact sur
les réseaux [3].
La sécurité des systèmes d’information vise à assurer les propriétés suivantes [3] :
I.3.1 La confidentialité :
La confidentialité est la protection contre les attaques passives des données transmises.
général protège toutes les données transmises entre deux utilisateurs pendant une période
donnée. Des formes restreintes de ce service peuvent également être définies, incluant la
3
CHAPITRE I : GENERALITES SUR LA SECURITE
l’analyse. Cela requiert qu’un attaquant ne puisse observer les sources et destinations, les
communication.
I.3.2 L’authentification :
En premier lieu, lors de l’initialisation de la connexion, il assure que les deux entités sont
authentiques (c’est-à-dire, que chaque entité est celle qu’elle dit être). Ensuite, le service dont
assurer que la connexion n’est pas perturbée par une tierce partie qui pourrait se faire passer
pour une des deux entités légitimes à des fins de transmissions ou de réceptions non
autorisées.
I.3.3 L’intégrité :
4
CHAPITRE I : GENERALITES SUR LA SECURITE
I.3.4 La non-répudiation :
La non-répudiation empêche tant l’expéditeur que le receveur de nier avoir transmis ou reçu
un message. Ainsi, lorsqu’un message est envoyé, le receveur peut prouver que le message a
bien été envoyé par l’expéditeur prétendu. De même, lorsqu’un message est reçu, l’expéditeur
peut prouver que le message a bien été reçu par le receveur prétendu.
I.3.5 Disponibilité :
I.4.1 Vulnérabilité :
Le terme "vulnérabilité" définit toutes les failles d’un système informatique pouvant être
exploitées par des menaces à des fins malveillantes.
Beaucoup trop nombreuses pour être cités de manière exhaustive, on peut cependant les
classer dans trois catégories différentes [4].
•Les vulnérabilités physiques : c'est-à-dire les accidents, les pannes ou les dégradations
volontaires de matériels.
5
CHAPITRE I : GENERALITES SUR LA SECURITE
I.4.2 Attaque :
Une attaque est l’exploitation d’une vulnérabilité d’un système informatique (système
d’exploitation, logiciel ou bien même de l’utilisateur) par des actions que se soit accidentelles,
malveillantes ou intentionnelles.
La plupart des attaques, de la plus simple à la plus complexe fonctionnent suivant le même
schéma :
Le scanning : l’objectif est de compléter les informations réunies sur une cible visées.
Il est ainsi possible d’obtenir les adresses IP utilisées, les services accessibles de
même qu’un grand nombre d’informations de topologie détaillée.
L’exploitation : Cette étape permet à partir des informations recueillies d’exploiter les
failles identifiées sur les éléments de la cible, que ce soit au niveau protocolaire, des
services et applications ou des systèmes d’exploitation présents sur le réseau.
La progression : Il est temps pour l’attaquant de réaliser son objectif. Le but ultime
étant d’élever ses droits vers root (administrateur) sur un système afin de pouvoir y
faire tout ce qu’il souhaite.
6
CHAPITRE I : GENERALITES SUR LA SECURITE
Avant de présenter les attaques informatiques, nous allons définir les deux principales notions
de l’attaquant :
• Les Hackers : Ils sont moins dangereux, car ils sont considérés comme des personnes qui
s’introduisent dans un système pour y poser des actes qui ne lui sont pas autorisées pour
consulter ou modifier des données et des programmes communiques aux frais d’autres
utilisations sans motivation réelle c’est surtout un ”passe-temps ”.
• Les Crackers : Les plus dangereux parmi les pirates informatiques. Leur rôle est ” craquer ”
(forcer) les réseaux informatiques des entreprises ou des administrations. Ils ont des
motivations criminelles par pur vandalisme ou part des intérêts financiers.
7
CHAPITRE I : GENERALITES SUR LA SECURITE
Le principe en lui même, est simple : les paquets d’attaque sont envoyés à l’ordinateur
intermédiaire, qui répercute l’attaque vers la victime. D’ou le terme de rebond.
8
CHAPITRE I : GENERALITES SUR LA SECURITE
Il existe un grand nombre d’attaques qui peuvent intervenir à chaque composant du système
informatique mais généralement elle touche la couche réseau, le système d’exploitation, et la
couche application, pour vue qu’il existe une vulnérabilité exploitable. En voici quelques
techniques les plus utilisées :
• L’utilisation de dictionnaires : Le mot testé est pris dans une liste prédéfinie contenant les
mots de passe les plus courants et aussi des variantes de ceux-ci.
Utilitaire permettant l’utilisation de programmes sur des machines distantes (par exemple via
le réseau internet).
9
CHAPITRE I : GENERALITES SUR LA SECURITE
• La méthode brute : Toutes les possibilités sont faites dans l’ordre pour trouver la bonne
solution.
Le smurf : Le smurf est une attaque qui s’appuie sur le ping (Packet InternetGroper)
et les serveurs de broadcast. On falsifie d’abord son adresse IP pour se faire passer
pour la machine cible. On envoie alors un ping sur un serveur de broadcast. Il le fera
suivre à toutes les machines qui sont connectées qui renverront chacune une réponse
au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les
paquets et finira par se déconnecter.
4. Le débordement de tampon :
Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données
d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et
rassemblé par la machine cible.
A ce moment, il y aura débordement des variables internes.
5. L’IP spoofing :
Cette technique permet de s’infiltrer dans un ordinateur en falsifiant son adresse IP, en se
faisant passer pour un autre en qu’il a confiance. Il existe des variantes car on peut faire
spoofing aussi des adresses e-mail, des serveurs DNS.
10
CHAPITRE I : GENERALITES SUR LA SECURITE
• Origine opérationnelle:
Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat
d’un bug logiciel, d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL
injection), d’un dysfonctionnement de la logique de traitement ou d’une erreur de
configuration
• Origine physique:
Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer notamment les
désastres naturels, les pannes ou casses matérielles, le feu ou les coupures électriques.
• Origine humaine:
Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la
conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi
elles peuvent être le résultat d’une erreur de conception ou de configuration comme d’un
manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un système
informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des
systèmes d’information.
11
CHAPITRE I : GENERALITES SUR LA SECURITE
Un risque désigne la probabilité d’un événement dommageable ainsi que les coûts qui
s’ensuivent, le risque dépend également des montants des valeurs à protéger [4]
La politique de sécurité informatique fixe les principes visant à garantir la protection des
ressources informatiques et de télécommunications en tenant compte des intérêts de
l'organisation et de la protection des utilisateurs.
12
CHAPITRE I : GENERALITES SUR LA SECURITE
I.5.4 Contrôles :
Autant que possible, des dispositifs de prévention sont mis en place pour éviter les utilisations
abusives des ressources informatiques et de télécommunications.
Les contrôles destinés à assurer le bon usage de ces ressources devront être effectués dans le
respect des règles de la protection de la vie privée.
La violation volontaire ou par négligence grave des règles issues de la présente politique de
sécurité peut entrainer la prise par le service compétent, de mesures technologiques et
organisationnelles permettant d'éviter la répétition de la violation. Sauf cas d'urgence, la
personne concernée, ou son répondant est préalablement entendue.
I.5.6 Communication :
La politique de sécurité informatique de l'organisation, ainsi que les règles et procédures qui
en découlent sont communiquées à l'ensemble du personnel, et font partie intégrante du statut
13
CHAPITRE I : GENERALITES SUR LA SECURITE
du personnel (règlement intérieur), ainsi qu'aux intervenants extérieurs avant leur première
intervention.
–L'organe compétent édicte les règles et procédures relatives à l'utilisation des différentes
ressources informatiques et de télécommunications nécessaires à la concrétisation de la
présente politique de sécurité informatique.
–Les responsables de chaque service sont responsables du bon respect, par les utilisateurs, de
la politique de sécurité informatique, ainsi que des règles et procédures de sécurité.
Un mécanisme qui est conçu pour détecter, prévenir et lutter contre une attaque de sécurité
[7].
• Chiffrement : algorithme généralement basé sur des clefs et transformant les données. Sa
sécurité est dépendante du niveau de sécurité des clefs.
•Signature numérique : données ajoutées pour vérifier l'intégrité ou l'origine des données.
•Notarisation : utilisation d’un tiers de confiance pour assurer certains services de sécurité.
14
CHAPITRE I : GENERALITES SUR LA SECURITE
•Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas
l'exploitation d'une vulnérabilité.
•Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement
exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou
contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le faire.
•Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé.
Ne détecte pas les accès incorrects mais autorisés par un utilisateur légitime. Mauvaise
détection : taux de faux positifs, faux négatifs.
• Journalisation ("logs") : Enregistrement des activités de chaque acteur. Permet de
constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte
qu'elles ne se reproduisent pas.
• Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par
des acteurs autorisés. Par VPN ou tunnels.
•Distribution de clefs : distribution sécurisée des clefs entre les entités concernées.
15
CHAPITRE I : GENERALITES SUR LA SECURITE
•La protection physique : peut fournir une protection totale, mais qui peut être excessive. Il
peut s’agir par exemple d’isoler complètement son système.
La sécurité des réseaux consiste à mettre en place des moyens en vue de garantir les
propriétés de sécurité concernant des données critiques d’une entreprise, ainsi que de faire
appliquer les règles définies dans une politique de sécurité, parmi lesquelles nous trouvons
[8]:
Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées généralement
au trafic circulant via une interface de routeur (Figure I.4).
16
CHAPITRE I : GENERALITES SUR LA SECURITE
Ces listes indiquent au routeur les types de paquets à accepter ou à rejeter. L’acceptation et le
refus peuvent être basés sur des conditions précises. Les ACL permettent de gérer le trafic et
de sécuriser l’accès d’un réseau en entrée comme en sortie.
Des listes de contrôle d’accès peuvent être créées pour tous les protocoles routés, tels que les
protocoles IP (Internet Protocol) et IPX (Internet work Packet Exchange). Des listes de
contrôle d’accès peuvent également être configurées au niveau du routeur en vue de contrôler
l’accès à un réseau ou à un sous-réseau [9].
Voici les principales raisons pour lesquelles il est nécessaire de créer des listes de contrôle
d’accès:
Limiter le trafic réseau et accroître les performances. En limitant le trafic vidéo, par
exemple, les listes de contrôle d’accès permettent de réduire considérablement la charge
réseau et donc d’augmenter les performances.
17
CHAPITRE I : GENERALITES SUR LA SECURITE
Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si
aucune mise à jour n’est requise en raison des conditions du réseau, la bande passante est
préservée.
Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès
permettent à un hôte d’accéder à une section du réseau tout en empêchant un autre hôte
d’avoir accès à la même section.
Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du
routeur. Il est possible d’autoriser l’acheminement des messages électroniques et de bloquer
tout le trafic via Telnet.
Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un
réseau.
Filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau.
Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels
que FTP ou HTTP.
a. Listes de contrôle d’accès standard : Les listes d’accès standard vérifient l’adresse
d’origine des paquets IP qui sont routés. Selon le résultat de la comparaison, l’acheminement
est autorisé ou refusé pour un ensemble de protocoles complet en fonction des adresses
réseau, de sous-réseau et d’hôte.
b. Listes de contrôle d’accès étendues : Les listes d’accès étendues sont utilisées plus
souvent que les listes d’accès standard car elles fournissent une plus grande gamme de
contrôle. Les listes d’accès étendues vérifient les adresses d’origine et de destination du
paquet, mais peuvent aussi vérifier les protocoles et les numéros de port. Cela donne une plus
grande souplesse pour décrire ce que vérifie la liste de contrôle d’accès. L’accès d’un paquet
peut être autorisé ou refusé selon son emplacement d’origine et sa destination, mais aussi
selon son type de protocole et les adresses de ses ports.
18
CHAPITRE I : GENERALITES SUR LA SECURITE
c. Listes de contrôle d’accès nommées : Les listes de contrôle d’accès nommées IP ont été
introduites dans la plate-forme logicielle Cisco IOS version 11.2, afin d’attribuer des noms
aux listes d’accès standard et étendues à la place des numéros.
I.7.2 Proxy :
Un système mandataire (Proxy) (Figure I.5) repose sur un accès à l'internet par une machine
dédiée: le serveur mandataire ou Proxy server joue le rôle de mandataire pour les autres
machines locales, et exécute les requêtes pour le compte de ces dernières [10].
Les serveurs mandataires configurés pour http permettent également le stockage de pages web
dans un cache pour accélérer le transfert des informations fréquemment consultées vers les
clients connectés.
19
CHAPITRE I : GENERALITES SUR LA SECURITE
Dans un réseau local la communication entre les différentes machines est régie par
l’architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s’affranchir des
limitations de l’architecture physique (contraintes géographiques, contraintes d’adressage, ...)
en définissant une segmentation logique (logicielle) basée sur un regroupement de machines
grâce à des critères (adresses MAC, numéros de port, protocole, etc.) [9].
I.7.3.1 Définition :
Les réseaux virtuels (VLAN) sont apparus comme une nouvelle fonctionnalité dans
l’administration réseau avec le développement des commutateurs. La notion de VLAN est un
concept qui permet de réaliser des réseaux de façon indépendante du système de câblage. Ces
réseaux permettent de définir des domaines de diffusions restreints, cela signifie qu’un
message émis par une station du VLAN ne pourra être reçu que par les stations de ce même
VLAN. Un VLAN, est donc, un regroupement logique, et non physique, de plusieurs stations.
Pour réaliser ce regroupement, on intervient directement, par voie logicielle, sur le ou les
éléments actifs qui sont les commutateurs
VLAN. Les VLAN offrent une solution pour regrouper les stations et les serveurs en
ensembles indépendants, de sorte à assurer une bonne sécurité des communications.
Les VLANs différent selon les informations utilisées pour regrouper les stations. Il en existe
trois modèles :
20
CHAPITRE I : GENERALITES SUR LA SECURITE
21
CHAPITRE I : GENERALITES SUR LA SECURITE
• VLAN par protocole : ou VLAN de niveau 3, est obtenu en associant un réseau virtuel par
type de protocole du réseau. On peut ainsi constituer un réseau virtuel pour les stations
communiquant avec le protocole TCP/IP, et un autre pour es stations communiquant avec le
protocole IP^3. Dans ce type de VLAN, les commutateurs apprennent la configuration. Par
contre, elle est légèrement moins performante car les commutateurs doivent analyser des
informations.
•VLAN par Sous-réseau : Un VLAN par sous réseau utilise les adresses IP. Un réseau
virtuel est associé à chaque sous réseau IP. Dans ce cas, les commutateurs apprennent aussi la
configuration et il est possible de changer une station de place sans reconfigurer le VLAN. Ce
type de vlan est souffre de lenteur par rapport aux Vlan de niveau 1 et 2. En effet, le
commutateur est obligé de décapsuler le paquet jusqu’à l’adresse IP pour pouvoir détecter à
quel VLAN il appartient. Il faut donc des équipements plus couteux (car ils doivent pouvoir
décapsuler le niveau 3) pour une performance faible.
I.7.4 Cryptographie :
La cryptographie est la science qui utilise les mathématiques pour le cryptage et le décryptage
de données. Elle nous permet ainsi de stocker des informations confidentielles ou de les
transmettre sur des réseaux non sécurisés (tels que l'Internet), afin qu'aucune personne autre
que le destinataire ne puisse les lire.
22
CHAPITRE I : GENERALITES SUR LA SECURITE
23
CHAPITRE I : GENERALITES SUR LA SECURITE
Ces fonctions jouent un rôle tout aussi important pour la cryptographie que la confidentialité,
sinon plus.
Une signature numérique a la même utilité qu'une signature manuscrite. Cependant, une
signature manuscrite peut être facilement imitée, alors qu'une signature numérique est
pratiquement infalsifiable. De plus, elle atteste du contenu des informations, ainsi que de
l'identification du signataire.
Un VPN est un tunnel sécurisé permettant la communication entre deux entités y compris au
travers des réseaux peu sûrs comme peut l’être le réseau Internet. Les VPNs ont pour objectif
de contribuer à la sécurisation des échanges de données privées, sensible sur les réseaux
publics [12].
Un VPN fonctionne selon un système de tunnelisation privé, c’est-à-dire qu’un tunnel est
créé, à l’intérieur duquel transitent toute la communication et ou toutes les données transmises
qui sont cryptées. Un VPN est très fermé, un utilisateur non autorisé, ne peut en aucun cas
avoir accès aux données transmises sur le réseau et en cas d’interceptions, les informations
interceptées sont cryptées, illisibles, et donc inutilisables.
Le fonctionnement des VPN repose sur des technologies appelées protocoles de tunnelisation
ou protocoles VPN et parmi eux nous retrouvons :
24
CHAPITRE I : GENERALITES SUR LA SECURITE
HybridVPN.
La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre en
compte par toute entreprise qui désire disposer d’un ensemble d’outils et de méthodes qui lui
permettent et assurent la gouvernance de son système d’information. Ainsi plusieurs
méthodes d’analyse des systèmes informatiques proposent des démarches de certification afin
de garantir une image pérenne aux entreprises intégrant les processus de sécurité dans la liste
de leurs préoccupations managériale.
Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail
des menaces qui mettent en danger l’exploitation d’un système d’information. Ainsi il est
important de bien formaliser une politique de sécurité en prenant en compte les risques réelle
qu’encourt un système informatique et en évaluant les coûts que peuvent engendrer les
problèmes résultants de ces risques par rapport au coût nécessaire à la mise en place des
solutions palliative à ces problèmes.
25
CHAPITRE II
Architectures de pare-feu.
CHAPITRE II : ARCHITECTURES DE PARE-FEU
II.1. Préambule :
Les firewalls ont aujourd’hui pris une place très importante dans les réseaux informatiques.
Dans ce chapitre, nous allons étudier les firewalls, les différentes catégories existantes et les
différentes architectures.
II.2 Firewall :
Un firewall, appelé aussi coupe-feu ou pare-feu à pour but de contrôler et de filtrer l’accès
entre un réseau d’entreprise ou l’ordinateur d’un particulier et un autre réseau qui est ici
Internet. Le firewall peut être soit un objet matériel ou un programme fonctionnant sur un
ordinateur [13].
Dans les deux cas, le firewall doit se placer à la jonction entre le réseau à protéger et Internet.
Le firewall examine tout le trafic entre les deux réseaux pour voir s’il correspond à certains
critères définis par l’administrateur.
Si cela correspond, les données accèdent au réseau, sinon elles sont stoppées. Un firewall
filtre aussi bien dans le sens de l’envoi de données vers l’extérieur que dans celui de la
26
CHAPITRE II : ARCHITECTURES DE PARE-FEU
réception .Un firewall peut ainsi empêcher un logiciel d’accéder a Internet ou une personne
d’accéder a certains services comme le FTP par exemple.
Certains firewalls laissent uniquement passer le courrier électronique. De cette manière ils
interdisent toute autre attaque qu’une attaque basée sur le service de courrier. D’autres
firewalls, moins strictes, bloque uniquement les services reconnus comme étant des services
dangereux.
Généralement, les firewalls sont configures pour protéger contre les accès non authentifier du
réseau externe. Ceci, plus qu’autre chose, empêche les vandales de se loger sur des machines
de vote réseau interne, mais autorise les utilisateurs de communiquer librement avec
l’extérieur.
Les firewalls sont également intéressant dans le sens ou ils constituent un point unique ou
l’audit et la sécurité peuvent être imposes. Tous les échanges passeront par lui. Il pourra
donner des résumés de trafic, des statistiques sur ce trafic, ou encore toutes les connexions
entre les deux réseaux [13].
Un firewall ne protège pas des attaques qui ne passent pas par lui. Certaines entreprises
achètent des firewalls à des prix incroyables alors que certains de leurs employés sont parfois
connectes par modem au monde extérieur. Il est important de noter qu’un firewall doit être à
la mesure de politique de sécurité globale du réseau.
Il ne sert à rien de mettre une porte blindée sur une maison en bois. par exemple, un site
contenant des documents top-secret n’a pas besoin d’un firewall : il ne devrait tout
simplement pas être connecte a Internet, et devrait être isole du reste du réseau.
Une autre chose contre laquelle un firewall ne peut protéger est les traites qui sont à l’intérieur
de l’entreprise. Si un espion industriel décide de faire sortir des données, il y arrivera, surtout
sur disquette.
27
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Il faut mieux vérifier qui a accès aux informations que de mettre un firewall dans ce cas.
Les firewalls ne protègent pas très bien des virus. Il y a trop de manières différentes de coder
des fichiers pour les transfère. En d’autres termes, un firewall ne pourra pas remplacer
l’attention et la conscience des utilisateurs qui doivent respecter un certain nombre de règles
pour éviter les problèmes. La première étant bien évidemment de ne jamais ouvrir un fichier
attache à un mail sans être sûr de sa provenance.
Il faut prendre des mesures globales et importantes contre les virus. Avant de traquer les virus
a l’entrée du réseau, il faut s’assurer que chaque poste de travail dispose d’un antivirus. Les
virus passé également très facilement par disquette. Les virus sur Internet sont bien moins
important que les virus sur disquette.
Quoiqu’il en soit, de plus en plus de vendeurs de firewall vous offrent des firewalls qui
détectent les virus. Ils permettent probablement d’arrêter les virus simple. Ne comptez pas sur
leur protection [13].
Le fonctionnement d’un firewall repose sur le filtrage des paquets cela peut se faire de
différentes manières. Il existe deux types de firewall qui sont les filtres de paquet et les
passerelles.
Le filtrage du trafic de données se fait au niveau des couches 3 et 4 du modèle OSI. Certains
firewalls sont en fait des routeurs possédant des fonctions de filtrage de paquets. Avec des
règles appropriées, l’administrateur réseau peut interdire ou autoriser un certain nombre de
services ainsi que bloquer les accès aux équipements de son site, tout en permettant à ses
machines l’accès aux services de l’Internet. Le routeur doit être configuré avec une liste
d’accès [14].
Une liste d’accès définit les conditions pour qu’un paquet puisse franchir un routeur.
28
CHAPITRE II : ARCHITECTURES DE PARE-FEU
•Sur le numéro du protocole de niveau 3, les adresses IP, les numéros de ports...
•D’autres informations dans le paquet comme les drapeaux TCP
•Le type de la règle, c’est-à-dire soit une autorisation soit un refus de faire traverser le paquet.
II.5.2 Passerelle :
–Les proxys filtrent en fonction du service demandé : Telnet, FTP, SMTP, HTTP...
–Le client se connecte au serveur proxy et demande l’accès au serveur distant.
–Le serveur proxy vérifie l’adresse du client, authentifie le client à l’aide d’un serveur
d’authentification (type RADIUS) et l’autorise à se connecter sur le serveur.
–Le serveur proxy se connecte sur le serveur distant et relaie les données entre les deux
connexions.
–Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec
le serveur.
–La passerelle peut :
29
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Depuis leur création, les firewalls ont grandement évolué. Ils sont effectivement la première
solution technologique utilisée pour la sécurisation des réseaux. De ce fait, il existe
maintenant différentes catégories de firewall. Chacune d’entre-elles disposent d’avantages et
d’inconvénients qui lui sont propre.
Ce sont les firewalls les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies
par l’administrateur (généralement appelées ACL, Access Control List).
Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages
s’appliquent alors par rapport à une d’adresses IP sources ou destination, mais aussi par
rapport à un port source ou destination [15].
Les firewalls à états sont une évolution des firewalls sans états. La différence entre ces deux
types de firewall réside dans la manière dont les paquets sont contrôlés. Les firewalls à états
prennent en compte la validité des paquets qui transitent par rapport aux paquets
précédemment reçus. Ils gardent alors en mémoire les différents attributs de chaque
connexion, de leur commencement jusqu’à leur fin, c’est le mécanisme de stateful inspection.
De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les règles
définies par l’administrateur, mais également par rapport à l’état de la session [15] :
Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de
séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors capables de
déceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardées
dans une table des états de connexions. L’application des règles est alors possible sans lire les
ACL à chaque fois, car l’ensemble des paquets appartenant à une connexion active seront
acceptés.
31
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Les firewalls authentifiant permettent de mettre en place des règles de filtrage suivant les
utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est alors
possible de suivre l’activité réseau par utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l’utilisateur connecté et
l’adresse IP de la machine qu’il utilise [15].
Les firewalls personnels sont installés directement sur les postes de travail. Leur principal but
est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu’ils permettent de contrôler les accès aux réseaux des applications
installés sur la machines. Ils sont capables en effet de repérer et d’empêcher l’ouverture de
ports par des applications non autorisées à utiliser le réseau [15].
II.7Types d’architectures :
Pour assurer une meilleure sécurité du réseau, il est important de mettre en place plusieurs
filtres différents niveaux, mais il s’accompagne d’un cout plus élevé.
La solution firewall la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient
en configurant le routeur qui assure la connexion avec l’Internet. La figure suivante illustre
cette solution appelée Firewall avec routeur de filtrage [16]:
32
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Cette solution permet de réaliser les différents serveurs d’un Intranet sur plusieurs systèmes.
Le routeur de filtrage contient les autorisations d’accès basées exclusivement sur les adresses
IP et les numéros de port.
Ce type de firewall présente l’avantage d’être facile à configurer et fournit des traces
exploitables avec la possibilité d’alarmes pour une vérification du bon fonctionnement des
filtres du routeur. Toutefois, lorsque le routeur est contourné ou paralysé, le réseau entier est
ouvert.
Il existe une autre possibilité permettant de réaliser un firewall d’application à peu de frais :
La passerelle double. Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans
les deux réseaux Internet et Intranet. Cette machine doit être équipée de deux cartes réseau.
Comme elle est la seule soupape de sécurité entre les deux réseaux, elle doit être configurée
avec le plus grand soin.
La passerelle double n’autorise aucun trafic IP entre les réseaux. On l’appelle également
réseau bastion, car il contrôle tous les services accessibles de l’extérieur comme de l’intérieur
du réseau interne tels que les serveurs Web, FTP et Mail. Un " serveur Proxy "
supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne
d’accéder à Internet. Le nom "réseau bastion" découle des mesures particulières de protection
qui sont prises en prévision de possibles intrusions [16].
33
CHAPITRE II : ARCHITECTURES DE PARE-FEU
La passerelle double est la possibilité la plus simple pour réaliser un firewall d’application
n’autorisant aucun trafic IP entre les réseaux.
Ce type de firewall est d’un frais réduit. Toutefois, une telle configuration pourrait rencontrer
des problèmes de performance.
La combinaison des deux méthodes est ici plus sûre et efficace. Au niveau du réseau, un
routeur sous écran est configuré de façon à n’autoriser les accès de l’extérieur et de l’intérieur
que par l’intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs assurant les
serveurs Internet. Cette possibilité est appelée Firewall avec réseau de filtrage. La figure
suivante illustre cette solution [16]:
34
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Firewall avec réseau de filtrage dans lequel seuls les accès au réseau bastion sont autorisés.
Pour la grande majorité des entreprises, cette solution est sûre et abordable, car les prestataires
Internet assurent la seconde partie de la protection à l’autre bout de la ligne.
En effet, votre entreprise y est également connectée à un routeur, et le trafic de données est
réglé par un serveur Proxy au niveau de la couche application. Les pirates doivent par
conséquent franchir deux obstacles.
Ce type de firewall présente l’avantage d’être un bon marché et sûr lorsque le prestataire est
équipé en conséquence. Toutefois, le système comporte deux sécurités distinctes, le routeur et
le réseau bastion, Si l’une des deux est paralysée, le réseau est menacé dans son intégralité.
Cette solution est de loin la plus sûre, mais également la plus onéreuse. Un Firewall avec
sous-réseau de filtrage se compose de deux routeurs sous écran. L’un est connecté à internet,
et l’autre à l’intrant/LAN. Plusieurs réseaux bastions peuvent s’intercaler pour former entre
ces deux routeurs, en quelque sorte, leur propre réseau constituant une zone tampon entre un
Intranet et l’Internet appelée zone démilitarisée [16].
De l’extérieur, seul l’accès aux réseaux bastions est autorisé. Le trafic IP n’est pas directement
transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels desserveurs
Proxy doivent être en service pour permettre l’accès à différents services Internet, sont
accessibles à partir du réseau interne. La figure suivante illustre cette variante.
35
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Pour s’introduire sur le réseau d’entreprise à travers ce firewall, il faut franchir les deux
routeurs, ainsi que les réseaux bastions intercalés [16].
• Le routeur interne :
◦ Autoriser le trafic entre le bastion 1 et les machines internes et inversement.
◦ Interdire tout autre trafic.
• Le routeur externe :
◦ Filtre le trafic entre le monde extérieur et le bastion2.
◦ Interdit tout autre trafic direct (donc pas de trafic entre le réseau interne et l’extérieur).
◦ Les deux bastions peuvent discuter sans aucune règle (zone démilitarisée " DMZ ").
• Le bastion interne :
◦ Assure les fonctions de DNS vis-à-vis du réseau interne en envoyant ses requêtes au bastion
externe.
◦ Assure les fonctions de proxy avec authentification pour les applications distantes (Telnet,
FTP, etc.).
◦ Assure le relais du Mail sortant (SMTP).
• Le bastion externe :
◦ Filtre au niveau applicatif les paquets en direction du réseau interne.
◦Assure le relais du mail entrant.
◦ Assure les fonctions de DNS vis-à-vis du réseau externe.
36
CHAPITRE II : ARCHITECTURES DE PARE-FEU
Le système de ce type de firewall est très sûr. Par conte, son coût d’investissement très élevé,
effort administratif important.
Le firewall a pour fonction de surveiller les trames passant sur le réseau et de les bloquer ou
de les laisser passer. Le firewall décide de laisser passer ou non une trame en fonction de sa
source, de sa destination, et des règles d’approbation définies dans sa table de règles [17].
La configuration la plus rependue pour un réseau connecté à Internet est une configuration
avec firewall et zone démilitarisée (DMZ). Un firewall est placé entre Internet, le réseau local
LAN, et une zone spéciale appelée DMZ, qui contient serveurs Web, Extranets, FTP, etc...,
qui doit pouvoir être accédée d’Internet et du LAN local. La DMZ est une sorte de zone
tampon entre l’extérieur et le réseau interne. La figure suivante illustre cette solution:
Le firewall permet alors de filtrer les trames et de les diriger vers telle ou telle zone en
fonction des règles internes définies par les administrateurs.
37
CHAPITRE II : ARCHITECTURES DE PARE-FEU
II.9 Discussion :
Ce chapitre à porté sur types d’architectures de Pare-feu, chacune d’elle présente ses
inconvénients et ses avantages. Donc pour la mise en place d’une architecture Firewall on a
toujours recours à revoir ces différentes architectures et choisir une selon les besoins, les
moyens, et la politique de sécurité que l’entreprise souhaite voir respectée.
38
CHAPITRE III
III.1 Préambule :
Dans ce chapitre nous présentons l’objectif du projet et l’analyse concurrentielle qui est une
étape cruciale dans le choix du pare-feu à mettre en œuvre suivie de la phase de conception,
étape charnière entre l'analyse du projet et la réalisation technique du pare-feu.Nous allons
aussi paramétrer les interfaces du firewall PfSense. En dernier en va tester la fiabilité de notre
solution proposée.Quelques écrans montrant les fonctionnalités les plus importantes de
l’application et les résultats des tests effectués sont également bien explicités dans ce dernier
chapitre.
Algérie Telecom, est une société par actions à capitaux publics opérant sur le marché des
réseaux et services de communications électroniques.
Sa naissance a été consacrée par la loi 2000/03 du 5 août 2000, relative à la restructuration du
secteur des Postes et Télécommunications, qui sépare notamment les activités Postales de
celles des Télécommunications.
Algérie Telecom est donc régie par cette loi qui lui confère le statut d'une entreprise publique
économique sous la forme juridique d'une société par actions SPA.
Entrée officiellement en activité à partir du 1er janvier 2003, elle s'engage dans le monde des
Technologies de l'Information et de la Communication avec trois objectifs:
Rentabilité
Efficacité
Qualité de service
39
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
III.2.2.1 Missions :
III.2.2.2 Objectifs :
Le directeur du centre :
Une équipe d’ingénieur et de technicien, qui est chargé d’intervenir sur tout éventuel
dérangement.
40
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
L’équipe technique :
Les agents est les techniciens sont destiné à :
La maintenance des équipements du centre.
La vérification des équipements du système de transmission.
Assure la permanence.
Enregistrement, localisation, relèves des dérangements signalé ou constaté.
L’analyse concurrentielle est une étape très importante pour le choix du pare-feu. Elle
consiste à déterminer les principaux concurrents du pare-feu afin d’extraire leurs aspects
positifs et négatifs. Pour cela nous avons choisi d’étudier deux pare-feu, qui sont PfSense et
IPCOP.
41
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
PfSense
IPCCOP
Basé sur Linux (Gratuit) Basé sur Free BSD (Gratuit)
Caractéristiques : Caractéristiques :
Au vu de ce comparatif, les deux solutions s'adaptant aux critères de sécurité dont nous
avons besoin.Mais, il se trouve que PfSense possède plus de fonctionnalités que
IPCOOP (mises à jour automatique, Portail captif, LoadBalancing, Multi-WAN). Notre
choix est ainsi porté sur le logiciel PfSense Open Source qui grâce à ses différentes
fonctionnalités, apportera la sécurité nécessaire au réseau local de l'entreprise.
- Un portail captif :Un portail captif est une structure permettant un accès rapide et sécurisé à
Internet. Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail
capte sa demande de connexion grâce à un routage interne et lui propose de s'identifier afin de
pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée
localement sur le portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé
d'un « Web browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à
Internet. La connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui
42
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
C'est la version station de travail du logiciel. Il permet la création d'une ou plusieurs machines
virtuelles au sein d'un même système d'exploitation (généralement Windows ou Linux), ceux-
ci pouvant être reliés au réseau local avec une adresse IP différente, tout en étant sur la même
machine physique
III.4.1.2Présentation de PfSense :
GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique qui permet l'émulation des réseaux
complexes. Vous connaissez peut-être avec VMWare ou Virtual Box qui sont utilisées pour émuler les
différents systèmes d'exploitation dans un environnement virtuel. Ces programmes vous
permettent d'exécuter plusieurs systèmes d'exploitation tels que Windows ou Linux dans un environnement
virtuel. GNS3 permet le même type de d'émulation à l'aide de Cisco Internetwork Operating
Systems [22].
GNS3 permet d’avoir un routeur Cisco virtuel sur un ordinateur. à savoir qu’il ne fournit pas
D’IOS il faut se les procurer a l’aide d’un compte Cisco ou a partir de Google, au plus il
fonctionne sur de multiples plateformes, incluant Windows, linux, et Mac OS X... etc.
Pour fournir des simulations complètes et précises, GNS3 est fortement lié à :
• Dynamips : est un émulateur de matériel Cisco (en rapport avec les processeurs Mips
utilisés).
44
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
L’objectif de GNS3 est d’apporter aux étudiants et professionnels des nouvelles technologies
de communication travaillant dans le domaine de l’administration systèmes et réseaux une
solution pour virtualiser et modéliser fidèlement des réseaux.
Grâce à GNS3, les utilisateurs peuvent tester et estimer, dans des conditions quasi réelles et
sans avoir à financer le matériel, leurs configurations et réseaux avant de les mettre en place
physiquement. GNS3 nous permet:
45
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Le simulateur et l’émulateur GNS3 met à notre disposition tous les éléments nécessairespour
sa manipulation, il contient différentes parties et interfaces que nous pouvons utiliser,et la liste
des éléments actifs et matériels disponibles que nous pouvons ajouter dans notretopologie
réseau, les principaux éléments sont énumérés dans la figure suivante :
46
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
FreeBSD est un système d’exploitation de type Unix librement disponible, largement utilisé
par des fournisseurs d’accès à Internet, dans des solutions tout-en-un et des systèmes
embarqués et partout où la fiabilité par rapport à un matériel informatique est primordiale.
FreeBSD est le résultat de presque trois décennies de développement continu, de recherche et
de raffinement. L’histoire de FreeBSD commence en 1979, avec BSD [23].
Au début de notre projet nous avons toutes les machine de l’entreprise relié sur un seul
réseauce qui rend le réseau vulnérable a plusieurs attaque réseau, et l’accessibilité a des
machines contenant des informations importantes est menacé et voilà le réseau qui a été
proposé par Algérie télécom.
47
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Après notre recherche sur les failles duréseau, nous avons déduit que notre réseau est
vulnérable à plusieurs défaillances et parmi ces problèmes on a :
Notre plant pour sécuriser se réseaux et de mettre en place un DMZ qui va contenir toutes les
machines à l’accès distant, En terme de sécurité cela veut aussi dire qu’en cas de
compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la
DMZ et non au réseau local.Etun autre réseau local pour la gestion interne de l’entreprise.
On crée une Machine Virtuelle sous VMware avec les spécifications suivantes :
48
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
PfSense demande d’affecter chaque interface (ici em0, em1, em2) à une interface
WAN ou bien à un LAN ou la DMZ.
49
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Une fois les affectations son faite, PfSense détecte automatiquement les cartes réseaux
disponibles, puis on attribue pour chaque interface une adresse IP, sauf l’interface
WAN qui reçoit une adresse IP par DHCP.
Une fois l’installation est terminée au aura cet affichage pour pfsense :
Les adresses IP des interfaces LAN et DMZ sont attribué par nous-mêmes par le choix
de l’option 2 (l’@ IP de WAN attribuée par le serveur DHCP, l’@ LAN et DMZ
attribuée statiquement).
La table d’adressage suivi dans ce projet est la suivante :
s.réseau @ s.réseau Mask @ Diffusion Passerelle
LAN 192.168.0.0 /24 192.168.0.255 192.168.0.1
DMZ 192.168.2.0 /24 192.168.2.255 192.168.2.1
51
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
52
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
53
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Pour la conception de notre architecture sécurisée on a utilisé plusieurs notions qu’on va citer
en de sous ainsi que leurs définitions.
III.7.1 DMZ
Une zone démilitarisée (en anglais, demilitarized zone ou DMZ) est un sous-réseau séparé du
réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-
réseau contient les machines étant susceptibles d'être accédées depuis Internet.
III.7.2 Le pare-feu :
Un pare-feu est un élément du réseau informatique, logiciel, matériel, ou les deux à la fois,
qui a pour fonction de sécuriser un réseau en définissant les communications autorisés ou
interdites.
Le firewall permet d’interconnecter 2 réseaux (ou plus) de niveaux de sécurité différents (par
exemple : internet et le réseau interne d’une entreprise). Le firewall joue un rôle de sécurité en
contrôlant les flux de données qui le traversent (en entrée ou en sortie). Il permet ainsi de
filtrer les communications, de les analyser et enfin de les autoriser ou de les rejeter selon les
règles de sécurité en vigueur.
54
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de
la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant :
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais «
statelesspacketfiltering »). Il analyse les en-têtes de chaque paquet de données (datagramme)
échangé entre une machine du réseau interne et unemachine extérieure.
Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants,
systématiquement analysés par le firewall :
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la
machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le
type de service utilisé.
Ces règles de filtrages nous aident beaucoup pour la sécurisation de notre réseau local contre
les intrusions distante en filtrant toutes les flux de communication.
III.7.3 IDS :
55
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Les N-IDS (Network Based Intrusion Detection System), ils assurent la sécurité au
niveau du réseau.
Les H-IDS (Host Based Intrusion Detection System), ils assurent la sécurité au niveau
des hôtes.
La figure suivante illustre notre architecture réseaux divisé en deux sous réseau (LAN - DMZ)
et un pare-feu qui se positionne entre ces deux sous réseaux et le réseau WAN qui nous
permet d’accéder à internet. Et pour résoudre les problèmes qu’on a cités dans la figure
précédant on à donnes les solutions suivant :
Le réseau a été segmenté au sous réseaux, et l’intrus ne peut pas accéder au réseau et cela
revient à la DMZ qui sécurise le réseau contre les intrusions.
Détection d’activité malveillante : analyse l’activité (trafic) du réseau ainsi que le système
afin de détecter les patrons d’attaques enregistrés dans le journal interne et cela grâce au
système de détection d’intrusion IDS et prévention d’intrusions IPS.
56
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Des services publics et des serveurs relais (DMZ) permettant de masquer les services et la
topologie du réseau interne.
Le système de détection d’intrusions IDS anticipe des attaques : empêcher une attaque de
débuter et ce examinant en théorie tous les paquets entrants ou sortants et en visualisant
chaque transaction dans le contexte des conversations réseau qui précédent ou qui suivent.
Une fois le réseau est prêt on passe à la configuration du pare-feu car c’est la plus
importante étape. une fois connecter à l’interface web de PfSense à l’adresse 192.168.0.1
on commence a mettre en place les règles de filtrage propre pour chaque interface du pare-
feu, donc chaque règles appliqué sur une des deux interface s’applique aussi sur
l’ensemble du réseau local relié à cette interface.
57
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Interface DMZ : la figure suivante nous montre la liste des règles associée à
l’interface DMZ
58
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
La 1er règles c’est pour autorisé le flux venant du réseau WAN pour accéder au la
DMZ.
La 2eme règles c’est pour autorisé le flux venant du réseau LAN pour accéder au la
DMZ.
La 3eme règles c’est pour bloquer le flux sortant de DMZ vers LAN ce qui empêché
un intrus dans la DMZ d’accédé au réseau locale.
Pour plus de sécurité dans notre réseau local on a mis un système détection d’intrusion qui est
un Système de Prévention/Protection contre les intrusions, reconnaissance et signalisation des
intrusions.
PfSense nous propose plusieurs modules supplémentaires tel que Nmap pour le scanne, Snort
pour la détection d’intrusion … etc., pour les ajouter il suffit d’installer les package
correspondant pour chaque module.
59
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Cette figure illustre les paramètres finaux de Snort ainsi que les buttons de
démarrage/redémarrage et arrêt de ce module.
60
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
démarrage/redémarrage/arrêt
III.9.1.1 Nmap
Nmap est un scan de ports libre créé par Fyodor et distribué par Insecure.org. Il est conçu
pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur
le système d'exploitation d'un ordinateur distant [26].
Il faut s’avoir qu’avant d’attaqué n’importe quelle machine sur le réseau il faut avoir le
minimum d’information sur cette machine comme les ports ouvert pour s’avoir d’où mené
l’attaque ou bien des informations sur la version du système d’exploitation puis voir les failles
de sécurité relié à ce système et les exploités pour pénétrer dans ce système.
Dans notre cas on a utilisé une machine (KALI LINUX) sur le réseau DMZ pour simulé une
attaque vers une machine (WINDOWS 7 pro) qui se trouve sur le LAN.
III.9.1.2Kali linux :
Kali linux est une distribution GNU/Linux sortie le 13 mars 2013, basée sur Debian. La
distribution a pris la succession de BackTrack. L'objectif de Kali Linux est de fournir une
distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système
d'information, notamment le test d'intrusion [27].
61
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
62
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Cette figure illustre le lancement d’un scan avec Nmap de kali linux vers la machine
Windows 7 qui se trouve dans le réseau local (192.168.0.2).
On remarque bien que beaucoup d’information sont récolté par Nmap à savoir les ports
ouverts sur la machine cible et la version exacte du système d’exploitation de la machine cible
63
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
ce qui simplifie les attaques par la suite par un pirate, ce teste a été fait avant de configuré
notre pare-feu ce qui laisse beaucoup de possibilité a un pirate d’accédé au réseau et prendre
le contrôle des machines.
Après la configuration de notre pare-feu on remarque que ce genre de scan est bloqué par le
pare-feu ce qui empêché de récolté des informations sur la machine cible et même ignoré la
présence de cette machine sur le réseau (adresse IP)
Cette figure illustre la même commande Nmap de kali linux vers la machine cible Windows 7
mais après la configuration du pare-feu. Comme on la dit avant la machine de l’attaquant va
même ignorer l’existence de cette machine vu la réponse (encadré en orange) de Nmap qui
déclare que aucune machine qui porte l’adresse IP 192.168.0.2 est allumé.
64
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Donc on a bien réussi le blocage de la commande nmap qui utilise plusieurs protocoles pour
récolter des informations sur l’hôte cible.
Ici on va montrer la bonne communication entre les différents réseaux de notre entreprise et
l’accès internet.
WAN DMZ
Figure III.17 : Teste de connexion à partir internet vers notre réseau DMZ
Cette figure illustre que les machines peuvent accéder aux serveurs qui se trouvent sur le
DMZ.
65
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
LAN DMZ
Cette figure illustre que les machines qui se trouvent sur le réseau local de gestion peuvent
accéder aux serveurs qui se trouvent sur le DMZ.
LAN WAN
66
CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
Cette figure illustre que les machines qui se trouvent sur le réseau local peuvent accéder à
internet et que le serveur DNS est bien configuré, car cette requête fait appelle en premier lieu
au serveur DNS pour recevoir l’IP du serveur UMMTO puis on teste notre connexion à ce
serveur.
DMZ LAN
Cette figure illustre que les machines qui s’infiltrent dans la DZM ne peuvent pas accéder au
réseau local de l’entreprise (destination host unreachable).
III.10 Discussion :
67
Conclusion
Le travail que nous avons présenté dans ce mémoire consiste en premier lieu à étudier les
failles de sécurité du réseau du centre CAH d’Algérie Télécom. Cette étude nous a permis de
proposer une nouvelle architecture dont la sécurité est basée assurée par l’utilisation d’un
pare-feu open source qui est Pfsence. Afin de démontrer la fiabilité de notre solution, nous
avons simulé l’architecture réseau sécurisée en utilisant les deux outils GNS3 et VmWare. Le
premier pour schématiser l’architecture réseau et le deuxième pour simuler les différents
équipements composant cette architecture.
L’architecture sécurisée est basée sur l’utilisation d’un pare-feu et la création d’une zone
DMZ. Dans la configuration du pare-feu, nous avons utilisé Pfsence afin de faire le routage et
le filtrage des paquets.
Les tests effectués confirment que la solution de sécurité proposée est satisfaisante. De plus,
les différentes possibilités de configuration proposée par Pfsence démontrent que les firewalls
possèdent de multiples capacités d’utilisation qui peuvent différer en fonction du réseau
étudié.
Ce travail gagnerait davantage une fois le pare-feu testé sur le réseau réel du centre CAH. En
termes de perspectives; la mise en place de plugins qui facilite l’administration de l’IDS Snort
tel que SortSam qui est un plugin de Snort qui fonctionne avec deux parties : le plugin pour
Snort et un agent intelligent qui tourne comme un service sur le firewall. Il permet de bloquer
des adresses IP sur le pare-feu en analysant les alertes relevées par Snort et indiquant aux
agents SnortSam les adresses que ces derniers fournissent au pare-feu afin de les bloquer.
68
Bibliographie
[1] P. F. BONNEFOI, " Cours de Sécurité Informatique ", Université de Limoges, 2012.
[2] S. GHERNAOUTI, " Sécurité Internet, Stratégie et Technologie ", Dunod, Paris, 2000.
[4] : V. REMAZEILLES, " La sécurité des réseaux avec CISCO ", Edition ENI, 2009.
[5] : C. LLORENS, L. LEVIER, D. VALOIS, " Tableaux de bord de la sécurité réseau ",
2ème édition, Eyrolles, paris, 2006.
[7] : A. ALTUNAIJI, " Mise en place d’un réseau sécurisé sous linux", Université Claude
Bernard, Lyon 1, France, novembre 2002.
[13] : A. MARACON, B. FABREJON " Les Firewalls - La sécurité des réseaux ", Eyrol,
1999
[14] :https://wapiti.telecom.lille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesrio
2000/Blick 20Lammari/site/firewall/fontionnement.html.
[15] : M. M. PRONZATO, " Les Firewalls ", 3ème année ingénieurs en Informatique et
Réseaux, 2000, IN : www.igm.univ-mlv.fr
[19] : Anthony Costanzo, Damien Grillat, Lylian Lefrancois. Etude des principaux services
fournis par PfSense. 2009. In: ftp://ftp.udg.co.cu/pub/others/pfsense%20firewall/PFsense.pdf
[24] : Jean- François Carpentier. La sécurité informatique dans la petite entreprise. 2ième
édition, copyright-Edition ENI- Décembre 2012.
L’objectif de ce travail est la mise en place d’un firewall open source. PfSense
comme solution. Ce pare-feu offre un panel de fonctionnalités de type NAT, DHCP,…..etc,
auquel nous avons ajouté de plugins qui facilite l’administration de l’IDS Snort tel que
SortSam qui est un plugin de Snort qui fonctionne avec deux parties : le plugin pour Snort et
un agent intelligent qui tourne comme un service sur le firewall. Il permet de bloquer des
adresses IP sur le pare-feu en analysant les alertes relevées par Snort et indiquant aux agents
SnortSam les adresses que ces derniers fournissent au pare-feu afin de les bloquer.
Mots clé : Firewall, Sécurité réseau, PfSense, DMZ, Snort IDS, Nmap.