KherroubiYounes IdirKrim

République Algérienne Démocratique et Populaire
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

UNIVERSITE Mouloud MAMMERI DE TIZI-OUZOU
FACULTE DE GENIE ELECTRIQUE ET D’INFORMATIQUE

DEPARTEMENT D’ELECTRONIQUE
Mémoire de Fin d’Etudes

De MASTER ACADEMIQUE
Spécialité : Réseaux et télécommunications
Filière : Réseaux et télécommunications
Thème
Mise en œuvre d’une sécurité réseau basée sur
l’utilisation du pare-feu PfSence
Cas : Algérie Télécom de Tizi-Ouzou
Présenté par :
Mr KHERROUBI Younes
Mr IDIR Krim
Mr LAZRI M. Maitre de conférences classe A, UMMTO, Président

Mr OUALLOUCHE F. Maitre de conférences, UMMTO, Encadreur
Mr ALOUACHE D. Maitre de conférences classe B, UMMTO, Membre
Soutenu publiquement le 22/09/2018

Nous tenons à saisir cette occasion et adresser nos sincères
remerciements et nos profondes reconnaissances à Dieu le tout puissant
et miséricordieux qui nous a donné la force et la patience d’accomplir ce
travail.
Nous tenons à remercier Pr F.Ouallouche notre promoteur pour
ses précieux conseils et son orientation ficelée tout au long de notre
recherche, et à remercier notre encadreur Mr A.Tirdin pour leurs
aides précieux durant la période de notre stage. Nos vifs remerciements
vont également aux membres du jury pour l’intérêt qu’ils ont porté à
notre recherche en acceptant d’examiner notre travail et de l’enrichir par
leurs propositions. Enfin, nous tenons également à remercier toutes nos
familles et nos ami(e)s et tous ceux qui ont participé de prés ou de loin
à la réalisation de ce travail.
On a le plaisir de dédier ce travail reflétant notre effort consenti durant
le cursus universitaire à :
Nos chers parents, pour lesquels nulle dédicace ne peut exprimer nos
sincères sentiments, pour leur patience illimitée, leurs encouragements
continus, leur aide, en témoignage de nos profond amour et respect pour
leurs grands sacrifices.
A nos chers frères et sœurs pour leur grand amour et leur soutien;
qu’ils trouvent ici l’expression de notre haute gratitude.
A Toutes nos familles sans exception, à tous nos chers amis(e) pour
leurs encouragements, et à tous ceux qu’on aime.
A tous nos enseignants.
A tous le personnel du département Génie Electrique Et
Informatique.
A toutes les personnes qui nous ont apporté de l’aide.
Sommaire
Introduction …………………………………………………………………………...……...01
Chapitre I : Généralités sur la sécurité………………………………………………………..03
I.1 Préambule…..………………………………………………………………………….….03
I.2 Sécurité informatique…………………………………………………………………..….03
I.3 Objectifs de la sécurité informatique…………………………………………………..….03
I.3.1 La confidentialité…...………………………………………………………………..….03
I.3.2 L’authentification……………………………………………………........................….04
I.3.3 L’intégrité…...……………………………………………………………………….….04
I.3.4 La non-répudiation……....................................................................................................05
I.3.5 Disponibilité……………………………………………………………………….……05
I.4 Terminologie de la sécurité informatique ……………………………………………..….05
I.4.1 Vulnérabilité……………………………………………………………………….……05
I.4.2 Attaque…………………………………………………………………………..………06
I.4.2.1 Les différentes étapes d’une attaque………………………………………………..…06
I.4.2.2 Les attaquants………………………………………………………………………....07
I.4.2.3 Les différents types d’attaques………………………………………………………..07
I.4.2.4 Quelques techniques d’attaque…………………………………….. ...........................09
I.4.3 Les menace……………………………………………………………...........................11
I.4.4 Les risque……………………………………………………………………………..…12
I.5 La politique de sécurité informatique……...……………………………………………...12
I.5.1 But de la politique d’application………………………………………………………...12

I.5.2 Périmètre et domaine d’application……...…………………………………………..….12
I.5.3 Utilisation des ressources informatiques et accès utilisateurs…………………………..13
I.5.4 Contrôles…………………………………………………………………………….......13
I.5.5 Mesures en cas de violation…………………………………………………………..…13
I.5.6 Communication……………………………………………………………………….....13
I.5.7 Rôles et responsabilités……………………………………………………………….....14
I.6 Mécanismes de sécurité…………………………………………………...........................14
I.6.1 Mécanismes de défense…………………………………………………………………14
I.7 La sécurité des réseaux informatiques………………………………………………….....16
I.7.1 Les listes de contrôles d’accès (ACL)…………………………………..........................16
I.7.1.1 L’intérêt d’utiliser des ACL…………………………………………………………...17
I.7.1.2 Les types des listes contrôles d’accès……………………………. …………………..18
I.7.2 Proxy…………………………………………………………………….........................19
I.7.3 VLAN (Virtual Local Area Network)…………………………………………………..20
I.7.3.1 Définition……………………………………………………………………………...20
I.7.3.2 Typologies des VLANs……………………………………………………………….20
I.7.4 Cryptographie…………………………………………………………………………..22
I.7.5 Virtual Private Network (VPN)………………………………………............................24
I.8 Discussion……………………………………………………………................................25
Chapitre II : Architectures de pare-feu……………………………………………………..…26
II.1 Préambule………………………………………………………………………………...26
II.2 Firewall………………………………………………………………………………..….26
II.3Utilité d’un firewall…………………………………………….........................................27
II.4 De quoi ne protège pas un firewall……………………………………………………….27
II.5 Principe de fonctionnement……………………………………………............................28
II.5.1 Filtre de paquets………………………………………………………………………..28
II.5.2 Passerelle…………………………………………………………………………….....29
II.6 Différentes catégories de firewall……………………………………………………..….30
II.6.1 firewall sans états (stateless)…………………………………………...........................30
II.6.2 Firewall à états (stateful)……………………………………………………….………30
II.6.3 Firewall authentifiant…………………………………………………………………..32
II.6.4 Firewall personnel……………………………………………………...........................32
II.7 Types d’architectures……………………………………………………………….……32
II.7.1 Firewall avec routeur de filtrage…………………………………………………..……32
II.7.2 Passerelle double- le réseau bastion…………………………………………………....33
II.7.3 Firewall avec réseau de filtrage………………………………………...........................34
II.7.4 Firewall avec sous-réseau de filtrage…………………………………………………..35
II.8 Zone démilitarisée (DMZ)………………………………………………………………..37
II.8.1 Firewall avec zone démilitarisée……………………………………………………….37
II.9 Discussion………………………………………………………………..........................38
CHAPITRE III : implémentation d’un pare-feu……………………………………………...39
III.1Préambule………………………………………………………………………………...39
III.2 Présentation de l’organisme d’accueil ……………………………………………….…39
III.2.1 Présentation d’Algérie Télécom…………………………………………………….....39
III.2.2 Missions et objectifs d’Algérie Télécom……………………………………………...40
III.2.2.1 Missions……………………………………………………………………………..40
III.2.2.2 Objectifs………………………………………………………………………..……40
III.2.3 Taches dévolues au personnel technique……………………………………………...40
III.3 Présentation du projet ………………………………………………………………..….41
III.3.1 Analyse concurrentielle ……………………………………………….........................41
III.4 Conception et réalisation du réseau sécurisé …………………………………………....43
III.4.1 Les outils utilisés ……………………………………………………………………...43
III.4.1.1 Présentation de VMware Workstation ……………………………………………...43
III.4.1.2 Présentation de PfSense ………………………………………………………….…43
III.4.1.3 Présentation de gns3 ………………………………………………………………...44
II.4.1.3.1 définition d’un gns3………………………………………………...........................44
II.4.1.3.2 Objectif de GNS3…………………………………………………..........................45
II.4.1.3.3 Description de l’interface graphique de l’émulateur GNS3………………………..46
III.4.1.4 Présentation de FreeBSD …………………………………………………………...47
III.5 Architecture Initiale du réseau…………………………………………………………..47
III.6 Installation et Configuration basique de PfSense sous VMware ……………………….48
III.6.1 Installation de PfSense ………………………………………………………………..48
III.6.2 Configuration basique de PfSense…………………………………………………….51

III.7 L’architecture sécurisé ………………………………………………………………….54
III.7.1DMZ ………………………………………………………………...............................54
III.7.2 PARE-FEU ……………………………………………………………………………54
III.7.2.1 Fonctionnement d'un système pare-feu ……………………………………………..54
III.7.3 IDS ……………………………………………………………………........................55
III.8 Architecture finale du réseau……………………………………………........................56
III.9 Test de la solution proposée……………………………………………………………..61
III.9.1 Les outils de tests utilisés ……………………………………………………………..61
III.9.1.1 Nmap…………………………………………………………………………...……61
III.9.1.2 Kali linux………………………………………………………………………….....61
III.9.2 Teste de scan avant et après la configuration……………………………………….....62
III.9.3 Teste de connexion entre les réseaux avant et après la configuration du pare-feu……65
III.10 Discussion……………………………………………………………………………...67
Conclusion …………………………………………………………………………………...68
Liste des figures
Figure I.1 : Attaque directe………………………………………………………………….…7
Figure I.2 : Les attaques indirectes par rebond………………………………………………...8
Figure I.3 : Les attaques indirectes par réponse…………………………..................................9
Figure I.4 : ACL……………………………………………………………………………....17
Figure I.5 : proxy……………………………………………………………………………..19
Figure I.6 : VLAN par port…………………………………………………………………...21
Figure I.7 : VLAN par adresse IEEE………………………………………………………....21
Figure I.8 : Cryptographie symétrique……………………………………………..…………23
Figure I.9 : Cryptographie asymétrique……………………………………………..…….….23
Figure I.10 : VPN……………………………………………………………………………..25
Figure II.1 : Firewall représenté par un mur entre un ordinateur et l’Internet………………..26
Figure II.2 : Firewall avec routeur de filtrage………………………………………………...33
Figure II.3 : La passerelle double…………………………………………………………..…34
Figure II.4 – Firewall avec réseau de filtrage……………………………………………..…..34
Figure II.5 : Firewall avec sous-réseau de filtrage………………………………………..…..36
Figure II.6 : Firewall avec DMZ……………………………………………………………...37
Figure III.1 : GNS3…………………………………………………………...........................45
Figure III.2 : Interface graphique de l’émulateur GNS3………………………………..…….46
Figure III.3 : Architecture réseau initiale………………………………………………..……47
Figure III.4 : Machine virtuelle………………………………………………………..……...49
Figure III.5 : PfSense : assignation de l’interface WAN et LAN et DMZ………………..….50

Figure III.6 : Pfsense installation terminée…………………………………………………...50
Figure III.7 : Page d’identification de PfSense……………………………………………….51
Figure III.8 : L’interface web d’accueil de pfsense après la configuration basique …....……52
Figure III.9 : L’interface web pour la configuration générale du serveur.................................53
Figure III.10 : Architecteur réseau finale………………………………………………..……57
Figure III.11 : La liste des règles associé à l’interface LAN………………………...……....58
Figure III.12 : La liste des règles associé à l’interface DMZ…………………………………58
Figure III.13 : Les paramètres de configuration du module snort………………………….....60
Figure III.14 : Les paramètres finaux de snort et les buttons démarrage/redémarrage/arrêt....61
Figure III.15 : Teste de scan avant la sécurisation…..…………………………………..……62
Figure III.15 : Suite de teste de scan avant la sécurisation…..…………...……………..……63
Figure III.16: Teste de scan après la sécurisation……..………………………………..….....64
Figure III.17 : Teste de connexion à partir internet vers notre réseau DMZ………………...65
Figure III.18 : Teste de connexion à partir du LAN vers DMZ……………...........................66
Figure III.19 : Teste de connexion à partir du LAN vers WAN……………..........................66
Figure III.20 : Teste de connexion à partir du DMZ vers LAN……………...........................67

Liste des tableaux
Tableau III.1 : L’étude comparative de PfSense et IPCOP…………………………………...42
Tableau III.2 : Table d’adressage……………………………………………………………..50

Liste des abréviations
ACL: Access Control List
ASA : Adaptive Security Appliance
ATM : Asynchronous Transfer Mode
BSD : Berkeley Software Distribution
CAH : Centre d’Amplification Hertzien
CPU : Central Processing Unit
DES : Data Encryption Standard (cryptage).
DHCP : Dynamic Host Aucune entrée de table d'illustration n'a été trouvée.
DMZ : DeMilitarized Zone
DNS : Domain Name System
DoS : Denial Of Service
FTP : File Transfer Protocol
GNS3 : Graphical Network Simulator
GNU : Gnu’s Not Unix
HTML : Hyper Text Markup Language
HTTP: Hyper Text Transfer Protocol
H-IDS : Host Based Intrusion Detection Système
IDS : Intrusion Detection Système
IEEE : Institute of Electronic and Electronics Engineers
IOS : InternetWork Operating Système

IP: Internet Protocol
IPS : Intrusion Prevention Systeme
IPSec : Internet Protocol Security
IPX : Internetwork Packet Exchange
LAN : Local Area Network
L2TP : Layer 2 Tunneling Protocol
MAC: Access Control
NAT : Network Address Translation
NMAP : Network Mapper
NTP : Network Time Protocol
N-IDS : Network Based Intrusion Detection Système
OSI : Open Système Interconnexion
PF : Packet Fiter
PfSense : Packet Filter Sense
PIX : Private Internet Exchange
PPTP : Point-to-Point Tunneling Protocol
QoS : Qualité De Service
SI : Spring Integration
SMTP : Simple Mail Transport Protocol
SNMP : Simple Network Mransfert Protocol
SQL : Structured Query Language
SSL : Secur Sockets Layer

SYN : SYNcronize
TELNET : TELe communication NETwork
TCP : Transmission Control Protocol
UDP : User Data Protocol
URL : Uniform Resource Locator
VLAN : Virtuel Local Area Network
VMWare : Virtual Machine
VPN : Virtual Private Network
WAN : Wide Area Network
XSS : Cross-Site Scripting

Introduction
L’accroissement des trafics en télécommunication révèle les besoins grandissants d'échanges

de données que ce soit dans le domaine privé ou professionnel. Ces échanges de données
imposent une ouverture des systèmes d'information vers l'environnement extérieur via le
réseau Internet. Toutefois, cette ouverture entraine une dépendance des entreprises et des
personnes vis-à-vis des différents services qu'offre Internet. Ainsi conjuguées, cette ouverture
et cette dépendance rendent l'entreprise vulnérable aux différents risques.
La sécurité réseau est devenue un sujet de recherche très intense [1] ; [2]. Ces recherches ont
permis le développement de certains dispositifs de protection des systèmes informatiques et
des réseaux tel que les pare-feu, les antivirus, les systèmes de cryptographie, …etc.
Dans le cadre de notre projet de fin d’études nous avons effectué un stage au niveau du centre
CAH de Tizi-Ouzou de l’entreprise Algérie Télécom. L’objectif est d’étudier les failles de
sécurité du réseau informatique de ladite entreprise puis d’implémenter une architecture
sécurisée.
La solution de sécurité proposée repose sur l’utilisation d’un pare-feu. Ce dernier, appelé
aussi ‘‘coupe-feu’’, ‘‘garde-barrière’’ ou ‘‘firewall’’ en anglais, est un système permettant de
protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers
ou externe (Internet). Ce système permettant de filtrer les paquets de données échangés avec
le réseau. Il s’agit ainsi d’une passerelle filtrante comportant au minimum les interfaces
réseau suivantes :
 Une interface pour le réseau à protéger (réseau interne).
 Une interface pour le réseau externe.
Le présent mémoire est structuré en trois chapitres :

 Le premier chapitre est consacré aux généralités sur les réseaux, la sécurité
informatique et la nécessité de la mise en œuvre d’une sécurité au sein d’un réseau
informatique.
 Dans le deuxième chapitre, nous présenterons les Firewalls, leurs principes de
fonctionnement et leurs emplacements dans une architecture réseau.
1
 Le troisième chapitre est consacré à présenter des défaillances du réseau de départ puis la
solution proposée. De plus, nous présenterons les outils de simulation utilisée et les
configurations nécessaires de PfSence. La dernière partie du chapitre est destiné à
donner les tests de bon fonctionnement de la solution.
Nous terminons notre mémoire par une conclusion et une bibliographie.
2
CHAPITRE I
Généralités su la sécurité.
CHAPITRE I : GENERALITES SUR LA SECURITE
I.1 Préambule :
La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des
réseaux d’entreprises ainsi que pour les particuliers toujours plus nombreux à se connecter à
Internet. Les réseaux sont toujours devant des menaces. Il y a de plus en plus de techniques
pour les protéger, mais il y a aussi de plus en plus de techniques pour les attaquer.
Au long de ce chapitre nous allons présenter d’abord les mesures et les techniques de sécurité,
les étapes d’une mise en œuvre d’une politique de sécurité, ensuite les différents types
d’attaque qui peuvent nuire à un système et enfin les différents mécanismes de sécurité pour
permettre la protection des données et des ressources et d’assurer le bon fonctionnement du
système.
I.2 Sécurité informatique :
La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une
organisation sont uniquement utilisées dans le cadre prévu.
Nous allons maintenant parler de la sécurité informatique, ses objectifs et de son impact sur
les réseaux [3].
I.3 Objectifs de la sécurité informatique :
Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient

de protéger.
La sécurité des systèmes d’information vise à assurer les propriétés suivantes [3] :
I.3.1 La confidentialité :
La confidentialité est la protection contre les attaques passives des données transmises.
Plusieurs niveaux de protection de la confidentialité sont envisageables. Le service le plus
général protège toutes les données transmises entre deux utilisateurs pendant une période
donnée. Des formes restreintes de ce service peuvent également être définies, incluant la
protection d’un message élémentaire ou même de champs spécifiques à l’intérieur d’un
3
message. Un autre aspect de la confidentialité est la protection du flot de trafic contre
l’analyse. Cela requiert qu’un attaquant ne puisse observer les sources et destinations, les
fréquences, longueurs ou autres caractéristiques du trafic existant sur un équipement de
communication.
I.3.2 L’authentification :
Le service d’authentification permet évidemment d’assurer l’authenticité d’une

communication. Dans le cas d’un message élémentaire, tel un signal d’avertissement,
d’alarme, ou un ordre de tir, la fonction du service d’authentification est d’assurer le
destinataire que le message a bien pour origine la source dont il prétend être issu. Dans le cas
d’une interaction suivie, telle une connexion d’un terminal à un serveur, deux aspects sont
concernés.
En premier lieu, lors de l’initialisation de la connexion, il assure que les deux entités sont
authentiques (c’est-à-dire, que chaque entité est celle qu’elle dit être). Ensuite, le service dont
assurer que la connexion n’est pas perturbée par une tierce partie qui pourrait se faire passer
pour une des deux entités légitimes à des fins de transmissions ou de réceptions non
autorisées.
I.3.3 L’intégrité :
À l’instar de la confidentialité, l’intégrité s’applique à un flux de messages, un seul message,

ou à certains champs à l’intérieur d’un message. Là encore, la meilleure approche est une
protection totale du flux. Un service d’intégrité orienté connexion, traitant un flot de
messages, assure que les messages sont reçus aussitôt qu’envoyés, sans duplication, insertion,
modification, réorganisation ou répétition.
La destruction de données est également traitée par ce service. Ainsi, un service d’intégrité
orienté connexion concerne à la fois la modification de flux de messages et le refus de service.
D’un autre côté, un service d’intégrité non orienté connexion, traitant des messages
individuels sans regard sur un contexte plus large, fournit généralement une protection contre
la seule modification de message.
4
I.3.4 La non-répudiation :
La non-répudiation empêche tant l’expéditeur que le receveur de nier avoir transmis ou reçu
un message. Ainsi, lorsqu’un message est envoyé, le receveur peut prouver que le message a
bien été envoyé par l’expéditeur prétendu. De même, lorsqu’un message est reçu, l’expéditeur
peut prouver que le message a bien été reçu par le receveur prétendu.
I.3.5 Disponibilité :
De nombreuses attaques peuvent résulter en une perte ou une réduction de la disponibilité

d’un service ou d’un système. Certaines de ces attaques sont susceptibles d’être l’objet de
contre-mesures automatiques, telle que l’authentification et le chiffrement, alors que d’autres
exigent une action humaine pour prévenir ou se rétablir de la perte de disponibilité des
éléments d’un système.
I.4 Terminologie de la sécurité informatique :
I.4.1 Vulnérabilité :
Le terme "vulnérabilité" définit toutes les failles d’un système informatique pouvant être
exploitées par des menaces à des fins malveillantes.
Beaucoup trop nombreuses pour être cités de manière exhaustive, on peut cependant les
classer dans trois catégories différentes [4].
•Les vulnérabilités de management : la mauvaise gestion d’un système informatique peut

entraîner des vulnérabilités dans celui-ci. Ces vulnérabilités seront par la suite utilisées par
des menaces pour endommager notre système.
•Les vulnérabilités physiques : c'est-à-dire les accidents, les pannes ou les dégradations
volontaires de matériels.
•Les vulnérabilités technologiques : c'est la catégorie de vulnérabilités la plus conséquente,

car elle comprend toutes les failles liées à l'utilisation des logiciels, des applications ainsi qu'à
celle de nouveaux produits.
5
I.4.2 Attaque :
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une

attaque. Ces attaques sont pour la plupart lancées automatiquement à partir de machines
infectées (par des virus, chevaux de Troie, vers, etc.), à l’insu de leur propriétaire. Plus
rarement il s’agit de l’action de pirates informatiques [5].
Une attaque est l’exploitation d’une vulnérabilité d’un système informatique (système
d’exploitation, logiciel ou bien même de l’utilisateur) par des actions que se soit accidentelles,
malveillantes ou intentionnelles.
I.4.2.1 Les différentes étapes d’une attaque :
La plupart des attaques, de la plus simple à la plus complexe fonctionnent suivant le même
schéma :
Identification de la cible : Cette étape est indispensable à toutes attaques organisées,

elle permet de récolter un maximum de renseignements sur la cible en utilisant des
informations publiques et sans engager d’actions hostiles. On peut citer par exemple
l’interrogation des serveurs DNS (Domain Name Serveur).
Le scanning : l’objectif est de compléter les informations réunies sur une cible visées.
Il est ainsi possible d’obtenir les adresses IP utilisées, les services accessibles de
même qu’un grand nombre d’informations de topologie détaillée.
L’exploitation : Cette étape permet à partir des informations recueillies d’exploiter les
failles identifiées sur les éléments de la cible, que ce soit au niveau protocolaire, des
services et applications ou des systèmes d’exploitation présents sur le réseau.
La progression : Il est temps pour l’attaquant de réaliser son objectif. Le but ultime
étant d’élever ses droits vers root (administrateur) sur un système afin de pouvoir y
faire tout ce qu’il souhaite.
6
I.4.2.2 Les attaquants :
Avant de présenter les attaques informatiques, nous allons définir les deux principales notions
de l’attaquant :
• Les Hackers : Ils sont moins dangereux, car ils sont considérés comme des personnes qui
s’introduisent dans un système pour y poser des actes qui ne lui sont pas autorisées pour
consulter ou modifier des données et des programmes communiques aux frais d’autres
utilisations sans motivation réelle c’est surtout un ”passe-temps ”.
• Les Crackers : Les plus dangereux parmi les pirates informatiques. Leur rôle est ” craquer ”
(forcer) les réseaux informatiques des entreprises ou des administrations. Ils ont des
motivations criminelles par pur vandalisme ou part des intérêts financiers.
I.4.2.3 Les différents types d’attaques :
Les attaques peuvent être regroupées en trois familles différentes :
• Les attaques directes

C’est la plus simple des attaques. Le hacker attaque directement sa victime à partir de son
ordinateur. En effet, les programmes de hack qu’ils utilisent ne sont que faiblement
paramétrable.et un grand nombre de ces logiciels envoient directement les paquets a la
victime.
Figure I.1 : Attaque directe
7
•Les attaques indirectes par rebond

Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages :
– Masquer l’identité (l’adresse IP) du hacker.
– Utiliser les ressources de l’ordinateur intermédiaire car il est plus puissant (CPU, bande
passante) pour réaliser son attaque.
Le principe en lui même, est simple : les paquets d’attaque sont envoyés à l’ordinateur
intermédiaire, qui répercute l’attaque vers la victime. D’ou le terme de rebond.
Figure I.2 : Les attaques indirectes par rebond
•Les attaques indirectes par réponse

Cette attaque est un dérivé par rebond. Elle offre les mêmes avantages, du point de vue du
hacker. Mais au lieu d’envoyer une attaque à l’ordinateur intermédiaire pour qu’il la
répercute, l’attaquant va lui envoyer une requête et c’est cette réponse à la requête qui va être
envoyé à l’ordinateur victime.
8
Figure I.3 : Les attaques indirectes par réponse
I.4.2.4 Quelques techniques d’attaque :
Il existe un grand nombre d’attaques qui peuvent intervenir à chaque composant du système
informatique mais généralement elle touche la couche réseau, le système d’exploitation, et la
couche application, pour vue qu’il existe une vulnérabilité exploitable. En voici quelques
techniques les plus utilisées :
1. Le sniffing (Espionnage du réseau local) :

Cette attaque est utilisée pour obtenir des mots de passe en interceptant tous les paquets qui
circulent sur un réseau et ceci en configurant l’interface réseau de la station dans un mode
spécial, qui permet de recevoir toutes les trames qui circulent sans pour autant en être le
destinataire. Il est alors possible de récupérer par exemple les comptes des utilisateurs
utilisant FTP ou Telnet.
2. Le craquage de mots de passe :

Le craquage consiste à faire de nombreux essais pour trouver le bon mot de passe. Il existe
deux grandes méthodes :
• L’utilisation de dictionnaires : Le mot testé est pris dans une liste prédéfinie contenant les
mots de passe les plus courants et aussi des variantes de ceux-ci.
Utilitaire permettant l’utilisation de programmes sur des machines distantes (par exemple via
le réseau internet).
9
• La méthode brute : Toutes les possibilités sont faites dans l’ordre pour trouver la bonne
solution.
3. Les attaques par saturation (déni de service) :

Cette technique d’attaque consiste à envoyer des milliers de messages depuis des dizaines
d’ordinateurs dont le but de paralyser un site pendant quelques heures, et d’en bloquer ainsi
l’accès aux internautes. Il existe différentes attaques par saturation, parmi ces attaques :
Le flooding : Cette attaque consiste à envoyer à une machine de nombreux paquets IP

de grosse taille. La machine cible ne pourra donc pas traiter tous les paquets et finira
par se déconnecter du réseau.
Le smurf : Le smurf est une attaque qui s’appuie sur le ping (Packet InternetGroper)
et les serveurs de broadcast. On falsifie d’abord son adresse IP pour se faire passer
pour la machine cible. On envoie alors un ping sur un serveur de broadcast. Il le fera
suivre à toutes les machines qui sont connectées qui renverront chacune une réponse
au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les
paquets et finira par se déconnecter.
4. Le débordement de tampon :
Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données
d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et
rassemblé par la machine cible.
A ce moment, il y aura débordement des variables internes.
5. L’IP spoofing :
Cette technique permet de s’infiltrer dans un ordinateur en falsifiant son adresse IP, en se
faisant passer pour un autre en qu’il a confiance. Il existe des variantes car on peut faire
spoofing aussi des adresses e-mail, des serveurs DNS.
10
I.4.3 Les menace :
La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un

système informatique. En termes de sécurité informatique les menaces peuvent être le résultat
de diverses actions en provenance de plusieurs origines [5]:
• Origine opérationnelle:
Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat
d’un bug logiciel, d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL
injection), d’un dysfonctionnement de la logique de traitement ou d’une erreur de
configuration
• Origine physique:
Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer notamment les
désastres naturels, les pannes ou casses matérielles, le feu ou les coupures électriques.
• Origine humaine:
Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la
conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi
elles peuvent être le résultat d’une erreur de conception ou de configuration comme d’un
manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un système
informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des
systèmes d’information.
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en

instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses
à la fois organisationnelles et technologiques.
11
I.4.4 Les risque :
Un risque désigne la probabilité d’un événement dommageable ainsi que les coûts qui
s’ensuivent, le risque dépend également des montants des valeurs à protéger [4]
I.5 La politique de sécurité informatique :
«L'information s'impose comme un capital des plus précieux pour l'Organisation.»

Le système d'information(SI), constitué de moyens informatiques, est essentiel à l'activité de
l'organisation.
L'utilisation inappropriée du SI, ou son mauvais fonctionnement peuvent menacer l'existence
de l'organisation.
En analysant et définissant les risques, l'on peut construire une politique de sécurité du SI,
définissant le cadre d'utilisation des moyens informatiques [6].
I.5.1 But d’une politique de sécurité :
La politique de sécurité informatique fixe les principes visant à garantir la protection des
ressources informatiques et de télécommunications en tenant compte des intérêts de
l'organisation et de la protection des utilisateurs.
Les ressources informatiques et de télécommunications doivent être protégées afin de garantir

confidentialité, intégrité et disponibilité des informations qu'elles traitent, dans le respect de la
législation en vigueur.
I.5.2 Périmètre et domaine d'application :
La politique de sécurité informatique s'applique à toute personne utilisant les ressources

informatiques et de télécommunications de l'organisation.
L'utilisation des ressources informatiques et de télécommunications est étendue au matériel

personnel connecté au réseau informatique, dans la mesure où une telle connexion aura été
dument autorisée.
12
I.5.3 Utilisation des ressources informatiques et accès utilisateurs :
Les ressources informatiques et de télécommunications sont destinées à un usage strictement

professionnel. L'autorisation éventuelle de leur utilisation à des fins personnelles est définie
dans les règles de procédures spécifiques à chacune des ressources telles que la messagerie
électronique, internet, la téléphonie, etc dans la mesure où elle n'est pas déjà autorisée par le
droit en vigueur.
Les ressources informatiques et de télécommunications autorisées sont définies de manière

exhaustive par l'organe compétent désigné.
Toute utilisation ou accès aux ressources informatiques et de télécommunications sont soumis
à autorisation préalable et explicite. L'autorisation est strictement personnelle, liée à la
fonction et intransmissible. Pour des raisons de sécurité ou d'exploitation, celle-ci peut être
suspendue ou révoquée selon la procédure spécifiquement édictée à cette fin.
Toute utilisation d'une information doit respecter la confidentialité de cette dernière, en se
conférant aux lois, règlement ou directives internes en vigueur.
I.5.4 Contrôles :
Autant que possible, des dispositifs de prévention sont mis en place pour éviter les utilisations
abusives des ressources informatiques et de télécommunications.
Les contrôles destinés à assurer le bon usage de ces ressources devront être effectués dans le
respect des règles de la protection de la vie privée.
I.5.5 Mesures en cas de violation :
La violation volontaire ou par négligence grave des règles issues de la présente politique de
sécurité peut entrainer la prise par le service compétent, de mesures technologiques et
organisationnelles permettant d'éviter la répétition de la violation. Sauf cas d'urgence, la
personne concernée, ou son répondant est préalablement entendue.
I.5.6 Communication :
La politique de sécurité informatique de l'organisation, ainsi que les règles et procédures qui
en découlent sont communiquées à l'ensemble du personnel, et font partie intégrante du statut
13
du personnel (règlement intérieur), ainsi qu'aux intervenants extérieurs avant leur première
intervention.
I.5.7 Rôles et responsabilités :
–L'organe compétent édicte les règles et procédures relatives à l'utilisation des différentes
ressources informatiques et de télécommunications nécessaires à la concrétisation de la
présente politique de sécurité informatique.
–Les responsables de chaque service sont responsables du bon respect, par les utilisateurs, de
la politique de sécurité informatique, ainsi que des règles et procédures de sécurité.
–L'organe compétent en la matière vérifie la bonne application des règles et procédures.
–Les utilisateurs doivent assurer la confidentialité, intégrité et disponibilité des ressources

informatiques qu'ils utilisent.
I.6 Mécanismes de Sécurité :
Un mécanisme qui est conçu pour détecter, prévenir et lutter contre une attaque de sécurité
[7].
I.6.1 Mécanismes de défense :
• Chiffrement : algorithme généralement basé sur des clefs et transformant les données. Sa
sécurité est dépendante du niveau de sécurité des clefs.
•Signature numérique : données ajoutées pour vérifier l'intégrité ou l'origine des données.
•Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au niveau

du volume du trafic.
•Notarisation : utilisation d’un tiers de confiance pour assurer certains services de sécurité.
14
•Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas
l'exploitation d'une vulnérabilité.
•Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement
exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou
contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le faire.
• Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les

communications qui le traversent. Il a pour fonction de faire respecter la politique de sécurité
du réseau, celle-ci définissant quels sont les communications autorisés ou interdits.
N'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer le système. Ne
protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas).
•Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé.
Ne détecte pas les accès incorrects mais autorisés par un utilisateur légitime. Mauvaise
détection : taux de faux positifs, faux négatifs.
• Journalisation ("logs") : Enregistrement des activités de chaque acteur. Permet de
constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte
qu'elles ne se reproduisent pas.
•Analyse des vulnérabilités ("security audit") : identification des points de vulnérabilité du

système. Ne détecte pas les attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu.
• Contrôle du routage : sécurisation des chemins (liens et équipements d'interconnexion).
• Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par
des acteurs autorisés. Par VPN ou tunnels.
• Horodatage : marquage sécurisé des instants significatifs.
• Certification : preuve d'un fait, d'un droit accordé.
•Distribution de clefs : distribution sécurisée des clefs entre les entités concernées.
15
• Authentification : Authentifier les utilisateurs, c’est–à-dire de leur demander de s’identifier

à l’aide d’un nom d’utilisateur et d’un mot de passe par exemple.
– Dans le domaine des communications, on authentifie l'émetteur du message. Si l'on

considère les (deux) extrémités d'une communication il faut effectuer un double
authentification
• Par ex. pour lutter contre le "phishing"
– L'authentification est nécessaire au bon fonctionnement des autres mécanismes.
•La protection physique : peut fournir une protection totale, mais qui peut être excessive. Il
peut s’agir par exemple d’isoler complètement son système.
I.7 La sécurité des réseaux informatiques
La sécurité des réseaux consiste à mettre en place des moyens en vue de garantir les
propriétés de sécurité concernant des données critiques d’une entreprise, ainsi que de faire
appliquer les règles définies dans une politique de sécurité, parmi lesquelles nous trouvons
[8]:
I.7.1 Les listes de contrôles d’accès (ACL) :
Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées généralement
au trafic circulant via une interface de routeur (Figure I.4).
16
Figure I.4 : ACL
Ces listes indiquent au routeur les types de paquets à accepter ou à rejeter. L’acceptation et le
refus peuvent être basés sur des conditions précises. Les ACL permettent de gérer le trafic et
de sécuriser l’accès d’un réseau en entrée comme en sortie.
Des listes de contrôle d’accès peuvent être créées pour tous les protocoles routés, tels que les
protocoles IP (Internet Protocol) et IPX (Internet work Packet Exchange). Des listes de
contrôle d’accès peuvent également être configurées au niveau du routeur en vue de contrôler
l’accès à un réseau ou à un sous-réseau [9].
I.7.1.1 l’intérêt d’utiliser des ACL :
Voici les principales raisons pour lesquelles il est nécessaire de créer des listes de contrôle
d’accès:
Limiter le trafic réseau et accroître les performances. En limitant le trafic vidéo, par
exemple, les listes de contrôle d’accès permettent de réduire considérablement la charge
réseau et donc d’augmenter les performances.
17
Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si
aucune mise à jour n’est requise en raison des conditions du réseau, la bande passante est
préservée.
Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès
permettent à un hôte d’accéder à une section du réseau tout en empêchant un autre hôte
d’avoir accès à la même section.
Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du
routeur. Il est possible d’autoriser l’acheminement des messages électroniques et de bloquer
tout le trafic via Telnet.
Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un
réseau.
Filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau.
Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels
que FTP ou HTTP.
I.7.1.2 Les types des listes contrôles d’accès :
Il existe trois types d’ACL que voici :
a. Listes de contrôle d’accès standard : Les listes d’accès standard vérifient l’adresse
d’origine des paquets IP qui sont routés. Selon le résultat de la comparaison, l’acheminement
est autorisé ou refusé pour un ensemble de protocoles complet en fonction des adresses
réseau, de sous-réseau et d’hôte.
b. Listes de contrôle d’accès étendues : Les listes d’accès étendues sont utilisées plus
souvent que les listes d’accès standard car elles fournissent une plus grande gamme de
contrôle. Les listes d’accès étendues vérifient les adresses d’origine et de destination du
paquet, mais peuvent aussi vérifier les protocoles et les numéros de port. Cela donne une plus
grande souplesse pour décrire ce que vérifie la liste de contrôle d’accès. L’accès d’un paquet
peut être autorisé ou refusé selon son emplacement d’origine et sa destination, mais aussi
selon son type de protocole et les adresses de ses ports.
18
c. Listes de contrôle d’accès nommées : Les listes de contrôle d’accès nommées IP ont été
introduites dans la plate-forme logicielle Cisco IOS version 11.2, afin d’attribuer des noms
aux listes d’accès standard et étendues à la place des numéros.
I.7.2 Proxy :
Un système mandataire (Proxy) (Figure I.5) repose sur un accès à l'internet par une machine
dédiée: le serveur mandataire ou Proxy server joue le rôle de mandataire pour les autres
machines locales, et exécute les requêtes pour le compte de ces dernières [10].
Un serveur mandataire est configuré pour un ou plusieurs protocoles de niveau applicatif

(http, FTP, SMTP, etc.) et permet de centraliser, donc de sécuriser, les accès extérieurs
(filtrage applicatif, enregistrement des connexions, masquage des adresses des clients, etc.).
Les serveurs mandataires configurés pour http permettent également le stockage de pages web
dans un cache pour accélérer le transfert des informations fréquemment consultées vers les
clients connectés.
Figure I.5: Proxy
19
I.7.3 VLAN (Virtual Local Area Network) :
Dans un réseau local la communication entre les différentes machines est régie par
l’architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s’affranchir des
limitations de l’architecture physique (contraintes géographiques, contraintes d’adressage, ...)
en définissant une segmentation logique (logicielle) basée sur un regroupement de machines
grâce à des critères (adresses MAC, numéros de port, protocole, etc.) [9].
I.7.3.1 Définition :
Les réseaux virtuels (VLAN) sont apparus comme une nouvelle fonctionnalité dans
l’administration réseau avec le développement des commutateurs. La notion de VLAN est un
concept qui permet de réaliser des réseaux de façon indépendante du système de câblage. Ces
réseaux permettent de définir des domaines de diffusions restreints, cela signifie qu’un
message émis par une station du VLAN ne pourra être reçu que par les stations de ce même
VLAN. Un VLAN, est donc, un regroupement logique, et non physique, de plusieurs stations.
Pour réaliser ce regroupement, on intervient directement, par voie logicielle, sur le ou les
éléments actifs qui sont les commutateurs
VLAN. Les VLAN offrent une solution pour regrouper les stations et les serveurs en
ensembles indépendants, de sorte à assurer une bonne sécurité des communications.
I.7.3.2 Typologies des VLANs :
Les VLANs différent selon les informations utilisées pour regrouper les stations. Il en existe
trois modèles :
1. VLAN par port :

Dans ce modèle, chaque port d’un commutateur est attribué à un VLAN. Toutes les stations
connectées à un port appartiennent au VLAN correspondant. Lorsqu’une station est déplacée
sur un autre port, celui-ci est également attribué au VLAN de la station. De même, si une
station change de VLAN, le port auquel elle est connectée est attribué à son nouveau VLAN
(figure I.6).
Les VLAN par ports sont facile à mettre en place et offrent une bonne flexibilité en utilisant le
protocole DHCP (Dynamic Host Configuration Protocol) cependant tout déplacement d’une
station nécessite une reconfiguration des ports (Manque de souplesse).
20
Figure I.6 : VLAN par port
2. VLAN par Adresse IEEE

Un VLAN par adresse IEEE, ou VLAN de niveau 2 est constitué en associant les adresses
MAC (intégrée sur la carte réseau) des stations à chaque VLAN (figure I.7). Les VLANs de
niveau 2 Permettent une sécurité au niveau de l’adresse MAC, c’est à dire qu’un pirate
souhaitant se connecter sur le VLAN devra au préalable récupérer une adresse MAC du
VLAN pour pouvoir entrer mais l’inconvénient est la nécessité de maintenir à jour la base de
données des adresses MAC ainsi que les performances sont ralenti du à l’échange des tables
d’adresse MAC entre les commutateurs.
Figure I.7 : VLAN par adresse IEEE
21
3. VLAN par protocole et par sous-réseau :
• VLAN par protocole : ou VLAN de niveau 3, est obtenu en associant un réseau virtuel par
type de protocole du réseau. On peut ainsi constituer un réseau virtuel pour les stations
communiquant avec le protocole TCP/IP, et un autre pour es stations communiquant avec le
protocole IP^3. Dans ce type de VLAN, les commutateurs apprennent la configuration. Par
contre, elle est légèrement moins performante car les commutateurs doivent analyser des
informations.
•VLAN par Sous-réseau : Un VLAN par sous réseau utilise les adresses IP. Un réseau
virtuel est associé à chaque sous réseau IP. Dans ce cas, les commutateurs apprennent aussi la
configuration et il est possible de changer une station de place sans reconfigurer le VLAN. Ce
type de vlan est souffre de lenteur par rapport aux Vlan de niveau 1 et 2. En effet, le
commutateur est obligé de décapsuler le paquet jusqu’à l’adresse IP pour pouvoir détecter à
quel VLAN il appartient. Il faut donc des équipements plus couteux (car ils doivent pouvoir
décapsuler le niveau 3) pour une performance faible.
I.7.4 Cryptographie :
La cryptographie est la science qui utilise les mathématiques pour le cryptage et le décryptage
de données. Elle nous permet ainsi de stocker des informations confidentielles ou de les
transmettre sur des réseaux non sécurisés (tels que l'Internet), afin qu'aucune personne autre
que le destinataire ne puisse les lire.
La cryptographie est divisée en deux types [11] :
a. Cryptographie Symétrique : En cryptographie conventionnelle, également appelée

cryptage de clé secrète ou de clé symétrique, une seule clé suffit pour le cryptage et le
décryptage. La norme de cryptage de données (DES) est un exemple de système de
cryptographie conventionnelle largement utilisé par le gouvernement fédéral des Etats-Unis.
La (Figure I.8) est une illustration du processus de cryptage symétrique.
22
Figure I.8 : Cryptographie symétrique
b. Cryptographie Asymétrique : La Cryptographie asymétrique (Figure I.9) ou à clé

publique est un procédé asymétrique utilisant une paire de clés pour le cryptage : une clé
publique qui crypte des données et une clé privée ou secrète correspondante pour le
décryptage. Nous pouvons ainsi publier notre clé publique tout en conservant notre clé privée
secrète. Tout utilisateur possédant une copie de notre clé publique peut ensuite crypter des
informations que nous seuls pouvons lire.
D'un point de vue informatique, il est impossible de deviner la clé privée à partir de la clé
publique. Tout utilisateur possédant une clé publique peut crypter des informations, mais est
dans l'impossibilité de les décrypter. Seule la personne disposant de la clé privée
correspondante peut les décrypter.
Figure I.9 : Cryptographie asymétrique
c. Signature numérique : Les signatures numériques permettent au destinataire de vérifier

authenticité des données, leur origine, mais également de s'assurer qu'elles sont intactes.
Ainsi, les signatures numériques garantissent l'authentification et l'intégrité des données. Elles
fournissent également une fonctionnalité de non répudiation.
23
Ces fonctions jouent un rôle tout aussi important pour la cryptographie que la confidentialité,
sinon plus.
Une signature numérique a la même utilité qu'une signature manuscrite. Cependant, une
signature manuscrite peut être facilement imitée, alors qu'une signature numérique est
pratiquement infalsifiable. De plus, elle atteste du contenu des informations, ainsi que de
l'identification du signataire.
d. Hachage: Le système décrit précédemment comporte certains problèmes. Il est lent et

produit un volume important de données (au moins le double de la taille des informations
d'origine). L'ajout d'une fonction de hachage à sens unique dans le processus permet
d'améliorer ce système. Cette fonction traite une entrée de longueur variable afin d'obtenir en
sortie un élément de longueur fixe, à savoir 160 bits. En cas de modification des données
même d'un seul bit, la fonction de hachage garantit la production d'une valeur de sortie
complètement différente.
I.7.5 Virtual Private Network (VPN) :
Un VPN est un tunnel sécurisé permettant la communication entre deux entités y compris au
travers des réseaux peu sûrs comme peut l’être le réseau Internet. Les VPNs ont pour objectif
de contribuer à la sécurisation des échanges de données privées, sensible sur les réseaux
publics [12].
Un VPN fonctionne selon un système de tunnelisation privé, c’est-à-dire qu’un tunnel est
créé, à l’intérieur duquel transitent toute la communication et ou toutes les données transmises
qui sont cryptées. Un VPN est très fermé, un utilisateur non autorisé, ne peut en aucun cas
avoir accès aux données transmises sur le réseau et en cas d’interceptions, les informations
interceptées sont cryptées, illisibles, et donc inutilisables.
Le fonctionnement des VPN repose sur des technologies appelées protocoles de tunnelisation
ou protocoles VPN et parmi eux nous retrouvons :
Internet Protocol Security (IPSec).

Layer 2 Tunneling Protocol (L2TP).
24
Point-to-Point Tunneling Protocol (PPTP).
HybridVPN.
Figure I.10 : VPN

I.8 Discussion :
La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre en
compte par toute entreprise qui désire disposer d’un ensemble d’outils et de méthodes qui lui
permettent et assurent la gouvernance de son système d’information. Ainsi plusieurs
méthodes d’analyse des systèmes informatiques proposent des démarches de certification afin
de garantir une image pérenne aux entreprises intégrant les processus de sécurité dans la liste
de leurs préoccupations managériale.
Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail
des menaces qui mettent en danger l’exploitation d’un système d’information. Ainsi il est
important de bien formaliser une politique de sécurité en prenant en compte les risques réelle
qu’encourt un système informatique et en évaluant les coûts que peuvent engendrer les
problèmes résultants de ces risques par rapport au coût nécessaire à la mise en place des
solutions palliative à ces problèmes.
25
CHAPITRE II
Architectures de pare-feu.
CHAPITRE II : ARCHITECTURES DE PARE-FEU
II.1. Préambule :
Les firewalls ont aujourd’hui pris une place très importante dans les réseaux informatiques.
Dans ce chapitre, nous allons étudier les firewalls, les différentes catégories existantes et les
différentes architectures.
II.2 Firewall :
Un firewall, appelé aussi coupe-feu ou pare-feu à pour but de contrôler et de filtrer l’accès
entre un réseau d’entreprise ou l’ordinateur d’un particulier et un autre réseau qui est ici
Internet. Le firewall peut être soit un objet matériel ou un programme fonctionnant sur un
ordinateur [13].
Figure II.1 : Firewall représenté par un mur entre un ordinateur et l’Internet
Dans les deux cas, le firewall doit se placer à la jonction entre le réseau à protéger et Internet.
Le firewall examine tout le trafic entre les deux réseaux pour voir s’il correspond à certains
critères définis par l’administrateur.
Si cela correspond, les données accèdent au réseau, sinon elles sont stoppées. Un firewall
filtre aussi bien dans le sens de l’envoi de données vers l’extérieur que dans celui de la
26
réception .Un firewall peut ainsi empêcher un logiciel d’accéder a Internet ou une personne
d’accéder a certains services comme le FTP par exemple.
II.3Utilité d’un firewall :
Certains firewalls laissent uniquement passer le courrier électronique. De cette manière ils
interdisent toute autre attaque qu’une attaque basée sur le service de courrier. D’autres
firewalls, moins strictes, bloque uniquement les services reconnus comme étant des services
dangereux.
Généralement, les firewalls sont configures pour protéger contre les accès non authentifier du
réseau externe. Ceci, plus qu’autre chose, empêche les vandales de se loger sur des machines
de vote réseau interne, mais autorise les utilisateurs de communiquer librement avec
l’extérieur.
Les firewalls sont également intéressant dans le sens ou ils constituent un point unique ou
l’audit et la sécurité peuvent être imposes. Tous les échanges passeront par lui. Il pourra
donner des résumés de trafic, des statistiques sur ce trafic, ou encore toutes les connexions
entre les deux réseaux [13].
II.4 De quoi ne protège pas un firewall :
Un firewall ne protège pas des attaques qui ne passent pas par lui. Certaines entreprises
achètent des firewalls à des prix incroyables alors que certains de leurs employés sont parfois
connectes par modem au monde extérieur. Il est important de noter qu’un firewall doit être à
la mesure de politique de sécurité globale du réseau.
Il ne sert à rien de mettre une porte blindée sur une maison en bois. par exemple, un site
contenant des documents top-secret n’a pas besoin d’un firewall : il ne devrait tout
simplement pas être connecte a Internet, et devrait être isole du reste du réseau.
Une autre chose contre laquelle un firewall ne peut protéger est les traites qui sont à l’intérieur
de l’entreprise. Si un espion industriel décide de faire sortir des données, il y arrivera, surtout
sur disquette.
27
Il faut mieux vérifier qui a accès aux informations que de mettre un firewall dans ce cas.
Les firewalls ne protègent pas très bien des virus. Il y a trop de manières différentes de coder
des fichiers pour les transfère. En d’autres termes, un firewall ne pourra pas remplacer
l’attention et la conscience des utilisateurs qui doivent respecter un certain nombre de règles
pour éviter les problèmes. La première étant bien évidemment de ne jamais ouvrir un fichier
attache à un mail sans être sûr de sa provenance.
Il faut prendre des mesures globales et importantes contre les virus. Avant de traquer les virus
a l’entrée du réseau, il faut s’assurer que chaque poste de travail dispose d’un antivirus. Les
virus passé également très facilement par disquette. Les virus sur Internet sont bien moins
important que les virus sur disquette.
Quoiqu’il en soit, de plus en plus de vendeurs de firewall vous offrent des firewalls qui
détectent les virus. Ils permettent probablement d’arrêter les virus simple. Ne comptez pas sur
leur protection [13].
II.5 Principe de fonctionnement :
Le fonctionnement d’un firewall repose sur le filtrage des paquets cela peut se faire de
différentes manières. Il existe deux types de firewall qui sont les filtres de paquet et les
passerelles.
II.5.1 Filtre de paquets :
Le filtrage du trafic de données se fait au niveau des couches 3 et 4 du modèle OSI. Certains
firewalls sont en fait des routeurs possédant des fonctions de filtrage de paquets. Avec des
règles appropriées, l’administrateur réseau peut interdire ou autoriser un certain nombre de
services ainsi que bloquer les accès aux équipements de son site, tout en permettant à ses
machines l’accès aux services de l’Internet. Le routeur doit être configuré avec une liste
d’accès [14].
Une liste d’accès définit les conditions pour qu’un paquet puisse franchir un routeur.
28
Les informations contenues dans ces listes portent:
•Sur le numéro du protocole de niveau 3, les adresses IP, les numéros de ports...
•D’autres informations dans le paquet comme les drapeaux TCP
•Le type de la règle, c’est-à-dire soit une autorisation soit un refus de faire traverser le paquet.
II.5.2 Passerelle :
Il existe deux types de passerelles :

•Passerelles de niveau applicatif (proxy)
Les passerelles applicatives sont des serveurs effectuant un filtrage plus ou moins finsur les
données échangées entre deux réseaux pour un service TCP/IP particulier.
Ces passerelles sont situées entre un client du réseau interne et un serveur du réseau externe.
Pour chaque communication, deux connexions sont donc à considérer : client/passerelle et
passerelle/serveur [14].
–Les proxys filtrent en fonction du service demandé : Telnet, FTP, SMTP, HTTP...
–Le client se connecte au serveur proxy et demande l’accès au serveur distant.
–Le serveur proxy vérifie l’adresse du client, authentifie le client à l’aide d’un serveur
d’authentification (type RADIUS) et l’autorise à se connecter sur le serveur.
–Le serveur proxy se connecte sur le serveur distant et relaie les données entre les deux
connexions.
•Passerelles de niveau circuit

Les passerelles de niveau circuit filtrent au niveau transport. L’avantage est qu’elles sont
communes à toutes les applications TCP/IP.
–Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec
le serveur.
–La passerelle peut :
1. Vérifier l’adresse IP du client.

2. Autoriser une connexion sur un port pour une durée maximale fixée.
29
3. N’autoriser la réutilisation d’un même port qu’après un certain délai.

4. Authentifier un terminal.
–La passerelle se connecte au serveur et relaie les données entre les deux connexions TCP
[14].
II.6 Différentes catégories de firewall :
Depuis leur création, les firewalls ont grandement évolué. Ils sont effectivement la première
solution technologique utilisée pour la sécurisation des réseaux. De ce fait, il existe
maintenant différentes catégories de firewall. Chacune d’entre-elles disposent d’avantages et
d’inconvénients qui lui sont propre.
II.6.1 Firewall sans états (stateless) :
Ce sont les firewalls les plus anciens mais surtout les plus basiques qui existent. Ils font un
contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies
par l’administrateur (généralement appelées ACL, Access Control List).
Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages
s’appliquent alors par rapport à une d’adresses IP sources ou destination, mais aussi par
rapport à un port source ou destination [15].
II.6.2 Firewall à états (stateful) :
Les firewalls à états sont une évolution des firewalls sans états. La différence entre ces deux
types de firewall réside dans la manière dont les paquets sont contrôlés. Les firewalls à états
prennent en compte la validité des paquets qui transitent par rapport aux paquets
précédemment reçus. Ils gardent alors en mémoire les différents attributs de chaque
connexion, de leur commencement jusqu’à leur fin, c’est le mécanisme de stateful inspection.
De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les règles
définies par l’administrateur, mais également par rapport à l’état de la session [15] :
•NEW : Un client envoie sa première requête.

30
•ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW.

•RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct avec une
connexion déjà connue.
•INVALID : Correspond à un paquet qui n’est pas valide.
Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de
séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors capables de
déceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardées
dans une table des états de connexions. L’application des règles est alors possible sans lire les
ACL à chaque fois, car l’ensemble des paquets appartenant à une connexion active seront
acceptés.
Un autre avantage de ce type de firewall, se trouve au niveau de la protection contre certaines

attaques DoS comme par exemple le Syn Flood. Cette attaque très courante consiste à envoyer
en masse des paquets de demande de connexion (SYN) sans en attendre la réponse (c’est ce
que l’on appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce
qui les rend incapable d’accepter de nouvelles connexions. Les firewalls stateful étant
capables de vérifier l’état des sessions, ils sont capables de détecter les tentatives excessives
de demande de connexion. Il est possible, en autre, ne pas accepter plus d’une demande de
connexion par seconde pour un client donné.
Un autre atout de ces firewalls est l’acceptation d’établissement de connexions à la demande.

C’est à dire qu’il n’est plus nécessaire d’ouvrir l’ensemble des ports supérieurs à 1024. Pour
cette fonctionnalité, il existe un comportement différent suivant si le protocole utilisé est de
type orienté connexion ou non. Pour les protocoles sans connexion (comme par exemple
UDP), les paquets de réponses légitimes aux paquets envoyés sont acceptés pendant un temps
donné. Par contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer
l’état de deux connexions (donnée et contrôle). Ceci implique donc que le firewall connaisse
le fonctionnement du protocole FTP (et des protocoles analogues), afin qu’il laisse passé le
flux de données établi par le serveur [15].
31
II.6.3 Firewall authentifiant :
Les firewalls authentifiant permettent de mettre en place des règles de filtrage suivant les
utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est alors
possible de suivre l’activité réseau par utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l’utilisateur connecté et
l’adresse IP de la machine qu’il utilise [15].
II.6.4 Firewall personnel :
Les firewalls personnels sont installés directement sur les postes de travail. Leur principal but
est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu’ils permettent de contrôler les accès aux réseaux des applications
installés sur la machines. Ils sont capables en effet de repérer et d’empêcher l’ouverture de
ports par des applications non autorisées à utiliser le réseau [15].
II.7Types d’architectures :
Pour assurer une meilleure sécurité du réseau, il est important de mettre en place plusieurs
filtres différents niveaux, mais il s’accompagne d’un cout plus élevé.
II.7.1 Firewall avec routeur de filtrage :
La solution firewall la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient
en configurant le routeur qui assure la connexion avec l’Internet. La figure suivante illustre
cette solution appelée Firewall avec routeur de filtrage [16]:
32
Figure II.2 : Firewall avec routeur de filtrage
Cette solution permet de réaliser les différents serveurs d’un Intranet sur plusieurs systèmes.
Le routeur de filtrage contient les autorisations d’accès basées exclusivement sur les adresses
IP et les numéros de port.
Ce type de firewall présente l’avantage d’être facile à configurer et fournit des traces
exploitables avec la possibilité d’alarmes pour une vérification du bon fonctionnement des
filtres du routeur. Toutefois, lorsque le routeur est contourné ou paralysé, le réseau entier est
ouvert.
II.7.2 Passerelle double - le réseau bastion :
Il existe une autre possibilité permettant de réaliser un firewall d’application à peu de frais :
La passerelle double. Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans
les deux réseaux Internet et Intranet. Cette machine doit être équipée de deux cartes réseau.
Comme elle est la seule soupape de sécurité entre les deux réseaux, elle doit être configurée
avec le plus grand soin.
La passerelle double n’autorise aucun trafic IP entre les réseaux. On l’appelle également
réseau bastion, car il contrôle tous les services accessibles de l’extérieur comme de l’intérieur
du réseau interne tels que les serveurs Web, FTP et Mail. Un " serveur Proxy "
supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne
d’accéder à Internet. Le nom "réseau bastion" découle des mesures particulières de protection
qui sont prises en prévision de possibles intrusions [16].
33
Figure II.3 : La passerelle double
La passerelle double est la possibilité la plus simple pour réaliser un firewall d’application
n’autorisant aucun trafic IP entre les réseaux.
Ce type de firewall est d’un frais réduit. Toutefois, une telle configuration pourrait rencontrer
des problèmes de performance.
II.7.3 Firewalls avec réseau de filtrage :
La combinaison des deux méthodes est ici plus sûre et efficace. Au niveau du réseau, un
routeur sous écran est configuré de façon à n’autoriser les accès de l’extérieur et de l’intérieur
que par l’intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs assurant les
serveurs Internet. Cette possibilité est appelée Firewall avec réseau de filtrage. La figure
suivante illustre cette solution [16]:
Figure II.4 : Firewall avec réseau de filtrage
34
Firewall avec réseau de filtrage dans lequel seuls les accès au réseau bastion sont autorisés.
Pour la grande majorité des entreprises, cette solution est sûre et abordable, car les prestataires
Internet assurent la seconde partie de la protection à l’autre bout de la ligne.
En effet, votre entreprise y est également connectée à un routeur, et le trafic de données est
réglé par un serveur Proxy au niveau de la couche application. Les pirates doivent par
conséquent franchir deux obstacles.
Ce type de firewall présente l’avantage d’être un bon marché et sûr lorsque le prestataire est
équipé en conséquence. Toutefois, le système comporte deux sécurités distinctes, le routeur et
le réseau bastion, Si l’une des deux est paralysée, le réseau est menacé dans son intégralité.
II.7.4 Firewall avec sous-réseau de filtrage :
Cette solution est de loin la plus sûre, mais également la plus onéreuse. Un Firewall avec
sous-réseau de filtrage se compose de deux routeurs sous écran. L’un est connecté à internet,
et l’autre à l’intrant/LAN. Plusieurs réseaux bastions peuvent s’intercaler pour former entre
ces deux routeurs, en quelque sorte, leur propre réseau constituant une zone tampon entre un
Intranet et l’Internet appelée zone démilitarisée [16].
De l’extérieur, seul l’accès aux réseaux bastions est autorisé. Le trafic IP n’est pas directement
transmis au réseau interne. De même, seuls les réseaux bastions, sur lesquels desserveurs
Proxy doivent être en service pour permettre l’accès à différents services Internet, sont
accessibles à partir du réseau interne. La figure suivante illustre cette variante.
35
Figure II.5 : Firewall avec sous-réseau de filtrage
Pour s’introduire sur le réseau d’entreprise à travers ce firewall, il faut franchir les deux
routeurs, ainsi que les réseaux bastions intercalés [16].
• Le routeur interne :
◦ Autoriser le trafic entre le bastion 1 et les machines internes et inversement.
◦ Interdire tout autre trafic.
• Le routeur externe :
◦ Filtre le trafic entre le monde extérieur et le bastion2.
◦ Interdit tout autre trafic direct (donc pas de trafic entre le réseau interne et l’extérieur).
◦ Les deux bastions peuvent discuter sans aucune règle (zone démilitarisée " DMZ ").
• Le bastion interne :
◦ Assure les fonctions de DNS vis-à-vis du réseau interne en envoyant ses requêtes au bastion
externe.
◦ Assure les fonctions de proxy avec authentification pour les applications distantes (Telnet,
FTP, etc.).
◦ Assure le relais du Mail sortant (SMTP).
• Le bastion externe :
◦ Filtre au niveau applicatif les paquets en direction du réseau interne.
◦Assure le relais du mail entrant.
◦ Assure les fonctions de DNS vis-à-vis du réseau externe.
36
Le système de ce type de firewall est très sûr. Par conte, son coût d’investissement très élevé,
effort administratif important.
II.8 Zone démilitarisée (DMZ) :
II.8.1 Firewall avec zone démilitarisée :
Le firewall a pour fonction de surveiller les trames passant sur le réseau et de les bloquer ou
de les laisser passer. Le firewall décide de laisser passer ou non une trame en fonction de sa
source, de sa destination, et des règles d’approbation définies dans sa table de règles [17].
La configuration la plus rependue pour un réseau connecté à Internet est une configuration
avec firewall et zone démilitarisée (DMZ). Un firewall est placé entre Internet, le réseau local
LAN, et une zone spéciale appelée DMZ, qui contient serveurs Web, Extranets, FTP, etc...,
qui doit pouvoir être accédée d’Internet et du LAN local. La DMZ est une sorte de zone
tampon entre l’extérieur et le réseau interne. La figure suivante illustre cette solution:
Figure II.6 : Firewall avec DMZ
Le firewall permet alors de filtrer les trames et de les diriger vers telle ou telle zone en
fonction des règles internes définies par les administrateurs.
37
II.9 Discussion :
Le pare-feu est un élément de sécurité important. Il permet de contrôler le trafic réseau. De ce

fais, le pare-feu est important pour protéger l’accès à des services réseaux.
Ce chapitre à porté sur types d’architectures de Pare-feu, chacune d’elle présente ses
inconvénients et ses avantages. Donc pour la mise en place d’une architecture Firewall on a
toujours recours à revoir ces différentes architectures et choisir une selon les besoins, les
moyens, et la politique de sécurité que l’entreprise souhaite voir respectée.
Le prochain chapitre sera porté sur la conception et réalisation de l’architecture sécurisé.
38
CHAPITRE III
Implémentation d’un pare-feu

CHAPITRE III : CONCEPTION ET REALISATION DE L’ARCHITECTURE SECURISE
III.1 Préambule :
Dans ce chapitre nous présentons l’objectif du projet et l’analyse concurrentielle qui est une
étape cruciale dans le choix du pare-feu à mettre en œuvre suivie de la phase de conception,
étape charnière entre l'analyse du projet et la réalisation technique du pare-feu.Nous allons
aussi paramétrer les interfaces du firewall PfSense. En dernier en va tester la fiabilité de notre
solution proposée.Quelques écrans montrant les fonctionnalités les plus importantes de
l’application et les résultats des tests effectués sont également bien explicités dans ce dernier
chapitre.
III.2 Présentation de l’organisme d’accueil :
III.2.1Présentation d'Algérie Télécom :
Algérie Telecom, est une société par actions à capitaux publics opérant sur le marché des
réseaux et services de communications électroniques.
Sa naissance a été consacrée par la loi 2000/03 du 5 août 2000, relative à la restructuration du
secteur des Postes et Télécommunications, qui sépare notamment les activités Postales de
celles des Télécommunications.
Algérie Telecom est donc régie par cette loi qui lui confère le statut d'une entreprise publique
économique sous la forme juridique d'une société par actions SPA.
Entrée officiellement en activité à partir du 1er janvier 2003, elle s'engage dans le monde des
Technologies de l'Information et de la Communication avec trois objectifs:
Rentabilité
Efficacité
Qualité de service
39
III.2.2 Missions et objectifs d'Algérie Télécom :
III.2.2.1 Missions :
L'activité principale d'Algérie Télécom est de :
Fournir des services de télécommunication permettant le transport et l'échange de la voix

de messages écrits, de données numériques et d'informations audiovisuelles.
Développer, exploiter et gérer les réseaux publics et privés de télécommunications.
Etablir, exploiter et gérer les interconnexions avec tous les opérateurs des réseaux.
III.2.2.2 Objectifs :
Algérie Telecom est engagée dans le monde des technologies de l'information et de la

communication avec les objectifs suivants :
Accroître l'offre de services téléphoniques et faciliter l'accès aux services de

télécommunications au plus grand nombre d'usagers, en particulier en zones rurales.
Accroître la qualité de services offerts et la gamme de prestations rendues et rendre

plus compétitifs les services de télécommunications.
Développer un réseau national de télécommunication fiable et connecté aux

autoroutes de l'information.
III.2.3 Taches dévolues au personnel technique :
La C.A.H (Centre d’Amplification Hertzien)de Tizi-Ouzou est le centre qui assure la

supervision et la détection des pannes est éventuellement les réparer.
Le personnel technique du centre C.A.H de Tizi-Ouzou se présente comme suivant :
 Le directeur du centre :
Une équipe d’ingénieur et de technicien, qui est chargé d’intervenir sur tout éventuel
dérangement.
 Chef du centre : s’occupe du :

De la gestion du centre C.A.H de Tizi-Ouzou
Veille à ce que le personnel soit toujours disponible.
40
L’octroi des taches dévolues à chaque agent.
L’élaboration des rapports mensuelle concernant l’exploitation du centre.
 L’équipe technique :
Les agents est les techniciens sont destiné à :
La maintenance des équipements du centre.
La vérification des équipements du système de transmission.
Assure la permanence.
Enregistrement, localisation, relèves des dérangements signalé ou constaté.
III.3 Présentation du projet :
Le projet consiste à mettre en place un découpage réseau et un firewall pour la sécurité du

réseau de CAH Tizi-Ouzou et ce en permettant la création d’une DMZ et d’un réseau local
ainsi que le filtrage réseau.
III.3.1 Analyse concurrentielle :
L’analyse concurrentielle est une étape très importante pour le choix du pare-feu. Elle
consiste à déterminer les principaux concurrents du pare-feu afin d’extraire leurs aspects
positifs et négatifs. Pour cela nous avons choisi d’étudier deux pare-feu, qui sont PfSense et
IPCOP.
Le tableau ci-dessous représente une étude comparative de PfSense et IPCOP [18] :
41
PfSense
IPCCOP
Basé sur Linux (Gratuit) Basé sur Free BSD (Gratuit)
Caractéristiques : Caractéristiques :
DHCP (Dynamic Host Configuration DHCP

Protocol) DNS
DNS (Domain Name System) NTP
NTP (Network Time Protocol) NAT
NAT (Network Address Translation) VPN : IPSec, PPTP , L2TP
VPN : IPSec Multi-WAN
QoS (trafficchapping) ;Priorité selon QoS (trafficchapping) ; Priorité selon
type de trafic, lissage de trafic type de trafic, lissage de trafic
(limitation) (limitation)
Un serveur proxy Web Un serveur proxy Web (Squid)
Filtrage d’URL (SquidGuard) Filtrage d’URL (SquidGuard)
Filtrage dynamique Portail captif
Supervision de la bande passante Filtrage simple de paquet
Filtrage dynamique
Mises à jour automatique
Tableau III.1 : L’étude comparative de PfSense et IPCOP
Au vu de ce comparatif, les deux solutions s'adaptant aux critères de sécurité dont nous
avons besoin.Mais, il se trouve que PfSense possède plus de fonctionnalités que
IPCOOP (mises à jour automatique, Portail captif, LoadBalancing, Multi-WAN). Notre
choix est ainsi porté sur le logiciel PfSense Open Source qui grâce à ses différentes
fonctionnalités, apportera la sécurité nécessaire au réseau local de l'entreprise.
- Multi-WAN :Support de multiples interfaces réseaux WAN.
- Un portail captif :Un portail captif est une structure permettant un accès rapide et sécurisé à
Internet. Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail
capte sa demande de connexion grâce à un routage interne et lui propose de s'identifier afin de
pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée
localement sur le portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé
d'un « Web browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à
Internet. La connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui
42
garantit l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe)

sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant.
Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci
ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin
de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir
une nouvelle session [19].
III.4 Conception et réalisation du réseau sécurisé :
III.4.1 Les outils utilisés :
 VMware Workstation 12.0

 PfSense V 2.4.2
 GNS3
 FreeBSD
III.4.1.1 Présentation de VMware Workstation :
C'est la version station de travail du logiciel. Il permet la création d'une ou plusieurs machines
virtuelles au sein d'un même système d'exploitation (généralement Windows ou Linux), ceux-
ci pouvant être reliés au réseau local avec une adresse IP différente, tout en étant sur la même
machine physique
(Machine existante réellement). Il est possible de faire fonctionner plusieurs machines

virtuelles en même temps, la limite correspondant aux performances de l'ordinateur hôte. La
version Linux présente l'avantage de pouvoir sauvegarder les fichiers de la machine virtuelle
pendant son fonctionnement [20].
III.4.1.2Présentation de PfSense :
PfSense (distribution logicielle), ou≪PacketFilterSense≫est un routeur / pare-feu open

source basé sur FreeBSD. Il date de 2004 à partir d’un fork de m0n0wall par Chris Buechler
et Scott Ullrich. PfSense peut être installé sur un simple ordinateur personnel comme sur un
serveur. Basé sur PF (packetfilter), il est réputé pour sa fiabilité. Après une installation en
mode console, il s'administre ensuite simplement depuis une interface web et gère nativement
les VLAN (802.1q)[21].
Les avantages principaux de PfSense sont les suivants :

43
 Il est adapté pour une utilisation en tant que pare-feu et routeur,

 Il comprend toutes les fonctionnalités des pare-feu coûteux commercialement,
 Il offre des options de firewalling /routage plus évolué qu’IPCOP,
 Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la
mise en place d’un VPN, DHCP et bien d’autres,
 Simplicité de l’activation / désactivation des modules de filtrage,
 Système très robuste basée sur un noyau FreeBSD,
 Des fonctionnalités réseaux avancées.
III.4.1.3 Présentation de GNS3
III.4.1.3.1 Définition d’un gns3 :
GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique qui permet l'émulation des réseaux
complexes. Vous connaissez peut-être avec VMWare ou Virtual Box qui sont utilisées pour émuler les
différents systèmes d'exploitation dans un environnement virtuel. Ces programmes vous
permettent d'exécuter plusieurs systèmes d'exploitation tels que Windows ou Linux dans un environnement
virtuel. GNS3 permet le même type de d'émulation à l'aide de Cisco Internetwork Operating
Systems [22].
GNS3 permet d’avoir un routeur Cisco virtuel sur un ordinateur. à savoir qu’il ne fournit pas
D’IOS il faut se les procurer a l’aide d’un compte Cisco ou a partir de Google, au plus il
fonctionne sur de multiples plateformes, incluant Windows, linux, et Mac OS X... etc.
Pour fournir des simulations complètes et précises, GNS3 est fortement lié à :
• Dynamips : est un émulateur de matériel Cisco (en rapport avec les processeurs Mips
utilisés).
• Dynagen : est un produit complémentaire écrit en Python, s’interfaçant avec Dynamips

grâce au mode hyper viseur. Dynagen facilite la création et la gestion de maquettes grâce à un
fichier de configuration simple décrivant la topologie du réseau à simuler et une interface
texte interactive.
• Qemu : est une machine source de l’émulateur et de virtualisation générique et ouverte. Il

est utilisé par GNS3 pour exécuter Cisco ASA, PIX et IDS ainsi que tout Système
d’exploitation classique.
44
• Virtual Box ou machine virtuelle : est un logiciel de virtualisation de système

d’exploitation qui permet de créer un ou plusieurs ordinateurs virtuels dans lesquels
s’installent d’autres systèmes d’exploitation (systèmes invités), et de faire fonctionner Plus
d’un système d’exploitation en même temps en toute sécurité.
Figure III.1 : GNS3
III.4.1.3.2 Objectif de GNS3 :
L’objectif de GNS3 est d’apporter aux étudiants et professionnels des nouvelles technologies
de communication travaillant dans le domaine de l’administration systèmes et réseaux une
solution pour virtualiser et modéliser fidèlement des réseaux.
Le principal avantage de GNS3 réside dans l’émulation matérielle, en lieu et place de

l’utilisation de simulateurs qui souvent est une manière limitée de virtualiser du matériel.
Grâce à GNS3, les utilisateurs peuvent tester et estimer, dans des conditions quasi réelles et
sans avoir à financer le matériel, leurs configurations et réseaux avant de les mettre en place
physiquement. GNS3 nous permet:
• Le design de topologies réseaux de haute qualité et complexes.
• Emulation de plusieurs plate-forme de routeurs Cisco IOS, ou encore IPS, PIX et

firewalls ASA.
• Simulation de switches Ethernet, ATM et Frame Relay.
45
• Connexion de réseaux simulés au monde réel.
• Capture de paquets grâce à Wireshark.
III.4.1.3.3 Description de l’interface graphique de l’émulateur GNS3 :
Le simulateur et l’émulateur GNS3 met à notre disposition tous les éléments nécessairespour
sa manipulation, il contient différentes parties et interfaces que nous pouvons utiliser,et la liste
des éléments actifs et matériels disponibles que nous pouvons ajouter dans notretopologie
réseau, les principaux éléments sont énumérés dans la figure suivante :
Figure III.2 : Interface graphique de l’émulateur GNS3.
46
III.4.1.4 Présentation de FreeBSD :
FreeBSD est un système d’exploitation de type Unix librement disponible, largement utilisé
par des fournisseurs d’accès à Internet, dans des solutions tout-en-un et des systèmes
embarqués et partout où la fiabilité par rapport à un matériel informatique est primordiale.
FreeBSD est le résultat de presque trois décennies de développement continu, de recherche et
de raffinement. L’histoire de FreeBSD commence en 1979, avec BSD [23].
III.5 Architecture Initiale du réseau :
Au début de notre projet nous avons toutes les machine de l’entreprise relié sur un seul
réseauce qui rend le réseau vulnérable a plusieurs attaque réseau, et l’accessibilité a des
machines contenant des informations importantes est menacé et voilà le réseau qui a été
proposé par Algérie télécom.
Cette figure illustre cette architecture :
Figure III.3 : Architecture réseau initiale
47
Après notre recherche sur les failles duréseau, nous avons déduit que notre réseau est
vulnérable à plusieurs défaillances et parmi ces problèmes on a :
 Fonctionnalité de filtrage limitée et basique.

 Absence de politique de gestion des connexions internet : pas d’équilibrage de charge
des liaisons WAN ni de basculement WAN (haute disponibilité).
 Le réseau se présente sous une architecture plate. Il n’y pas de segmentation physique
ni de cloisonnement du réseau. En cas d’intrusion, l’intrus aura accès à l’ensemble
des communications, des stations du réseau, y compris dans les zones les plus
sensibles.
 La non filtrage réseau entre les différents réseaux ainsi inter connectés et la non
sécurisation du serveur web.
 Accès externe au réseau.
 Mauvaise gestion de l’utilisation d’Internet
 La détection lente des tentatives de compromission et d’éventuelles violations et
activités malveillantes.
 Contrôle moyenne des flux entrants et sortants.
 La perte de données lors de la transmission.
 Les services et la topologie du réseau interne sont dévoilés.
 Le réseau victime de plusieurs attaques.
Notre plant pour sécuriser se réseaux et de mettre en place un DMZ qui va contenir toutes les
machines à l’accès distant, En terme de sécurité cela veut aussi dire qu’en cas de
compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la
DMZ et non au réseau local.Etun autre réseau local pour la gestion interne de l’entreprise.
III.6 Installation et Configuration basique de PfSense sous VMware :
III.6.1 Installation de PfSense :
- Création d’une machine virtuelle :
On crée une Machine Virtuelle sous VMware avec les spécifications suivantes :
48
Figure III.4 : Machine virtuelle
Avant de commencer l’installation, notre machine doit être équipée en minimum de

trois cartes réseaux. Pour ce projet on va utiliser trois interfaces (3 cartes réseaux) :
 WAN (VMnet1): pour qu’on puisse se connecter à l’internet.
 LAN (VMnet2) : passerelle du réseau locale.
 DMZ(VMnet3) : passerelle du réseau DMZ.
La première question que nous rencontrons durant l’installation est la suivante :
On répond par n (No) car on n’aura pas besoin des VLANs.
PfSense demande d’affecter chaque interface (ici em0, em1, em2) à une interface
WAN ou bien à un LAN ou la DMZ.
49
Une fois les affectations son faite, PfSense détecte automatiquement les cartes réseaux
disponibles, puis on attribue pour chaque interface une adresse IP, sauf l’interface
WAN qui reçoit une adresse IP par DHCP.
Figure III.5 : PfSense : assignation de l’interface WAN et LAN et DMZ
Une fois l’installation est terminée au aura cet affichage pour pfsense :
Figure III.6 : Pfsense installation terminée
Les adresses IP des interfaces LAN et DMZ sont attribué par nous-mêmes par le choix
de l’option 2 (l’@ IP de WAN attribuée par le serveur DHCP, l’@ LAN et DMZ
attribuée statiquement).
La table d’adressage suivi dans ce projet est la suivante :
s.réseau @ s.réseau Mask @ Diffusion Passerelle
LAN 192.168.0.0 /24 192.168.0.255 192.168.0.1
DMZ 192.168.2.0 /24 192.168.2.255 192.168.2.1
Tableau III.2 : Table d’adressage

50
Pour se connecter à l’interface web de configuration de PfSense on utilise l’adresse IP

de l’interface LAN : https://192.168.0.1.
Cette page s’affiche :
Figure III.7 : Page d’identification de PfSense
Le couple <<Username/Password>> par défaut est <<admin/ PfSense>>.
III.6.2 Configuration basique de PfSense :
La figure suivante montre l’interface web d’accueil de PfSense après la configuration

basique :
51
Figure III.8 : L’interface web d’accueil de PfSense après la configuration basique
La figure suivante montre l’interface web pour la configuration générale du serveur :
52
Figure III.9 : L’interface web pour la configuration générale du serveur
Hostname : le nom d’Host.

Domain : le domaine si c’est déjà établi, sinon on laisse le choix par défaut.
Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS à
utiliser (on utilise le Serveur DNS de Google : 8.8.8.8).
Ici on déclare le serveur d’horloge avec lequel on doit se synchroniser, par défaut c’est
0.pfsence.pool.ntp.org (on le laisse par défaut).
53
Une fois l’installation et la configuration de base de PfSense est faite on passe à la

segmentation de notre réseau pour crée deux sous réseaux (LAN et DMZ) tout en visualisant
l’architecture de notre réseau avant et après cette segmentation puis on passe à la
configuration du filtrage réseaux (Règles) qui nous permettent de mieux sécuriser notre
réseau.
III.7 L’architecture sécurisée
Pour la conception de notre architecture sécurisée on a utilisé plusieurs notions qu’on va citer
en de sous ainsi que leurs définitions.
III.7.1 DMZ
Une zone démilitarisée (en anglais, demilitarized zone ou DMZ) est un sous-réseau séparé du
réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-
réseau contient les machines étant susceptibles d'être accédées depuis Internet.
III.7.2 Le pare-feu :
Un pare-feu est un élément du réseau informatique, logiciel, matériel, ou les deux à la fois,
qui a pour fonction de sécuriser un réseau en définissant les communications autorisés ou
interdites.
Le firewall permet d’interconnecter 2 réseaux (ou plus) de niveaux de sécurité différents (par
exemple : internet et le réseau interne d’une entreprise). Le firewall joue un rôle de sécurité en
contrôlant les flux de données qui le traversent (en entrée ou en sortie). Il permet ainsi de
filtrer les communications, de les analyser et enfin de les autoriser ou de les rejeter selon les
règles de sécurité en vigueur.
III.7.2.1 Fonctionnement d'un système pare-feu :
Un système pare-feu contient un ensemble de règles prédéfinies permettant [24] :
D'autoriser la connexion (allow) ;

De bloquer la connexion (deny) ;
De rejeter la demande de connexion sans avertir l'émetteur (drop).
54
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de
la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant :
soit d'autoriser uniquement les communications ayant été explicitement autorisées :

soit d'empêcher les échanges qui ont été explicitement interdits.
Le filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais «
statelesspacketfiltering »). Il analyse les en-têtes de chaque paquet de données (datagramme)
échangé entre une machine du réseau interne et unemachine extérieure.
Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants,
systématiquement analysés par le firewall :
Adresse IP de la machine émettrice ;

Adresse IP de la machine réceptrice ;
type de paquet (TCP, UDP, etc.) ;
numéro de port (rappel: un port est un numéro associé à un service ou une application
réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la
machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le
type de service utilisé.
Ces règles de filtrages nous aident beaucoup pour la sécurisation de notre réseau local contre
les intrusions distante en filtrant toutes les flux de communication.
III.7.3 IDS :
On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de

manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir
une action de prévention sur les risques d'intrusion.
Il existe deux grandes familles distinctes d’IDS [25] :
55
Les N-IDS (Network Based Intrusion Detection System), ils assurent la sécurité au
niveau du réseau.
Les H-IDS (Host Based Intrusion Detection System), ils assurent la sécurité au niveau
des hôtes.
III.8 Architecture finale du réseau :
La figure suivante illustre notre architecture réseaux divisé en deux sous réseau (LAN - DMZ)
et un pare-feu qui se positionne entre ces deux sous réseaux et le réseau WAN qui nous
permet d’accéder à internet. Et pour résoudre les problèmes qu’on a cités dans la figure
précédant on à donnes les solutions suivant :
 En utilisant PfSence la fonctionnalité de filtrage s’est nettement améliorée.
 présence de politique de gestion des connexions internet : équilibrage de charge des

liaisons WAN et de basculement WAN (haute disponibilité), cela grâce à PfSence.
 Le réseau a été segmenté au sous réseaux, et l’intrus ne peut pas accéder au réseau et cela
revient à la DMZ qui sécurise le réseau contre les intrusions.
 La DMZ offre des services de sécurité qui sont les suivants :

Sécurisation du serveur web.
Un filtrage réseau entre les différents réseaux ainsi inter connectés.
Des serveurs relais dans la DMZ pour gérer le trafic interne / externe.
 PfSense offre une meilleur gestion de l’utilisation d’Internet.
 Détection d’activité malveillante : analyse l’activité (trafic) du réseau ainsi que le système
afin de détecter les patrons d’attaques enregistrés dans le journal interne et cela grâce au
système de détection d’intrusion IDS et prévention d’intrusions IPS.
 contrôle total des flux entrants et sortants par PfSense.
56
 Utilisation des mécanismes de chiffrement et de signature permet que seul le destinataire

puisse consulter les données échangées (confidentialité) et que ces données ne puissent
être modifiées pendant leur transfert (intégrité) ;
 Des services publics et des serveurs relais (DMZ) permettant de masquer les services et la
topologie du réseau interne.
 Le système de détection d’intrusions IDS anticipe des attaques : empêcher une attaque de
débuter et ce examinant en théorie tous les paquets entrants ou sortants et en visualisant
chaque transaction dans le contexte des conversations réseau qui précédent ou qui suivent.
Figure III.10 : Architecteur réseau finale
Une fois le réseau est prêt on passe à la configuration du pare-feu car c’est la plus
importante étape. une fois connecter à l’interface web de PfSense à l’adresse 192.168.0.1
on commence a mettre en place les règles de filtrage propre pour chaque interface du pare-
feu, donc chaque règles appliqué sur une des deux interface s’applique aussi sur
l’ensemble du réseau local relié à cette interface.
57
 Interface LAN : la figure suivante nous montre la listedes règles associée à

l’interface LAN
Figure III.11 : La liste des règles associé à l’interface LAN
On remarque que dans la figure il existe 3 règles pour l’interface LAN :
 La1ér règles c’est pour l’interface web de configuration du serveur PfSense.

 La 2éme règles c’est pour bloquer les requêtes venant du réseau WAN
 La 3éme règles c’est pour autorisé le LAN vers tous les réseaux.
 Interface DMZ : la figure suivante nous montre la liste des règles associée à
l’interface DMZ
Figure III.12 : La liste des règles associé à l’interface DMZ
58
On remarque que dans la figure il existe 3 règles pour l’interface DMZ :
 La 1er règles c’est pour autorisé le flux venant du réseau WAN pour accéder au la
DMZ.
 La 2eme règles c’est pour autorisé le flux venant du réseau LAN pour accéder au la
DMZ.
 La 3eme règles c’est pour bloquer le flux sortant de DMZ vers LAN ce qui empêché
un intrus dans la DMZ d’accédé au réseau locale.
 Pour l’interface WAN on à pas mis de règles.
Pour plus de sécurité dans notre réseau local on a mis un système détection d’intrusion qui est
un Système de Prévention/Protection contre les intrusions, reconnaissance et signalisation des
intrusions.
PfSense nous propose plusieurs modules supplémentaires tel que Nmap pour le scanne, Snort
pour la détection d’intrusion … etc., pour les ajouter il suffit d’installer les package
correspondant pour chaque module.
Après installation du module Snort (IDS), on passe à la configuration de ce dernier pour le

mètre en écoute sur l’interface LAN
La figure suivante nous montre les paramètres de configuration du module snort.
59
Figure III.13 : Les paramètres de configuration du module Snort
Cette figure illustre les paramètres finaux de Snort ainsi que les buttons de
démarrage/redémarrage et arrêt de ce module.
60
Figure III.14 : Les paramètres finaux de snort et les buttons
démarrage/redémarrage/arrêt
III.9 Test de la solution proposée
III.9.1Les outils de tests utilisés
III.9.1.1 Nmap
Nmap est un scan de ports libre créé par Fyodor et distribué par Insecure.org. Il est conçu
pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur
le système d'exploitation d'un ordinateur distant [26].
Il faut s’avoir qu’avant d’attaqué n’importe quelle machine sur le réseau il faut avoir le
minimum d’information sur cette machine comme les ports ouvert pour s’avoir d’où mené
l’attaque ou bien des informations sur la version du système d’exploitation puis voir les failles
de sécurité relié à ce système et les exploités pour pénétrer dans ce système.
Dans notre cas on a utilisé une machine (KALI LINUX) sur le réseau DMZ pour simulé une
attaque vers une machine (WINDOWS 7 pro) qui se trouve sur le LAN.
III.9.1.2Kali linux :
Kali linux est une distribution GNU/Linux sortie le 13 mars 2013, basée sur Debian. La
distribution a pris la succession de BackTrack. L'objectif de Kali Linux est de fournir une
distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système
d'information, notamment le test d'intrusion [27].
61
III.9.2 Test de scan avant et après la configuration :
Figure III.15 : Teste de scan avant la sécurisation
62
Figure III.15 : Suite de Teste de scan avant la sécurisation
Cette figure illustre le lancement d’un scan avec Nmap de kali linux vers la machine
Windows 7 qui se trouve dans le réseau local (192.168.0.2).
On remarque bien que beaucoup d’information sont récolté par Nmap à savoir les ports
ouverts sur la machine cible et la version exacte du système d’exploitation de la machine cible
63
ce qui simplifie les attaques par la suite par un pirate, ce teste a été fait avant de configuré
notre pare-feu ce qui laisse beaucoup de possibilité a un pirate d’accédé au réseau et prendre
le contrôle des machines.
Après la configuration de notre pare-feu on remarque que ce genre de scan est bloqué par le
pare-feu ce qui empêché de récolté des informations sur la machine cible et même ignoré la
présence de cette machine sur le réseau (adresse IP)
Figure III.16 : Teste de scan après la sécurisation
Cette figure illustre la même commande Nmap de kali linux vers la machine cible Windows 7
mais après la configuration du pare-feu. Comme on la dit avant la machine de l’attaquant va
même ignorer l’existence de cette machine vu la réponse (encadré en orange) de Nmap qui
déclare que aucune machine qui porte l’adresse IP 192.168.0.2 est allumé.
64
Donc on a bien réussi le blocage de la commande nmap qui utilise plusieurs protocoles pour
récolter des informations sur l’hôte cible.
III.9.3 Teste de connexion entre les réseaux avant et après la configuration

du pare-feu :
Ici on va montrer la bonne communication entre les différents réseaux de notre entreprise et
l’accès internet.
 WAN  DMZ
Figure III.17 : Teste de connexion à partir internet vers notre réseau DMZ
Cette figure illustre que les machines peuvent accéder aux serveurs qui se trouvent sur le
DMZ.
65
 LAN  DMZ
Figure III.18 : Teste de connexion à partir du LAN vers DMZ
Cette figure illustre que les machines qui se trouvent sur le réseau local de gestion peuvent
accéder aux serveurs qui se trouvent sur le DMZ.
 LAN  WAN
Figure III.19 : Teste de connexion à partir du LAN vers WAN
66
Cette figure illustre que les machines qui se trouvent sur le réseau local peuvent accéder à
internet et que le serveur DNS est bien configuré, car cette requête fait appelle en premier lieu
au serveur DNS pour recevoir l’IP du serveur UMMTO puis on teste notre connexion à ce
serveur.
 DMZ  LAN
Figure III.20 : Teste de connexion à partir du DMZ vers LAN
Cette figure illustre que les machines qui s’infiltrent dans la DZM ne peuvent pas accéder au
réseau local de l’entreprise (destination host unreachable).
III.10 Discussion :
Dans ce chapitre en a décrit l’analyse et la conception du pare-feu PfSense mis en place, et

expliciter les différentes étapes pour son installation et sa configuration basique et règles, Puis
nous avons aussi tester et validé notre conception et réalisation, d’après les capture d’écran
qu’on a fait on remarque bien que notre théorie et notre besoin correspond bien à ce qu’on a
réalisé de ce fait on valide notre configuration.
67
Conclusion
Le travail que nous avons présenté dans ce mémoire consiste en premier lieu à étudier les
failles de sécurité du réseau du centre CAH d’Algérie Télécom. Cette étude nous a permis de
proposer une nouvelle architecture dont la sécurité est basée assurée par l’utilisation d’un
pare-feu open source qui est Pfsence. Afin de démontrer la fiabilité de notre solution, nous
avons simulé l’architecture réseau sécurisée en utilisant les deux outils GNS3 et VmWare. Le
premier pour schématiser l’architecture réseau et le deuxième pour simuler les différents
équipements composant cette architecture.
L’architecture sécurisée est basée sur l’utilisation d’un pare-feu et la création d’une zone
DMZ. Dans la configuration du pare-feu, nous avons utilisé Pfsence afin de faire le routage et
le filtrage des paquets.
Les tests effectués confirment que la solution de sécurité proposée est satisfaisante. De plus,
les différentes possibilités de configuration proposée par Pfsence démontrent que les firewalls
possèdent de multiples capacités d’utilisation qui peuvent différer en fonction du réseau
étudié.
Ce travail gagnerait davantage une fois le pare-feu testé sur le réseau réel du centre CAH. En
termes de perspectives; la mise en place de plugins qui facilite l’administration de l’IDS Snort
tel que SortSam qui est un plugin de Snort qui fonctionne avec deux parties : le plugin pour
Snort et un agent intelligent qui tourne comme un service sur le firewall. Il permet de bloquer
des adresses IP sur le pare-feu en analysant les alertes relevées par Snort et indiquant aux
agents SnortSam les adresses que ces derniers fournissent au pare-feu afin de les bloquer.
68
Bibliographie
[1] P. F. BONNEFOI, " Cours de Sécurité Informatique ", Université de Limoges, 2012.
[2] S. GHERNAOUTI, " Sécurité Internet, Stratégie et Technologie ", Dunod, Paris, 2000.
[3] : Jean-François Pillou et Jean-Philippe Bay. Sécurité informatique.3ième édition, Dunod,

Paris 2013.
[4] : V. REMAZEILLES, " La sécurité des réseaux avec CISCO ", Edition ENI, 2009.
[5] : C. LLORENS, L. LEVIER, D. VALOIS, " Tableaux de bord de la sécurité réseau ",
2ème édition, Eyrolles, paris, 2006.
[6] : J. ILLAND, N. DAUSQUE, K. KORTCHINSKY, " Sécurité Informatique ", CNRS,

février 2005.
[7] : A. ALTUNAIJI, " Mise en place d’un réseau sécurisé sous linux", Université Claude
Bernard, Lyon 1, France, novembre 2002.
[8] : G.DESGEORGE. La sécurité des réseaux ,3eme édition Dunod ,2012
[9] : http://www.linux-france.org ACL Dernier accès Juillet 2018.
[10] : S. GHERNAOUTI-HELIE, Sécurité informatique et réseaux, DUNOD, Paris, 2011.
[11] : JA. BUCHMANN, introduction à la cryptographie, 2eme édition Dunod ,2006.
[12] : http : //www-igm.univ-mlv.fr type de vlan Dernier accès Septembre 2018.
[13] : A. MARACON, B. FABREJON " Les Firewalls - La sécurité des réseaux ", Eyrol,
1999
[14] :https://wapiti.telecom.lille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesrio
2000/Blick 20Lammari/site/firewall/fontionnement.html.
[15] : M. M. PRONZATO, " Les Firewalls ", 3ème année ingénieurs en Informatique et
Réseaux, 2000, IN : www.igm.univ-mlv.fr
[16] http : //firewalls.chez.com/chapitre2.html : le firewall, une technique de protection.

[17] http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/ internet-firewall474,
( 2018).
[18] : https://saboursecurity.wordpress.com/20/08/2018 quelques-solutions-pare-feu-open-

source/: Quelques solutions pare-feu Open Source
[19] : Anthony Costanzo, Damien Grillat, Lylian Lefrancois. Etude des principaux services
fournis par PfSense. 2009. In: ftp://ftp.udg.co.cu/pub/others/pfsense%20firewall/PFsense.pdf
[20] : http://www.formations-virtualisation.fr/vmware-definition-vmware.php: Définition de

VMware
[21] : Ismail Rachdaoui. PFSense FreeBSB. Génie Réseaux et Télécommunications ENSA

Marrakech, 2013. In: http://fr.slideshare.net/ISMAILRACHDAOUI/installation-et-
configuration-de-pfsense
[22] : Présentation de gns3. http://www.gns3.net, 2018.
[23] : Michael W.Lucas. Le guide complet du FreeBSD. 2008. In

http://www.pearson.fr/resources/titles/27440100468110/extras/introduction.pdf
[24] : Jean- François Carpentier. La sécurité informatique dans la petite entreprise. 2ième
édition, copyright-Edition ENI- Décembre 2012.
[25] : http://memoireonline.com, Hamzata Gueye. Université Miage Kentira – licence en

informatique et réseau 2010
[26] : https://memoireonline.com, Gustave Koualoroh. Université de Yaoundé I – Master

professionnel en réseaux & applications multimédia 2008
[27] : http://fr.docs.kali.org/introduction-fr/quel-est-kali-linux, Septembre 2018,

Les pare-feux sont devenus très populaires en tant qu’outils de sécurité pour les
réseaux. Un firewall offre au système une protection d’un réseau interne, contre un certain
nombre d’intrusions venant de l’extérieur, grâce à des techniques de filtrage rapides et
intelligentes.
L’objectif de ce travail est la mise en place d’un firewall open source. PfSense
comme solution. Ce pare-feu offre un panel de fonctionnalités de type NAT, DHCP,…..etc,
auquel nous avons ajouté de plugins qui facilite l’administration de l’IDS Snort tel que
SortSam qui est un plugin de Snort qui fonctionne avec deux parties : le plugin pour Snort et
un agent intelligent qui tourne comme un service sur le firewall. Il permet de bloquer des
adresses IP sur le pare-feu en analysant les alertes relevées par Snort et indiquant aux agents
SnortSam les adresses que ces derniers fournissent au pare-feu afin de les bloquer.
Mots clé : Firewall, Sécurité réseau, PfSense, DMZ, Snort IDS, Nmap.

KherroubiYounes IdirKrim

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

KherroubiYounes IdirKrim

Transféré par

Droits d'auteur :

Formats disponibles

République Algérienne Démocratique et Populaire

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

FACULTE DE GENIE ELECTRIQUE ET D’INFORMATIQUE

Mémoire de Fin d’Etudes

Mr LAZRI M. Maitre de conférences classe A, UMMTO, Président

Soutenu publiquement le 22/09/2018

Chapitre I : Généralités sur la sécurité………………………………………………………..03

I.2 Sécurité informatique…………………………………………………………………..….03

I.3 Objectifs de la sécurité informatique…………………………………………………..….03

I.4 Terminologie de la sécurité informatique ……………………………………………..….05

I.4.2.1 Les différentes étapes d’une attaque………………………………………………..…06

I.4.2.2 Les attaquants………………………………………………………………………....07

I.4.2.3 Les différents types d’attaques………………………………………………………..07

I.4.2.4 Quelques techniques d’attaque…………………………………….. ...........................09

I.4.3 Les menace……………………………………………………………...........................11

I.4.4 Les risque……………………………………………………………………………..…12

I.5 La politique de sécurité informatique……...……………………………………………...12

I.5.1 But de la politique d’application………………………………………………………...12

I.5.3 Utilisation des ressources informatiques et accès utilisateurs…………………………..13

I.5.5 Mesures en cas de violation…………………………………………………………..…13

I.5.7 Rôles et responsabilités……………………………………………………………….....14

I.6 Mécanismes de sécurité…………………………………………………...........................14

I.6.1 Mécanismes de défense…………………………………………………………………14

I.7 La sécurité des réseaux informatiques………………………………………………….....16

I.7.1 Les listes de contrôles d’accès (ACL)…………………………………..........................16

I.7.1.1 L’intérêt d’utiliser des ACL…………………………………………………………...17

I.7.1.2 Les types des listes contrôles d’accès……………………………. …………………..18

I.7.3 VLAN (Virtual Local Area Network)…………………………………………………..20

I.7.3.2 Typologies des VLANs……………………………………………………………….20

I.7.5 Virtual Private Network (VPN)………………………………………............................24

II.3Utilité d’un firewall…………………………………………….........................................27

II.4 De quoi ne protège pas un firewall……………………………………………………….27

II.5 Principe de fonctionnement……………………………………………............................28

II.5.1 Filtre de paquets………………………………………………………………………..28

II.6 Différentes catégories de firewall……………………………………………………..….30

II.6.1 firewall sans états (stateless)…………………………………………...........................30

II.6.2 Firewall à états (stateful)……………………………………………………….………30

II.6.3 Firewall authentifiant…………………………………………………………………..32

II.6.4 Firewall personnel……………………………………………………...........................32

II.7 Types d’architectures……………………………………………………………….……32

II.7.1 Firewall avec routeur de filtrage…………………………………………………..……32

II.7.2 Passerelle double- le réseau bastion…………………………………………………....33

II.7.3 Firewall avec réseau de filtrage………………………………………...........................34

II.7.4 Firewall avec sous-réseau de filtrage…………………………………………………..35

II.8 Zone démilitarisée (DMZ)………………………………………………………………..37

II.8.1 Firewall avec zone démilitarisée……………………………………………………….37

III.2 Présentation de l’organisme d’accueil ……………………………………………….…39

III.2.1 Présentation d’Algérie Télécom…………………………………………………….....39

III.2.2 Missions et objectifs d’Algérie Télécom……………………………………………...40

III.2.3 Taches dévolues au personnel technique……………………………………………...40

III.3 Présentation du projet ………………………………………………………………..….41

III.3.1 Analyse concurrentielle ……………………………………………….........................41

III.4 Conception et réalisation du réseau sécurisé …………………………………………....43

III.4.1 Les outils utilisés ……………………………………………………………………...43

III.4.1.1 Présentation de VMware Workstation ……………………………………………...43

III.4.1.2 Présentation de PfSense ………………………………………………………….…43

III.4.1.3 Présentation de gns3 ………………………………………………………………...44

II.4.1.3.1 définition d’un gns3………………………………………………...........................44

II.4.1.3.2 Objectif de GNS3…………………………………………………..........................45

II.4.1.3.3 Description de l’interface graphique de l’émulateur GNS3………………………..46

III.4.1.4 Présentation de FreeBSD …………………………………………………………...47

III.5 Architecture Initiale du réseau…………………………………………………………..47

III.6 Installation et Configuration basique de PfSense sous VMware ……………………….48