Académique Documents
Professionnel Documents
Culture Documents
Sous l’encadrement
Sommaire...............................................................................................................i
Dédicace...............................................................................................................iv
Remerciements......................................................................................................v
Liste des tableaux.................................................................................................vi
Liste des figures..................................................................................................vii
Liste des abréviations...........................................................................................ix
Avant-propos........................................................................................................xi
Introduction générale..........................................................................................xii
Chapitre I : Présentation de l’entreprise et déroulement du stage......................xiii
1. Introduction.................................................................................................14
2. Entreprise et son environnement.................................................................14
2.1 Historique................................................................................................14
2.2 Description..............................................................................................14
2.3 Organigramme........................................................................................15
2.4 Localisation.............................................................................................16
2.5 Services de l’entreprise...........................................................................16
3. Environnement du stagiaire.........................................................................17
3.1 Accueil du stagiaire................................................................................17
3.2 Espace de travail.....................................................................................17
4. Activités effectuées.....................................................................................17
5. Conclusion...................................................................................................23
Chapitre II : Identification du problème..............................................................24
1. Introduction.................................................................................................25
2. Problème......................................................................................................25
3. Objectif de la sécurité informatique............................................................28
4. Mécanisme de sécurité................................................................................29
5. Conclusion...................................................................................................33
Chapitre III : Mise en place et test......................................................................34
1. Introduction.................................................................................................35
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
ii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
Dédicace
A ma famille.
iii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
Remerciements
Premièrement au Seigneur Dieu tout puissant qui a permis que tout ceux-
ci puissent se réaliser.
M. CARLOS KAKALIE responsable technique succursale de Yaoundé
pour son assistance, ses conseils tout au cours du stage et par lui, tout le
personnel de MATRIX TELECOM ;
M. Ledoux TUEKAM, pour avoir sacré un peu de son précieux temps
afin de nous encadrer et de nous former tout long de notre stage au sein de
MATRIX TELECOM.
M. Elono Brice coordinateur de la filière des système réseaux
télécommunication à l’INSTITUT SAINT JEAN pour le soutien qu'il a pu
nous accorder durant cette année académique.
Aux membres du Jury à qui ce travail sera soumis pour leur appréciation
A tous nos camarades pour leur aide.
Tous nos proches qui ont pu nous soutenir durant la réalisation de ce
travail.
iv
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
v
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
vi
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
vii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
Cigle Description
ISJ Institut Saint Jean
SRT Système Réseau et Télécom
ISI Informatique et Système d’Information
SIEM Security Information and Event Management
vii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage i
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
ix
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
Avant-propos
L’Institut Saint Jean (ISJ) est une jeune école d’ingénierie portée par la Congrégation
Saint Jean. Il multiplie les partenariats avec des établissements d’enseignements nationaux et
internationaux pour bénéficier de leur expérience.
Sa tutelle académique exercée au Cameroun par l’École Nationale Supérieure Polytechnique
(Université de Yaoundé 1). De plus, il a établi une convention avec l’Université de Troyes et
Université de technologie de Belfort-Montbéliard. L’objet de cet accord est la création d’un
diplôme d’université en ingénierie informatique qui sera décerné à ses étudiants à la fin de
leurs études. Par ailleurs, des échanges d’enseignants et d’étudiants permettront un transfert
de compétences et un renforcement de capacités pour permettre aux enseignements à l’ISJ
d’atteindre rapidement un niveau international.
L’Institut Saint Jean est bénéficiaire d’un financement ERASMUS+ destiné à la mise en
œuvre des standards européens pour les formations d’ingénieurs au Cameroun. Ce projet a
pour but la modernisation des formations d’ingénieurs au Cameroun par l’introduction d’une
démarche qualité fondée sur les normes ISO et par l’introduction de nouvelles modalités
d’enseignement fondées sur les compétences, la créativité et l’innovation.
L’Institut Saint Jean propose 2 types de formations :
La formation d’ingénierie en Systèmes, Réseaux et Télécommunications (SRT) et
Informatique et Systèmes d’information (ISI) forme des cadres ingénieurs capables de
conduire un projet dans le domaine des SRT et ISI. Leur champ d’action couvre la
conception, le développement et l’exploitation des infrastructures informatiques et de
télécommunication jusqu’au déploiement des services numériques (e-services). Les diplômés
de cette spécialité possèdent d’une part une excellente maitrise technologique et d’autre part
de réelles aptitudes à prendre en compte l’environnement économique, social et humain des
projets.
Cette formation est composée d’un tronc commun de 2 années d’enseignement généraliste,
puis de 3 années de spécialisation.
La formation conduisant à l’obtention d’une licence professionnelle qui consiste à former des
professionnels spécialisés dans le développement d’applications distribuées, développeur de
solutions système réseau, programmeur industriel ou de maintenance. Outre l’utilisation des
techniques professionnelles de développement avec des notions approfondies de gestion de
projet, ils doivent être capables d’analyser leur environnement économique et règlementaire
pour prévoir l’impact sur leurs applications.
L’Institut Saint Jean se positionne comme un établissement pilote au Cameroun en matière
d’élaboration et de mise en œuvre d’une démarche qualité permettant de bénéficier de
certifications internationales et d’améliorer la mobilité des diplômés et leur employabilité.
x
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
Introduction générale
xi
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
xii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
1. Introduction
2.1 Historique
2.2 Description
2.3 Organigramme
14
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
2.4 Localisation
15
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
3. Environnement du stagiaire
C’est le mardi 07 juin 2022 que nous nous sommes rendus dans les locaux
de MATRIX TELECOM pour débuter notre stage. Nous avons été accueillis à
l’entrée par des vigils de sécurités pour la prise des informations (CNI, marque
de la machine). Ensuite nous avons été conduites au département technique qui
est le lieu où se déroulera prioritairement notre stage. Rendu à cette endroit, Mr
Carlos nous a pris en charge pour nous expliquer les règles à suivre pour un bon
déroulement du stage. C’est aux environs de 10h que débute effectivement le
stage par la fiche d’insertion.
4. Activités effectuées
Fiche d’insertion
Elle est donnée au stagiaire pour s’imprégner des services de l’entreprise
et notion de bases pour effectuer des activités tout au long de son stage. Il devait
produire un rapport à envoyer par mail à la fin de chaque journée.
16
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
17
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
Afin d'établir une liaison sans fil entre les deux unités, nous devons définir
l'une d'elles comme maître. Par défaut, les deux unités sont configurées en tant
qu'esclaves.
18
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
Figure 9 : Nanostation M3
Elle fonctionne sur une fréquence de 3Ghz et se configure via l’interface web à
l’adresse 192.168.1.20 au mot de passe : ubtn, user : ubtn.
Figure 10 : Interface M3
19
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
20
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
Etapes :
Telécharcher le logiciel de configuration winbox64 sur le site de
MIKROTIK
Connecter les câbles sur l’équipement
Se connecter à l’aide de l’adresse Mac ou IP 192.168.88.1/24
Utiliser le mot de passe admin et l’user admin
Accéder à l’interface pour vos configurations
21
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
Difficulté :
Trouver le bon emplacement pour la radio
5. Conclusion
22
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre 1 : Présentation l’entreprise et déroulement du stage
23
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
1. Introduction
2. Problème
Attaques actives
Les attaques actives sont les attaques dans lesquelles l’attaquant tente de
modifier l’information ou crée un faux message. La prévention de ces attaques
est assez difficile en raison d’un large éventail de vulnérabilités physiques, de
réseaux et de logiciels. Au lieu de la prévention, il met l’accent sur la détection
de l’attaque et la récupération de toute perturbation ou retard causé par celui-ci.
Une attaque active nécessite généralement plus d’efforts et une implication
souvent plus dangereuse. Lorsque l’attaquant tente d’attaquer.
Les attaques actives sont sous forme d’interruption, de modification et de
fabrication.
Techniques d’attaque
Spoofing : Consiste à usurper les données essentielles d’un terminal
sur le réseau afin de se faire passer pour lui.
On a :
Le spoofing IP : Le spoofing IP est une technique permettant à un
pirate d’envoyer à une machine des paquets semblant provenir
d’une adresse IP autre que celle de la machine du pirate.
Le spoofing ARP : Le spoofing ARP est une technique qui modifie
le cache ARP. Le cache ARP contient une association entre les
adresses matérielles des machines et les adresses IP, l’objectif du
pirate est de conserver son adresse matérielle, mais d’utiliser
l’adresse IP d’un hôte approuvé. Ces informations sont
simultanément envoyées vers la cible et vers le cache.
Le spoofing DNS : Cette attaque consiste à faire parvenir de
fausses réponses aux requêtes DNS émises par une victime.
25
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
26
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
Les attaques de mot de passe constituent l’une des formes les plus
courantes de violation des données d’entreprise et personnelles. Une
attaque de mot de passe est tout simplement une tentative de vol de mot
de passe par un hacker.
Nous avons :
L’hameçonnage consiste, pour un hacker, à vous envoyer un e-mail
frauduleux en se faisant passer pour un organisme que vous connaissez,
pour vous inciter à révéler volontairement vos informations personnelles.
Parfois, ce procédé vous amène à de fausses pages de réinitialisation de
votre mot de passe. D’autres fois, les liens installent un code malveillant
sur votre appareil.
Brute forcing : Si un mot de passe est comparable à l’utilisation d’une clé
pour ouvrir une porte, une attaque par force brute reviendrait à employer
un bélier. Un hacker peut essayer 2 180 milliards de combinaisons de mot
de passe et utilisateur en 22 secondes. Si votre mot de passe est simple,
votre compte pourrait être menacé.
L’attaque par dictionnaire est une attaque par force brute. Elle repose
sur notre habitude de choisir des mots simples à titre de mot de passe, ce
qui a permis aux hackers de réunir les plus courants d’entre eux dans des
« dictionnaires de craquage ». Des attaques par dictionnaire plus
sophistiquées peuvent intégrer des mots qui sont importants pour vous à
titre personnel, comme un lieu de naissance, un nom d’enfant ou un nom
d’animal de compagnie.
27
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
4. Mécanisme de sécurité
28
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
VPN
Virtual Private Network, est une technique permettant à un ou
plusieurs postes distants de communiquer de manière sure, tout en
empruntant les infrastructures publiques. Ce type de liaison est apparu à la
suite d’un besoin croissant des entreprises de relier les différents sites, et
ce de façon simple, économique et sécurisé. Jusqu’à l’avènement des
VPN, les sociétés devaient utiliser des liaisons Transpac, ou des lignes
louées. Les VPN ont permis de démocratiser ce type de liaison.
Il existe plusieurs types de VPN. Les plus communs sont :
29
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
Proxy
Un serveur proxy appelé aussi serveur mandataire, est un composant
logiciel informatique qui joue le rôle de l’intermédiaire entre deux
machines pour surveiller leurs échanges. La plupart du temps le serveur
proxy est utilisé pour le web, il s’agit alors d’un proxy HTTP. Toutefois il
peut exister des serveurs proxy pour chaque protocole applicatif
(FTP, ...etc.)
Pare-feu ou firewall
Un pare-feu est un appareil de sécurité des réseaux qui contrôle le
trafic réseau entrant et sortant et décide s’il bloque ou autorise le trafic
selon un ensemble défini de règles de sécurité. Et ainsi d’utiliser le réseau
de la façon pour laquelle il a été prévu et sans l’encombrer avec les
activités inutiles, et d’empêcher une personne sans autorisation d’accéder
à ce réseau de données. Il s’agit ainsi d’une passerelle filtrante comportant
au minimum les interfaces réseaux
Fonctionnement d'un système pare-feu
30
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
IPS/IDS
IPS : système de prévention des intrusions
IDS : système de détection des intrusions
La détection d’intrusions consiste à analyser les informations collectées
par les mécanismes d’audit de sécurité, à la recherche d’éventuelles attaques.
Bien qu’il soit possible d’étendre le principe, nous concentrerons sur les
systèmes informatiques. Les méthodes de détection d’intrusion diffèrent sur
la manière d’analyser le journal d’audits.
Dans la suite nous parlerons davantage de ce mécanisme de sécurité dans
le but de sécurité un réseau d’entreprise car il s’agit du mécanisme de
sécurité choisie pour sécuriser le réseau de l’entreprise.
31
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
5. Conclusion
32
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre II : Identification du problème
33
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
1. Introduction
Figure 18 : IDS
35
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
La détection d’anomalies
Elle consiste à détecter des anomalies par rapport à un profil "de trafic
habituel". La mise en œuvre comprend toujours une phase d'apprentissage au
cours de laquelle les IDS vont "découvrir" le fonctionnement "normal" des
éléments surveillés.
Ils sont ainsi en mesure de signaler les divergences par rapport au
fonctionnement de référence. Les modèles comportementaux peuvent être
élaborés à partir d'analyses statistiques. Ils présentent l'avantage de détecter des
nouveaux types d'attaques.
Cependant, de fréquents ajustements sont nécessaires afin de faire évoluer
le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et
réduire le nombre de fausses alertes générées.
36
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
La reconnaissance de signature
Cette approche consiste à rechercher dans l'activité de l'élément surveillé les
empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement
réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce
fait, il nécessite des mises à jour fréquentes.
Réponse passive
La réponse passive d’un IDS consiste à enregistrer les intrusions détectées dans
un fichier de log qui sera analysé par le responsable sécurité.
Réponse active
La réponse active au contraire a pour but de stopper une attaque au moment de
sa détection. Pour cela on dispose de deux techniques : la reconfiguration du
firewall et l’interruption d’une connexion TCP.
La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau
du firewall, en fermant le port utilisé ou en interdisant l’adresse de l’attaquant.
37
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Points faibles
trames ayant levées une alerte, peut aussi s’avérer un point faible.
Un hôte flood avec un paquet chargé de 64000 octets, vont faire
exploser la taille des fichiers de logs des sondes en quelques
minutes.
• Problèmes intrinsèques à la plateforme : Beaucoup d’IDS sont des
38
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Les systèmes de prévention des intrusions peuvent être classés en quatre types
différents :
Système de prévention des intrusions en réseau (NIPS) : surveille
l’ensemble du réseau à la recherche de trafic suspect en analysant
l’activité du protocole.
Système de prévention des intrusions sans fil (WIPS) : surveille un
réseau sans fil pour détecter tout trafic suspect en analysant les
protocoles de réseau sans fil.
Analyse du comportement du réseau (NBA) : examine le trafic
réseau pour identifier les menaces qui génèrent des flux de trafic
inhabituels, telles que les attaques par déni de service distribué
(DDoS), certaines formes de logiciels malveillants et les violations de
règles.
Système de prévention des intrusions basé sur l’hôte (HIPS) : un
logiciel installé qui surveille l’activité suspecte d’un seul hôte en
analysant les événements qui se produisent sur cet hôte. Il est capable
de reporter des alertes ou d’y réagir lui-même.
La majorité des systèmes de prévention des intrusions utilisent l’une des trois
méthodes de détection suivantes : l’analyse basée sur la signature, l’analyse
statistique des anomalies et l’analyse du protocole dynamique.
39
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Détection basée sur les signatures : L’IDS basé sur les signatures
surveille les paquets dans le réseau et compare avec les modèles d’attaque
préconfigurés et prédéterminés connus sous le nom de signatures.
Détection statistique basée sur les anomalies : Un IDS basé sur les
anomalies surveillera le trafic réseau et le comparera à une base de
référence établie. La ligne de base identifiera ce qui est “normal” pour ce
réseau - quel type de bande passante est généralement utilisé et quels
protocoles sont utilisés. Elle peut cependant déclencher une alarme de
faux positif pour une utilisation légitime de la bande passante si les lignes
de base ne sont pas configurées intelligemment.
Détection d’analyse de protocole dynamique : Cette méthode identifie
les déviations des états du protocole en comparant les événements
observés avec des “ profils prédéterminés de définitions généralement
acceptées de l’activité bénigne “.
40
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs
qui sont classifiées dans une des limites suivantes :
Vrai positif : Une situation dans laquelle une signature met le feu
normale déclenche une alerte ou une réponse, ceci représente une erreur.
Vrai négatif : Une situation dans laquelle une signature ne met pas un
41
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
VMware Workstation
C’est un outil de virtualisation de poste de travail créé par la société
VMware, il peut être utilisé pour mettre en place un environnement de test pour
développer de nouveaux logiciels, ou pour tester l'architecture complexe d’un
système d’exploitation avant de l’installer réellement sur une machine physique.
Pfsense
C’est un système d'exploitation open source ayant pour but la mise en
place de routeur/pare-feu basé sur le système d'exploitation FreeBSD. Il
comporte l'équivalent libre des outils et services utilisés habituellement sur des
routeurs professionnels propriétaires. Pfsense convient pour la sécurisation d'un
réseau domestique ou d'entreprise. Après l'installation manuelle nécessaire pour
assigner les interfaces réseaux, il s'administre ensuite à distance depuis
l'interface web. Pfsense gère nativement les VLAN (802.1q).
Comme sur les distributions Linux, Pfsense intègre aussi un gestionnaire
de paquets pour installer des fonctionnalités supplémentaires, comme un proxy
ou un serveur de voix sur IP.
Plusieurs services peuvent être gérés par Pfsense, et ces services peuvent
être arrêtés ou activés depuis une interface graphique. Voici une liste non
exhaustive des services proposés par Pfsense :
VPN client PPTP, VPN site à site OpenVPN et IPSec.
Gestion des VLAN.
Filtrage d’URL.
Serveur DHCP.
Partage de bande passante Traffic Shaper (régulation de flux est le
contrôle du volume des échanges sur un réseau informatique dans
le but d’optimiser ou de garantir les performances).
Répartition de charge avec répartition de charge (LoadBalancer).
IDS-IPS Snort.
Snort
C’est un hybride d’IPS et d’IDS utile et efficace, et est un projet Open
Source le plus avancé au monde. Il utilise une série de règles qui aident à définir
42
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
l'activité réseau malveillante et utilise ces règles pour trouver les paquets qui
leur correspondent à eux et génère des alertes pour les utilisateurs. Il peut
également être déployé en ligne pour arrêter ces paquets. Snort peut être
téléchargé et configuré pour une utilisation personnelle et professionnelle, c’est
un outil multi-plateformes (Linux, Windows, FreeBSD).
Snort a trois utilisations principales :
Un renifleur de paquets comme tcpdump.
Un enregistreur de paquets - ce qui est utile pour le débogage du trafic
réseau.
Un système de prévention des intrusions réseau à part entière.
Fonctionnement de Snort
Le fonctionnement de Snort, consiste à passer les données par 4 blocs, qui ont
des rôles complémentaires décrits comme suit :
Bloc 1 (sniffer de paquets) : consiste d’intercepter toutes les trames qui
circulent sur le réseau, et les lire avec un décodeur qui se base sur la
librairie "libpcap".
Bloc 2 (préprocesseur) : il peut repérer les malformations, anomalies…
etc. et les réparer.
Bloc 3 (moteur de détection) : il se base sur les flux normalisés et
réassemblés pour repérer d’éventuelles.
Bloc 4 (les événements) : sont inscrits (logs au format unifié, BDD…
etc.).
43
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Avantages
- Permet de vérifier le bon fonctionnement d’un firewall : en plaçant une
sonde de chaque côté, on peut comparer le trafic entrant avec le trafic
sortant.
- Extrêmement maniable.
- Gratuit.
- On peut disposer aussi bien de son code source que de ses packages déjà
compilés.
- Les alertes peuvent être lues à l’écran, envoyées dans un fichier, envoyées
en messages Popup, être stockées dans une base de données MySql, …au
choix.
- Il vient déjà avec des règles minimales, on peut ainsi avoir des exemples
de règles concrètes.
Inconvénients
- Souvent vulnérable par rapport à des attaques de Denial of Service.
- SNORT a plus tendance que d’autres IDS à fournir des fausses alertes (en
moyenne, 70% des alertes remontées sont fausses), par exemple à cause
de petites signatures comme phf qui déclenchent une alerte alors que cela
peut être une simple requête contenant les mots "dhfudge" ou "muphf".
- Ne peut pas traiter les flux cryptés car la signature de ces attaques dépend
évidemment du type de cryptage et aussi évidemment de la clé employée
44
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
VM utilisateurs
Ubuntu (01) (Considérer ici comme serveur de la zone DMZ à ebranler).
Kali linux (01) (pour les tests d’attaque).
Pfsense (02)
4. Mise en place
4
3
4.1.2 Architecture décentralisée
1
2
46
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Position (4) : elle sécurise juste la zone DMZ, et elle ne prend pas en
considération le flux qui passe vers la zone PUBLIC et WORK. Dans
le sous-réseau DMZ, c’est mieux d’installer un HIDS sur les serveurs
que d’utiliser un NIDS, s’il y a un petit nombre de serveurs, car c’est
une zone automatisée, ne contient pas des activités humaines.
47
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
4
6
1
3
2
5
Comme le montre la Figure 22. C’est une architecture qui consiste à isoler
chaque zone avec son propre serveur de sécurité, et chaque serveur de sécurité
est connecté directement au réseau WAN via le même routeur.
Positionnement des IDS dans l'architecture décentralisée :
Il existe plusieurs endroits stratégiques où il convient de placer un IDS
dans cette architecture. Depuis la figure 22 :
Position (1) : sur cette position, l'IDS va pouvoir détecter l'ensemble
des attaques frontales, provenant de l'extérieur. Ainsi, beaucoup
d'alertes seront remontées ce qui rendra les logs difficilement
consultables, et tout ce travail, c’est pour sécuriser seulement la zone
DMZ, et est équivalent à un tiers (1/3) du réseau de l'entreprise.
Position (2) : les inconvénients de positionner un IDS dans ce point
plus que ses avantages, car il produit les mêmes inconvénients que la
position (1), et ne couvre pas les zones essentielles de l’entreprise,
comme la zone DMZ et TRAVAIL.
48
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Le nombre minimum d'IDS qu'il faut placer dans cette architecture pour
sécuriser toutes les zones est trois, et ils fonctionneront à toutes leurs capacités.
49
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
50
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
3
5
2
4
1
51
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
placés dans les positions une deux et trois) et diminue le volume des
données.
Position (5) : un IDS placé dans cette position, il lui permet de sécuriser
et couvrir la zone PUBLIC, et détecter les données sortantes,
potentiellement dangereuses dans le cas où un intrus s'infiltre dans cette
zone.
52
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
3
5
2
4
1
53
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
54
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Après nous lançons la machine et nous choisissons les étapes par défaut.
Suivre les mêmes étapes pour Pfsense 2 mais dans l’onglet réseau nous
activons trois adaptateurs réseaux, nous attachons le premier adaptateur au
réseau interne DMZ, le 2 -ème au réseau TRAVAIL, et le 3 -ème au réseau
PUBLIC.
55
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Pfsense 1
Etapes :
Lancer les VM Pfsense
Ici nous allons configurer leurs interfaces réseaux. Dans la console
Pfsense 1
Choisir 1 pour assigner les interfaces (em0, em1, em2 ...)
Choisir 2 pour donner les adresses IP aux interfaces comme suit
56
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Pfsense 2
Etapes :
Lancer les VM Pfsense
Ici nous allons configurer leurs interfaces réseaux
Dans la console Pfsense 1
57
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
58
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
59
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Lancer update
60
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
61
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Nous suivons les mêmes étapes pour configurer les deux interfaces (em1 et
em2) de Pfsense 2, comme le montre la figure suivante :
Configuration des règles pour détecter les attaques DOS ou les scannes
nmap :
Configuration des règles des sécurité sur l’interface Wan Pfsense 1
Allez sur Snort Interface – LAN – Catégorie LAN – sélectionner IPS policy –
choisir Security
62
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Pour les règles des interfaces sur Pfsense 2, nous changeons juste :
Sur la sonde position 4 de notre architecture hybride (voir la figure 27), la
variable $EXTERNAL_NET avec 192.168.3.0/24 (le réseau de la zone
PUBLIC), et la variable $HOME_NET avec 192.168.1.0/24 (le réseau de
la zone DMZ).
63
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
5. Test
64
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
65
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
66
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Figure 46 : Alerte générée due à un scan nmap depuis la zone Publique (Hacker 3)
6. Conclusion
67
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Mise en place d’un IPS/IDS pour sécuriser le réseau de l’entreprise en utilisant Snort
Bilan du stage
Sur ce plan, nous avons appris les types d’équipement réseau utilisés en
entreprise, leur configuration. Participer à des déploiements et installation
d’équipement chez un client tel que l’installation de la nanostation M3, ce qui
était très édifiant et instructif. Nous avons également d’appris le comportement
professionnel à adopter sur le terrain et face à un client notamment ce qu’il faut
dire et faire et ne pas dire et ne pas faire car une erreur peut couter des millions à
l’entreprise.
2. Difficultés rencontrées
Durant le stage nous avons fait face à de nombreuses difficultés notamment de :
La première semaine était très difficile, il fallait encore s’adapter.
Il était souvent très difficile de rentrer le soir cela à cause des
embouteillages rencontres le soir à 18h (heure de sortie en stage). On
arrivait donc tard à la maison ce qui ne facilite pas le repos.
Le manque d’équipements de protections (chasuble, combinaison de
travail, les chaussures de sécurité) pour les stagiaires lors de certaines
sorties sur le terrain.
Manque de voiture au moment des sorties : Etant nombreux, nous étions
obligés de monter à l’arrière du pick-up, ce qui nous exposait au vent.
3. Suggestions
Nous proposons :
L’augmentation des voitures (ajouter une autre voiture).
La mise à 17h30 l’heure de sortie du stage.
L’achat des équipements de protection pour les stagiaires.
69
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Chapitre III : Mise en place et test
Conclusion générale
Avec l’ouverture sur Internet, l’accès à l’information est rapide. Mais cette
ouverture sur un tel réseau nous expose à des risques de piratage d’informations
sensible. Ainsi, il est inéluctable de mettre en place une politique de sécurité
solide et efficace pour mieux satisfaire aux objectifs de la sécurité informatique
(intégrité, confidentialité…)
Ce rapport nous a permis de comprendre le concept de sécurité informatique et
nous a permis de comprendre le fonctionnement des IDS/IPS à travers SNORT.
En effet, nous avons appris le comment placer un IDS sur diffèrent architecture
(centralisé, décentralisé, hybride) et le manipuler suivant le cas de Snort sur un
pare-feu pfsense sur un environnement FreeBSD.
Bien que les résultats des tests de notre système étaient très satisfaisants,
nous pouvons aucun système de sécurité permettant de garantir une sécurité
totalement fiable à 100% car la technologie évolue tous les jours, il faut donc
suivre son évolution et de faire évoluer son système de sécurité.
70
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Mise en place d’un IPS/IDS pour sécuriser le réseau de l’entreprise en utilisant Snort
Références
Annexes
Tableaux
Règles Commentaires
alert tcp $EXTERNAL_NET any -> Quand cette règle détecte 180 tentatives
$HOME_NET any (msg:"une attaque (Count 180) de demandes de connexion
DOS"; flags:S threshold:type both, track (flags:S) depuis une seule machine source
by_src, count 180, seconds 60; (track by_src) pendant une durée de 60
sid:15031996; rev:1;) secondes (seconds 60) (l'équivalent de 3
tentatives/s), elle lancera une alerte avec un
message « une attaque DOS » (msg:"une
attaque DOS").
alert tcp $EXTERNAL_NET any -> Cette règles tirée de la librairie de Snort, et
$HOME_NET 3306 (msg:"ET SCAN elle détecte les requêtes suspectes le scanne
Suspicious inbound to mySQL port le port 3306 (le port utilisé par le servcie
3306» ; flow:to_server; flags:S; mySQL) ($HOME_NET 3306), on suit les
threshold: type limit, count 5, seconds 5 tentatives (count 5) de connexion
60, track by_src; (flags:S) de l’adresse source (track by_src)
reference:url,doc.emergingthreats.net vers le serveur (flow:to_server) pendant
/2010937; classtype:bad-unknown; une durée de 60 secondes (seconds 60), et
sid:2010937; rev:3; lancer une alerte avec le message « ET
metadata:created_at 2010_07_30,
SCAN Suspicious inbound to mySQL port
former_category HUNTING,
3306 » (msg:"ET SCAN Suspicious
updated_at 2018_03_27;)
inbound to mySQL port 3306").
alert tcp $EXTERNAL_NET any -> $HOME_NET Cette règle tirée de la librairie
de Snort, et elle détecte les
5432 (msg:"ET SCAN Suspicious inbound to
requêtes suspectes le scanne
PostgreSQL port 5432"; flow:to_server; flags:S; le port 5432 (le port utilisé
threshold: type limit, count 5, seconds 60, track par PostgreSQL)
by_src;
reference:url,doc.emergingthreats.net/2010939;
classtype:bad-unknown; sid:2010939; rev:3;
metadata:created_at 2010_07_30, former_category
Mise en place d’un IPS/IDS pour sécuriser le réseau de l’entreprise en utilisant Snort
reference:url,doc.emergingthreats.net/2010936;
classtype:bad-unknown; sid:2010936; rev:3;
metadata:created_at 2010_07_30, former_category
HUNTING, updated_at 2018_03_27;)
Tableau 1 : Tableau des regles snort
IP Description
73
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Mise en place d’un IPS/IDS pour sécuriser le réseau de l’entreprise en utilisant Snort
74
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage