Rapport de Stage Academique: Paix - Travail - Patrie Peace - Work - Fatherland

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON
Paix – Travail – Patrie Peace – Work – Fatherland

************ ************
MINISTERE DE L’ENSEIGNEMENT MINISTRY OF HIGHER
SUPERIEUR EDUCATION
************** **************
UNIVERSITE DE YAOUNDE I THE UNIVERSITY OF YAOUNDE I
************** **************
RAPPORT DE STAGE ACADEMIQUE
CONCEPTION D’UNE ARCHITECTURE LAN DE COUCHE 3 ET

IMPLEMENTATION DANS UN RESEAU D’ENTREPRISE
Stage effectué du 04 JUILLET 2022 au 31 aout 2022 à MATRIX TELECOM
En vue de mon brevet de technicien supérieur
Option : RESEAU ET SECURITE
Rédigé et présente par
BALITONI BEKANDON ARTHUR VIANNEY
Etudiant en RESEAU ET SECURITE
Sous l’encadrement
Académique de : Professionnel de :
M.DJE PAUL DOLIN M. Ledoux TUEKAM
Année académique 2021-2022

Sommaire
Sommaire...............................................................................................................i
Dédicace...............................................................................................................iv
Remerciements......................................................................................................v
Liste des tableaux.................................................................................................vi
Liste des figures..................................................................................................vii
Liste des abréviations...........................................................................................ix
Avant-propos........................................................................................................xi
Introduction générale..........................................................................................xii
Chapitre I : Présentation de l’entreprise et déroulement du stage......................xiii
1. Introduction.................................................................................................14
2. Entreprise et son environnement.................................................................14
2.1 Historique................................................................................................14
2.2 Description..............................................................................................14
2.3 Organigramme........................................................................................15
2.4 Localisation.............................................................................................16
2.5 Services de l’entreprise...........................................................................16
3. Environnement du stagiaire.........................................................................17
3.1 Accueil du stagiaire................................................................................17
3.2 Espace de travail.....................................................................................17
4. Activités effectuées.....................................................................................17
5. Conclusion...................................................................................................23
Chapitre II : Identification du problème..............................................................24
1. Introduction.................................................................................................25
2. Problème......................................................................................................25
3. Objectif de la sécurité informatique............................................................28
4. Mécanisme de sécurité................................................................................29
5. Conclusion...................................................................................................33
Chapitre III : Mise en place et test......................................................................34
1. Introduction.................................................................................................35
Conceptio d’une architecture lan et implementatio dans un reseau d’entreprise
2. Présentation des systèmes de détection et de prévention d’intrusion

(IDS/IPS).............................................................................................................35
2.1 Les IDS...................................................................................................35
2.1.1 Différents types d’IDS...................................................................36
2.1.2 Modes de fonctionnement d’un IDS.............................................37
2.1.3 Types de réponses.........................................................................38
2.2 LES IPS...................................................................................................39
2.2.1 Types IPS......................................................................................40
2.2.2 Fonctionnement d’un IPS..............................................................40
2.2.3 Architectures d’un IPS..................................................................41
3. Présentation des outils utilisés.....................................................................43
4. Mise en place...............................................................................................46
4.1 Présentation des architectures.................................................................46
4.1.1 Architecture centralisée.................................................................46
4.1.2 Architecture décentralisée.............................................................49
4.2 Choix de l’architecture............................................................................54
4.3 Installation et configuration de Pfsense..................................................55
4.4 Configuration de Pfsense 1 et Pfsense 2.................................................56
4.5 Installation et configuration de Snort sous Pfsense...................................60
5. Test..............................................................................................................65
6. Conclusion...................................................................................................68
Bilan du stage......................................................................................................69
1. Les apports du stage....................................................................................69
1.1 Plan professionnel et technique..............................................................69
1.2 Plan humain............................................................................................69
1.3 Plan personnel.........................................................................................69
2. Difficultés rencontrées................................................................................70
3. Suggestions..................................................................................................70
Conclusion générale............................................................................................71
Références...........................................................................................................72
Annexes...............................................................................................................73
ii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage
Dédicace
A ma famille.
iii
Remerciements
Ce rapport n'aurait sans doute pas pu se faire sans le soutien et

l'encouragement de plusieurs personnes de valeur. Ainsi, nous adressons nos
remerciements à :
 Premièrement au Seigneur Dieu tout puissant qui a permis que tout ceux-
ci puissent se réaliser.
 M. CARLOS KAKALIE responsable technique succursale de Yaoundé
pour son assistance, ses conseils tout au cours du stage et par lui, tout le
personnel de MATRIX TELECOM ;
 M. Ledoux TUEKAM, pour avoir sacré un peu de son précieux temps
afin de nous encadrer et de nous former tout long de notre stage au sein de
MATRIX TELECOM.
 M. Elono Brice coordinateur de la filière des système réseaux
télécommunication à l’INSTITUT SAINT JEAN pour le soutien qu'il a pu
nous accorder durant cette année académique.
 Aux membres du Jury à qui ce travail sera soumis pour leur appréciation
 A tous nos camarades pour leur aide.
 Tous nos proches qui ont pu nous soutenir durant la réalisation de ce
travail.
iv
Liste des tableaux
Tableau 1 : Tableau des regles snort...................................................................70

Tableau 2 : Tableau d'adressage..........................................................................70
v
Liste des figures
Figure 1 : Matrix télécom....................................................................................13

Figure 2 : Organigramme de matrix Telecom.....................................................14
Figure 3 : Itinéraire MATRIX-MESSASSI.........................................................15
Figure 4 : Fiche d'insertion stagiaire...................................................................17
Figure 5 : Infinet et PoE adaptator......................................................................17
Figure 6 : Configuration d'interface....................................................................18
Figure 7 : Mise des infos du master....................................................................18
Figure 8 : Configuration SVI...............................................................................18
Figure 9 : Nanostation M3...................................................................................19
Figure 10 : Interface M3......................................................................................19
Figure 11 : Mécanisme de soudure de la fibre optique.......................................20
Figure 12 : Interface de connection du routeur Mikrotik....................................21
Figure 13 : Installation de la radio chez un client...............................................22
Figure 14 : Cryptographie symétrique.................................................................28
Figure 15 : Cryptage asymétrique.......................................................................29
Figure 16 : Emplacement d'un serveur proxi......................................................30
Figure 17 : Fonctionnement d'un pare-feu..........................................................31
Figure 18 : IDS....................................................................................................34
Figure 19 : Architecture d'un IPS........................................................................40
Figure 20: Architecture de Snort.........................................................................43
Figure 21 : Architecture centralisée....................................................................45
Figure 22 : Architecture décentralisée................................................................48
Figure 23 : Architecture hybride.........................................................................51
Figure 24 : Architecture hybride.........................................................................53
Figure 25 : Setting psense 1................................................................................54
Figure 26 : Network adaptator pour Pfsense 2....................................................55
Figure 27 : Adressage reseau virtuel...................................................................56
Figure 28 : Console Pfsense 1.............................................................................56
Figure 29 : Setting Pfsense 2...............................................................................58
Figure 30 : Interface web pfsense 1 et 2..............................................................58
Figure 31 : Configuration de la table NAT Pfsense 1.........................................59
Figure 32 : Installation de snort Pfsense.............................................................59
Figure 33 : code Oinkcode..................................................................................60
Figure 34 : Règles snort.......................................................................................60
Figure 35 : Installation des règles........................................................................61
Figure 36 : Interface EM1 pfsense 1...................................................................61
vi
Figure 37 : Interfaces EM1 et EM2 de pfsense 2................................................62

Figure 38 : Règles snort.......................................................................................63
Figure 39 : Hacker en action...............................................................................64
Figure 40 : Scan de la zone DMZ........................................................................64
Figure 41 : Scan du serveur Ubuntu via kali (hacker 2)......................................65
Figure 42 : Hote Bloqué......................................................................................65
Figure 43 : Alerte générée...................................................................................65
Figure 46 : Alerte générée due à un scan nmap depuis la zone Publique (Hacker
3)..........................................................................................................................67
vii
Liste des abréviations
Cigle Description
ISJ Institut Saint Jean
SRT Système Réseau et Télécom
ISI Informatique et Système d’Information
SIEM Security Information and Event Management
VPN Virtual Private Network

DMZ Demilitarized zone
FreeBSD Free Berkeley Software Distribution
BSD Berkeley Software Distribution
Nmap Network Mapper
PPTP Point-to-Point tunneling Protocol
IPSec Internet Protocol Security
ISO International Organization for Standardization
ISP Internet Service Provider
DHCP Dynamic Host Configuration Protocol
UTM Unified Threat Management
OSI Open Systems Interconnection
IP Internet Protocol
NAT Network Address Translation
DNS Domain Name System
IDS Intrusion Detection System
HIDS Host Intrusion Detection System
NIDS Network Intrusion Detection System
AIDS Application Intrusion Detection System
IPS Intrusion Detection System
HIPS Host Intrusion Detection System
NIPS Network Intrusion Detection System
vii
Rapport présenté et soutenue par : BESSALA ETOMBE Victor Pety Sage i
KIPS Kernel Intrusion Detection System

SYN synchronize
TCP Transmission Control Protocol
UDP User Dataram Protocol
ICMP Internet Control Message Protocol
PAN Personal Area Network
LAN Local Area Network
MAN Metropolitan Area Network
WAN Wide Area Network
DOS Denial Of Service
DDOS Distributed Denial Of Service
LOIC Low Orbit Ion Cannon
ASA Adaptive Security Appliance
CD Compact Disc
BDD Base De Données
SQL Structured Query Language
IDWG Intrusion Detection exchange format Working Group
ix
Avant-propos
L’Institut Saint Jean (ISJ) est une jeune école d’ingénierie portée par la Congrégation
Saint Jean. Il multiplie les partenariats avec des établissements d’enseignements nationaux et
internationaux pour bénéficier de leur expérience.
Sa tutelle académique exercée au Cameroun par l’École Nationale Supérieure Polytechnique
(Université de Yaoundé 1). De plus, il a établi une convention avec l’Université de Troyes et
Université de technologie de Belfort-Montbéliard. L’objet de cet accord est la création d’un
diplôme d’université en ingénierie informatique qui sera décerné à ses étudiants à la fin de
leurs études. Par ailleurs, des échanges d’enseignants et d’étudiants permettront un transfert
de compétences et un renforcement de capacités pour permettre aux enseignements à l’ISJ
d’atteindre rapidement un niveau international.
L’Institut Saint Jean est bénéficiaire d’un financement ERASMUS+ destiné à la mise en
œuvre des standards européens pour les formations d’ingénieurs au Cameroun. Ce projet a
pour but la modernisation des formations d’ingénieurs au Cameroun par l’introduction d’une
démarche qualité fondée sur les normes ISO et par l’introduction de nouvelles modalités
d’enseignement fondées sur les compétences, la créativité et l’innovation.
L’Institut Saint Jean propose 2 types de formations :
La formation d’ingénierie en Systèmes, Réseaux et Télécommunications (SRT) et
Informatique et Systèmes d’information (ISI) forme des cadres ingénieurs capables de
conduire un projet dans le domaine des SRT et ISI. Leur champ d’action couvre la
conception, le développement et l’exploitation des infrastructures informatiques et de
télécommunication jusqu’au déploiement des services numériques (e-services). Les diplômés
de cette spécialité possèdent d’une part une excellente maitrise technologique et d’autre part
de réelles aptitudes à prendre en compte l’environnement économique, social et humain des
projets.
Cette formation est composée d’un tronc commun de 2 années d’enseignement généraliste,
puis de 3 années de spécialisation.
La formation conduisant à l’obtention d’une licence professionnelle qui consiste à former des
professionnels spécialisés dans le développement d’applications distribuées, développeur de
solutions système réseau, programmeur industriel ou de maintenance. Outre l’utilisation des
techniques professionnelles de développement avec des notions approfondies de gestion de
projet, ils doivent être capables d’analyser leur environnement économique et règlementaire
pour prévoir l’impact sur leurs applications.
L’Institut Saint Jean se positionne comme un établissement pilote au Cameroun en matière
d’élaboration et de mise en œuvre d’une démarche qualité permettant de bénéficier de
certifications internationales et d’améliorer la mobilité des diplômés et leur employabilité.
x
Introduction générale
Avec le développement de l'utilisation d'internet, de plus en plus

d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs
fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à
protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du
système d'information. Il en va de même lors de l'ouverture de l'accès de
l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de
se connecter au système d'information à partir de n'importe quel endroit, les
personnels sont amenés à « transporter » une partie du système d'information
hors de l'infrastructure sécurisé de l'entreprise. Ce qui augmente davantage le
risque d’insécurité dans le réseau de l’entreprise.
Le système d'information est généralement défini par l'ensemble des
données et des ressources matérielles et logicielles de l'entreprise permettant de
les stocker ou de les faire circuler. Le système d'information représente un
patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que
les ressources matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu.
La sécurité des systèmes informatiques se cantonne généralement à
garantir les droits d'accès aux données et ressources d'un système en mettant en
place des mécanismes d'authentification et de contrôle permettant d'assurer que
les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont
été octroyés.
Les mécanismes de sécurité mis en place peuvent néanmoins provoquer
une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus
en plus compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité
informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs
de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils
puissent utiliser le système d'information en toute confiance.
Dans la suite nous parlerons essentiellement des IDS/IPS comme moyen
supplémentaire de sécuriser le réseau d’une entreprise.
xi
Chapitre I : Présentation de l’entreprise

et déroulement du stage
xii
1. Introduction
Dans cette partie, il s’agira principalement de vous présenter Matrix

TELECOM, son historique, ses services ou prestations, sa localisation ainsi
notre environnement stagiaire, la prise de contact et les taches effectuées.
2. Entreprise et son environnement
2.1 Historique
MATRIX TELECOMS S.A. est né de l'ambition d'une élite de jeune

camerounais, le 01er août 2006, à mettre en place une structure de fourniture
d'accès internet. Elle comprend deux succursales localisées une à Yaoundé et
l'autre à Douala. Son siège social est basé à Yaoundé. Son évolution a été rapide
et a connu trois étapes importantes :
 10 mars 1995 : création d'ICC (Internet Computer Center), une
SSII, spécialisée dans le développement de logiciel ;
 17 novembre 1997 : création d'ICCNET S.A. (International
Computer Center Network), fournisseur de services internet ;
 01 août 2006 : création de Matrix Télécoms S.A., opérateur
de télécommunications ;
2.2 Description
Figure 1 : Matrix télécom

Chapitre 1 : Présentation l’entreprise et déroulement du stage
MATRIX TELECOMS, entreprise du Groupe ICCNET, se positionne

comme un pôle majeur des télécommunications au Cameroun par la fourniture
des services à travers les technologies IP (Internet Protocol). Sa création résulte
de la volonté de ses fondateurs, de mettre à la disposition des entreprises et
organisations, des solutions de télécommunications innovantes et de les
accompagner dans leur développement technologique concernant le domaine des
réseaux et télécoms.
2.3 Organigramme
Les clients hiérarchiques, organisationnels et fonctionnels existants entre

les différents métiers de la structure Matrix Télécom se composent d'un
Président directeur général et de plusieurs succursales, localisées à YAOUNDE,
DOUALA et BAFOUSSAM. En plus de cela il y a un département technique et
une direction des ressources financière rattachée à la direction des ressources
humaine. La figure 2 décrit en détails l'organigramme de matrix Télécom.
Figure 2 : Organigramme de matrix Telecom
14
2.4 Localisation
Figure 3 : Itinéraire MATRIX-MESSASSI
2.5 Services de l’entreprise
Matrix TELECOM offre une multitude de services notamment :

 Accès et Services Internet
 Solutions de Téléphonie sur IP
15
 Réseaux Privés Virtuels (VPN)

 Nom de Domaine
 Télésurveillance
 Vidéoconférence
 Messagerie d'Entreprise
 Datacenter
 Consulting
 MPLS
3. Environnement du stagiaire
3.1 Accueil du stagiaire
C’est le mardi 07 juin 2022 que nous nous sommes rendus dans les locaux
de MATRIX TELECOM pour débuter notre stage. Nous avons été accueillis à
l’entrée par des vigils de sécurités pour la prise des informations (CNI, marque
de la machine). Ensuite nous avons été conduites au département technique qui
est le lieu où se déroulera prioritairement notre stage. Rendu à cette endroit, Mr
Carlos nous a pris en charge pour nous expliquer les règles à suivre pour un bon
déroulement du stage. C’est aux environs de 10h que débute effectivement le
stage par la fiche d’insertion.
3.2 Espace de travail
Le stage s’est déroulé principalement au département technique ou des

ateliers de formation étaient organisées (atelier soudage fibre optique, atelier
MIKROTIK …) mais il y avait également des sorties sur le terrain.
4. Activités effectuées
 Fiche d’insertion
Elle est donnée au stagiaire pour s’imprégner des services de l’entreprise
et notion de bases pour effectuer des activités tout au long de son stage. Il devait
produire un rapport à envoyer par mail à la fin de chaque journée.
16
Figure 4 : Fiche d'insertion stagiaire
 Configuration d’un INFINET WIRELESS
Figure 5 : Infinet et PoE adaptator
Entrer en mode configuration d’interface à l’aide du navigateur web grâce à

l’adresse IP 10.10.10.1/24, se connecter avec le mot de passe admin et l’user
admin
17
Figure 6 : Configuration d'interface
Afin d'établir une liaison sans fil entre les deux unités, nous devons définir
l'une d'elles comme maître. Par défaut, les deux unités sont configurées en tant
qu'esclaves.
Figure 7 : Mise des infos du master
Configuration d’une interface d’administration à distance
Figure 8 : Configuration SVI
18
Puis enregistrer les configurations.
 Configuration d’une nanostation M3

C’est un équipement de télécommunication qui a une puissance de sortie
d’environ 28dbm (+/- 2db). Elle permet de recevoir ou d’émettre un signal en
provenance d’une station de base. La radio est alimentée à l’aide d’un injecteur
et son câble d’alimentation. Elle est connectée au PC via un câble réseau.
L’injecteur est un dispositif informatique qui présente deux (02) ports : PoE- qui
permet d’alimenter la radio, et le port LAN- pour connecter au PC
administrateur.
Figure 9 : Nanostation M3
Elle fonctionne sur une fréquence de 3Ghz et se configure via l’interface web à
l’adresse 192.168.1.20 au mot de passe : ubtn, user : ubtn.
Figure 10 : Interface M3
19
 Soudure fibre optique

Etapes :
 Glisser le manchon de protection
 Dénuder la fibre
 Nettoyer les fibres en utilisant de l'alcool isopropylique
 Cliver les fibres à l’aide de la cliveuse
 Lancer l'opération de soudure sur la soudeuse
 Utiliser le manchon de protection pour protéger la soudure
 Fin de la soudure
Figure 11 : Mécanisme de soudure de la fibre optique
 Configuration d’un routeur MiKROTIk
20
Figure 12 : Interface de connection du routeur Mikrotik
Etapes :
 Telécharcher le logiciel de configuration winbox64 sur le site de
MIKROTIK
 Connecter les câbles sur l’équipement
 Se connecter à l’aide de l’adresse Mac ou IP 192.168.88.1/24
 Utiliser le mot de passe admin et l’user admin
 Accéder à l’interface pour vos configurations
 Sorties sur le terrain

Durant notre stage, nous avons effectués plusieurs sorties sur le terrain, il s’agit
notamment de :
- Soudure Fibre optique pour rétablir la liaison sur la ligne de l’ambassade
d’Italie.
Difficulté :
 Trouver le tronçon ou la fibre est fibre est coupée.
- Changement de la nano station sur le pylône de Mvolye pour rétablir le
signal.
Difficulté :
 Trouver la bonne radio à remplacer car il y en a plusieurs.
- Soudure de la fibre optique sur le point de raccordement de Elig-Edzoa
pour rétablir le signal.
21
- Changement de la nanostation et bonne orientation sur le pylône de

Nomayos pour rétablir le signal.
Difficulté :
 Monter jusqu’au sommet du pylône.
- Troubleshooting fibre optique pour trouver l’endroit où la fibre était
cassée et la soudre.
- Installation d’une nanobridge M3 Etoa-MEKI chez un client pour la
connection par faiseau herzien.
Figure 13 : Installation de la radio chez un client
Difficulté :
 Trouver le bon emplacement pour la radio
5. Conclusion
En somme, nous avons pris contact et connaissance avec l’entreprise,

ses différentes prestations et services. Nous avons également appris davantage
sur les matériels tels que les routeurs MIKROTIK et leurs configurations pour
bien effectuées nos taches. Dans la suite de notre travail, nous présenterons le
problème de manière générale et les solutions apportées pour le résoudre.
22
Chapitre II : Identification du problème
23
1. Introduction
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises

ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il
est donc essentiel de connaître les ressources de l'entreprise à protéger et de
maîtriser le contrôle d'accès et les droits des utilisateurs du système
d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur
internet. Le but ici est donc de présenter le problème et la solution apporté.
2. Problème
2.1 Contexte du problème

Le développement de l'informatique dans tous les secteurs de la société
accroît le gain que peuvent tirer des malfaiteurs de l'intrusion dans les systèmes.
Diverses formes de cybercriminalité se développent sur ces bases. En
conséquence le risque qu'une de ses applications soit l'objet d'une tentative
d'attaque est important. Il est donc nécessaire de trouver les voies et moyens les
plus efficaces de mieux sécuriser les réseaux internes et externes des entreprises.
2.2 Attaque et technique d’attaque
Les attaques passives

Une attaque passive, en sécurité informatique, est une attaque caractérisée
par l'attaquant surveillant la communication ou les systèmes. Cela peut prendre
des formes telles que la lecture de courriels, le suivi de l'utilisation d'Internet ou
l'utilisation du microphone et de la caméra d'un système pour « espionner » un
individu. Dans une attaque passive, l'intrus / pirate n'essaie pas de modifier le
système ou de modifier les données.
Les attaques passives signifient essentiellement que l'attaquant écoute.
Ceci est en comparaison avec une attaque active, où l'intrus tente de s'introduire
dans le système pour accéder aux données ou les modifier. Même si une attaque
passive semble moins nocive, les dommages peuvent être tout aussi graves à la
fin si le bon type d'informations est obtenu.
Attaques actives
Les attaques actives sont les attaques dans lesquelles l’attaquant tente de
modifier l’information ou crée un faux message. La prévention de ces attaques
est assez difficile en raison d’un large éventail de vulnérabilités physiques, de
réseaux et de logiciels. Au lieu de la prévention, il met l’accent sur la détection
de l’attaque et la récupération de toute perturbation ou retard causé par celui-ci.
Une attaque active nécessite généralement plus d’efforts et une implication
souvent plus dangereuse. Lorsque l’attaquant tente d’attaquer.
Les attaques actives sont sous forme d’interruption, de modification et de
fabrication.
Techniques d’attaque
 Spoofing : Consiste à usurper les données essentielles d’un terminal
sur le réseau afin de se faire passer pour lui.
On a :
 Le spoofing IP : Le spoofing IP est une technique permettant à un
pirate d’envoyer à une machine des paquets semblant provenir
d’une adresse IP autre que celle de la machine du pirate.
 Le spoofing ARP : Le spoofing ARP est une technique qui modifie
le cache ARP. Le cache ARP contient une association entre les
adresses matérielles des machines et les adresses IP, l’objectif du
pirate est de conserver son adresse matérielle, mais d’utiliser
l’adresse IP d’un hôte approuvé. Ces informations sont
simultanément envoyées vers la cible et vers le cache.
 Le spoofing DNS : Cette attaque consiste à faire parvenir de
fausses réponses aux requêtes DNS émises par une victime.
 Attaque de l’homme du milieu

Consiste à se placer entre deux ordinateurs et faire croire à l’un qu’on est
l’autre et vice versa.
 Sniffing
Consiste à analyser le traffic d’un réseau pour trouver d’éventuelles
failles de sécurité.
25
Grâce à un logiciel appelé "sniffer", il est possible d’intercepter toutes

les trames que notre carte reçoit et qui ne nous sont pas destinées. Si
quelqu’un se connecte par telnet par exemple à ce moment-là, son mot de
passe transitant en clair sur le net, il sera aisé de le lire. De même, il est
facile de savoir à tout moment quelles pages web regardent les personnes
connectées au réseau, les sessions ftp en cours, les mails en envoi ou
réception. Une restriction de cette technique est de se situer sur le même
réseau que la machine ciblée.
 Attaque DOS et DDOS
Consiste à faire tomber un serveur, ou tout simplement de rendre un
service indisponible (serveur web, serveur Radius) ou un réseau
complet et donc les utilisateurs de peuvent pas accéder aux ressources.
 Attaques virales
Elles s’effectuent par le biais de :
Un virus est un petit programme qui a la faculté de se reproduire
automatiquement. Il va recopier son propre code tel quel, ou en le
modifiant, dans des éléments qui sont déjà dans l’ordinateur. Le plus
souvent son but est de nuire.
Vers : est un programme qui peut se reproduire et se déplacer à travers un
réseau en utilisant ses mécanismes, sans avoir réellement besoin d’un
support physique ou logique (clé USB, disque dur, programme hôte…)
pour se propager
Cheval de Troie : un programme informatique ouvrant une porte dérobée
(Backdoor) dans un système pour faire y entrer un hacker ou d’autres
programmes indésirables. Un cheval de Troie peut par exemple : voler des
mots de passe, copier des données sensibles, contrôle un terminal à
distance…etc.
 Attaques de faille matérielle
Ces attaques dues à un défaut dans les équipements réseaux révélées au
grand jour. Elles peuvent très souvent dangereuses. On a :
Les routeurs : La plupart des routeurs sont accessibles via des interfaces
texte comme Telnet et web (serveur HTML). Une faille se matérialise
souvent dans leur microcode : serveur HTML mal conçu, système de
mots de passe défaillant ou même porte dérobée non documentée par le
constructeur.
 Attaque de mot de passe
26
Les attaques de mot de passe constituent l’une des formes les plus
courantes de violation des données d’entreprise et personnelles. Une
attaque de mot de passe est tout simplement une tentative de vol de mot
de passe par un hacker.
Nous avons :
L’hameçonnage consiste, pour un hacker, à vous envoyer un e-mail
frauduleux en se faisant passer pour un organisme que vous connaissez,
pour vous inciter à révéler volontairement vos informations personnelles.
Parfois, ce procédé vous amène à de fausses pages de réinitialisation de
votre mot de passe. D’autres fois, les liens installent un code malveillant
sur votre appareil.
Brute forcing : Si un mot de passe est comparable à l’utilisation d’une clé
pour ouvrir une porte, une attaque par force brute reviendrait à employer
un bélier. Un hacker peut essayer 2 180 milliards de combinaisons de mot
de passe et utilisateur en 22 secondes. Si votre mot de passe est simple,
votre compte pourrait être menacé.
L’attaque par dictionnaire est une attaque par force brute. Elle repose
sur notre habitude de choisir des mots simples à titre de mot de passe, ce
qui a permis aux hackers de réunir les plus courants d’entre eux dans des
« dictionnaires de craquage ». Des attaques par dictionnaire plus
sophistiquées peuvent intégrer des mots qui sont importants pour vous à
titre personnel, comme un lieu de naissance, un nom d’enfant ou un nom
d’animal de compagnie.
3. Objectif de la sécurité informatique
Les objectifs d’une politique de sécurité sont de garantir la sécurité des

informations et du réseau de l’entreprise.
On peut donc définir les objectifs de la sécurité informatique comme suit :
- L’intégrité : l’information ne sera modifiée que par les personnes
autorisées.
- La confidentialité : demande l’information qui se trouve dans le système
soit lue que par les personnes autorisées.
- La disponibilité : demande que l’information qui se trouve dans le
système soit disponible aux personnes autorisées.
- Le non-répudiation : permet de garantir qu’une transaction ne puisse être
niée.
27
- L’authentification : consiste à assurer que seules les personnes autorisées

aient accès aux ressources.
4. Mécanisme de sécurité
Il existe plusieurs moyens de sécurise un système informatique :

 Antivirus
Logiciels conçus pour identifier, neutraliser et éliminer des logiciels
malveillants. Entre autres, ce sont des programmes capables de détecter la
présence de virus sur un ordinateur, ainsi que de nettoyer celui-ci dans la
mesure du possible si jamais un ou des virus sont trouvés. Nettoyer
signifie supprimer le virus du fichier sans l’endommager.
 Cryptographie
Ensemble des procédés visant à crypter des informations pour en assurer
la confidentialité entre l'émetteur et le destinataire. On a :
 La cryptographie Symétrique : Aussi appelé chiffrement à clé
secrète, il consiste à utiliser la même clé pour le chiffrement et le
déchiffrement.
Figure 14 : Cryptographie symétrique
 La cryptographie Asymétrique : Ici, on utilise une clé privée

et une clé publique pour crypter les données.
28
Figure 15 : Cryptage asymétrique
 VPN
Virtual Private Network, est une technique permettant à un ou
plusieurs postes distants de communiquer de manière sure, tout en
empruntant les infrastructures publiques. Ce type de liaison est apparu à la
suite d’un besoin croissant des entreprises de relier les différents sites, et
ce de façon simple, économique et sécurisé. Jusqu’à l’avènement des
VPN, les sociétés devaient utiliser des liaisons Transpac, ou des lignes
louées. Les VPN ont permis de démocratiser ce type de liaison.
Il existe plusieurs types de VPN. Les plus communs sont :
- PPTP VPN (Point-to-Point Tunneling Protocol).

- Site-to-Site VPN également appelé Router-to-Router (routeur-à-
routeur), et on l’utilise principalement pour des opérations
commerciales.
- L2TP VPN (Layer 2 Tunneling Protocol).
- IPsec est un protocole VPN utilisé pour sécuriser les communications
par internet sur un réseau IP. Un tunnel est mis en place dans un
endroit éloigné et vous permet d’accéder à votre site central.
- SSL et TLS (Secure Socket Layer et Transport Layer Security)
- MPLS VPN (Multiprotocol Label Switching) utilisé pour des
connexions de type Site-à-Site. C’est principalement dû au fait que les
MPLS sont très flexibles et adaptables. Le MPLS est une ressource
normalisée utilisée pour accélérer le processus de distribution de
paquets de réseau avec de multiples protocoles. Les VPN MPLS sont
29
des systèmes basés sur fournisseurs d’accès. On dit ça quand un site ou

plusieurs sont connectés pour former un VPN avec le même
fournisseur d’accès ISP.
- Hybrid VPN : Un VPN hybride combine à la fois un MPLS et un
IPsec.
 Proxy
Un serveur proxy appelé aussi serveur mandataire, est un composant
logiciel informatique qui joue le rôle de l’intermédiaire entre deux
machines pour surveiller leurs échanges. La plupart du temps le serveur
proxy est utilisé pour le web, il s’agit alors d’un proxy HTTP. Toutefois il
peut exister des serveurs proxy pour chaque protocole applicatif
(FTP, ...etc.)
Figure 16 : Emplacement d'un serveur proxi
 Pare-feu ou firewall
Un pare-feu est un appareil de sécurité des réseaux qui contrôle le
trafic réseau entrant et sortant et décide s’il bloque ou autorise le trafic
selon un ensemble défini de règles de sécurité. Et ainsi d’utiliser le réseau
de la façon pour laquelle il a été prévu et sans l’encombrer avec les
activités inutiles, et d’empêcher une personne sans autorisation d’accéder
à ce réseau de données. Il s’agit ainsi d’une passerelle filtrante comportant
au minimum les interfaces réseaux
Fonctionnement d'un système pare-feu
30
Un système pare-feu contient un ensemble de règles prédéfinies

permettant :
- D'autoriser la connexion (allow) ;
- De bloquer la connexion (deny) ;
- De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de
filtrage dépendant de la politique de sécurité adoptée par l'entité. On
distingue habituellement deux types de politiques de sécurité permettant :
 Soit d'autoriser uniquement les communications ayant été
explicitement autorisées :
"Tout ce qui n'est pas explicitement autorisé est interdit".
 Soit d'empêcher les échanges qui ont été explicitement interdits.
Figure 17 : Fonctionnement d'un pare-feu
 IPS/IDS
IPS : système de prévention des intrusions
IDS : système de détection des intrusions
La détection d’intrusions consiste à analyser les informations collectées
par les mécanismes d’audit de sécurité, à la recherche d’éventuelles attaques.
Bien qu’il soit possible d’étendre le principe, nous concentrerons sur les
systèmes informatiques. Les méthodes de détection d’intrusion diffèrent sur
la manière d’analyser le journal d’audits.
Dans la suite nous parlerons davantage de ce mécanisme de sécurité dans
le but de sécurité un réseau d’entreprise car il s’agit du mécanisme de
sécurité choisie pour sécuriser le réseau de l’entreprise.
31
5. Conclusion
En somme, cette partie nous a permis de mieux comprendre le problème de

la sécurité informatique, de présenter ses objectifs ainsi que les mécanismes de
protection. Dans la suite, le but sera de présenter la solution apportée et la mise
en place.
32
Chapitre III : Mise en place et test
33
1. Introduction
L’objectif ici sera est de présenter le concept d’IDS (Intrusion Detection

System) et d’IPS (Intrusion Prevention System) et d’implementer le cas
particulier de Snort. Il s’agit de techniques permettant de détecter les intrusions
et éventuellement de les prévenir. Ces techniques sont utilisées en association
avec tous les éléments d’une politique de sécurité. En effet de plus en plus
d’entreprises subissent des attaques qui peuvent entraîner des pertes
conséquentes. Le besoin des entreprises en sécurité informatique est de plus en
plus important, et un élément essentiel d’une bonne politique de sécurité est
l’utilisation d’un IDS.
2. Présentation des systèmes de détection et de prévention

d’intrusion (IDS/IPS)
2.1 Les IDS
Figure 18 : IDS
Un système de détection d’intrusion (IDS) est un dispositif ou une

application logicielle qui surveille un réseau ou des systèmes pour déceler toute
activité malveillante ou toute violation de politique de sécurité. Toute activité
malveillante ou violation est généralement signalée à un administrateur ou est
recueillie de façon centralisée au moyen d’un système de gestion des
informations et des événements de sécurité (SIEM). Un système SIEM combine
des sorties provenant de sources multiples et utilise des techniques de filtrage
des alarmes pour distinguer les activités malveillantes des fausses alarmes.
2.1.1 Différents types d’IDS
Les différents IDS se caractérisent par leur domaine de surveillance. Celui-ci

peut se situer au niveau d’un réseau d’entreprise, d’une machine hôte, d’une
application… Nous allons tout d’abord étudier la détection d’intrusion basée sur
l’hôte, puis basée sur une application, avant de nous intéresser aux IDS réseaux,
NIDS et NNIDS (Network IDS et Node Network IDS).
 La détection d'intrusion basée sur l'hôte
Les systèmes de détection d'intrusion basés sur l'hôte ou HIDS (Host IDS)
analysent exclusivement l'information concernant cet hôte. Comme ils n'ont pas
à contrôler le trafic du réseau mais "seulement" les activités d'un hôte ils se
montrent habituellement plus précis sur les types d'attaques subies.
De plus, les HIDS sont extrêmement complémentaires des NIDS. En effet, ils
permettent de détecter plus facilement les attaques de type "Cheval de Troie",
alors que ce type d’attaque est difficilement détectable par un NIDS. Les HIDS
permettent également de détecter des attaques impossibles à détecter avec un
NIDS, car elles font partie de trafic crypté.
Exemples : Tripwire, WATCH, DragonSquire, Tiger, Security Manager…
 Détection d'Intrusion basée sur une application
Les IDS basés sur les applications sont un sous-groupe des IDS hôtes. Ils
contrôlent l'interaction entre un utilisateur et un programme en ajoutant des
fichiers de log afin de fournir de plus amples informations sur les activités d’une
application particulière. Puisque vous opérez entre un utilisateur et un
programme, il est facile de filtrer tout comportement notable. Un ABIDS se
situe au niveau de la communication entre un utilisateur et l’application
surveillée.
L’avantage de cet IDS est qu’il lui est possible de détecter et d’empêcher des
commandes particulières dont l'utilisateur pourrait se servir avec le programme
et de surveiller chaque transaction entre l’utilisateur et l’application. De plus, les
données sont décodées dans un contexte connu, leur analyse est donc plus fine et
précise.
En revanche, du fait que cet IDS n’agit pas au niveau du noyau, la sécurité
assurée est plus faible, notamment en ce qui concerne les attaques de type
"Cheval de Troie".
35
 La Détection d'Intrusion Réseau (NIDS)

Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets
circulant sur ce réseau. L’implantation d’un NIDS sur un réseau se fait de la
façon suivante : des capteurs sont placés aux endroits stratégiques du réseau et
génèrent des alertes s’ils détectent une attaque. Ces alertes sont envoyées à une
console sécurisée, qui les analyse et les traite éventuellement. Cette console est
généralement située sur un réseau isolé, qui relie uniquement les capteurs et la
console.
 Système de Détection d'Intrusion de Nœud Réseau (NNIDS)
Ce nouveau type d’IDS (NNIDS) fonctionne comme les NIDS classiques,
c'est-à-dire vous analysez les paquets du trafic réseau. Mais ceci ne concerne
que les paquets destinés à un nœud du réseau (d'où le nom).
Une autre différence entre NNIDS et NIDS vient de ce que le NIDS
fonctionne en mode "promiscuous", ce qui n'est pas le cas du NNIDS. Celui-ci
n’étudie que les paquets à destination d’une adresse ou d’une plage d’adresse.
Puisque tous les paquets ne sont pas analysés, les performances de l'ensemble
sont améliorées.
Ce type d’IDS n’est pas encore très répandu, mais il est de plus en plus utilisé
pour étudier le comportement de nœuds sensibles d’un réseau.
2.1.2 Modes de fonctionnement d’un IDS
 La détection d’anomalies
Elle consiste à détecter des anomalies par rapport à un profil "de trafic
habituel". La mise en œuvre comprend toujours une phase d'apprentissage au
cours de laquelle les IDS vont "découvrir" le fonctionnement "normal" des
éléments surveillés.
Ils sont ainsi en mesure de signaler les divergences par rapport au
fonctionnement de référence. Les modèles comportementaux peuvent être
élaborés à partir d'analyses statistiques. Ils présentent l'avantage de détecter des
nouveaux types d'attaques.
Cependant, de fréquents ajustements sont nécessaires afin de faire évoluer
le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et
réduire le nombre de fausses alertes générées.
36
 La reconnaissance de signature
Cette approche consiste à rechercher dans l'activité de l'élément surveillé les
empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement
réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce
fait, il nécessite des mises à jour fréquentes.
2.1.3 Types de réponses
 Réponse passive
La réponse passive d’un IDS consiste à enregistrer les intrusions détectées dans
un fichier de log qui sera analysé par le responsable sécurité.
 Réponse active
La réponse active au contraire a pour but de stopper une attaque au moment de
sa détection. Pour cela on dispose de deux techniques : la reconfiguration du
firewall et l’interruption d’une connexion TCP.
La reconfiguration du firewall permet de bloquer le trafic malveillant au niveau
du firewall, en fermant le port utilisé ou en interdisant l’adresse de l’attaquant.
Points Forts de l’IDS

• L’invisibilité des dispositifs pour les attaquants.
• Conçu pour la surveillance continue sur le réseau.
• Diminue le travail manuel de la sécurité, en réduisant le coût dans les
entreprises.
• Les systèmes de détection d’intrusions peuvent analyser tout le trafic, et
relever des attaques même qu’ils n’en sont pas la cible directe.
• Il n'est pas nécessaire de surveiller le réseau en permanence pour être au
courant de ce qui se passe par les responsables de sécurité.
• Les IDS détectent les intrusions et renvoient des alertes et notifications
avec nombreuses informations détaillées (type supposé d’attaque, la
source, la destination), tout cela permet une bonne compréhension sur les
attaques.
37
• Contient des outils de filtrage très intéressants qui nous permettent de

faire du contrôle par protocole (ICMP, TCP, UDP), adresse IP, suivi de
connexion.
Points faibles
• Besoin de connaissances en sécurité : La mise en place de sonde
sécurité fait appel à de bonnes connaissances en sécurité. L’intervention

humaine est toujours indispensable, pour prendre les décisions critiques et
finales.
• Problème de positionnement des sondes : Avec fonctionnement en
mode promiscuité. Les sondes captent tout le trafic, et même si un Ping

flood, les sondes NIDS le captureront aussi et donc en subiront les
conséquences, comme si l’attaque leur était directement envoyée. Les
DoS classiques seront donc très nocifs pour les sondes NIDS.
o Le point fort de certains IDS qui est d’archiver aussi le contenu des
trames ayant levées une alerte, peut aussi s’avérer un point faible.
Un hôte flood avec un paquet chargé de 64000 octets, vont faire
exploser la taille des fichiers de logs des sondes en quelques
minutes.
• Problèmes intrinsèques à la plateforme : Beaucoup d’IDS sont des
logiciels reposant sur un système d’exploitation non dédié aux IDS.

o La faiblesse d’un IDS est liée à la faiblesse de la plate-forme.
o Une saturation de la mémoire, de la carte réseau, ou du processeur
porte atteinte directement au bon fonctionnement de tout le

système.
38
2.2 LES IPS
Les systèmes de prévention des intrusions (IPS), également connus sous le

nom de systèmes de détection et de prévention des intrusions (IDPS), sont des
dispositifs de sécurité réseau qui surveillent les activités du réseau ou du
système pour détecter toute activité malveillante. Les principales fonctions des
systèmes de prévention des intrusions sont d’identifier les activités
malveillantes, d’enregistrer des informations sur ces activités, de les signaler et
de tenter de les bloquer ou de les arrêter.
2.2.1 Types IPS
Les systèmes de prévention des intrusions peuvent être classés en quatre types
différents :
 Système de prévention des intrusions en réseau (NIPS) : surveille
l’ensemble du réseau à la recherche de trafic suspect en analysant
l’activité du protocole.
 Système de prévention des intrusions sans fil (WIPS) : surveille un
réseau sans fil pour détecter tout trafic suspect en analysant les
protocoles de réseau sans fil.
 Analyse du comportement du réseau (NBA) : examine le trafic
réseau pour identifier les menaces qui génèrent des flux de trafic
inhabituels, telles que les attaques par déni de service distribué
(DDoS), certaines formes de logiciels malveillants et les violations de
règles.
 Système de prévention des intrusions basé sur l’hôte (HIPS) : un
logiciel installé qui surveille l’activité suspecte d’un seul hôte en
analysant les événements qui se produisent sur cet hôte. Il est capable
de reporter des alertes ou d’y réagir lui-même.
2.2.2 Fonctionnement d’un IPS
La majorité des systèmes de prévention des intrusions utilisent l’une des trois
méthodes de détection suivantes : l’analyse basée sur la signature, l’analyse
statistique des anomalies et l’analyse du protocole dynamique.
39
 Détection basée sur les signatures : L’IDS basé sur les signatures
surveille les paquets dans le réseau et compare avec les modèles d’attaque
préconfigurés et prédéterminés connus sous le nom de signatures.
 Détection statistique basée sur les anomalies : Un IDS basé sur les
anomalies surveillera le trafic réseau et le comparera à une base de
référence établie. La ligne de base identifiera ce qui est “normal” pour ce
réseau - quel type de bande passante est généralement utilisé et quels
protocoles sont utilisés. Elle peut cependant déclencher une alarme de
faux positif pour une utilisation légitime de la bande passante si les lignes
de base ne sont pas configurées intelligemment.
 Détection d’analyse de protocole dynamique : Cette méthode identifie
les déviations des états du protocole en comparant les événements
observés avec des “ profils prédéterminés de définitions généralement
acceptées de l’activité bénigne “.
2.2.3 Architectures d’un IPS
Le fonctionnement d’un IPS est similaire à celui d’IDS. Il capture le trafic

du réseau puis l’analyse. Mais au lieu d’alerter l’utilisateur d’une intrusion ou
d’une attaque, l’IDS réagit automatiquement sans l’intervention de l’utilisateur,
et bloque directement les intrusions en supprimant les paquets illégitimes. Pour
informer l’utilisateur, l’IPS peut aussi remplir un fichier de journalisation qui
contiendra la liste des paquets supprimés et éventuellement un message
indiquant la raison de cette suppression.
Figure 19 : Architecture d'un IPS
40
L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs
qui sont classifiées dans une des limites suivantes :
 Vrai positif : Une situation dans laquelle une signature met le feu
correctement quand le trafic intrusif est détecté sur le réseau, ceci

représente l’opération normale et optimale.
 Faux positif : Une situation dans laquelle d’utilisation d’une activité
normale déclenche une alerte ou une réponse, ceci représente une erreur.
 Vrai négatif : Une situation dans laquelle une signature ne met pas un
signe pendant l’utilisation normal de trafic sur le réseau. Aucune activité

malveillante. Ceci représente une opération normale et optimale.
 Faux négatif : Une situation dans laquelle le système détection ne détecte
pas le trafic intrusif bien qu’il y a une activité malveillante, mais le
système de sécurité ne réagit pas, dans ce cas représente une erreur.
Exemple d’IPS : le moteur ASQ de Netasq, snort .
Points forts d’IPS

 La plupart des logiciels IPS sont multi-plateforme (Linux, FreeBSD,
Windows ... etc.).
 Empêche la transmission des paquets en fonction de ses règles tous
comme un pare-feu bloque le trafic en se basant sur les adresses IP.

 La liberté de création des règles pour les actions à exécuter.
 Démineur le coût, pour installer plusieurs
 Cette approche fait interagir des technologies hétérogènes : pare-feu,
VPN, IDS, antivirus, anti-spam, etc.

 Peut détecter des attaques sur plusieurs différents types des logiciels
d’exploitation et d’applications, selon l’ampleur de sa base de données.
41
3. Présentation des outils utilisés
VMware Workstation
C’est un outil de virtualisation de poste de travail créé par la société
VMware, il peut être utilisé pour mettre en place un environnement de test pour
développer de nouveaux logiciels, ou pour tester l'architecture complexe d’un
système d’exploitation avant de l’installer réellement sur une machine physique.
Pfsense
C’est un système d'exploitation open source ayant pour but la mise en
place de routeur/pare-feu basé sur le système d'exploitation FreeBSD. Il
comporte l'équivalent libre des outils et services utilisés habituellement sur des
routeurs professionnels propriétaires. Pfsense convient pour la sécurisation d'un
réseau domestique ou d'entreprise. Après l'installation manuelle nécessaire pour
assigner les interfaces réseaux, il s'administre ensuite à distance depuis
l'interface web. Pfsense gère nativement les VLAN (802.1q).
Comme sur les distributions Linux, Pfsense intègre aussi un gestionnaire
de paquets pour installer des fonctionnalités supplémentaires, comme un proxy
ou un serveur de voix sur IP.
Plusieurs services peuvent être gérés par Pfsense, et ces services peuvent
être arrêtés ou activés depuis une interface graphique. Voici une liste non
exhaustive des services proposés par Pfsense :
 VPN client PPTP, VPN site à site OpenVPN et IPSec.
 Gestion des VLAN.
 Filtrage d’URL.
 Serveur DHCP.
 Partage de bande passante Traffic Shaper (régulation de flux est le
contrôle du volume des échanges sur un réseau informatique dans
le but d’optimiser ou de garantir les performances).
 Répartition de charge avec répartition de charge (LoadBalancer).
 IDS-IPS Snort.
Snort
C’est un hybride d’IPS et d’IDS utile et efficace, et est un projet Open
Source le plus avancé au monde. Il utilise une série de règles qui aident à définir
42
l'activité réseau malveillante et utilise ces règles pour trouver les paquets qui
leur correspondent à eux et génère des alertes pour les utilisateurs. Il peut
également être déployé en ligne pour arrêter ces paquets. Snort peut être
téléchargé et configuré pour une utilisation personnelle et professionnelle, c’est
un outil multi-plateformes (Linux, Windows, FreeBSD).
Snort a trois utilisations principales :
 Un renifleur de paquets comme tcpdump.
 Un enregistreur de paquets - ce qui est utile pour le débogage du trafic
réseau.
 Un système de prévention des intrusions réseau à part entière.
Fonctionnement de Snort
Le fonctionnement de Snort, consiste à passer les données par 4 blocs, qui ont
des rôles complémentaires décrits comme suit :
 Bloc 1 (sniffer de paquets) : consiste d’intercepter toutes les trames qui
circulent sur le réseau, et les lire avec un décodeur qui se base sur la
librairie "libpcap".
 Bloc 2 (préprocesseur) : il peut repérer les malformations, anomalies…
etc. et les réparer.
 Bloc 3 (moteur de détection) : il se base sur les flux normalisés et
réassemblés pour repérer d’éventuelles.
 Bloc 4 (les événements) : sont inscrits (logs au format unifié, BDD…
etc.).
43
Figure 20: Architecture de Snort
Avantages
- Permet de vérifier le bon fonctionnement d’un firewall : en plaçant une
sonde de chaque côté, on peut comparer le trafic entrant avec le trafic
sortant.
- Extrêmement maniable.
- Gratuit.
- On peut disposer aussi bien de son code source que de ses packages déjà
compilés.
- Les alertes peuvent être lues à l’écran, envoyées dans un fichier, envoyées
en messages Popup, être stockées dans une base de données MySql, …au
choix.
- Il vient déjà avec des règles minimales, on peut ainsi avoir des exemples
de règles concrètes.

Inconvénients
- Souvent vulnérable par rapport à des attaques de Denial of Service.
- SNORT a plus tendance que d’autres IDS à fournir des fausses alertes (en
moyenne, 70% des alertes remontées sont fausses), par exemple à cause
de petites signatures comme phf qui déclenchent une alerte alors que cela
peut être une simple requête contenant les mots "dhfudge" ou "muphf".
- Ne peut pas traiter les flux cryptés car la signature de ces attaques dépend
évidemment du type de cryptage et aussi évidemment de la clé employée
44
(c’est une des raisons). Mais de toute manière, à ma connaissance, aucun

IDS ne sait traiter des flux cryptés.
- Un IDS fonctionne en mode binaire : il traduit toute requête comme une
intrusion ou comme une trame "permise". Il n’existe pas d’intermédiaire
entre les deux. Tout ce qui est possible, est de donner un degré
d’importance à ces alertes.
VM utilisateurs
 Ubuntu (01) (Considérer ici comme serveur de la zone DMZ à ebranler).
 Kali linux (01) (pour les tests d’attaque).
 Pfsense (02)
4. Mise en place
4.1 Présentation des architectures
4.1.1 Architecture centralisée
4
3
4.1.2 Architecture décentralisée
1
2
Figure 21 : Architecture centralisée

45
Comme le montre la Figure 18, tous les réseaux locaux (DMZ,

TRAVAIL et PUBLIC) sont reliés directement à un Serveur de sécurité (nœud
central), et chaque sous-réseau local est connecté à une des interfaces du nœud
central, qui est à son tour connecté à Internet (WAN) via un routeur.
NB : Serveur de sécurité c’est une machine ou ordinateur puissant où on va
installer PfSense et leurs services (firewall, routeur et SNORT).
Exemple : Le Cisco ASA : (Adaptive Security Appliance) la famille de
dispositifs de sécurité Cisco protège les réseaux d'entreprises et les centres de
données de toutes tailles. Il offre aux utilisateurs un accès hautement sécurisé
aux données et aux ressources réseau à tout moment, en tout lieu, en utilisant
n'importe quel appareil. (The Cisco ASA Family of security devices protects
corporate networks and data centers of all sizes. It provides users with highly
secure access to data and network resources - anytime, anywhere, using any
device).
 Positionnement des IDS dans l'architecture centralisée : Les cercles verts
sur la figure 18 sont les positions des IDS :

 Position (1) : la première idée qui vienne à notre tête, c’est de placer
l’IDS dans cette position, elle couvre toute l’architecture, et détecte
toutes les attaques frontales. Ainsi, énormément d'alertes seront
remontées ce qui va consommer beaucoup de ressource et rendra les
logs difficilement consultables.
 Position (2) : placer un IDS dans cette position, ne lui permet pas de
détecter les attaques frontales, et il couvrira juste la zone PUBLIC,
avec moins de consommation de ressources, et son utilité est faible,
car ne sécurise pas les zones WORK et DMZ.
 Position (3) : l’installation d’un IDS dans cette position, joue un rôle
important, car il couvre une zone essentielle, et il va minimiser
beaucoup les erreurs humaines (les mauvaises activités involontaires
ou intentionnelles des employés).
46
 Position (4) : elle sécurise juste la zone DMZ, et elle ne prend pas en
considération le flux qui passe vers la zone PUBLIC et WORK. Dans
le sous-réseau DMZ, c’est mieux d’installer un HIDS sur les serveurs
que d’utiliser un NIDS, s’il y a un petit nombre de serveurs, car c’est
une zone automatisée, ne contient pas des activités humaines.
Existe trois solutions pour équiper cette architecture avec un système de

détection d’intrusions pour sécuriser toute l’entreprise :
• Placer une seule sonde, dans la position (1).
• Placer les sondes sur les positions une, deux et trois.
• Placer les sondes sur toutes les positions, qui vont coûter très cher, et
satureront le serveur central.
 Les Avantages de l’architecture centralisée :
 La facilité d’installation et la mise en place.

 Tout le flux entrant et sortant de l’entreprise passe par une seule
machine, qui va donner un seul endroit à visiter pour contrôler le flux.
 Les inconvénients d’architecture centralisée :
 Si le nœud central tombe en panne, toute l’architecture tombe en

panne.
 Comme le traitement des paquets nécessite une mémorisation des
connexions en cours, il existe des attaques sur ces équipements visant
à saturer leur mémoire. Si un attaquant contrôle le nœud central il va
avoir entre ses mains le contrôle de toutes les zones (WORK, PUBLIC
et DMZ) de l’entreprise.
 Une bande passante limitée, car le nœud central contrôle tout le trafic.
47
4.1.2 Architecture décentralisée
4
6
1
3
2
5
Figure 22 : Architecture décentralisée
Comme le montre la Figure 22. C’est une architecture qui consiste à isoler
chaque zone avec son propre serveur de sécurité, et chaque serveur de sécurité
est connecté directement au réseau WAN via le même routeur.
 Positionnement des IDS dans l'architecture décentralisée :
Il existe plusieurs endroits stratégiques où il convient de placer un IDS
dans cette architecture. Depuis la figure 22 :
 Position (1) : sur cette position, l'IDS va pouvoir détecter l'ensemble
des attaques frontales, provenant de l'extérieur. Ainsi, beaucoup
d'alertes seront remontées ce qui rendra les logs difficilement
consultables, et tout ce travail, c’est pour sécuriser seulement la zone
DMZ, et est équivalent à un tiers (1/3) du réseau de l'entreprise.
 Position (2) : les inconvénients de positionner un IDS dans ce point
plus que ses avantages, car il produit les mêmes inconvénients que la
position (1), et ne couvre pas les zones essentielles de l’entreprise,
comme la zone DMZ et TRAVAIL.
48
 Position (3) : cette position est équivalente à la position (1), mais la

zone sécurisée ici ce n’est pas la DMZ, mais c’est la zone TRAVAIL,
où il y a beaucoup d’erreurs humaines.
 Position (4) : si l'IDS est placé dans la DMZ, il détectera les attaques
qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain
niveau de compétence, mais nous ne pouvons pas faire un diagnostic
sur toutes les menaces qui visent l’entreprise depuis l’extérieur. Les
logs seront ici plus clairs à consulter, car les attaques légères ne seront
pas enregistrées.
 Position (5) : cette position ne couvre que la zone PUBLIC, et ne
détecte pas les attaques frontales.
 Position (6) : le positionnement de l'IDS dans la zone TRAVAIL, peut
rendre compte des attaques internes, provenant du réseau local de
l'entreprise. Ce pourrait être une bonne idée de mettre un IDS à cet
endroit, étant donné le fait que la majorité des attaques proviennent de
l'intérieur. De plus, si des chevaux de Troie (Trojans) ont contaminé la
zone TRAVAIL, ils pourront être ici facilement identifiés pour être
ensuite éradiqués.
Le nombre minimum d'IDS qu'il faut placer dans cette architecture pour
sécuriser toutes les zones est trois, et ils fonctionneront à toutes leurs capacités.
 Les Avantages d’architecture décentralisée :

 Diminuer le flux contrôlé (au lieu de surcharger un seul serveur de
contrôle par tout le flux, nous décentralisons le flux sur trois serveurs
de contrôle).
 La tolérance aux pannes, si un des trois serveurs de sécurité tombe en
panne, le réseau sera rétrogradé, mais ce n'est pas une panne totale.
 Les inconvénients d’architecture décentralisée :
 La difficulté de la mise en place et l’installation.
49
 La difficulté de contrôler trois serveurs de sécurité.

 La redondance des règles de configurations firewall et IDS.
 Difficile de choisir les bonnes positions pour l'IDS.
 Positionner plusieurs IDS pour sécuriser toute l’entreprise.
 Un coût élevé pour mettre en place trois serveurs de sécurité, et

positionner l’IDS sur toutes les positions.
 Les mêmes alertes apparaissent sur la plupart des systèmes de
détection d'intrusions.
4.1.3 Architecture hybride
C’est une combinaison entre l’architecture centralisée et décentralisée

comme le montre la Figure 27 suivante, tel qu’on décentralise le contrôle de
réseau DMZ et les deux réseaux TRAVAIL et PUBLIC avec les trois étapes
suivantes :
• Mettre en place un serveur de sécurité 1 qui connecte le réseau Internet à
la zone démilitarisée (DMZ).
• Nous centralisons les deux zones WORK et PUBLIC qui sont connectées
à un autre serveur de sécurité 2 via deux interfaces réseaux.
• Connecter l’interface WAN de serveur de contrôle 2 à la zone
démilitarisée, et avoir un accès à ses services, ainsi que l’accès à Internet.
50
3
5
2
4
1
Figure 23 : Architecture hybride
 Positionnement des IDS dans l'architecture hybride :

Il existe plusieurs endroits stratégiques où il convient de placer un IDS
dans cette architecture. Depuis la figure 23 :
 Position (1) : c’est une position d’entrée de l’entreprise depuis internet, et
est équivalente à la position (1) de l’architecture centralisée.
 Position (2) : placer un IDS sur cette position, il lui permet de capturer
toutes les attaques passées par le pare-feu, et sécurise toute l’architecture,
même les serveurs de la zone démilitarisée.
 Position (3) : c’est une position proche à la position (2), mais ne contrôle
pas les menaces destinées vers la zone DMZ, ainsi les menaces qui sortent
de cette dernière. Alors c’est mieux de placer l'IDS sur la deuxième
position que cette position.
 Position (4) : placer un IDS dans cette position, couvre bien la zone
TRAVAIL, et ne consomme pas beaucoup de ressources, car le flux
entrant analyser, passe par plusieurs barrages (deux pares-feux et les IPS
51
placés dans les positions une deux et trois) et diminue le volume des
données.
 Position (5) : un IDS placé dans cette position, il lui permet de sécuriser
et couvrir la zone PUBLIC, et détecter les données sortantes,
potentiellement dangereuses dans le cas où un intrus s'infiltre dans cette
zone.
Existe trois solutions pour équiper cette architecture avec un système de

détection d’intrusions pour sécuriser toutes l’entreprise :
 Positionner un IDS dans la position (1), qui va générer les mêmes
avantages et les inconvénients de la position (1) de l’architecture

centralisée.
 Positionner 3 IDS dans les positions (1) (4) et (5), et c’est le bon choix.
 Les Avantages d’architecture hybride :
 Mettre le réseau DMZ au milieu (entre les deux zones WORK et

PUBLIC) ajoute un autre mur de sécurité contre les zones WORK et
PUBLIC. Tout le flux des deux zones (WORK et PUBLIC) passe par
la zone automatisée DMZ, qui va masquer le cœur de l’entreprise (la
zone WORK) au réseau WAN pour éviter les attaques directes.
Distribuer le flux de contrôle qui va diminuer la surcharge sur les
nœuds de contrôle, car le serveur de sécurité 1 ne contrôle que le flux
de réseau DMZ et
Laisse le contrôle de flux des zones WORK et PUBLIC pour le
serveur de sécurité 2.
 Éviter la redondance des règles de configuration.
 Si le serveur de sécurité 1 tombe en panne, le réseau interne de
l’entreprise reste fonctionnel, et si le serveur de sécurité 2 tombe en
panne, on va garder les services de domaine DMZ fonctionnels pour
52
les clients qui se trouvent dans le réseau WAN avec le premier

serveur de sécurité. Seulement deux IDS pour contrôler trois zones,
qui vont diminuer le coût par rapport à l’architecture décentralisé.
 Les inconvénients d’architecture hybride :
 Un coût de plus par rapport à l’architecture centralisée.

 Si le premier serveur de sécurité tombe en panne, tous les réseaux
perdent la connexion internet.
4.2 Choix de l’architecture
3
5
2
4
1
Figure 24 : Architecture hybride
Nous choisissons cette architecture au vu de ses avantages présenter plus

haut, mais également à cause du fait qu’il se présente comme un jumelé des
deux architectures (centralisée et décentralisée)
53
4.3 Installation et configuration de Pfsense
La première étape, est de télécharger le fichier ISO et nous choisissons la

bonne l’architecture du fichier depuis le site officiel
https://www.pfsense.org/download//), dans notre test nous allons utiliser
l’architecture AMD64 (64 bits).
Après avoir téléchargé le fichier nous lançons créer la VM avec VMware
et suivons les étapes suivantes pour installer le Pfsense 1 :
 Créer une nouvelle machine du type BSD et version FreeBSD (64 bits).
Figure 25 : Setting psense 1
 Ajouter le fichier téléchargé de Pfsense comme CD de boot.

 Dans l’onglet réseau (Networks), nous activons deux adaptateurs réseaux,
attacher le premier à une interface réseau physique avec l’option
54
adaptateur avec pont (Bridged Adapter), et pour le deuxième adaptateur

on sélectionne réseau interne (internal network) avec le nom DMZ.
 Après nous lançons la machine et nous choisissons les étapes par défaut.
Suivre les mêmes étapes pour Pfsense 2 mais dans l’onglet réseau nous
activons trois adaptateurs réseaux, nous attachons le premier adaptateur au
réseau interne DMZ, le 2 -ème au réseau TRAVAIL, et le 3 -ème au réseau
PUBLIC.
Figure 26 : Network adaptator pour Pfsense 2
4.4 Configuration de Pfsense 1 et Pfsense 2
55
Figure 27 : Adressage réseau virtuel
Pfsense 1
Etapes :
 Lancer les VM Pfsense
Ici nous allons configurer leurs interfaces réseaux. Dans la console
Pfsense 1
 Choisir 1 pour assigner les interfaces (em0, em1, em2 ...)
 Choisir 2 pour donner les adresses IP aux interfaces comme suit
Figure 28 : Console Pfsense 1
56
 Avec la même option, nous sélectionnons l’interface numéro 2

(em1) pour configurer le sous réseau DMZ avec une adresse IP
(192.168.1.1) pour l’interface em1 comme une passerelle ce réseau
DMZ, et donner l’intervalle [192.168.1.3, 192.168.1.30] des
adresses IP pour le DHCP.
 Em0/Wan reçoit une adresse par DHCP (lien connecté directement
à internet).
Pfsense 2
Etapes :
 Lancer les VM Pfsense
Ici nous allons configurer leurs interfaces réseaux
Dans la console Pfsense 1
 Choisir 1 pour assigner les interfaces (em0, em1, em2 ...)

 Choisir 2 pour donner les adresses IP aux interfaces comme suit :
 Em0 donner l’adresse IP 192.168.1.2/24, et la passerelle
192.168.1.1 (interface em0 de Pfsense 1).
 Em1 donner l’adresse IP 192.168.2.1/24 comme passerelle
pour le réseau TRAVAIL et un intervalle [192.168.2.2 –
192.168.2.30] des adresses IP pour le DHCP.
 Em2 donner l’adresse IP 192.168.3.1 comme une passerelle
pour le réseau PUBLIC, et un intervalle [192.168.3.2 –
192.168.3.30] des adresses IP pour le DHCP.
57
Figure 29 : Setting Pfsense 2
Interface d’administration web

 Pfsense 1 192.168.1.1
 Pfsense 2 192.168.2.1
 Identifiants de connexion sont (user : admin, mot de passe :
pfsense).
Figure 30 : Interface web pfsense 1 et 2
Afin d’accéder à la zone serveur de l’extérieur nous configurons le NAT

sous pfsense 1 (Port Forward ). Ouvrez les ports sur l'interface WAN et
associez-les à l’adresse de serveur. Dans notre cas, l'adresse du serveur est
192.168.1.3.
58
Figure 31 : Configuration de la table NAT Pfsense 1
4.5 Installation et configuration de Snort sous Pfsense
Pour installer snort sous pfsense, nous avons deux méthodes :

- Console : pkg install pfSense-pkg-snort
- Graphique : Se connecter puis Système → Gestionnaire de paquets →
Paquets disponibles → Install
Figure 32 : Installation de snort Pfsense
Maintenant nous configurons snort :

Snort utilise des règles pour effectuer ses analyses. Pour utiliser ces
règles, nous avons procédé par la création d'un compte sur
https://www.snort.org/users/sign, afin de pouvoir récupérer le code Oinkcode
pour prédéfinir ses règles en temps voulu.
59
Figure 33 : code Oinkcode
Allons ensuite dans l’onglet Services>Snort<Global Settings sur le

pfsense 1, et nous collons le code Oinkmaster après l’acivation de Snort VRT,
en suite activer GPL2, OpenAppID, et modifier que ce qui est nécessaire :
Figure 34 : Règles snort
Lancer update
60
Figure 35 : Installation des règles
Configuration d’interface Pfsense 1 et Pfsense 2 comme capteur Snort

Aller dans Services>Snort>Interface>Snort Interfaces. Cliquer sur
Ajouter, puis nous sélectionnons l’interface LAN (em1), et nous activons
l'option Search Optimize pour optimiser les performances dans la détection.
Figure 36 : Interface EM1 pfsense 1
61
Nous suivons les mêmes étapes pour configurer les deux interfaces (em1 et
em2) de Pfsense 2, comme le montre la figure suivante :
Figure 37 : Interfaces EM1 et EM2 de pfsense 2
Configuration des règles pour détecter les attaques DOS ou les scannes
nmap :
 Configuration des règles des sécurité sur l’interface Wan Pfsense 1
Allez sur Snort Interface – LAN – Catégorie LAN – sélectionner IPS policy –
choisir Security
62
Figure 38 : Règles snort
Pour Pfsense 1 Cf le tableau des règles configurées en annexe
Pour les règles des interfaces sur Pfsense 2, nous changeons juste :
 Sur la sonde position 4 de notre architecture hybride (voir la figure 27), la
variable $EXTERNAL_NET avec 192.168.3.0/24 (le réseau de la zone
PUBLIC), et la variable $HOME_NET avec 192.168.1.0/24 (le réseau de
la zone DMZ).
 Sur la sonde position 5 de notre architecture hybride (voir la figure 27), la

variable $EXTERNAL_NET avec 192.168.2.0/24 (le réseau de la zone
PUBLIC), et la variable $HOME_NET avec 192.168.1.0/24 (le réseau de la
zone DMZ).
63
5. Test
Ici, il s’agit essentiellement de lancer d’éprouver notre système. Ainsi, nous

allons effectuer différents types d’attaquant notamment des attaques DOS et de
scannes de ports à partir des zones TRAVAIL, DMZ, PUBLIC comme le
montre la figure ci-dessus.
Figure 39 : Hacker en action
Cf tableau d’adressage en annexe.

 Scan de la zone DMZ via nmap depuis la zone Public
Figure 40 : Scan de la zone DMZ
64
Figure 41 : Scan du serveur Ubuntu via kali (hacker 2)
Figure 42 : Hote Bloqué
Figure 43 : Alerte générée
65
66
Figure 46 : Alerte générée due à un scan nmap depuis la zone Publique (Hacker 3)
6. Conclusion
En somme, il s’agissait ici de la mise en place des mécanismes de

fonctionnement de snort et du teste.il en ressort des résultats du test que Snort
est très efficace car il a pu prévenir des attaques sur le réseau et bloquer les hôtes
sources de ce traffic malveillant.
67
Mise en place d’un IPS/IDS pour sécuriser le réseau de l’entreprise en utilisant Snort
Bilan du stage
1. Les apports du stage
Le stage à Matrix Telecom a été d’un très grand apport en termes

d’expérience et cela sur plusieurs plans.
1.1 Plan professionnel et technique
Sur ce plan, nous avons appris les types d’équipement réseau utilisés en
entreprise, leur configuration. Participer à des déploiements et installation
d’équipement chez un client tel que l’installation de la nanostation M3, ce qui
était très édifiant et instructif. Nous avons également d’appris le comportement
professionnel à adopter sur le terrain et face à un client notamment ce qu’il faut
dire et faire et ne pas dire et ne pas faire car une erreur peut couter des millions à
l’entreprise.
1.2 Plan humain
Nous devions travailler en collaboration avec plusieurs encadreurs sur le

terrain et de stagiaires.il fallait donc faire preuve d’une grande sociabilité et d’un
grand respect de la personne humaine.
1.3 Plan personnel
Personnellement, j’ai beaucoup aimé mon stage à matrix Telecom

notamment sa diversité d’activités mises en place pour les stagiaires et leur
formation au sein de l’entreprise (ateliers, réunions, sorties sur le terrain…).
C’était très instructif.
2. Difficultés rencontrées
Durant le stage nous avons fait face à de nombreuses difficultés notamment de :
 La première semaine était très difficile, il fallait encore s’adapter.
 Il était souvent très difficile de rentrer le soir cela à cause des
embouteillages rencontres le soir à 18h (heure de sortie en stage). On
arrivait donc tard à la maison ce qui ne facilite pas le repos.
 Le manque d’équipements de protections (chasuble, combinaison de
travail, les chaussures de sécurité) pour les stagiaires lors de certaines
sorties sur le terrain.
 Manque de voiture au moment des sorties : Etant nombreux, nous étions
obligés de monter à l’arrière du pick-up, ce qui nous exposait au vent.
3. Suggestions
Nous proposons :
 L’augmentation des voitures (ajouter une autre voiture).
 La mise à 17h30 l’heure de sortie du stage.
 L’achat des équipements de protection pour les stagiaires.
69
Conclusion générale
Avec l’ouverture sur Internet, l’accès à l’information est rapide. Mais cette
ouverture sur un tel réseau nous expose à des risques de piratage d’informations
sensible. Ainsi, il est inéluctable de mettre en place une politique de sécurité
solide et efficace pour mieux satisfaire aux objectifs de la sécurité informatique
(intégrité, confidentialité…)
Ce rapport nous a permis de comprendre le concept de sécurité informatique et
nous a permis de comprendre le fonctionnement des IDS/IPS à travers SNORT.
En effet, nous avons appris le comment placer un IDS sur diffèrent architecture
(centralisé, décentralisé, hybride) et le manipuler suivant le cas de Snort sur un
pare-feu pfsense sur un environnement FreeBSD.
Bien que les résultats des tests de notre système étaient très satisfaisants,
nous pouvons aucun système de sécurité permettant de garantir une sécurité
totalement fiable à 100% car la technologie évolue tous les jours, il faut donc
suivre son évolution et de faire évoluer son système de sécurité.
70
Références
1. Mémoire SELMANIE ELGHARBI

2. Rapport de stage TOUOYEM KENNE D’arvor Lincoln
3. Documentation de l’entreprise Matrix
Annexes
Tableaux
Règles Commentaires
alert tcp $EXTERNAL_NET any -> Quand cette règle détecte 180 tentatives
$HOME_NET any (msg:"une attaque (Count 180) de demandes de connexion
DOS"; flags:S threshold:type both, track (flags:S) depuis une seule machine source
by_src, count 180, seconds 60; (track by_src) pendant une durée de 60
sid:15031996; rev:1;) secondes (seconds 60) (l'équivalent de 3
tentatives/s), elle lancera une alerte avec un
message « une attaque DOS » (msg:"une
attaque DOS").
alert tcp $EXTERNAL_NET any -> Cette règles tirée de la librairie de Snort, et
$HOME_NET 3306 (msg:"ET SCAN elle détecte les requêtes suspectes le scanne
Suspicious inbound to mySQL port le port 3306 (le port utilisé par le servcie
3306» ; flow:to_server; flags:S; mySQL) ($HOME_NET 3306), on suit les
threshold: type limit, count 5, seconds 5 tentatives (count 5) de connexion
60, track by_src; (flags:S) de l’adresse source (track by_src)
reference:url,doc.emergingthreats.net vers le serveur (flow:to_server) pendant
/2010937; classtype:bad-unknown; une durée de 60 secondes (seconds 60), et
sid:2010937; rev:3; lancer une alerte avec le message « ET
metadata:created_at 2010_07_30,
SCAN Suspicious inbound to mySQL port
former_category HUNTING,
3306 » (msg:"ET SCAN Suspicious
updated_at 2018_03_27;)
inbound to mySQL port 3306").
alert tcp $EXTERNAL_NET any -> $HOME_NET Cette règle tirée de la librairie
de Snort, et elle détecte les
5432 (msg:"ET SCAN Suspicious inbound to
requêtes suspectes le scanne
PostgreSQL port 5432"; flow:to_server; flags:S; le port 5432 (le port utilisé
threshold: type limit, count 5, seconds 60, track par PostgreSQL)
by_src;
reference:url,doc.emergingthreats.net/2010939;
classtype:bad-unknown; sid:2010939; rev:3;
metadata:created_at 2010_07_30, former_category
HUNTING, updated_at 2018_03_27;)

1433 (msg:"ET SCAN Suspicious inbound to MSSQL de Snort, et elle détecte les
port 1433"; flow:to_server; flags:S; threshold: type requêtes suspectes le scanne
limit, count 5, seconds 60, track by_src; le port 1433 (le port utilisé
reference:url,doc.emergingthreats.net/2010935; Par MSSQL)
alert tcp $EXTERNAL_NET any -> $HOME_NET Cette règle tirée de la
5800:5820
(msg:"ET SCAN Potential VNC Scan 5800-5820"; Librairie de Snort, et elle
flags:S,12; threshold: type both, track by_src, count 5, détecte les requêtes suspectes
seconds 60; le scanne les ports [5800-
reference:url,doc.emergingthreats.net/2002910; 5820] (les ports utilisés par
classtype:attempted-recon; sid:2002910; rev:5; VNC
metadata:created_at 2010_07_30, updated_at <Virtual Neetwork
2010_07_30;) Computing>)
de Snort, et elle détecte les
1521 (msg:"ET SCAN Suspicious inbound to Oracle
requêtes suspectes le scanne
SQL port 1521"; flow:to_server; flags:S; threshold: le port 1521 (le port utilisé
type limit, count 5, seconds 60, track by_src; par Oracle SQL)
reference:url,doc.emergingthreats.net/2010936;
Tableau 1 : Tableau des regles snort
IP Description
10.5.2.88 L’adresse IP de l’interface réseau em0 de Pfsense1.
73
L’adresse IP de l’interface réseau em1 de Pfsense1

192.168.1.1
(passerelle de la zone DMZ).
192.168.1.3 L’adresse IP de L’interface réseau de serveur (MySQL, …)
192.168.1.2 L’adresse de l’interface réseau em0 de Pfsense2.

192.168.2.1
(passerelle de la zone WORK).

192.168.3.1
(passerelle de la zone PUBLIC).
192.168.3.3 L’adresse IP de l’Hacker 1

Tableau 2 : Tableau d'adressage
74

Rapport de Stage Academique: Paix - Travail - Patrie Peace - Work - Fatherland

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de Stage Academique: Paix - Travail - Patrie Peace - Work - Fatherland

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix – Travail – Patrie Peace – Work – Fatherland

RAPPORT DE STAGE ACADEMIQUE

CONCEPTION D’UNE ARCHITECTURE LAN DE COUCHE 3 ET

Stage effectué du 04 JUILLET 2022 au 31 aout 2022 à MATRIX TELECOM

En vue de mon brevet de technicien supérieur

Option : RESEAU ET SECURITE

Rédigé et présente par

BALITONI BEKANDON ARTHUR VIANNEY

Etudiant en RESEAU ET SECURITE

Académique de : Professionnel de :

M.DJE PAUL DOLIN M. Ledoux TUEKAM

Année académique 2021-2022

2. Présentation des systèmes de détection et de prévention d’intrusion

Ce rapport n'aurait sans doute pas pu se faire sans le soutien et

Liste des tableaux

Tableau 1 : Tableau des regles snort...................................................................70

Liste des figures

Figure 1 : Matrix télécom....................................................................................13

Figure 37 : Interfaces EM1 et EM2 de pfsense 2................................................62

Liste des abréviations

VPN Virtual Private Network

KIPS Kernel Intrusion Detection System

Avec le développement de l'utilisation d'internet, de plus en plus

Chapitre I : Présentation de l’entreprise

Dans cette partie, il s’agira principalement de vous présenter Matrix

2. Entreprise et son environnement

MATRIX TELECOMS S.A. est né de l'ambition d'une élite de jeune

Figure 1 : Matrix télécom

MATRIX TELECOMS, entreprise du Groupe ICCNET, se positionne

Les clients hiérarchiques, organisationnels et fonctionnels existants entre

Figure 2 : Organigramme de matrix Telecom

Figure 3 : Itinéraire MATRIX-MESSASSI

2.5 Services de l’entreprise

Matrix TELECOM offre une multitude de services notamment :

 Réseaux Privés Virtuels (VPN)

3.1 Accueil du stagiaire

3.2 Espace de travail

Le stage s’est déroulé principalement au département technique ou des

Figure 4 : Fiche d'insertion stagiaire

 Configuration d’un INFINET WIRELESS

Figure 5 : Infinet et PoE adaptator

Entrer en mode configuration d’interface à l’aide du navigateur web grâce à

Figure 6 : Configuration d'interface

Figure 7 : Mise des infos du master

Configuration d’une interface d’administration à distance

Figure 8 : Configuration SVI

Puis enregistrer les configurations.

 Configuration d’une nanostation M3

 Soudure fibre optique

Figure 11 : Mécanisme de soudure de la fibre optique

 Configuration d’un routeur MiKROTIk

Figure 12 : Interface de connection du routeur Mikrotik

 Sorties sur le terrain

- Changement de la nanostation et bonne orientation sur le pylône de

Figure 13 : Installation de la radio chez un client

En somme, nous avons pris contact et connaissance avec l’entreprise,

Chapitre II : Identification du problème

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises

2.1 Contexte du problème

2.2 Attaque et technique d’attaque

Les attaques passives

 Attaque de l’homme du milieu