Ghislain Rapport Word

MISE EN PLACE D’UN SERVEUR WEB MIROIR
DEDICACE
À ma très chère famille
i
Remerciements
➢ Je tiens à remercier toutes les personne qui ont contribué au succès de mon
stage et qui mon aide lors de la rédaction de ce rapport de stage ;
➢ Tout d’abord, j’adresse mes remerciements au fondateur de l’institut

supérieur Siantou, Mr SIANTOU LUCIEN pour tous les moyens académiques
qu’il met en œuvre pour notre réussite académique et notre insertion dans le
milieu professionnel ;
➢ Je remercie ensuite mon maître de stage, Mr NGOMBA EMMANUEL,

qui, tout au long du stage m'a conseillé, aidé et accompagné lors de mes
missions ;
➢ Mes remerciements à l’équipe NADIYA CENTER pour m'avoir apporté

l'aide théorique et pratique nécessaire au bon déroulement du stage ;
➢ Je remercie tous mes professeurs qui durant toute l’année scolaire mon
soutenu avec des conseils solide à l’instar de mon encadreur Mr TALLA
TAGUEM ;
➢ Je remercie également ma maman DJOUKA BERTH, ma grande sœur

MATCHINKOU PATRICIA et mon grand frère FOMBA ALEX qui n’ont
jamais cessé de m’encourager durant mon parcourt scolaire.
ii
SIGLES ET ABREVIATIONS
3DES : Triple Data Encryption Standard
AES : Advanced Encryption Standard
AH : Authentication Header
BASE : Basic Analysis and Security Engine
DH : Diffie-Hellman
DGB : Direction Générale du Budget
DGD : Direction Générale des Douanes
DGI : Direction Générale des Impôts
DGTCFM : Direction Générale du Trésor et de la Coopération Financière et Monétaire
DNCM : Direction de la Normalisation et de la Comptabilité Matière
DRBD : Distributed Replicated Block Device
DMZ : Demilitarized Zone
DSI : Division des Systèmes d’Information
ESP : Encapsulation Security Payload
FAI : Fournisseur d’Access Internet
FOS : Fail Over Services
FTP : Foiled Twisted Pair
HA : High Availability
HIDS : Host Based IDS
iii
HIPS : Host Based IPS
HTML : Hyper Text Markup Language
HTTP : Hyper Text Transfer Protocol
IAI : Institut Africain d’Informatique
IDS : Intrusion Detection System
IKE : Internet Key Exchange
IP : Internet Protocol
IPS : Intrusion Prevention System
IPSEC : Internet Protocol Security
ISAKMP : Internet Security Association and Key Management Protocol
MINFI : Ministère des Finances
NIDS : Network Based IDS
PKI : Public Key Infrastructure
RAID : Redundant Array of Inexpensive Disk
RSA : Riest Sharmir Adelman
RSYNC : Remote Synchronization
SAN : Storage Area Network
SPOF : Single Point Of Failure
SSL : Secure Socket Layer
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
VPN : Virtual Private Network
iv
GLOSSSAIRE
Serveur informatique : est un dispositif matériel ou logiciel ayant de très grandes

caractéristiques mémoires, mettant ses services à la disposition des clients.
Serveur web : est un ordinateur connecté à Internet et sur lequel sont hébergés des sites web,
composés de pages
v
Serveur miroir : Un serveur web miroir est une copie exacte d’un autre serveur web
Protocol : est un ensemble de règles et de procédures à respecter pour émettre et recevoir des
données sur un réseau.
Cluster : est une architecture composée de plusieurs serveurs formant des nœuds, où chacun
des nœuds est capable de fonctionner indépendamment des autres.
Tunneling : canal de communication à travers le réseau internet
Encapsulation : ajout d’entêtes successifs dans le but de rendre inintelligible le message

transmis en cas d’interception de ce dernier
Désencapsulation : retrait des entêtes ajoutés lors de l’encapsulation
Détection d’intrusion : mécanisme destiné à repérer des activités anormales ou suspectes sur
la cible analysée
Intrusion : opération qui consiste à accéder, sans autorisation, aux données d’un système
informatique ou d’un réseau, en contournant ou en désamorçant les dispositifs de sécurité mis
en place
Snort : est un puissant système de détection d’intrusion qui permet de détecter et prévenir une
utilisation frauduleuse du réseau
NMAP : scanner de port libre. Il est conçu pour détecter les ports ouverts, identifier les
services hébergés et obtenir des informations sur le système d’exploitation d’un ordinateur
distant.
Sécurité informatique : ensemble de techniques permettant d’assurer la disponibilité,

l’intégrité, la confidentialité, la non-répudiation et l’authentification des données au sein d’un
réseau informatique.
vi
Sommaire
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SIGLES ET ABREVIATIONS ................................................................................................. iii
GLOSSSAIRE ............................................................................................................................ v
SOMMAIRE ............................................................................................................................. vi
LISTE DES FIGURES ............................................................................................................. vii
LISTE DES TABLEAUX .......................................................................................................... x
RESUME ................................................................................................................................... xi
ABSTRACT ............................................................................................................................. xii
INTRODUCTION GÉNÉRALE ................................................................................................ 1
PARTIE I : DOSSIER D’INSERTION ..................................................................................... 2
INTRODUCTION ...................................................................................................................... 4
I. ACCUEIL ET INTÉGRATION ............................................................................................. 4
II.PRESENTATION DU MINFI ............................................................................................... 5
III.PRÉSENTATION DE MA DIVISION D’ACCUEIL : DIVISION DES SYSTÈMES
D’INFORMATION (DSI) ........................................................................................................ 13
CONCLUSION ........................................................................................................................ 15
PARTIE II : DOSSIER TECHNIQUE ..................................................................................... 16
CHAPITRE 1 : CAHIER DE CHARGE .................................................................................. 18
CHAPITRE 2 : L’ÉTAT DE L’ART ET DÉMARCHE D’IMPLÉMENTATION ................. 30
CHAPITRE 3 : IMPLÉMENTATION DE LA SOLUTION ................................................... 52
CHAPITRE 4 : RÉSULTATS ET COMMENTAIRES .......................................................... 86
CONCLUSION GENERALE ET PERSPECTIVES ............................................................... 95
ANNEXES ................................................................................................................................ A
BIBLIOGRAPHIE .................................................................................................................... B
WEBOGRAPHIE ...................................................................................................................... C
TABLES DES MATIERES ...................................................................................................... D
vii
Liste des figures
Figure 1: organigramme du MINFI, source : MINFI ................................................................ 9

Figure 2: plan de localisation du MINFI, source: conception avec edraw max ....................... 10
Figure 3: organigramme de la DSI, source MINFI .................................................................. 15
Figure 4: les serveurs, source : MINFI ..................................................................................... 20
Figure 5: les routeurs, source : MINFI ..................................................................................... 21
Figure 6: les baies de brassages, source : MINFI ..................................................................... 21
Figure 7: les checkpoints, source : MINFI ............................................................................... 22
Figure 8: les onduleurs, source : MINFI .................................................................................. 22
Figure 9: les ordinateurs de bureau, source : MINFI ............................................................... 23
Figure 10: les imprimantes et photocopieurs, source : MINFI ................................................ 23
Figure 11: les Access-points, source : MINFI .......................................................................... 23
Figure 12: Architecture réseau du MINFI (source : conception edraw max) .......................... 24
Figure 13: diagramme de gantt du projet, source : conception gantt projet ............................. 27
Figure 14:illustration du cluster avec drbd et heartbeat (source : ma conception, edraw max)37
Figure 15: principe de fonctionnement d’un VPN (source: www.skyminds.net ) .................. 39
Figure 16: Modes de fonctionnement IP sec avec AH(source: www.frameip.com ) .............. 40
Figure 17: positionement de snort sur le reseau (source :
www.google/imagesdepositionnementdesnort.com )............................................................... 47
Figure 18: format de règles de Snort ........................................................................................ 49
Figure 19: Architecture de la solution, source : conception edraw max .................................. 51
Figure 20: adressage serveur principal ..................................................................................... 53
viii
Figure 21: création de la partition drbd .................................................................................... 53

Figure 22: installation des drbd ................................................................................................ 54
Figure 23: activation de drbd ................................................................................................... 54
Figure 24: édition du fichier drbd.res ....................................................................................... 54
Figure 25: création des métadonnées ....................................................................................... 55
Figure 26: vérification de l'état de drbd ................................................................................... 55
Figure 27: définition du serveur primaire ................................................................................ 56
Figure 28: formatage de la partition ......................................................................................... 56
Figure 29: installation de heartbeat .......................................................................................... 57
Figure 30: édition du fichier ha.cf ............................................................................................ 57
Figure 31: édition du fichier haresources ................................................................................. 58
Figure 32: édition du fichier authkeys ...................................................................................... 59
Figure 33: désactivation du démarrage d'apache...................................................................... 59
Figure 34: suppression du stockage par défaut ........................................................................ 59
Figure 35: création du lien symbolique .................................................................................... 60
Figure 36: ajout de apache2 a haresources ............................................................................... 60
Figure 37: désactivation du démarrage automatique de MySQL ............................................. 60
Figure 38: arrêt de MySQL ...................................................................................................... 60
Figure 39: déplacement du dossier par défaut .......................................................................... 61
Figure 41: édition de haresources pour MySQL ...................................................................... 61
Figure 42: adressage du serveur miroir .................................................................................... 62
Figure 43: installation de drbd ................................................................................................. 62
Figure 44: installation de heartbeat .......................................................................................... 62
Figure 45: création de la partition de stockage du serveur miroir ............................................ 63
Figure 46: activation de drbd ................................................................................................... 63
Figure 47: édition du fichier drbd.res ....................................................................................... 64
Figure 48: création des métadonnées ....................................................................................... 64
Figure 49: édition de ha.cf ........................................................................................................ 65
Figure 50: édition de haresources ............................................................................................. 65
Figure 51: édition de du fichier authkeys ................................................................................. 65
Figure 52: changement de permission ...................................................................................... 66
Figure 53: désactivation du démarrage automatique et arrêt d’apache .................................... 66
Figure 54: configuration d'apache ............................................................................................ 66
ix
Figure 55: ajout d'apache à haresources ................................................................................... 67

Figure 56: désactivation de MySQL ........................................................................................ 67
Figure 57: suppression du dossier par défaut des bases de données ........................................ 67
Figure 59: ajout de MySQL à haresources ............................................................................... 68
Figure 60: marquette d'un routeur Cisco Vpn (source : www.cisco.com) ............................... 69
Figure 61: topologie de simulation ........................................................................................... 69
Figure 62: configuration du routage ......................................................................................... 70
Figure 63: configuration des règles de sécurité ISAKMP ........................................................ 70
Figure 64: configuration de la clé pré-partagée ....................................................................... 71
Figure 65: configuration de transform-set ................................................................................ 71
Figure 66: configuration des ACL ........................................................................................... 71
Figure 67: configuration du crypto map ................................................................................... 72
Figure 68: application du crypto map a l'interface de sortie .................................................... 72
Figure 69: configuration du routeur du site distant .................................................................. 73
Figure 70: création de la base de données Snort ...................................................................... 75
Figure 71:Apercu de la base de données snort ......................................................................... 75
Figure 72: vérification des privilèges de l'user Snort ............................................................... 76
Figure 73: installation de Snort ................................................................................................ 76
Figure 74: Configuration de Snort ........................................................................................... 77
Figure 75: Interface d’écoute Snort .......................................................................................... 77
Figure 76: Interface Snort ........................................................................................................ 78
Figure 77: plages d’adresses .................................................................................................... 78
Figure 78: Mode promiscuité ................................................................................................... 79
Figure 79:Informations supplémentaire ................................................................................... 79
Figure 80: Rapport quotidien par courriel ................................................................................ 80
Figure 81: Destinataires des courriers électroniques ................................................................ 80
Figure 82: nombre d’occurrences de Snort .............................................................................. 80
Figure 83: redémarrage de Snort .............................................................................................. 81
Figure 84: règles pour Snort ..................................................................................................... 82
Figure 85: ajout du fichier de restriction à snort.conf .............................................................. 83
Figure 86: règles de Snort pour nmap ...................................................................................... 84
Figure 87: ajout de nmap au fichier de regles .......................................................................... 84
Figure 88: adresse sur le serveur miroir ................................................................................... 86
Figure 89:adresse sur le serveur principal ................................................................................ 86
x
Figure 90: ping du serveur miroir vers le serveur principal ..................................................... 87

Figure 91: état de synchronisation des serveurs ....................................................................... 87
Figure 92: reprise de service par le serveur secondaire............................................................ 88
Figure 93:test de fonctionnement de ebulletin sur le serveur principal ................................... 88
Figure 94:test de fonctionnement de ebulletin sur le serveur secondaire................................. 89
Figure 95: test d'ISAKMP ........................................................................................................ 89
Figure 96: état d'IPSEC ............................................................................................................ 90
Figure 97: analyse du trafic des paquets cryptés ...................................................................... 90
Figure 98 : Connexion machine réseau sur Facebook : ........................................................... 91
Figure 99:Résultat connexion Facebook .................................................................................. 91
Figure 100:Résultat nmap ........................................................................................................ 92
Liste des tableaux
Tableau 1: récapitulatif des applications lourdes du MINFI.......................................................13

Tableau 2: intervenants du projet...............................................................................................29
Tableau 3: ressources matérielles...............................................................................................30
Tableau 4: ressources logicielles.................................................................................................30
Tableau 5: ressources humaines..................................................................................................31
Tableau 6: coût total du projet....................................................................................................31
Tableau 7: étude comparative des solutions pour la haute disponibilité.....................................34
Tableau 8: étude comparative des solutions pour l'IDS..............................................................35
Tableau 9: étude comparative des solutions de tunneling...........................................................41
Tableau 10: Étude comparative des mécanismes de sécurités....................................................44
Tableau 11: tableau comparatif des différents types d'IDS........................................................47
Tableau 12: services nécessaires pour la configuration de Snort................................................79
xi
RESUME
La taille des réseaux ne cessant de grandir de jour après jour et l’importance de ceux-ci
dans le monde de l’entreprise prenant une place prépondérante, le besoin d’assurer en temps
réel leurs disponibilités est rapidement devenu une priorité. Arrivé au Ministère des Finances
dans le cadre de notre stage académique, nous avons pu constater le rôle essentiel que joue
cette structure pour la bonne marche de l’Etat du Cameroun ; ainsi, étant donné la sensibilité
des informations y traitées et les services y hébergés, nous avons pu remarquer l’absence de
moyens pour assurer la disponibilité des services d’une part et d’autre part, pour assurer la
restauration desdites informations en cas de catastrophes ou de pannes majeures ce qui
pourrait affecter la qualité des services du ministère qui se veut à la pointe pour ce qui est du
domaine des TIC. Pour pouvoir pallier à ces manquements en termes de disponibilité et de
restauration, plusieurs solutions ont été étudiées avec chacune leurs avantages et leurs limites.
Dans notre cas, en vue de résoudre ces deux problèmes en n’utilisant qu’une solution ; tout en
conservant un coût de déploiement relativement bas, nous avons opté pour la mise en place
d’un cluster web avec sécurisation des échanges.
xii
S’agissant du cluster, nous avons utilisé pour sa mise en place heartbeat qui est un
logiciel de surveillance de la disponibilité pour les systèmes linux (Debian en ce qui nous
concerne) et DRBD (Distributed Replicated Block Device) qui est un logiciel permettant le
stockage distribué favorisant la réplication des blocs entre des serveurs. Ici, le volet sécurité
émane principalement du fait qu’il y ait un transfert de données d’un serveur à un autre,
données circulant en clair sur le réseau, pouvant donc être interceptées et utilisées à mauvais
escient ; l’implémentation d’un VPN site à site à l’aide du protocole de « tunnelisation »
IPSEC nous a permis de garantir la sécurisation de ces échanges ; l’implémentation de Snort
permet aux responsables de sécurité informatique de réagir à temps en étant au courant des
risques ou des tentatives d’attaques et de sécuriser le réseau du ministère. Malgré les multiples
difficultés rencontrées, nous avons pu mener à bien notre projet avec le concours de nos
encadrants professionnel et académique qui nous ont été d’une aide précieuse.
Mots-clés : serveur-miroir, DRBD, heartbeat, VPN, IPSEC, Snort
xiii
ABSTRACT
As the size of networks continues to grow day by day and the importance of networks
in the business world taking a prominent place, the need to ensure their availability in real
time has quickly become a priority. Arrived at the Ministry of Finance as part of our academic
internship, we have seen the essential role played by this structure for the smooth running of
the State of Cameroon; thus, given the sensitivity of the information processed and the
services hosted there, we have noticed the lack of means to ensure the availability of services
on the one hand and on the other hand, to ensure the restoration of the information in case of
major disasters or failures, which could affect the quality of the department's leading-edge
services in the ICT field. To overcome these shortcomings in terms of availability and
restoration, several solutions have been studied with each their advantages and limitations. In
our case, to solve these two problems using only one solution; while maintaining a relatively
low cost of deployment, we opted to set up a web cluster with secure exchanges.
Regarding the cluster, we used for its implementation heartbeat which is an availability
monitoring software for linux systems (Debian for OS) and DRBD (Distributed Replicated
Block Device) which is a software allowing the Distributed storage that promotes the
replication of blocks between servers. Here, the security component comes mainly from the
fact that there is a transfer of data from one server to another, data circulating in clear on the
network, can therefore be intercepted and misused; the implementation of a site-to-site VPN
using the IPSEC "tunneling" protocol enabled us to guarantee the security of these exchanges;
xiv
Snort's implementation enables IT security managers to respond in a timely manner by being

aware of the risks or attempted attacks and securing the departmental network. Despite the
many difficulties encountered, we were able to carry out our project with the help of our
professional and academic supervisors who have been of great help to us.
Keywords: mirror-server, DRBD, heartbeat, VPN, IPSEC, Snort
xv
xvi
INTRODUCTION GÉNÉRALE
L’importance grandissante des TIC les rend de plus en plus indispensables pour notre
quotidien. Quel que soit le service rendu par un système informatique, il est essentiel que les
utilisateurs aient confiance en son fonctionnement pour pouvoir l'utiliser dans de bonnes
conditions. On appelle « haute disponibilité » (en anglais « high availability ») toutes les
dispositions visant à garantir la disponibilité d'un service, c'est-à-dire assurer le bon
fonctionnement d'un service 24H/24. Partis en stage au Ministère des Finances pour une
période de trois mois comme prévu dans notre formation, nous avons avec l’approbation de
nos encadrants travailler sur le thème : Mise en place d’un serveur web miroir avec
sécurisation des échanges dans l’optique de pallier à la fois aux problèmes d’indisponibilité
et de stratégie de restauration en cas de crash.
Etant donné que les serveurs web du Ministère des Finances héberge bon nombre de
ressources utilisées quotidiennement, nous avons pu constater qu’il n’existait pas une solution
pour la restauration en cas de perte d’informations pour une raison ou une autre, mais
également que la disponibilité des services du serveur web n’était pas garantie et aussi le
problème de sécurité du réseau. La résolution des problèmes précédemment énoncés sera
faite en plusieurs étapes qui seront davantage détaillées dans la phase technique de notre
rapport, étapes montrant les canevas suivis pour mener à bien et de façon efficiente notre
projet. Bien entendu, cette phase technique sera précédée par la phase d’insertion dans
laquelle il sera question de présenter la structure d’accueil, ses objectifs et ses missions.
Enfin, nous allons présenter les résultats de tests et nous envisagerons certaines perspectives
pour l’amélioration de la solution mise en place.
3
Partie I :
DOSSIER
d’insertion
RESUME :
Le dossier d’insertion est un document qui présente de manière générale la structure

d’accueil, de l’organisation administrative en passant par son plan de localisation suivi du
compte rendu de l’accueil qui nous a été réservé.
APERCU :
4
INTRODUCTION
ACCUEIL ET INTEGRATION
PRESENTATION DU MINFI
PRESENTATION DE LA DSI
CONCLUSION
INTRODUCTION
5
Premier rapport de notre stage, la phase d’insertion est celle qui informe sur la prise
de contact de l’étudiant avec la structure d’accueil jusqu’au choix de notre thème à
développer. L’Institut Africain d’Informatique Représentation du Cameroun (IAI-Cameroun)
y accorde une importance particulière en se rassurant que l’étudiant a été bien accueilli et
bien suivi durant son séjour au sein de ladite structure. Il est souvent difficile pour l’étudiant
de faire ses premiers pars en entreprise, ceci parfois dû au nouvel environnement auquel il
fait face. C’est dans ce sens qu’il nous a été demandé de rédiger un rapport d’insertion qui ici
présentera le compte rendu de l’accueil que nous avons reçu et du nouvel environnement que
nous avons découvert dans la structure. Elle offre aussi la possibilité au stagiaire de mieux
connaitre la structure qui l’accueille, d’identifier les besoins de ladite structure et de proposer
ainsi des solutions pour remédier aux problèmes présentés.
I. ACCUEIL ET INTÉGRATION
Arrivé en date du 3 juillet 2019, nous nous sommes présentés dans les locaux du
ministère des finances puis précisément à la sous-direction du développement des ressources
humaines située au bâtiment A (porte 134) pour remplir les conditions de stage académique
notifiées par le secrétaire général auprès du ministre en charge de ce département ministériel
muni de notre lettre de stage et après vérification, nous avons été conduit à la division des
systèmes d’information.
Le 04 juillet 2019 marquait le début effectif de notre stage et nous avons été accueillis par
Monsieur BOMA Louis Marie CHEF DE LA CELLULE DE GESTION TECHNIQUE DE
L’INTRANET ET DES RÉSEAUX DE COMMUNICATION. Celui-ci nous a entretenu
pendant quelques minutes au sujet de notre formation académique, notre carrière
professionnelle, notre choix par rapport au domaine d’étude (réseaux et systèmes,
développements, sécurité…), une fois nous ayant présenté à notre encadrant professionnel à
savoir monsieur NKONLA Basile, par la suite notre encadrant nous a présenté à ses
collègues.
Le 05 juillet 2019 nous avons assisté à la configuration des VLANS, l’identification des
équipements de la salle serveur sous la supervision de monsieur WELEPE Wilfried et
Monsieur KINGUE Yves tous informaticiens de la DSI. Dans l’après-midi du 05 juillet 2019
nous avons effectué une visite des locaux du MINFI assisté par Monsieur KINGUE Yves.
Nous avons aussi assisté à quelques travaux de maintenance informatique en assistance au
personnel de la DSI. Le 25 juillet 2019 nous avons effectué une visite guidée des locaux,
6
salles serveurs et équipements réseaux du MINFI sous la supervision de Monsieur NKONLA

Basile notre encadrant professionnel.
❖ TÂCHES EFFECTUÉES
Lors de notre stage nous avons, en plus notre projet, en tant qu’Ingénieur des travaux
informatiques, nous avons assisté nos encadrants dans quelques travaux de maintenances
pendant notre séjour, parmi lesquels :
 Le dépannage des ordinateurs ;

 L’administration d’un réseau pour le rendre plus performant possible pour ses
utilisateurs ;
 L’installation d’imprimante, d’onduleur et des logiciels utilitaires sur des postes

d’utilisateur ;
 L’adressage de quelques machines d’utilisateurs de différentes directions du fait de

leur appartenance aux différents VLAN résultant de la segmentation du réseau du
MINFI ;
II. PRESENTATION DU MINFI

1. Historique
Le Ministère des Finances en charge des problèmes économiques et financiers

remonte à l’année 1957 ; alors que le Cameroun était encore un Etat sous-tutelle. Mais depuis
le décret n° 60/2 du 16 mai 1960 portant sur la formation du premier gouvernement du
Cameroun libre et indépendant, les missions au Ministère des Finances ont navigué entre la
gestion des affaires financières et la planification en passant par l’administration territoriale,
équipements, les domaines, le budget, la stabilisation et la relance économique.
Sa configuration aura donc varié au fil du temps au gré des préoccupations

socioéconomiques avec pour objectif l’amélioration des conditions de vie des populations à
travers l’assainissement des finances publiques, la maîtrise de la dépense et de la masse
salariale, la lutte contre la corruption, la fraude fiscale, la pauvreté… ; ainsi :
 En 1961, l’accent est mis sur le Ministère des Finances et le Ministre de l’Economie
Nationale ;
7
 En 1961, après la formation du gouvernement fédérale, on assiste à la création d’un

Ministère de l’Administration Territoriale, des Finances et du plan et d’un autre en charge
de l’économie nationale ;
 En 1972, lors de la formation du premier gouvernement de l’État unitaire, le Ministre des

Finances est reconduit dans l’architecture gouvernementale ;
 En 1982, la politique du renouveau démarre avec le Ministère de l’Economie et du Plan

qui cèdera la place au Ministère des Finances de 1983 à juin 1984 ;
 En 1994, après la dévaluation du franc CFA, le Ministère de l’Economie et des Finances

prends le relais jusqu’en 2007, même s’il convient de rappeler la brève existence du
Ministère des Finances et du Budget en 2002.
Depuis l’indépendance, l’économie camerounaise aura jusqu’à nos jours un cheminement en trois
étapes :
 D’abord la grande euphorie post Independence (1960-1986) arquée par une longue période
de croissance strictement positive ;
 Ensuite la récession économique de 1987 à 1994 ;

 Et enfin la reprise économique qui d’abord timide en 1995, s’est renforcée avec la mise en
œuvre du programme économique et financier à moyen terme (1987-2000).
L’actuel Ministère des Finances qui découle de l’organisation gouvernementale du 07 septembre

2007 est régi par le décret n° 2008/365 du 08 novembre 2008.
2. Mission
Le MINFI a pour mission première, l’élaboration et la mise en œuvre de la politique du

gouvernement en matière financière, budgétaire, fiscale et monétaire.
i. En matière budgétaire,
Il est notamment responsable :
 De l’élaboration de la loi de règlement et de la loi de finances ;

 De la préparation, du suivi et du contrôle de l’exécution du budget de fonctionnement
de l’État, ainsi que lactation du budget d’investissement en relation avec le Ministère
de l’Economie, de la Planification et de l’Aménagement du Territoire (MINEPAT) ;
8
 De l’exécution d’investissement, en liaison avec le MINEPAT ;

 Des opérations de dévolution du patrimoine immobilier, mobilier de l’état, des
établissement public administration (EPA) et des sociétés à capitales publiques, en
liaison avec le ministère des domaines, du cadastre et des affaires foncières ;
 Du contrôle financier des organismes dotés d’un budget annexe et des établissements
publics autonomes suivant les règlements propres à chaque organisme ou
établissement ;
 De la mise en œuvre des privatisations et de la réhabilitation des entreprises publiques ;

 Du suivi et du contrôle de la gestion des créances et des participations publiques, de
l’endettement des personnes morales de droit publique et de l’emploi des subventions ;
 De la prévision à court terme dans le cadre de l’élaboration du budget de l’Etat.
ii. En matière fiscale,

 Il est responsable des impôts et des douanes.
iii. En matière monétaire et financière,

 De la gestion de la dette publique intérieure et extérieure ;
 De la gestion du trésor publique ;
 De l’élaboration de la balance des paiements ;
 Du contrôle des finances extérieures, de la monnaie et de la règlementation des échanges ;
 De la promotion de l’épargne et de son emploi pour le développement économique ;

 Du suivi de la coopération monétaire et financière, en relation avec le ministère de
relations extérieures ;
 Du suivi et du contrôle des établissements crédits, des compagnies d’assurances et des

marchés financiers ;
 Du suivi des affaires du Fond Monétaire International, en liaison avec le ministère de
relations extérieures.
Le ministre des finances co-préside le comité interministériel chargé des privatisations et de

la réhabilitation des entreprises publiques.
9
Pour ce qui est de ses objectifs, le ministère des finances assure la tutelle sur institut de
mission, les établissements de crédits, les compagnies d’assurance suivantes :
➢ La Caisse Automne d’Amortissement (CAA) ;

➢ La Caisse des Dépôts et Consignes (CDEC) ;
➢ La Société de Recouvrement des Créances du Cameroun (SRC).
Lui sont rattachés :
➢ Le Centre National de Développement de l’Informatique (CENADI) ;

➢ La Commission Technique de Privatisation et de Liquidation des Entreprises Publiques
(CTPL) ;
➢ Commission Technique de Réhabilitation des Entreprises Publiques (CTR) ;
➢ L’Agence Nationale d’Investigation Financière (ANIF).
3. STRUCTURE ORGANISATIONNELLE DU MINFI

Pour l’accomplissement de ses missions, le ministre, chef de ce département dispose
de services déconcentrés dans les circonscriptions administratives, des services extérieurs
auprès des missions diplomatiques et consulaires à l’étranger ainsi que des services rattachés.
Le ministre est assisté :
D’un secrétariat particulier ;

Du ministre délégué ;
De quatre (04) Conseillers Techniques ;
D’un secrétaire général ;
D’un chef de division du suivi ;
D’un chef de division des affaires juridiques ;
D’un chef de division des systèmes d’information.
i. ORGANIGRAMME
10
Figure 1: organigramme du MINFI, source : MINFI
11
4. Plan de localisation
Figure 2: plan de localisation du MINFI, source: conception avec edraw max
13
13
5. Quelques applications lourdes utilisées au MINFI

Tableau 1: récapitulatif des applications lourdes du MINFI
Directions Nom de Principales fonctionnalités SGBD Langage de Année de
l’applicatio Développe mises-en
ment Productio
n
n
BUDGET IBIS Saisie des engagements ORACLE COBOL 1986

Délégation des crédits (Serveur) Requêtes
SQL
DEPMI  Traitement des SQL Server VB 6
délégations de crédits
au niveau régional
 Ordonnancement des
dépenses
PROBMIS  Préparation du Budget SQL VB 6
 Production des documents
de la loi des finances
Budget ANTILOPE  Consultation de l’état DATACO Cobol
DDPP d’avancement des dossiers M/DB CICS
relatifs à la solde
 Production des états
 Saisie des
nouveaux dossiers
 Transmission des dossiers
au Trésor
DOUANE SYDONIA+  Gestion des déclarations ORACLE C
S +  Gestion des règlements (serveur) C+
 Gestion du transit INFORMIX

(client)
NEXUS+  Suivi des opérations par ORACLE PHP
GPS
63
 Gestion des cautions
MPOTS MESURE  Gestion des contribuables Interbase 8 Delphi 7

 Gestion des
contrôles fiscaux
 Gestion des requêtes et
réclamation contentieuse
 Production des statistiques
SONDE  Gestion des impôts liés au Sybase SQL Sybase
Anywhere PowerBuild
foncier (taxe foncière,
er 10
droit de mutation 9.0
immobilière
 Evaluation administrative
immobilière
 Suivi des Impôts locaux
EMAP Enregistrement des marchés SQL C 2011

SERVER (Web)
2008
CENADI ANTILOPE TRAITEMENT DES DATACO IDEAL 1986
SALAIRES ET DES M
PENSIONS
TRESOR TRAITEMENT DES COBOL 197x
ARCHIVES DE LA
COMPTABILITE DU
TRESOR
63
AGL  Conception de base de 2011

WINDEV données
15  Génération rapide
des applications
 Langage de
programmation de 5è
Génération
CAA SEMS  Codification des acteurs ORACLE 8i C, C++, 2002
et des valeurs mobilières KSH,
(Code ISIN) PL/SQL,
 Dénouement des DELPHI

transactions (C/S)
JUNON  Gestion de la paie HYPERFIL Monoposte 2003
 Gestion du personnel E
MAILSOFT Gestion électronique et ORACLE Web logic, 2005
administrative du courrier 10g Java
(C/S, web)
LE  Gestion de la trésorerie Access WLangage, 2006
PRECIEUX  Suivi des 2007 Windev
opérations bancaires
ANIF SEBDA Système d’exploitation bd SQL 8 ASP 2010

ANIF
GACHA Gestion automatique SQL 8 PHP, 2007
des changes JAVA
DSI ECOFI Base Données d’agrégation
des données financières
DRH SIGIPES Gestion de la carrière du

personnel et des agents
III. PRÉSENTATION DE MA DIVISION D’ACCUEIL :

DIVISION DES SYSTÈMES D’INFORMATION (DSI)
63
1. Mission
Placée sous l’autorité d’un Chef de Division, la Division des Systèmes d’Information a
pour mission la mise en œuvre des stratégies définies dans le domaine de l’informatique, des
Technologies de l’Information et des Communications (T.I.C) et des réseaux de communication
au sein du Ministère.
A ce titre, elle est chargée :

De l’élaboration et de la mise en œuvre de la politique informatique et des
Technologies de l’Information et des Communications (T.I.C) du Ministère, en
relation avec le Centre National de Développement de l’Informatique (CENADI) ;
De la coordination de l’activité des structures informatiques du Ministère ;
Du conseil et de la veille technologique ;
Du suivi de la cohérence des projets d’informatisation ;
De la définition des standards et de la coordination de l’acquisition des équipements
informatiques du Ministère ;
De l’intégration des systèmes de gestion des finances publiques et des outils de pilotage
relatifs ;
De l’élaboration et de la mise en œuvre de la politique de sécurité informatique ;
De la gestion technique de l’intranet / extranet et du site web du Ministère ainsi que de
la coordination des sites web sectoriels et des réseaux privés d’entreprise (VPN)
installés dans les Directions techniques du Ministère ;
De la conception, de la réalisation et de l’administration des réseaux de communication;
De la coordination des actions de formation et de recyclage des personnels informaticiens ;
Des relations avec les structures nationales en charge de l’informatique et des technologies
de l’information et de la communication ;
De la stratégie de mise en œuvre de la gestion électronique des documents.
2. Organigramme de la DSI
63
DSI
la Cellule de
la Cellule des la Cellule du Suivi Gestion Technique
Etudes et des de l’Exploitation et de l’intranet et des
Développements de la Maintenance Réseaux de
Communication
Figure 3: organigramme de la DSI, source MINFI
3. Ressources humaines de la DSI
Le personnel de la DSI peut être estimé à une trentaine d’informaticiens, repartis dans les
deux bâtiments du MINFI.
CONCLUSION
Rendu au terme de cette phase d’insertion qui portait non seulement sur la présentation
générale de l’entreprise mais aussi sur l’accueil qui nous a été réservé, les conditions dans
lesquelles nous avons travaillé et notre capacité à s’imprégner de l’environnement
professionnel, il en découle que cette étape a été réalisée sans difficulté majeure, dans un
espace convivial, avec un esprit de confiance dû au professionnalisme et à l’expérience du
maître de stage (encadrant professionnel) et de ses collaborateurs. En outre, cette phase a été
pour nous très productive en ce sens qu’elle a permis aux uns et aux autres de percevoir la
nécessité du travail collaboratif, de la coopération, et le plus important de pouvoir nous
intégrer dans le monde professionnel. Nous allons poursuivre avec la phase technique qui
constitue l’essence même de notre travail.
63
Partie II :
DOSSIER
TECHNIQUE
Résume :
Le dossier technique est un document qui présente le volet technique de notre travail,
du recueil et critique de l’existant, à l’implémentation de la solution en passant par une
approche méthodologique.
Aperçu :
INTRODUCTION
CHAPITRE 1 : CAHIER DE CHARGE
63
CHAPITRE 2: ETAT DE L'ART ET DEMARCHE
CHAPITRE 3 : IMPLEMENTATION
CHAPITRE 4: RESULTATS ET
COMMENTAIRE
CONCLUSION
CHAPITRE 1 : CAHIER DE CHARGE

INTRODUCTION
63
Ce chapitre permet de mettre notre projet dans son cadre général en présentant les
fondements et raisons de notre présence en entreprise. En effet, nous allons tour à tour :
présenter le contexte de notre stage, puis faire ressortir la problématique, les objectifs, la
planification et enfin l’évaluation financière.
I. CONTEXTE
Dans la première partie nous avons présenté le MINFI qui est une structure stratégique de
l’administration camerounaise. Il héberge en son sein plusieurs applications critiques. A la
Division des Systèmes d’Information où nous avons effectué notre stage, plusieurs serveurs y
sont hébergés notamment :
✓ Le serveur de « MESSAGERIE » ;
✓ Le serveur de « EBULLETIN » pour tirer le bulletin de solde des agents publics ;
✓ Le serveur « SYGESCA » pour la gestion électronique sécurisée de la correspondance

administrative ;
✓ Le serveur « MAILSOFT » ;
✓ Le serveur « GSR » pour la gestion de la salle de réunion ;
✓ Le serveur « EBON » pour la gestion de bon électronique ;
✓ Un serveur de supervision ;
✓ Etc…
Tous ces serveurs ont besoin d’être disponible 24H/24 et 7jours/7 pour permettre au MINFI
d’atteindre ses objectifs de performance raison pour laquelle l’importance d’envisager la mise
en place d’une solution de réplication de ces serveurs tout en assurant la sécurité de ceux-ci.
Ainsi, étant donné la sensibilité et l’importance des informations traitées par le MINFI,
il ne peut se permettre d’avoir un certain nombre de ses services indisponibles durant des
périodes plus ou moins longues, car cette indisponibilité réduit de manière significative la
productivité et l’efficacité du ministère. Bien que cette indisponibilité soit malvenue, compte
tenue le nombre multiple de serveurs que possède le MINFI, il n’en demeure pas moins que
les utilisateurs n’ont pas toujours accès à ces ressources en temps voulu, ce qui engendre des
conséquences néfastes.
63
Dès lors, le besoin d’assurer la pérennité et la disponibilité des services déjà

implémentés semble être d’une utilité avérée, et même plus, nécessaire. Si pour une raison ou
une autre le traitement et/ou la restitution de certaines informations venait à être compromis,
le manque à gagner s’en ferait tout de suite ressentir étant donné le rôle crucial que joue le
MINFI dans le fonctionnement du service public.
II. ETUDE DE L’EXISTANT

Le MINFI dispose d’un réseau d’interconnexions qui, couvre la quasi-totalité du
territoire national (11 circonscriptions administratives en général) et permet une
communication centralisée entre le MINFI, les Trésoreries Générales et certains centres des
impôts. Cette infrastructure a été mise en œuvre dans le cadre de l’exploitation du nouveau
système de paiement en Afrique Centrale (SYSTAC et SYGMA). Sa mise en œuvre a été
effectuée dans le cadre d’un marché avec l’opérateur CAMTEL en 2002.
Le réseau local du Ministère des Finances (MINFI) est bâti sur une architecture
physique en étoile ; où les nœuds principaux sont situés respectivement à la Cellule
Informatique (CIB) de la Direction Générale du Budget (DGB) au bâtiment B et à la Cellule
Informatique (CIT) de la Direction Générale du Trésor et de la Coopération Financière et
Monétaire (DGTCFM) au bâtiment A. Les sites distants (22 au total) des services extérieurs
du MINFI sont raccordés à ce nœud à travers des liaisons de transmission sur support fibre
optique, sur faisceau hertzien numérique ou par liaison satellitaire.
La connexion internet distribuée au sein du ministère est filaire et celle-ci se trouve

dans la quasi-totalité des bâtiments. Le FAI (fournisseur d’accès à internet) du MINFI est
CAMTEL. Il offre une bande passante de 50 Mo. Le support de connexion de CAMTEL au
MINFI est la fibre optique qui, arrive directement au niveau des brins qui sont connectés à un
convertisseur optique qui transforme le signal qui arrive en signal électrique. Le réseau local
du MINFI est réalisé à l’aide de deux types de supports à savoir le câble en cuivre de
catégorie 5 et le câble fibre optique multimode de 6 et 12 brins. Les deux bâtiments sont reliés
par une dorsale fibre optique de 24 brins.
La connectivité inter sites est mise en œuvre par la technologie IP à travers des routeurs
Cisco 2821 et 3845. Les routeurs 2821 sont déployés dans les sites MINFI de Yaoundé et de
Douala, ainsi qu’aux Pops de CAMTEL des autres circonscriptions financières. Les routeurs
3845 sont déployés aux Pops d’agrégation de Yaoundé et de Douala et à l’ACCT,
63
1. Présentation du matériel informatique et logiciels du MINFI
Le parc informatique du Ministère est essentiellement constitué des équipements de marque

HP, Compaq, Cisco, D-Link et Dell. Le Ministère est également doté d’une trentaine de
serveurs de marque HP ProLiant.
Les salles serveurs (03 salles) du MINFI contiennent des équipements comme par
exemple les armoires (baie) de brassages de 24U, les armoires de 42U, les tiroirs optiques, les
routeurs Cisco, les convertisseurs optique-électriques S4TEF de Network Transitions, les
commutateurs Cisco Catalyst, les serveur HP ProLiant, les mini PABX pour le téléphone, les
panneaux de brassages de 24 ports, bandeaux de prises avec parafoudre. Le réseau du MINFI
est protégé par des checkpoint. Les ordinateurs par les onduleurs de marque APC. La
communisation est effectuée à l’aide des mini centrale téléphonique de marque CAMTEL.
❖ Les serveurs
Le MINFI possède une trentaine de serveurs dans lesquels sont installées les applications
lourdes comme EBULLETIN, PROBMIS, TABOR…
Caractéristique : HP ProLiant DL380p Gen8, RAM 16 GO, DD 2 TO
Figure 4: les serveurs, source : MINFI
❖ Les routeurs
On trouve des routeurs de la gamme Cisco 2800 séries, 1800 séries et 3000 séries. Les
routeurs de la gamme 2800 sont utilisés pour l’accès Internet fourni par la société CAMTEL.
Les routeurs de la gamme 1800 et 3000 sont utilisées pour l’interconnexion des structures du
MINFI.
63
Figure 5: les routeurs, source : MINFI
❖ Les commutateurs(switch)
Le MINFI possède en son sein une soixantaine de commutateurs de marque Cisco de

24 et 12 ports et 2 commutateurs manageables (niveau 3) ; les Switch CISCO Catalyst 4500
séries constitué de carte Giga Ethernet, module fibre optique et d’une carte de monitoring ; les
switches Cisco Catalyst 2950 et 2960G. Les Switches d’accès, des Cisco Catalyst 2950 et des
Dlink de 24 ports dotés des modules fibre optique, qui reçoivent le trafic généré par les postes
de travail avant de les acheminer vers l’étoile optique.
❖ Les armoires(baie)
Hébergeant les équipements comme les routeurs, les serveurs, les tiroirs optiques, les
commutateurs, les convertisseurs optiques-électriques. Nous avons constaté l’existence des
baies de 12U, 24U, 42U.
Figure 6: les baies de brassages, source : MINFI
❖ Les firewalls
L'analyse effectuée nous a amené à constater l’existence de deux checkpoints dans

l’ensemble du LAN du MINFI. La sécurité est mise en œuvre par des solutions de
63
checkpoints qui permet en particulier de protéger les serveurs hébergés et la sortir vers
l’extérieure. L’un se trouve à la DRH et l’autre à la DSI.
Figure 7: les checkpoints, source : MINFI
❖
❖ Les onduleurs de marque APC
Pour la protection des équipements du ministère et la relève du fonctionnement des

équipements en cas de coupure du courant électrique
Caractéristique : APC Smart-UPS VT 10kVA et 6 KVA 400V w/4 Batt Mod, Start-Up 5X8,
Int Maint Bypass, Parallèle Capable
Figure 8: les onduleurs, source : MINFI
❖ Les microordinateurs
Pour les travaux du personnel, essentiellement de marque HP et DELL
Figure 9: les ordinateurs de bureau, source : MINFI
63
❖ Les imprimantes et photocopieuses
Utilisées pour les travaux d’impression des documents. De marque HP laser et jet d’encre ;
Canon 400 MHz.
Figure 10: les imprimantes et photocopieurs, source : MINFI
❖ Les Access points
Utilisés pour la connexion aux services web (internet)
Figure 11: les Access-points, source : MINFI

Nous distinguons deux catégories de logiciels utilisés au sein du MINFI à savoir :
➢ Logiciels clients: Windows 7, Windows 8 et 8.1, Windows 10, Ubuntu, Microsoft office
2007, 2010, 2013 et 2016
➢ Logiciels serveurs : Ubuntu server, Windows server 2008 et 2012
2. Architecture physique du réseau du MINFI
63
La topologie physique du réseau
Figure 12: Architecture réseau du MINFI (source : conception edraw max)
III. CRITIQUE DE L’EXISTANT

Suite à l’étude de l’existant préalablement réalisée, nous recensons un certain nombre
de limites relatives aux serveurs du MINFI à savoir l’indisponibilité de certains services et
l’absence d’un moyen pour assurer la continuité des services en cas de crash ou de
catastrophe.
Et pour causes possibles :
 Requête excessive des utilisateurs ;

 Coupures régulières du courant électrique qui paralyse le bon fonctionnement des
serveurs ;
 Phénomène géologique ou météorologique ;
63
 Mauvais système d’aération ;

 Surcharge du serveur ;  Configuration incorrecte ;
 Surtension.
IV. PROBLÉMATIQUE
Assurer la disponibilité d'un serveur est identique à assurer la continuité des services,
malgré une panne du serveur sur lequel il tourne et procédures de bascules automatiques si le
service est critique. Il s’agit en général de dupliquer un maximum d’éléments matériels du
système (redondance) et de prévoir des mécanismes de basculement automatique du serveur
en panne vers celui en état de fonctionnement normal. Dans ce cas de figure, la difficulté
majeure est d’assurer la conformité et l’intégrité des données à la disposition de l’utilisateur
après la panne du serveur sur lequel elles étaient disponibles initialement ; étant entendu que
ces données demeurent accessibles mais sur un autre serveur désormais. Toutefois, nous
avons constaté des anomalies relatives à la sécurité des serveurs. Notamment, le manque d’un
mécanisme de détection d’intrusion. Ceci dit, le mécanisme de réécriture des données sur le
second serveur n’est pas d’une sécurité optimale. Sur ce, nous nous posons la question de
savoir comment assurer la haute disponibilité des services de façon sécurisée et comment
sécuriser le réseau du Ministère des Finances ?
V. OBJECTIFS
Suite aux différents problèmes soulignés et aux propositions de solutions faites. Il nous
parait logique de définir un certain nombre d’objectif qui fera office de feuille de route ou
mieux de conducteur de notre projet. Ce dernier comprendra de façon détaillée tous les points
de résolution qui animeront notre travail.
1. Objectifs généraux
Notre travail consiste à assurer la haute disponibilité des services du serveur web «
EBULLETIN » du Ministère des Finances ; tout en sécurisant les données transitant et
prévenir en cas d’intrusions frauduleuses des pirates.
2. Les objectifs spécifiques
Les objectifs de l'amélioration de la haute disponibilité de données sont les suivants :

 Sécuriser les données du ministère ;
63
 Synchroniser les données entre le serveur web principal et le serveur web miroir en temps
réel ;
 Effectuer le basculement des requêtes des clients vers le serveur web miroir lorsque le
serveur web principal est hors service ;
 Permettre de reprendre rapidement les activités du ministère après un incident ;
 Résister aux pannes et augmenter la disponibilité des serveurs ;
 Répartir la charge de travail entre les deux serveurs ;
 Implémenter un réseau privé virtuel entre le site hébergeant le serveur web principal et
celui où est situé le serveur web miroir ;
 Implémenter un outil de détection d’intrusions pour sécuriser le réseau du MINFI.
Les répercussions concrètes sur le long terme seraient de :
 Pouvoir gérer les situations d'urgence ou de crise ;

 Prévoir les défaillances ;
 Garantir la continuité de service ; 
Préserver une bonne image et notoriété ;
 Gagner en temps et en performance.
3. Enjeux
En entreprise, les données informatiques ont aujourd'hui une valeur unique. Toute
société a besoin de protéger ses données, et d'avoir la garantie d'assurer sa continuité de
service en cas de problème. Que ce soit lié à un sinistre total ou partiel (vol de machine, erreur
de manipulation, panne irrécupérable de serveur), il est indispensable de pouvoir assurer une
haute disponibilité des serveurs.
VI. PLANIFICATION DU PROJET

1. Diagramme de Gantt du projet
Le diagramme de Gantt suivant présente la répartition de notre projet dans le temps.
63
Figure 13: diagramme de gantt du projet, source : conception gantt projet
2. Intervenants du projet
Pour la réalisation de ce projet l’équipe sera constituée de :
Tableau 2: intervenants du projet
Noms et Prénoms Rôle Fonction
M. NKONLA Basile Encadrant Professionnel et Ingénieur Informaticien

maitre d’ouvrage contractuel
DR. DJOUSSE Hugues Encadrant académique Enseignant à l’IAI-Cameroun
M. WANDJA Ghislain Maitre d’œuvre Étudiant en troisième année à

Geovani l’iai-cameroun
VII. EVALUATION FINANCIÈRE

La solution qui va être mise en place peut être déployée en trois (03) semaines. Les
prix sont tirés de la mercuriale des prix 2018. Ainsi le coût de la mise en œuvre de ce projet
compte tenu de la durée, de la main d’œuvre et de ses équipements nécessaires à sa
réalisation, nous avons :
1. Ressources matérielles
63
Le tableau ci-dessous présente nos différents besoins en ressources matérielles

Tableau 3: ressources matérielles
Équipements Caractéristiques Quantités Montant
Serveur SERVEUR HP ML 02 3 816 300
370G6 E5620, RAM
6GO, DD 300GO
Routeurs Cisco ISR 4331 WAN 02 2 865 000

PORTS 3 GIG E
Ordinateur Core i5 250Go DD 02 796000

4GO ram cpu 2.1
GHZ
Cable FTP Blindé 01 rouleau 17 000

Cable console 01 rouleau 22 000
Total 07 6 799 900 FCFA
2. Ressources logicielles
Le tableau ci-dessous présente nos différents besoins en ressources logicielles
Tableau 4: ressources logicielles

Logiciels Licence Quantité Version
DRBD Libre 01 8.3.2
HEARTBEAT Libre 01 3.2
Apache Libre 01 02
MySQL-server Libre 01 2.2
Debian Libre 03 9
PhpMyAdmin Libre 01
PHP Libre 01 7.0
Wire Shark Libre 01 3
Snort Libre 01 2.9.14
Total 11
63
3. Ressources humaines
Le tableau ci-dessous présente nos différents besoins en ressources humaines
Tableau 5: ressources humaines

STATUT Nombre Honoraires Durée(jours) Prix total
Chef de projet 01 250.000 21 5 250 000
FCFA/jour FCFA
Ingénieur des 01 150.000 21 3 150 000

travaux FCFA/jr FCFA
informatiques
Total 02 400.000 21 8 400 000

FCFA/jour FCFA
4. Coût total du projet

Tableau 6: coût total du projet
Désignation Coût total
Ressources matérielles 6 799 900 FCFA
Ressources humaines 8 400 000 FCFA
Ressources logiciels 0 FCFA
Marge d’erreur (10%) 1 519 990 FCFA
TOTAL 16 719 890 FCFA
CHAPITRE 2 : L’ÉTAT DE L’ART ET DÉMARCHE

D’IMPLÉMENTATION
I. L’ÉTAT DE L’ART
1. Définitions de quelques notions
63
➢ Serveur : dispositif informatique matériel ou logiciel ayant de grandes capacités et

permettant de répondre aux requêtes des autres ordinateurs appelés clients ;
➢ Serveur web : c’est un ordinateur connecté à internet et sur lequel sont hébergés des
sites web, composés des pages html (le serveur web, également appelé serveur http, peut
également être composé d’un groupe d’ordinateur). Le logiciel fédérateur, sur un serveur
web, est le serveur http (apache, le plus fréquemment utilisé), un gestionnaire de base de
données (tel que MYSQL) ;
➢ Serveur miroir : un serveur web miroir est une copie exacte d’un serveur ;
➢ Cluster (en français « grappe ») : est une architecture composée de plusieurs serveurs
formant des nœuds, ou chacun des nœuds est capable de fonctionner indépendamment
des autres. Il existe deux principaux usages des clusters dont les clusters de haute
disponibilité permettant de repartir une charge de travail parmi un grand nombre de
serveurs et de garantir l’accomplissement de la tâche même en cas de défaillance d’un
nœud ; les clusters de calcul permettent de repartir une charge de travail parmi un grand
nombre de serveurs afin d’utiliser la performance cumulée des nœuds ;
➢ Intégrité : qualité de ce qui ne peut être altéré ;
➢ Vpn : canal de communication sécurisé sur le réseau dans lequel transitent des
informations voulues confidentielles et inaltérables ;
➢ Ligne louée : liaison spécialisée qu’offre un FAI a un client dans le but d’assurer la
sécurisation des échanges de ce dernier ;
➢ Un IDS (Intrusion Detection System) qui a pour traduction "Systèmes de détection
d'intrusion" est un processus qui permet de surveiller activement le réseau afin de
repérer des activités anormales. Il évalue les paquets contre les problèmes/attaques
connus et crée par la suite des alertes. Sa fonction principale est donc d’analyser le trafic
(le trafic réseau passe par IPS) réseau afin de détecter les anomalies et de les
communiquer, par la suite, les résultats à un administrateur ;
2. Types de serveurs web
Ils sont de deux types à savoir :
63
Serveurs web statiques, ils sont qualifiés de statiques car envoient les fichiers
hébergés tels quels vers le navigateur. Le serveur web statique est composé d’un
système d’exploitation et d’un serveur http ;
Serveurs web dynamiques, un serveur web dynamique possède d’autres composants
logiciels en plus de ceux du serveur web statique. Certains qu’on retrouve
fréquemment à l’instar d’un serveur d’applications et une base de données. Il est
appelé
« dynamique » car le serveur d’applications met à jour les fichiers hébergés avant de les
envoyés au navigateur via HTTP.
II. ETUDE COMPARATIVE DE QUELQUES SOLUTIONS

1. Solutions pour la haute disponibilité des services
Rendre hautement disponibles des services signifie assurer qu’ils soient accessibles en
temps et en lieu voulus, indépendamment des facteurs qui pourraient causer leur indisponibilité.
Pour ce faire, divers moyens sont à disposition avec chacun leur lot d’atouts et de limites, nous
avons entre autres :
 Une solution consiste à stocker les données sur un équipement SAN (Storage Area
Network). Données qui pourront être accessibles à partir de deux serveurs (ou plus).
Ainsi, en cas de dysfonctionnement du serveur principal, le second pourra accéder aux
données à jour sur le SAN. Cependant, plusieurs limites sont attribuées à cette
technologie à savoir :
▪ Le coût de déploiement est assez important ;
▪ Elle peut représenter un SPOF (Single Point Of Failure) en ce sens ou si le
SAN, pour une raison ou une autre, venait à être hors service, l’ensemble du
système le serra également ce qui ne garantirait pas la haute disponibilité telle
que préalablement définie
 Comme seconde solution, nous avons les synchronisations régulières de types rsync
entre deux serveurs, dans le sens serveur principal-serveur secondaire. De cette façon,
si le serveur principal venait à être hors service, les services affectés pourraient être
démarrer sur le serveur secondaire, à ceci près que les données disponibles dateront de
la dernière synchronisation ;
63
 Une autre solution est la redondance matérielle. Elle consiste à doubler le matériel
critique afin d’assurer la continuité des services, en cas de défaillance engendrant un
coût plus ou moins important ;
 La mise en cluster de deux serveurs est notre dernière solution. Elle permet d’utiliser
plusieurs équipements en commun afin de gérer des services ; l’infrastructure en
cluster a de nombreux avantages tels que l’augmentation de la disponibilité, la
répartition des charges sur plusieurs équipements (via le loadbalancing) et la gestion
efficace des ressources physiques partagées. Avec cette technologie, nous sommes à
l’abri des SPOFs et les données du système sont parfaitement ajour sur le serveur
secondaire en cas de bascule vers ce dernier (fail over). Dans notre cas, nous
utiliserons DRBD et
HEARTBEAT.
Tableau 7: étude comparative des solutions pour la haute disponibilité

Outils / SAN RSYNC Cluster DRBD et
rendements HEARTBEAT
Coûts Très coûteux Moins coûteux Moins coûteux
Délais Données à jours mais pas Données datant Données toujours à

toujours disponibles uniquement de la jours et en temps
dernière réelles
synchronisation
Qualités SPOF SPOF Pas de SPOF
2. Solution pour la sécurisation des échanges
Ici, les échanges dont il est question sont ceux entre les sites hébergeant les deux
serveurs. comme solutions pour sécuriser lesdits échanges, nous avons :
 L’usage d’une ligne louée spécialisée ou ligne dédiée : c’est-à-dire que l’entreprise
souscrit à un forfait mensuel ou annuel lui permettant d’utiliser une connexion internet
dédiée. Cette solution est très onéreuse et la confidentialité des données n’est pas
garantie ;
 La mise en place d’un VPN, c’est-à-dire un tunnel sécurisé à travers le réseau internet
dans lequel circuleront les données transitant d’un site à un autre.
63
3. Solution pour le système de détection d’intrusion
Face aux problèmes d’intrusions, il existe plusieurs solutions concernant le choix d’un
IDS. Il existe des solutions commerciales aussi bien qu’open source. Les solutions open
source n’ont rien à envier aux solutions commerciales. Nous pouvons avoir comme solutions :
Tableau 8: étude comparative des solutions pour l'IDS
Dans le cadre de ce projet, nous nous intéressons surtout à l’approche

comportementale. Cependant, il peut être utile de choisir un logiciel qui propose des modules
pour les deux méthodes, pour comparer les résultats par exemple. De plus, on privilégie les
solutions libres. Nous avons opté d’utiliser le logiciel SNORT pour les raisons suivantes :
63
 Actuellement, c’est le logiciel le plus répandu avec de 2 000 000 téléchargements

 Il bénéficie d’une mise à jour en temps réel d’où la grande réactivité ;
 Il peut être installer tant sur linux, que sur Windows ;
 Elle dispose d’une vitesse de détection très rapide ;
 Sa configuration est facile et le langage de ses règles est simple.
III. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LA

MISE EN PLACE DU SERVEUR MIROIR
1. Protocoles
Un protocole est un ensemble de règles et de procédures à respecter pour émettre et

recevoir des données sur un réseau. Il en existe plusieurs, selon ce que l’on attend de la
communication. Certains protocoles seront par exemple spécialisés dans l’échange de fichiers,
d’autres pourront servir à gérer simplement l’état de la transmission et des erreurs. Nous
avons :
• Protocole UDP : User Datagramme Protocol (UDP, en français protocole de

datagramme utilisateur) est un des principaux protocoles de télécommunication
utilisés par Internet. Il fait partie de la couche transport du modèle OSI, il appartient à
la couche 4, comme TCP. Le rôle de ce protocole et de permettre la transmission de
données de manières très simple entre deux entités, chacune étant définie par une
adresse IP et un numéro de port ;
• Internet Protocol (protocole internet, abrégé en IP) : est une famille de protocoles
de communication de réseaux informatiques conçus pour être utilisés sur Internet. Les
protocoles IP s'intègrent dans la suite des protocoles Internet et permettent un service
d'adressage unique pour l'ensemble des terminaux connectés ;
• Protocole : L’HyperText Transfer Protocol (HTTP, littéralement « protocole de
transfert hypertexte ») : est un protocole de communication client-serveur développé
pour le World Wide Web. HTTPS (avec S pour secured, soit « sécurisé ») : est la
variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. HTTP est un
protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion
fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un
serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS) ;
• Le protocole TCP : Transmission Control Protocol (littéralement, « protocole de
contrôle de transmissions »), abrégé TCP, est un protocole de transport fiable. Le
63
protocole TCP est un protocole orienté connexion c’est-à-dire qu’il permet à deux
machines qui communiquent de contrôler l’état de transmission. Ce protocole permet
de vérifier le flot des données afin d’éviter la saturation du réseau ; de formater les
données en segments de longueur variable afin de les restituer au protocole IP.
2. Présentation de DRBD
DRBD (Distributed Replicated Block Device en anglais, ou périphérique en mode

bloc répliqué et distribué en français) est une architecture de stockage distribuée pour
GNU/Linux, permettant la réplication de périphériques de bloc (disques, partitions, volumes
logiques etc.) entre des serveurs. DRBD est un logiciel libre, mais un support existe. DRBD
est composé d'un module noyau, d'outils d'administration en espace utilisateur ainsi que de
scripts Shell.
La réplication des données se fait :
 En temps réel. En permanence, pendant que les applications modifient les données
présentes sur le périphérique ;
 De façon transparente. Les applications qui stockent leurs données sur le périphérique
répliqué n'ont pas conscience que ces données soient en fait stockées sur plusieurs
ordinateurs ;
 De façon synchrone, ou asynchrone. En fonctionnement synchrone, une application qui
déclenche une écriture de donnée est notifiée de la fin de l'opération seulement après
que l'écriture a été effectuée sur tous les serveurs, alors qu'en fonctionnement
asynchrone, la notification se fait après que la donnée ai été écrite localement, mais
avant la propagation de la donnée.
À ce jour, DRBD permet la réplication entre deux serveurs grâce à la technologie de RAID1
encore appelée : disque en miroir qu’elle intégré. DRBD permet d’effectuer la
synchronisation des données selon 3 protocoles présentés par ordre de performance :
 Protocole A : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et envoyées sur le
réseau vers le serveur esclave.
63
 Protocole B : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et que le serveur
esclave a accusé réception des données.
 Protocole c : une opération d’écriture est considérée comme terminée avec succès dès
que les données sont écrites sur le disque local (serveur maitre) et que le serveur
exclave a indiqué qu’il a écrit les données sur son disque.
Comme on peut le voir, le protocole C est le plus sécurisé mais également le plus lent.
En effet, il est le seul à garantir qu’en cas de crash, la totalité des écritures réalisées sur le
maitre a été entièrement effectuée sur l’esclave. On est donc certain de retrouver à l’identique
sur le serveur esclave les données présentes sur le serveur maitre avant le crash.
3. Présentation de heartbeat
HeartBeat ou Linux HA (High Availability) est un système permettant, sous Linux,

la mise en cluster (en groupe) de plusieurs serveurs. C’est plus clairement un outil de haute
disponibilité qui va permettre à plusieurs serveurs d’effectuer entre eux un processus de
failover. Le principe du fail-over « tolérance de panne » est le fait qu’un serveur appelé «
passif » ou « esclave » soit en attente et puisse prendre le relais d’un serveur « actif » ou «
maitre » si ce dernier serait amené à tomber en panne ou à ne plus fournir un service. Le
principe d’Heartbeat est donc de mettre nos serveurs dans un cluster qui, détiendra et sera
représenté par une IP « virtuelle » par laquelle, les clients vont passer plutôt que de passer par
l’IP d’un serveur (actif ou passif). Le processus Heartbeat se chargera de passer les
communications aux serveurs actif si celui-ci est vivant et au serveur passif le cas échéant.
4. Description d’un cluster avec DBRD et HEARTBEAT
La configuration matérielle de notre solution est la suivante : Deux serveur web

identiques A et B ayant chacune de ressources en disque suffisant pour assurer les services.
En temps normal, un seul de ces deux serveurs, rend effectivement les services : il dispose de
l'adresse IP sur laquelle les services sont disponibles, le système de fichiers contenant les
données est monté, et les différents services sont lancés. L'autre serveur web miroir au
contraire se contente d'attendre. Les deux serveur web s'informent mutuellement de leur
fonctionnement par un système de « battements de cœur » implémenté par le logiciel
Heartbeat. La duplication des données est assurée par une technique de RAID-1 réseau
implémentée par le logiciel DRBD « Distributed Replicated Block device »
63
Lorsqu'une panne intervient sur le serveur principal, le serveur miroir détecte l'arrêt
des battements et lance le processus de bascule : elle prend l'adresse IP des services, monte le
système de fichiers et lance les services réseaux rendus par le cluster. Ce mécanisme de
bascule est donc facile à implémenter, à une exception près : le système de fichier que l’on
monte sur le serveur web miroir doit contenir exactement les mêmes données que celui du
serveur web principal au moment du crash. C’est là que DBRD joue son rôle. Le mécanisme
est le suivant lorsque le serveur web principal écrit sur le système de fichier, il écrit à la fois
sur son propre système de fichier, mais également sur le système de fichier du serveur web
miroir. Ainsi il dispose en temps réel d’une copie des données.
Figure 14:illustration du cluster avec drbd et heartbeat (source : ma conception, edraw max)
IV. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LA

SÉCURISATION DES ÉCHANGES
Pour sécuriser les données qui transitent entre les deux serveurs, nous avons décidé de
mettre sur pied un VPN car c’est moins couteux et offre un niveau de sécurité élevé. VPN
(Virtual Private Network) ou RPV (Réseau Privé Virtuel) en français est une technique
63
permettant à un ou plusieurs postes distants de communiquer de manière sûre tout en

empruntant des infrastructures publiques.
Une solution VPN doit offrir au minimum les fonctions suivantes :
 Cryptage des données : les données circulant dans le réseau public (Internet) doivent être
illisibles aux clients non autorisés ;
 Gestion des clés : la solution doit générer et mettre à jour les clés pour l'encryption des
données du client et du serveur ;
 Prise en charge multi-protocoles : la solution doit permettre l'utilisation de protocoles
communs utilisés dans le réseau public ;
 Protection contre les écoutes et analyses de trafic ;

 Authenticité des données ;
 Intégrité des données échangées.
1. Les principaux protocoles VPN ou Protocol de tunneling
Les protocoles sont un ensemble de règles qui régissent les communications dans les
réseaux entre couches de même nature. En ce qui concerne les protocoles du VPN, ils
constituent l’essence même des VPN. Les principaux protocoles VPN sont :
 PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2. Il est

généralement employé entre un client d’accès à distance et un serveur d’accès réseau.
 L2TP (Layer Two Tunneling Protocol) est un protocole de niveau 2. Ce protocole

fonctionne d’une manière similaire à PPTP, mais il offre la confidentialité et l’intégrité
des données supplémentaires grâce à un processus de multi-authentification.
 SSL (Secure socket layer), le protocole SSL est un protocole de couche 4 utilisé par
une application pour établir un canal sécurisé avec une application, il concerne
généralement les navigateurs web.
 IPSEC (Internet Protocol Security) est un protocole de niveau 3, issu des travaux de
l'IETF, permettant de transporter des données chiffrées pour les réseaux IP
Tableau 9: étude comparative des solutions de tunneling
PROTOCOL PPTP L2TP IPSEC
Natif Oui Non Non
63
Sécurité Authentification Authentification Authentification Chiffrement

Chiffrement
Non
Compression Oui (Option) Non
Accessibilité Simple Difficile Difficile
Avantages/limites Faille de sécurité Modulaire Le plus sûr
Pour mettre en place notre VPN nous allons utiliser le Protocol IPSEC car il répond à nos
attentes.
2. Protocole IPSEC
Un VPN repose sur un ensemble de protocoles appelés « protocoles de tunnelisation

ou tunneling ». Le tunneling décrit le processus d’ajout des entêtes successifs sur un paquet
afin de chiffrer et l’authentifier de telle sorte que seul les périphériques destinataires pourront
désencapsuler le paquet, mettant ainsi en place un tunnel VPN. Ce processus se résume en
encapsulation-transmission-désencapsulassions. Lorsqu’un VPN est établi entre deux réseaux
physiques, le périphérique qui permet de chiffrer et de déchiffrer les données du côté client
(ou utilisateur) est nommé client VPN, le périphérique qui chiffre et qui déchiffre les données
du côté de l’organisation. Il est à noter qu’une communication PN peut être de client à serveur
comme elle peut aussi faire de serveur à serveur.
Figure 15: principe de fonctionnement d’un VPN (source: www.skyminds.net )
63
On distingue deux types de VPN : les VPN d’accès à distance et les VPN site à site (qui
feront l’objet de notre étude)
a. Mode de fonctionnement
Développé pour fonctionner sur les réseaux utilisant les protocoles IPv4 et IPv6 par
l’IETF, IP sec permet de sécuriser les données au niveau de la couche 3 ou couche réseau du
modèle OSI. IP sec offre deux modes de fonctionnement :
 Le mode transport
 Le mode tunnel
Dans le cas du mode transport, les données sont prises au niveau de la couche 4 du
modèle OSI (couche transport). Elles sont cryptées et signées avant d’être transmise à la
couche IP. Ce mode est relativement facile à mettre en œuvre.
Le défaut présenté par le mode transport, est que, étant donné que le mécanisme
s’applique au niveau de la couche transport, il n’y a pas de confidentialité (masquage
d’adresses). C’est pourquoi un deuxième mode peut être mis en œuvre, le mode tunnel, dans
lequel l’encapsulation IP sec a lieu après que les données envoyées par l’application aient
traversé la pile de protocole jusqu’à la couche IP incluses. Dans ce cas, il y a bien masquage
des adresses.
Figure 16: Modes de fonctionnement IP sec avec AH(source: www.frameip.com )
63
b. Les mécanismes de sécurité
Le protocole IP sec est un protocole qui permet de sécuriser les échanges au niveau de la
couche réseau. Il utilise deux mécanismes pour assurer la sécurité des données :
❖ AH : Le protocole AH assure l’intégrité des données en mode non connecté et

l’authentification de l’origine des datagrammes IP sans chiffrement des données. Son
principe est d’ajouter un bloc au datagramme IP. Une partie de ce bloc servira à
l’authentification, tandis qu’une autre partie, contenant un numéro de séquence, assurera
la protection contre le rejeu.
❖ ESP : Le protocole ESP assure, en plus des fonctions réalisées par AH, la
confidentialité des données et la protection partielle contre l’analyse du trafic, dans le
cas du mode tunnel. C’est pour ces raisons que ce protocole est le plus largement
employé. Son mécanisme est différent de celui d’AH. En effet, ce protocole utilise les
mécanismes d’encapsulation et de chiffrement des données.
Tableau 10: Étude comparative des mécanismes de sécurités

PROTOCOL AH ESP
Intégrité ✓ ✓
Authentification ✓ ✓
Détection du rejet ✓ ✓
Confidentialité ✓
Pour utiliser efficacement ses mécanismes, IP sec a besoin d’une :
SA (Security Association) : c’est une connexion qui comporte les paramètres de

sécurité à appliquer aux données qui transitent sur le trafic. Comme paramètres, nous
avons :
 La gestion des clefs (manuelle ou dynamique) ;
 Le numéro de connexion ;
 Les adresses de destination des paquets ;
 Le mécanisme IP sec (ESP et/ou AH) ;
63
 Les algorithmes de chiffrement (AES, 3DES…) et d’authentification (PSK, PKI).

SAD (Security Association Database) : c’est la base de données où sont stockées les
associations de sécurité prédéfinies ou définies plus tard et comportant les éléments
cités ci-haut. Elle contient tous les paramètres relatifs à chaque SA et sera consultée
pour savoir comment traiter chaque paquet entrant ou sortant ;
SPD (Security Policy Database) : c’est elle qui contient la police de sécurité. Elle
permet de décider, pour chaque paquet, s'il se verra apporter des services de sécurité,
s'il sera autorisé à passer ou rejeté.
Il est à noter qu’une "Security Policy" est unidirectionnelle, si la communication veut s’établir
dans les deux sens il faudra deux "Security Policy" ou entrée dans la SPD.
c. Les fonctionnalités offertes par IP sec

Étant un protocole de couche 3, IP Sec offre plusieurs fonctionnalités :
❖ Confidentialité : service qui consiste à rendre impossible l’interprétation de

données si on n’en est pas le destinataire. C’est la fonction de chiffrement qui
assure ce service en transformant des données intelligibles (en clair) en données
inintelligibles (chiffrées),
❖ Authentification : service qui permet de s’assurer qu’une donnée provient bien
de l’origine de laquelle elle est censée provenir,
❖ Intégrité : service qui consiste à s’assurer qu’une donnée n’a pas été altérée
accidentellement ou frauduleusement,
❖ Protection contre le rejeu : service qui permet d’empêcher les attaques
consistant à envoyer de nouveau un paquet valide intercepté précédemment sur le
réseau pour obtenir la même autorisation que ce paquet à entrer dans le réseau.
Ce service est assuré par la présence d’un numéro de séquence,
❖ Gestion des clés : mécanisme de négociation de la longueur des clés de
chiffrement entre deux éléments IP Sec et d’échange de ces clés.
V. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LE

SYSTÈME DE DÉTECTION D’INTRUSION (IDS)
1. Les types d’IDS
a. Les HIDS (Host-based IDS)
63
Les HIDS sont les tous premier IDS à avoir été développés et implémentés. Ce
système collecte et analyse les données d’un hôte qui offre un service tel que service web ou
base de données. Une fois que les données sont collectées, elles seront analysées par un agent
localement ou elles seront envoyées vers une autre machine dédiée à cette tâche.
Le HIDS peut être sous la forme d’un programme qui est installé sur un système
d’exploitation afin d’analyser les fichiers logs ou les fichiers des résultats d’audit. Ce programme
est très efficace contre les différentes attaques connues sur les machines, il est capable de
détecter les « backdoors » et les « rootkits ». Aussi, il est capable de détecter les modifications
interdites des fichiers importants. Cependant, il ne s’agit pas d’un système idéal. Le HIDS a un
grand inconvénient, il peut être détecté facilement par le « hacker » et il peut lui bloquer la
collection des données, il deviendra alors inutile.
Exemple : OSSEC-HIDS : Il s’agit un HIDS open-source, il est capable d’analyser les logs,
vérifier l’intégrité des fichiers, détecter les « rootkits » et envoyer des alertes en temps réels.
b. Les NIDS (Network-based IDS)
C’est un type d’IDS qui est capable d’écouter sur le réseau, sniffer le trafic et analyser
les paquets. Ces paquets seront examinés par le NIDS et comparés avec des donnée suspectes
pour vérifier s’ils sont malicieux ou bien non. Les NIDS sont responsables de la sécurité de
tout un réseau et non pas d’une seule machine comme le cas d’un HIDS. Ils sont plus
distribués. Au lieu de collecter les données depuis les machines, les NIDS les collectent
depuis les paquets sniffés sur le réseau. Cette surveillance des connexions entre les terminaux
rend le NIDS efficace en détection des tentatives des intrusions et des accès interdits. Il est
capable de détecter les accès non autorisés dans le réseau. Comme tout système, le NIDS à ses
propres défauts : il ne peut pas sniffer tous les paquets si le débit du réseau est trop élevé.
Aussi, il ne peut pas détecter les intrusions si les paquets contenant les « payloads » sont très
bien chiffrés.
Exemple : Snort : C’est un NIDS Open-Source, il a été développé par « sourcefire ». C’est le
père des NIDS. Il peut aussi jouer le rôle d’un IPS (Intrusion Prevention system). Il est le plus
utilisé.
c. Système de détection hybride
63
Les IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent,
de surveiller le réseau et les terminaux. Les sondes sont placées en des points stratégiques, et
agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent
alors les alertes à une machine qui va centraliser le tout, et lier les informations d’origines
multiples. Ainsi, on comprend que les IDS hybrides sont basés sur une architecture distribuée,
ou chaque composant unifie son format d’envoi. Cela permet de communiquer et d’extraire
des alertes plus exactes.
Exemple : prélude IDS

Tableau 11: tableau comparatif des différents types d'IDS
Avantage Inconvénient
NIDS -Les capteurs peuvent être bien -La probabilité de faux négatifs
sécurisés puisqu’ils se contentent (attaques non détectées) est élevée et il
d’observer le trafic. est difficile de contrôler le réseau
entier.
-Détecter plus facilement les scans
grâce aux signatures. -Ils doivent principalement fonctionner
de manière cryptée d’où une
-Filtrage de trafic.
complication de l’analyse des paquets.
-assurer la sécurité contre les attaques
puisqu’il est invisible. -A l’opposé des IDS basés sur l’hôte,
ils ne voient pas les impacts d’une
attaque.
HIDS -Découvrir plus facilement un Cheval -Ils ont moins de facilité à détecter les
de Troie puisque les informations et scans.
les possibilités sont très étendues.
-Ils sont plus vulnérables aux attaques
-Détecter des attaques impossibles à de type DoS.
détecter avec des IDS réseau puisque
le trafic est souvent crypté. -Ils consomment beaucoup de
ressources
63
Hybrides -moins de faux négatifs. -taux élevé de faux positifs.
-meilleure corrélation (la corrélation

permet de générer de nouvelles alertes
à partir de celles existantes).
-possibilité de réaction sur

les analyseurs
2. Mode de fonctionnement d’un IDS
Comme son nom l’indique un système de détection d’intrusion est fait pour détecter
les intrusions, c’est à dire qu’il a pour but de détecter les attaques ciblant les équipements du
réseau et alerter les personnes concernées. Un IDS installé dans un réseau peut être comparé à
un système d’alarme installé dans une maison. À travers les différentes méthodes, ces deux
systèmes détectent les intrusions et envoient une sorte de signal d’alarme spécifique. Un IDS
peut être configuré afin de pouvoir travailler en coopération avec un firewall qui vise à
contrôler le trafic. Il ne faut pas confondre ces deux outils de sécurité. Un firewall essaye de
stopper les attaques et les accès interdits, il est souvent placé dans la première ligne de
défense. Alors que l’IDS détecte si oui ou non le réseau est attaqué. C’est sûr que la mise en
place d’un IDS va améliorer la sécurité d’un réseau mais il n’offre pas une garantie totale de
la sécurité.
3. Les méthodes de détection
Pour bien manipuler un système de détection d’intrusion. Il est important de

comprendre son fonctionnement interne et les méthodes que ce dernier utilise pour détecter
les tentatives d’intrusions dans le cas d’un IDS et pour les bloquer dans le cas d’un IPS.
C’est dans cette perspective que nous allons vous présenter, sans rentrer dans les
détails, les deux approches principales utilisées pour la détection des intrusions aux systèmes
d’information. En effet, plusieurs techniques sont utilisées pour assurer cette fonctionnalité
selon l’approche utilisée pour assurer la détection d’intrusions.
❖ Approche par scénario :
63
Cette technique nécessite une connaissance préalable des techniques d’attaques

utilisées par les pirates pour pouvoir en déduire des scénarios typiques. Elle est dite sans état
puisqu’elle ne tient pas compte des activités passées sur le système et s’appuie, comme pour
les antivirus, sur une base de signatures d’attaques pour pouvoir repérer des tentatives
d’intrusions et remonter des alertes, notamment en se basant sur un ensemble de caractères
permettant d’identifier une activité intrusive ou en analysant la conformité protocolaire des
paquets.
Ainsi cette technique présente un inconvénient principal qui se traduit par le niveau de
précision des signatures d’attaques. De plus le niveau de détection des attaques dépend
impérativement de la manière dont elles sont gérées, les mises à jour de la base des signatures
et du nombre des règles présentes pour gérer les alertes
❖ Approche comportementale :
Cette approche s’appuie principalement sur l’analyse du comportement passé des
utilisateurs, des services ou des applications. Elle permet d’établir une certaine corrélation
entre les différents événements sur un système et ainsi détecter des anomalies qui mènent à la
détection de tentatives intrusives sur ce dernier. En effet, cette approche définie un
comportement normal du système et considère toute déviation par rapport à ce comportement
comme étant suspecte.
De plus il est nécessaire de modéliser des comportements normaux pour le système à

protéger en définissant un profil système qualifié comme profil normal. Par ailleurs, cette
approche permet de détecter des attaques non connues, contrairement à l’approche par
scénario présenté ci-dessus, puisqu’elle utilise des techniques heuristiques, probabilistes ou
statistiques pour la détection des tentatives intrusives. Cependant les IDS, qui adoptent cette
approche, sont dotés de fonctionnalités d’adaptation et d’apprentissage afin de définir un
comportement normal du système. Du coup la mise en place de cette approche nécessite plus
de temps pour arriver à couvrir la totalité des systèmes à protéger.
En général, les IDS mélangent les différentes techniques de détection par scénario ou
par anomalie en proposant des combinaisons entre la recherche des motifs, l’analyse
protocolaire et la détection d’anomalies.
4. Critères de choix d’un IDS
63
Les systèmes de détection d’intrusion sont devenus indispensable lors de la mise en

place d’une infrastructure de sécurité opérationnelle. Ils s’intègrent donc toujours dans un
contexte et dans une architecture imposant des contraintes très diverses. Certains critères
imposant le choix d’un IDS peuvent être dégagés :
✓ Fiabilité : les alertes générées doivent être justifiées et aucune intrusion ne doit
pouvoir lui échapper ;
✓ Réactivité : un IDS doit être capable de détecter les nouveaux types d’attaques le plus
rapidement possible ; pour cela il doit rester constamment à jour. Des capacités de
mise à jour automatique sont indispensables ;
✓ Facilité de mise en œuvre et adaptabilité : un IDS doit être facile à mettre en œuvre,
surtout s’adapter au contexte dans lequel il doit opérer. Il est inutile d’avoir un IDS
émettant des alertes en moins de 10 secondes si les ressources nécessaires à une
réaction ne sont pas disponibles pour agir dans les mêmes contraintes de temps ;
✓ Performance : la mise en place d’un IDS ne doit en aucun cas affecter les
performances des systèmes surveillés.
5. Présentation de Snort
Snort est un détecteur d'intrusions réseau ou encore un logiciel de sécurité OpenSource

qui aura pour rôles, l'analyse du trafic réseau en temps réel et la sauvegarde des paquets afin
d'avoir une analyse détaillée. Il surveille donc les données du paquet envoyées et reçues par le
biais d'une interface réseau. Et dès lors où le détecteur est installé et bien configuré, il est dans
la capacité d'identifier les attaques ultimes et les systèmes compromis par exemple. Il est
utilisé dans les cas suivants : débordements de tampons, des tentatives d'identification d'OS
par exemple. Et pour détecter les intrusions et déterminer les types de trafic réseau, Snort
utilise des règles qui sont pour le moins, plutôt flexibles, qu'on note "règles de Snort". En fait,
il s'agit simplement d'un ensemble de fichiers qui se base sur trois modes. Ces modes
concernent un système actif de gestion des intrusions sur le réseau afin de comparer les
paquets, le renifleur de paquets pour observer les informations des en-têtes et la journalisation
(log) du trafic réseau qui facilite le débogage. Cependant, pour que Snort ait un bon
fonctionnement, les utilisateurs doivent identifier les répertoires à utiliser par exemple
63
6. Positionnement de Snort dans un réseau
L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable

sur son efficacité. Dans le cas d’une architecture classique, composée d’un Firewall et d’une
DMZ, trois positions sont généralement envisageables :
Figure 17: positionement de snort sur le reseau (source : www.google/imagesdepositionnementdesnort.com )
Avant le Firewall ou le routeur filtrant :
Dans cette position, la sonde occupe une place de premier choix dans la détection des
attaques de sources extérieures visant l’entreprise. SNORT pourra alors analyser le trafic qui
sera éventuellement bloqué par le Firewall. Les deux inconvénients de cette position du NIDS
sont : primo, le risque engendré par un trafic très important qui pourrait entraîner une perte de
fiabilité et secondo, étant situé hors du domaine de protection du firewall, le NIDS est alors
exposé à d'éventuelles attaques pouvant le rendre inefficace.
Sur la DMZ :
Dans cette position, la sonde peut détecter tout le trafic filtré par le Firewall et qui a
atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques dirigées vers
les différents serveurs de l’entreprise accessibles de l’extérieur.
Sur le réseau interne :
Le positionnement du NIDS à cet endroit nous permet d’observer les tentatives

d’intrusion parvenues à l’intérieur du réseau d’entreprise ainsi que les tentatives d’attaques à
63
partir de l'intérieur. Dans le cas d’entreprises utilisant largement l'outil informatique pour la
gestion de leurs activités ou de réseaux fournissant un accès à des personnes peu soucieuses
de la sécurité (réseaux d’écoles et d’universités), cette position peut revêtir un intérêt
primordial.
7. Les règles de SNORT
SNORT emploie un langage flexible de règle écrit par « sourcefire » pour décrire le
trafic qu’il devrait se rassembler ou passer, aussi bien qu’un moteur de détection qui utilise
une architecture plug-in modulaire.
Les règles de SNORT sont composées de deux parties distinctes : le header et les optons :
 Le header permet de spécifier le type d’alerte à générer (alerte, log et pass) et

d’indiquer les champs de base nécessaire au filtrage : le protocole (TCP, UDP ou
ICMP), l’orientation du trafic auquel la règle s’applique (unidirectionnel
Bidirectionnel) ainsi que les adresses IP et ports sources et destination.
 Les options, spécifiées entre parenthèses, permettent d’affiner l’analyse, en

décomposant la signature en différentes valeurs à observer parmi certains champs du
header ou parmi les données.
Figure 18: format de règles de Snort
Les options de règles forment le cœur du moteur de détection d’intrusion de Snort,

combinant faciliter d’utilisation puissance et flexibilité. Toutes les options de règle de Snort
sont séparées les unes des autres par un caractère point-virgule (‘ ;’). Les mots clé des options
de règles sont séparés de leurs arguments avec un caractère deux points (‘ :’). Ci-dessous les
différentes options de règles disponibles dans Snort :
➢ Msg : affiche un message dans les alertes et journalise les paquets ;

➢ Ttl : teste la valeur du champ TTL de l’entête IP ;
63
➢ Ipoption : teste les bits de fragmentation de l’entête IP ;

➢ Dsize : teste les tailles de la charge du paquet contre une valeur ;
➢ Fragbits : teste les bits de fragmentation de l’entête IP ;
➢ Flags : teste les drapeaux TCP pour certaines valeurs ;
➢ Seq : teste le champ TCP de numéro de séquence pour une valeur spécifique ;
➢ Ack : teste le champs TCP d’acquittement pour une valeur spécifique ;
➢ Ittype : teste le champs type ICMP contre une valeur spécifiée ;
➢ Icode : teste le champ code ICMP contre une valeur spécifiée ;
➢ Icmp_id : teste le champ ICMP ECHO ID contre une valeur spécifiée ;
➢ Icmp_seq : teste le numéro de séquence ECHO ICMP contre une valeur spécifique ;
➢ Content : recherche un motif dans la charge d’un paquet ;
➢ Content-list : recherche un ensemble de motifs dans la charge d’un paquet ;
➢ Offset : modifie l’option content, fixe le décalage du début de la tentative de
correspondance de ce motif ;
➢ Session : affiche l’information de la couche applicative pour la session donnée ; ➢ Sid :
identifiant de signature contenue pour la base de signature.
❖ Mode de fonctionnement de Snort
SNORT est considéré comme l’un des meilleurs outils de détection d’intrusions sur le marché
car il se base sur l’emploi des règles de sécurité qui sont maintenues à jour par une communauté
très actives. Snort analyse la totalité des données sur le réseau et chacun des paquets reçus, puis
effectue une action si ceux-ci correspondent à une règle biendéfinie. Snort peut être configuré
pour fonctionner en trois modes : le mode sniffer, le mode packet logger et le mode détection
d’intrusion.
✓ Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et les
affiche d’une façon continue sur l’écran ;

▪ Snort -v : cette commande permet d’exécuter et d’afficher les entêtes des
paquets TCP/IP ;
▪ Snort -vd : cette commande permet d’exécuter SNORT et d’afficher tout le
paquet TCP/IP ;
63
▪ Snort -vde : cette commande permet d’exécuter SNORT et d’afficher tout le

paquet TCP/IP (entête et données) ainsi que de l’entête de la couche liaison de
données.
✓ Le mode « packet logger » : dans ce mode SNORT journalise le trafic réseau dans des
répertoires sur le disque ;
▪ L’option ‘-l répertoire ‘ : active le mode journalisation des paquets et spécifie
le répertoire ou sont stockés les alertes et les paquets capturés. Par défaut, le
répertoire est /var/log/Snort.
✓ Le mode détecteur d’intrusion réseau (NIDS) : dans ce mode, SNORT analyse le

trafic du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des
actions à exécuter. Selon les règles définies dans des fichiers d'extension « .rules ».
A noter qu’à partir de la version 2.8.X.X, il est possible d’utiliser le mode prévention
d’intrusion réseau ou IPS, c’est Snort-inline.
VI. ARCHITECTURE DE LA SOLUTION
63
Routeur Vpn Routeur Vpn
Figure 19: Architecture de la solution, source : conception edraw max

CHAPITRE 3 : IMPLÉMENTATION DE LA
63
SOLUTION
I. INSTALLATION ET CONFIGURATION DU SERVEUR
PRINCIPAL
Les services suivants sont déjà installés sur notre serveur :
Un serveur http
Il s’agit d’un programme qui tourne sur une même machine (un serveur ou sur un poste
en local) qui permet à des clients d’accéder à des pages web, ou tout autre fichier présent sur le
serveur à partir d’un navigateur ou tout autre programme supportant le protocole HTTP.
Exemple : serveur Apache2
Une base de données
Une base de données est un outil permettant de stocker et de retrouver l’intégralité de

données brutes ou d’informations en rapport avec un thème ou une activité ; celles-ci peuvent
être de natures différentes et plus ou moins reliées entre elles. Dans la très grande majorité des
cas, ces informations sont très structurées, et la base est localisée dans un même lieu et sur un
même support. Ce dernier est généralement informatisé.
Exemple : serveur mysql-serveur
Un langage de script
Un langage de script est un langage de programmation qui permet de manipuler les

fonctionnalités d’un système informatique configuré pour fournir à l’interpréteur de ce
langage un environnement et une interface qui déterminent les possibilités de celui-ci.
Exemple : PHP 7.0 et phpMyAdmin
1. Préparation du serveur web principal

❖ Attribution de l’adresse IP, nous allons utiliser une adresse IP publique de la classe C en
éditant le fichier /etc/network/interfaces.
63
Figure 20: adressage serveur principal
Après avoir rempli le fichier on enregistre et on redémarre l’interface réseau avec les
commandes suivantes pour que la configuration soit prise en considération.
❖ Nous allons par la suite créer une partition sur notre disque dur réservé au stockage des
données qui seront synchroniser par DRBD :
Figure 21: création de la partition drbd

2. Installation et configuration de DRBD
63
❖ Installation de drbd apt-get Install drbd8-utils
Figure 22: installation des drbd
❖ Activation de DRBD
Figure 23: activation de drbd
❖ Editions à présent le fichier de configuration pour la réplication des données entre nos
deux disques ainsi qu’il suit :
Figure 24: édition du fichier drbd.res
Explications :
63
 Resource r0 : Tout d’abord on donne un nom à notre ressource DRBD dans notre cas
nous allons l’appeler « r0 » ;
 Rate 10M : la vitesse de synchronisation des données entre les deux serveurs ;
 device /dev/drbd0 : Ceci est le nom du disque DRBD que nous allons créer
 disk /dev/sdb1 : Ceci est le chemin de la partition que nous allons utiliser et qui a été créé
au début ;
 address 192.168.0.25:7789 : Adresse IP avec le numéro de port TCP sur lequel DRBD à
attendre les connexions de l’autre serveur ;
 meta-disk internal : il s’agit de l’emplacement des métadonnées ;
Une fois la configuration de DRBD terminé nous allons créer les métadonnées sur la partition
drbd.
❖ Création de la ressource (métadonnées)
Figure 25: création des métadonnées
❖ Démarrage de la ressource r0 avec la commande :
❖ Vérification de l’état de DRBD avec la commande :
Figure 26: vérification de l'état de drbd
Nous constatons que les deux serveurs sont connectés en secondaire, il faut donc définir
l’un en primaire pour que la synchronisation des données soit effective et pour ce faire, nous
allons définir le serveur web principal comme primaire.
❖ Définition du serveur primaire
63
Figure 27: définition du serveur primaire
❖ Nous allons à présent formater en ext4 la partition drbd précédemment créée question de
pouvoir y écrire désormais :
Figure 28: formatage de la partition
La configuration de drbd sur le serveur principal étant ainsi terminée, passons à celle de
heartbeat.
3. Installation et configuration de heartbeat
❖ Installation de heartbeat apt-get Install heartbeat
63
Figure 29: installation de heartbeat
Nous allons créer et éditer trois fichiers nécessaires pour la configuration de heartbeat
dans le dossier /etc/ha.d/ à savoir : ha.cf, haresources et authkeys
❖ Fichier /etc/ha.d/ha.cf
Figure 30: édition du fichier ha.cf
À l’intérieur de ce fichier, on définit :
63
• Udpport 694 : c’est le numéro de port udp qui sera utilisé par les battements de cœur sur
Ethernet (694 par défaut)
• Mcast ens33 : c’est le lien réseau utilisé pour le battement de cœur
• Warntime 4 : au bout de 4s sans battement de cœur, une alerte sera générée ;
• Deadtime 5 : au bout de 5s sans battement de cœur, le serveur est déclaré « mort ». s’il
s’agit du serveur web principal, les services doivent basculer vers le serveur web miroir
• Initdead 15 : si l’on est en phase de démarrage de la machine, le délai normal (deadtime)
est augmenté à 15s pour prendre en compte les éventuelles lenteurs de démarrage de
l’autre serveur ou du réseau.
• Keepalive 2 : temps en secondes deux battements de cœur successifs.
• Auto_failback on : en cas de crash du serveur web principal, les ressources basculent
vers le serveur web miroir. Avec ce paramètre, on demande à heartbeat de rebasculer les
ressources sur les serveurs principal quand celui-ci réapparaît sur le réseau.
• Node serveur-web-principal, node serveur-web-miroir : les noms des deux serveurs
web constituant notre cluster.
❖ Fichier /etc/ha.d/haresources
Ce fichier indique quels sont les services à rendre hautement disponibles, quelle
adresse IP acquérir, et le serveur primaire (serveur-web-principal), la plupart du temps il ne
contient qu’une seule ligne. Il a une importance capitale, puisqu’il est la description exacte
des services rendus par le cluster.
Commande : Serveur-web-principal IPaddr::192.168.0.60/24/eth0 drbddisk::r0

Filesystem::/dev/drbd0::/mnt::ext4
Figure 31: édition du fichier haresources
❖ Fichier /etc/ha.d/authkeys
Troisième et dernier fichier de configuration de hearbeat, le fichier /etc/ha.d/authkeys

sert à authentifier les battements de cœur émis par les deux nœuds. Trois types d’authentification
63
sont possibles : sha1, crc et md5. Dans notre cas nous avons utilisé le md5 car il offre un niveau
de sécurité assez élevé.
Figure 32: édition du fichier authkeys
Après avoir configuré ce fichier nous allons lui attribuer la permission 600 avec la
commande chmod 600 /etc/ha.d/authkeys. Le fichier doit être exactement le même sur les
deux serveurs du cluster car c’est une passphrase qui leur permettra de s’identifier
mutuellement.
4. Configuration d’apache
Pour commencer nous allons désactiver le démarrage automatique d’apache, puisque c’est
désormais heartbeat qui va se charger de démarrer apache
❖ Désactivation du démarrage automatique d’apache
Figure 33: désactivation du démarrage d'apache
❖ Suppression du dossier par défaut d’apache qui stocke les pages web (/var/www) et
création du nouveau dossier sur la partition drbd montée dans le dossier /mnt
Figure 34: suppression du stockage par défaut
Une fois ce dossier supprimé nous allons créer un nouveau dossier de stockage des pages web
d’apache dans le répertoire /mnt, puis un lien symbolique de /var/www vers /mnt/www
63
Création du nouveau dossier et du lien symbolique
Figure 35: création du lien symbolique
Maintenant nous allons configurer heartbeat pour qu’il gère le démarrage automatique
d’apache2. Sur les deux serveurs nous allons éditer le fichier /etc/ha.d/haresources et
rajoutez simplement apache2 à la fin de la ligne.
❖ Edition du fichier /etc/ha.d/haresources
Figure 36: ajout de apache2 a haresources
8. Configuration de Mysql
Pour commencer nous allons désactiver le démarrage automatique de MySQL,
puisque c’est maintenant heartbeat qui va se charger de démarrer MySQL
❖ Désactivation du démarrage automatique de MySQL
Figure 37: désactivation du démarrage automatique de MySQL
❖ Arrêt de MySQL
Figure 38: arrêt de MySQL
Déplacement du dossier contenant les bases de données MySQL par défaut de

/var/lib/mysql/ vers /mnt/
66
Figure 39: déplacement du dossier par défaut
❖ Création d’un lien symbolique de /var/lib/mysql vers /mnt/mysql
❖ A présent, nous allons configurer Heartbeat pour démarrer automatiquement MYSQL.

Pour cela nous allons éditer le fichier /etc/ha.d/haresources et rajoutez MySQL à la
fin de la ligne ainsi qu’il suit :
Figure 41: édition de haresources pour MySQL
Les configurations étant terminées sur le serveur principal, passons à celles du serveur miroir
II. INSTALLATION ET CONFIGURATION DU SERVEUR

MIROIR
1) Préparation du serveur web miroir
Nous commencerons par l’installation des essentiels sur le serveur miroir après l’avoir
adressé :
Adressage du serveur miroir
66
Figure 42: adressage du serveur miroir
❖ Installation de drbd
Figure 43: installation de drbd
❖ Installation de heartbeat
Figure 44: installation de heartbeat
❖ Installation d’apache et du langage de script (php)

#apt-get install php
66
SECURISATION DES ECHANGES
❖ Installation de MySQL-server(mariadb)
Les services étant installés, passons aux configurations proprement dites. Notons ici que ces
configurations sont une réplication relativement fidèle de celles effectuées sur le serveur
principal, à quelques exceptions près.
2) Installation et configuration de DRBD

❖ Création de la partition de stockage des données à synchroniser
Figure 45: création de la partition de stockage du serveur miroir
❖ Activation de drbd avec la commande modprobe drbd
Figure 46: activation de drbd
❖ Nous allons maintenant éditer le fichier de configuration afin de configurer la

réplication des données entre nos deux serveurs. Pour ce faire, nous allons nous rendre
dans le dossier /etc/drbd.d/ puis créer et éditer le fichier nommé drbd0.res dont le
script de configuration doit être identique à celui du serveur web principal.
69
Figure 47: édition du fichier drbd.res
❖ Création des métadonnées
Figure 48: création des métadonnées
3) Installation et configuration de heartbeat
❖ Heartbeat étant déjà installé, nous commencerons par éditer les trois fichiers de
configurations nécessaires à sa mise en place (ha.cf, haresources et authkeys), fichiers
se trouvant dans le dossier /etc/ha.d/
69
Figure 49: édition de ha.cf
Figure 50: édition de haresources
Figure 51: édition de du fichier authkeys
Il faut aussi protéger ce fichier avec la permission 600 grâce à la commande chmod 600
/etc/ha.d/authkeys. Le script de configuration de ce fichier doit être exactement le même sur
les deux serveurs du cluster.
69
Figure 52: changement de permission
4) Configuration d’apache
Pour commencer nous allons désactiver le démarrage automatique d’apache puis, arrêter
apache, étant entendu que c’est maintenant heartbeat qui va se charger de démarrer apache.
❖ Désactivation du démarrage automatique et arrêt d’apache
Figure 53: désactivation du démarrage automatique et arrêt d’apache
❖ Suppression du dossier de stockage par défaut des pages web /var/www/

❖ Une fois ce dossier supprimé nous allons créer un lien symbolique de /var/www vers
/mnt/www. Ici il n’est plus nécessaire de créer le dossier www dans le répertoire /mnt
car drbd a déjà synchronisé les deux répertoires et le dossier www se trouve déjà à
l’intérieur.
❖ Maintenant nous allons configurer heartbeat pour qu’il gère le démarrage automatique
d’apache. Pour cella allons éditer le fichier /etc/ha.d/haresources et rajouter
simplement apache2 à la fin de la ligne
❖ Enfin, on recharge heartbeat avec la commande /etc/init.d/heartbeat reload afin que
les nouvelles configurations soient prises en compte.
Figure 54: configuration d'apache
69
❖ Configuration de heartbeat pour la gestion du démarrage automatique d’apache
Figure 55: ajout d'apache à haresources
5) Configuration de MySQL
De même qu’avec apache, nous allons désactiver le démarrage automatique de
MySQL, puisque c’est désormais heartbeat qui va se charger de démarrer automatiquement
MySQL.
❖ Désactivation de l’auto Start et arrêt de MySQL
Figure 56: désactivation de MySQL
❖ Suppression du dossier /var/lib/mysql, dossier contenant par défaut les bases de

données de MySQL.
Figure 57: suppression du dossier par défaut des bases de données
69
❖ Création d’un lien symbolique de /var/lib/mysql vers /mnt/mysql et d’un second de

/etc/mysql/ vers /mnt/mysql/debian.cnf
❖ Configuration de heartbeat pour la gestion du démarrage automatique de mysql
Figure 59: ajout de MySQL à haresources
69
CONCLUSION GENERALE et perspectives
Au terme de notre stage effectué au sein du Ministère des Finances, nous dirons que,
nous avons assuré la haute disponibilité des ressources informatiques du Ministère des
Finances en mettant sur pieds un système de mirroring du serveur web permettant ainsi la
continuité des services même si un disfonctionnement se produit au sein du réseau. Pour le
faire, nous avons d’abord fait une étude du réseau pour comprendre son fonctionnement,
ensuite nous avons fait une étude sur les différentes solutions de la haute disponibilité et de la
sécurité informatique, et enfin nous sommes passés à son déploiement sous VMWare et
GNS3. En effet, nous pouvons dire que nous sommes pleinement satisfaits ; d’une part des
connaissances apprises en plus et surtout de la mise en pratique de celles apprises durant
l’année académique en cours. D’autre part, nous avons appris comment s’intégrer dans un
monde purement professionnel malgré quelques difficultés rencontrées qui n’ont pas été un
frein mais un atout efficace, pour redorer notre culte de la persévérance, patience qui
constituent les qualités exceptionnelles de l’entrepreneur. Ce stage nous a permis d’acquérir
une expérience extrêmement valorisante dans la mesure où il reflète parfaitement un domaine
passionnant et intéressant. Toutes fois, dans le but de perfectionner ce projet, nous pourrons
éventuellement mettre en œuvre le loadbalancing, technologie qui permettra d’équilibrer les
charges de travail des nœuds de notre cluster de telle sorte que le serveur miroir ne soit plus
que seulement passif en attente de défaillance de serveur principal. Nous envisageons aussi
mettre sous pieds un système de notification par sms pour que Snort alerte les administrateurs
sur leurs mobiles et un système de prévention d’intrusion pour bloquer les attaques.
69
xvi
BIBLIOGRAPHIE
[1] : Jargon informatique (consulté pour la compréhension de certains termes) ;
[2] : Dictionnaire Larousse 2016 (consulté pour la définition des mots difficiles) ;
[3] : Cahier de charges systèmes et réseaux 3eme année ;
[4] : Mercuriale des prix 2018 ;
[5] : Cours CISCO CCNA3 ET CCNA4, SR3C M. TANKOU Eddy IAI-Cameroun Année
Académique 2018-2019, pour les VPN et les ACL ;
[6] : Cours Rédaction Scientifique, SR2B M. SALABESSIES Pacôme Ignace IAI-

Cameroun Année Académique 2017-2018 ;
[7] : Cours Audit Informatique, SR3D M. MEKWONTCHOU Albert IAI-Cameroun

Année Académique 2018-2019 ;
[8] : Cours Modèles de Structuration des Réseaux, SR3D M. MEKWONTCHOU Albert

IAI-
Cameroun Année Académique 2018-2019 ;
[9] : Cours Sécurité des Réseaux, SR3D M. NDOUMI François IAI-Cameroun Année
Académique 2018-2019 ;
[10] : Rapport de stage portant sur l’implémentation d’un VPN site a site par M.
DZUAKOU TODEM Yvan Dimitri IAI-Cameroun année académique 2016-2017 ;
[11] : Le livre du PhD. Marceluxe DJOUSSE « CYBER DEFENSE 2.0 ».
xvi
WEBOGRAPHIE
[1] : http://www.minfi.gov.cm
[2] : https://doc.ubuntu-fr.org/tutoriel/mirroring_sur_deux_serveurs « Mirroring sur deux

serveurs, visité le 02/08/2019 à 12h GMT »
[3 ] : http://denisrosenkranz.com/category/drbd/cluster/ « Un cluster DRBD/Apache avec

Heartbeat sur Debian 7, Visité le 01/08/2019 à 09H30 GMT »
[4] : http://lealinux.org/documentations/La_haute_disponibilité/ « La haute disponibilité des

donnés sur linux, Visité le 01/08/2019 à 19H46 GMT »
[5] :https://wapiti.telecomhttps://wapiti.telecom-lille.fr/commun/ens/peda/options/st/rio/pub/
exposes/exposesrio2007/legrand-playez/fonctionnement.htm/lille.fr/commun/ens/peda/
options/st/rio/pub/exposes/exposesrio2007/legrandhttps://wapiti.telecom-lille.fr/commun/
ens/peda/options/st/rio/pub/exposes/exposesrio2007/legrand-playez/fonctionnement.htm/
playez/fonctionnement.htm/ « Fonctionnement DRBD, Visité le 10/08/2019 à 22H00 »
[6] :http://www.univbejaia.dz/dspace/bitstream/handle/123456789/526/Etude%20et%20mise
%20en%20place%20d%E2%80%99un%20syst%C3%A8me%20de.pdf?
sequence=1&isAllo
wed=y (visité le 10/09 à 12h00 GMT pour la documentation de l’IDS et IPS)
[7] : http://www.aubeuf-hacquinyoann.fr/contenu/realisations/rapport_stage/rapport_herve-
assistant-marketing-webmaster-referenceur-91.pdf (visité le 10 septembre 2019 à 09h00
GMT pour la documentation de l’IDS et IPS)
[8] : https://www.nbs-system.com/blog/howto-idsips/ (visité le 20 septembre 2019 à 17h40

GMT pour la documentation de Snortsam)
[9] : https://sourceforge.net/projects/swatch/files/latest/download (visité le 15 septembre 2019

à 10h17 GMT pour le téléchargement de Swatch et ses agents)
[10] : https://www.m00nie.com/2011/03steps-to-configure-an-ipsec-site-to-site-vpn-
onahttps://www.m00nie.com/2011/03steps-to-configure-an-ipsec-site-to-site-vpn-ona-
xix
cisco-ios-deice-gns3-lab/cisco-ios-deice-gns3-lab/ « pour la configuration des Vpn, visité

le 25 aout 2019 »
[11] : http://jacquesgouetth.blogspot.com/2017/07/comment-mettre-en-place-un-
systemehttp://jacquesgouetth.blogspot.com/2017/07/comment-mettre-en-place-un-
systeme-de.html?m=1de.html?m=1 « pour la configuration de Snort, visité le 10
septembre 2019 à 00h10 GMT »
xx
TABLES DES MATIERES
DEDICACE .................................................................................................................................
i
Remerciements ...........................................................................................................................
ii
SIGLES ET ABREVIATIONS .................................................................................................
iii
GLOSSSAIRE ............................................................................................................................
v
Sommaire ..................................................................................................................................
vi
Liste des figures .......................................................................................................................
vii
Liste des tableaux .......................................................................................................................
x
RESUME ...................................................................................................................................
xi
ABSTRACT .............................................................................................................................
xii
INTRODUCTION GÉNÉRALE ................................................................................................
1
Partie I : ......................................................................................................................................
2
DOSSIER d’insertion .................................................................................................................
2
INTRODUCTION ......................................................................................................................
4
I. ACCUEIL ET
INTÉGRATION ......................................................................................... 4
II. PRESENTATION DU MINFI ........................................................................................
5
1. Historique ........................................................................................................................
5
2. Mission ............................................................................................................................
6 i. En matière
xxi
budgétaire, ................................................................................................. 6 ii. En

matière fiscale, ....................................................................................................... 7 iii.
En matière monétaire et financière, ......................................................................... 7
3. STRUCTURE ORGANISATIONNELLE DU MINFI ...................................................
8 i.
ORGANIGRAMME .................................................................................................... 8
4. Plan de localisation ........................................................................................................
10
5. Quelques applications lourdes utilisées au MINFI .......................................................
11
III. PRÉSENTATION DE MA DIVISION D’ACCUEIL : DIVISION DES SYSTÈMES
D’INFORMATION (DSI) ........................................................................................................
13
1. Mission ..........................................................................................................................
13
2. Organigramme de la DSI ...............................................................................................
14
3. Ressources humaines de la DSI ....................................................................................
15
CONCLUSION .................................................................................................................
....... 15 Partie
II : ...................................................................................................................................1
6
DOSSIER
TECHNIQUE .........................................................................................................16
CHAPITRE 1 : CAHIER DE CHARGE ..................................................................................
18
INTRODUCTION ....................................................................................................................
18
I. CONTEXTE .....................................................................................................................
18
II. ETUDE DE L’EXISTANT ...........................................................................................
19
1. Présentation du matériel informatique et logiciels du MINFI .......................................
20
xxi
2. Architecture physique du réseau du MINFI ..................................................................

24
III. CRITIQUE DE L’EXISTANT ......................................................................................
24 IV.
PROBLÉMATIQUE .....................................................................................................
25
V. OBJECTIFS ......................................................................................................................
25
1. Objectifs généraux .........................................................................................................
25
2. Les objectifs spécifiques ...............................................................................................
25
3. Enjeux ............................................................................................................................
26
VI. PLANIFICATION DU PROJET ..................................................................................
26
1. Diagramme de Gantt du projet ......................................................................................
26
2. Intervenants du projet ....................................................................................................
27
VII. EVALUATION FINANCIÈRE ....................................................................................
27
1. Ressources matérielles ..................................................................................................
28
2. Ressources logicielles ...................................................................................................
28
3. Ressources humaines .....................................................................................................
29
4. Coût total du projet ........................................................................................................
29
CHAPITRE 2 : L’ÉTAT DE L’ART ET DÉMARCHE D’IMPLÉMENTATION .................
30
I. L’ÉTAT DE L’ART .........................................................................................................
30
1. Définitions de quelques notions ....................................................................................
30
2. Types de serveurs web ..................................................................................................
31
xxi
II. ETUDE COMPARATIVE DE QUELQUES SOLUTIONS ........................................

31
1. Solutions pour la haute disponibilité des services .........................................................
31
2. Solution pour la sécurisation des échanges ...................................................................
32
3. Solution pour le système de détection d’intrusion ........................................................
33
III. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LA MISE EN PLACE DU
SERVEUR MIROIR ................................................................................................................
34
1. Protocoles ......................................................................................................................
34
2. Présentation de DRBD ..................................................................................................
35
3. Présentation de heartbeat ...............................................................................................36
4. Description d’un cluster avec DBRD et HEARTBEAT ...............................................36
IV. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LA SÉCURISATION DES
ÉCHANGES .............................................................................................................................
37
1. Les principaux protocoles VPN ou Protocol de tunneling ............................................
38
2. Protocole IPSEC ............................................................................................................
39 a. Mode de
fonctionnement ........................................................................................... 39
b. Les mécanismes de
sécurité ....................................................................................... 40
c. Les fonctionnalités offertes par IP
sec ....................................................................... 42
V. PRÉSENTATION DE LA SOLUTION CHOISIE POUR LE SYSTÈME DE
DÉTECTION D’INTRUSION (IDS) .......................................................................................
42
1. Les types d’IDS .............................................................................................................
42 a. Les HIDS (Host-based
IDS) ...................................................................................... 42
b. Les NIDS (Network-based
IDS) ................................................................................ 43
xxi
c. Système de détection
hybride .................................................................................... 43
2. Mode de fonctionnement d’un IDS ...............................................................................
44
3. Les méthodes de détection ............................................................................................
45
4. Critères de choix d’un IDS ............................................................................................
46
5. Présentation de Snort .....................................................................................................
47
6. Positionnement de Snort dans un réseau .......................................................................
47
7. Les règles de SNORT ....................................................................................................
48
VI. ARCHITECTURE DE LA SOLUTION .......................................................................
51
CHAPITRE 3 : IMPLÉMENTATION DE LA SOLUTION ...................................................
52
I. INSTALLATION ET CONFIGURATION DU SERVEUR
PRINCIPAL ...................... 52
1. Préparation du serveur web principal ............................................................................
52
2. Installation et configuration de DRBD ..........................................................................
54
3. Installation et configuration de heartbeat ......................................................................
56
4. Configuration d’apache .................................................................................................
59
8. Configuration de Mysql ................................................................................................ 60
II. INSTALLATION ET CONFIGURATION DU SERVEUR MIROIR .........................
61
1. Préparation du serveur web miroir ................................................................................
61
2. Installation et configuration de DRBD ..........................................................................
63
3. Installation et configuration de heartbeat ......................................................................
64
xx
4. Configuration d’apache .................................................................................................

66
5. Configuration de
MySQL ..............................................................................................67
III. IMPLEMENTATION DU VPN
L2TP/IPSEC .............................................................68
1. Choix des solutions .......................................................................................................
68
2. Configuration ................................................................................................................
69
IV. IMPLÉMENTATION DE L’IDS SNORT ...................................................................
74
1. Installation et Configuration de l’IDS Snort .................................................................
74 a)
Installation ................................................................................................................. 74
CHAPITRE 4 : RÉSULTATS ET COMMENTAIRES ..........................................................
86
I. RÉSULTATS ...................................................................................................................
. 86
1. Tests du cluster ..............................................................................................................
86
2. Tests de la sécurité ........................................................................................................
89
3. Tests de l’IDS ................................................................................................................
91
II. RECOMMANDATIONS ET DIFFICULTÉS RENCONTRÉES ................................
92
1. Difficultés rencontrées ..................................................................................................
92
2. Comment savoir que notre système est victime d’intrusion ? .......................................
92
3. Quels sont les bons réflexes en cas d’intrusion sur une machine ? ...............................
93
4. Comment analyser l’intrusion ? ....................................................................................
94
5. Comment repartir sur de saines bases après une intrusion ? .........................................
94
xx
CONCLUSION GENERALE et perspectives .........................................................................

95
ANNEXES ........................................................................................................................
QQQQ
BIBLIOGRAPHIE ............................................................................................................
QQQQ
WEBOGRAPHIE ..............................................................................................................
QQQQ
TABLES DES MATIERES ..............................................................................................
QQQQ
xx

Ghislain Rapport Word

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ghislain Rapport Word

Transféré par

Droits d'auteur :

Formats disponibles

MISE EN PLACE D’UN SERVEUR WEB MIROIR

À ma très chère famille

➢ Tout d’abord, j’adresse mes remerciements au fondateur de l’institut

➢ Je remercie ensuite mon maître de stage, Mr NGOMBA EMMANUEL,

➢ Mes remerciements à l’équipe NADIYA CENTER pour m'avoir apporté

➢ Je remercie également ma maman DJOUKA BERTH, ma grande sœur

3DES : Triple Data Encryption Standard

AES : Advanced Encryption Standard

BASE : Basic Analysis and Security Engine

DGB : Direction Générale du Budget

DGD : Direction Générale des Douanes

DGI : Direction Générale des Impôts

DGTCFM : Direction Générale du Trésor et de la Coopération Financière et Monétaire

DNCM : Direction de la Normalisation et de la Comptabilité Matière

DRBD : Distributed Replicated Block Device

DMZ : Demilitarized Zone

DSI : Division des Systèmes d’Information

ESP : Encapsulation Security Payload

FAI : Fournisseur d’Access Internet

FOS : Fail Over Services

FTP : Foiled Twisted Pair

HIDS : Host Based IDS

HIPS : Host Based IPS

HTML : Hyper Text Markup Language

HTTP : Hyper Text Transfer Protocol

IAI : Institut Africain d’Informatique

IDS : Intrusion Detection System

IKE : Internet Key Exchange

IPS : Intrusion Prevention System

IPSEC : Internet Protocol Security

ISAKMP : Internet Security Association and Key Management Protocol

MINFI : Ministère des Finances

NIDS : Network Based IDS

PKI : Public Key Infrastructure

RAID : Redundant Array of Inexpensive Disk

RSA : Riest Sharmir Adelman

RSYNC : Remote Synchronization

SAN : Storage Area Network

SPOF : Single Point Of Failure

SSL : Secure Socket Layer

TCP : Transmission Control Protocol

UDP : User Datagram Protocol

VPN : Virtual Private Network

Serveur informatique : est un dispositif matériel ou logiciel ayant de très grandes

Tunneling : canal de communication à travers le réseau internet

Encapsulation : ajout d’entêtes successifs dans le but de rendre inintelligible le message

Désencapsulation : retrait des entêtes ajoutés lors de l’encapsulation

Sécurité informatique : ensemble de techniques permettant d’assurer la disponibilité,

Liste des figures

Figure 1: organigramme du MINFI, source : MINFI ................................................................ 9

Figure 21: création de la partition drbd .................................................................................... 53

Figure 55: ajout d'apache à haresources ................................................................................... 67

Figure 90: ping du serveur miroir vers le serveur principal ..................................................... 87

Liste des tableaux

Tableau 1: récapitulatif des applications lourdes du MINFI.......................................................13

Mots-clés : serveur-miroir, DRBD, heartbeat, VPN, IPSEC, Snort

Snort's implementation enables IT security managers to respond in a timely manner by being

Keywords: mirror-server, DRBD, heartbeat, VPN, IPSEC, Snort

et de stratégie de restauration en cas de crash.

Le dossier d’insertion est un document qui présente de manière générale la structure

salles serveurs et équipements réseaux du MINFI sous la supervision de Monsieur NKONLA

 Le dépannage des ordinateurs ;

 L’installation d’imprimante, d’onduleur et des logiciels utilitaires sur des postes