Académique Documents
Professionnel Documents
Culture Documents
Thème
Présenté par :
BOUKADOUM Youcef Islem
MELLAH Mouloud
Nous souhaitons adresser nos remerciements les plus sincères aux personnes qui nous ont apporté leur aide et
qui ont contribué de près ou de loin à l’élaboration de ce mémoire. Nous tenons dans un premier lieu remercié
notre encadreur M r BERBAR Ahmed pour sa patience, sa disponibilité et ces conseils durant tout le long de notre
Nous adressons aussi nos remerciements aux membres du jury pour l’intérêt qu’ils ont porté à notre travail en
acceptant de l’examiner.
Enfin, n’oublions pas de remercier nos familles et nos amis pour leurs soutiens inconditionnels et leurs encou-
ragements.
Résumé
Un pare-feu permet d’isoler et de protéger plusieurs réseaux en fonction de leur degré de confiance. Dans ce
projet, nous avons créé un environnement virtuel afin de simuler un réseau informatique d’entreprise fonctionnelle
Dans un premier temps, nous avons défini les concepts fondamentaux de la sécurité informatique en donnant
un aperçu sur les différentes menaces informatiques. Puis, nous avons présenté les différents moyens et outils pour
Ensuite, on a fait une étude approfondie sur le fonctionnement des pare-feu ce qui nous a permis de connaître
comment utiliser au mieux un pare-feu, ainsi que les limites de ce dernier et les critères permettant de choisir un
pare-feu. Pour choisir notre pare-feu, nous avons fait une étude afin de comparer les pare-feu open-source à notre
disposition.
Finalement, on a réalisé notre environnement virtuel en installant tous les serveurs et postes clients nécessaires.
Puis, on a sécurisé notre réseau en installant notre pare-feu, ce qui a permis de segmenter le réseau en quatre zones.
Une fois les zones mis en place, on pouvait commencer à rédiger nos règles des interfaces du pare-feu. Pour finir,
afin de s’assurer que notre pare-feu est bien fonctionnel, on a mis à l’épreuve le pare-feu en effectuant un ensemble
de tests.
Table des matières
i
TABLE DES MATIÈRES
Conclusion General 42
Bibliographie 44
ii
Table des figures
iii
TABLE DES FIGURES
iv
Liste des tableaux
v
Chapitre 1
1.1 Introduction
Aujourd’hui, les systèmes d’information sont au cœur de toutes entreprises de ce fait toutes menacent peut leur
être fatale. Tout appareil connecté à Internet est vulnérable aux attaques et aux menaces qui rôdent dans ce dernier,
ainsi garantir la sécurité des systèmes deviens une nécessitée.
La sécurité est l’ensemble des mesures permettant d’assurer la protection des biens. En informatique, on dis-
tingue deux types : l’information et les données ou les systèmes permettant de traiter, véhiculer et stocker l’infor-
mation.
La sécurité représente l’ensemble des moyen techniques, organisationnels et humains nécessaires et mis en
place pour conserver, rétablir et garantir la sécurité. Elle vise cinq principales caractéristiques [1] :
— La Confidentialité : l’information ne doit pas être diffusée ni divulguée à des personnes, des entités ou des
processus non autorisés.
— L’intégrité : l’information doit être protégée contre toute modification ou destruction accidentelle ou mal-
veillante.
— La disponibilité : l’information et le système doivent être accessible et utilisable a tout instant par une entité
autorisée.
— L’authenticité : permet d’assurer l’identification d’une personne ou d’une entité.
— La non-répudiation : pouvoir prouver qu’une action a étais effectuée par une personne ou une entité et
qu’elle ne peut être niée.
1
1.3. LES MENACES INFORMATIQUES
Une menace est une cause potentielle d’un incident indésirable, qui peut nuire à un système ou à un organisme.
Elle peut être accidentelle ou intentionnelle et leur origine naturelle ou humaine.
Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de
la perte consécutive à sa réalisation. [2]
Les systèmes informatiques sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frau-
duleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration, leur destruction ou permettre la
violation des données qui s’y trouvent stockées. Ainsi, une vulnérabilité est une faiblesse d’un système se tradui-
sant par une incapacité partielle de celui-ci à faire face aux menaces informatiques qui le guettent. [3]
Ce type de menace contrairement au premier, altère ou modifie l’état du système et des données qui y transite.
Virus
Définie généralement comme étant un programme capable de s’installer sur un ordinateur à l’insu de son utili-
sateur légitime, une fois installé et lancé, il se charge en mémoire et exécute les instructions que son auteur a pro-
grammé. On distingue plusieurs types de virus, on peut en citer quelques-uns : Virus mutants, Virus polymorphes,
Rétrovirus, Virus de secteur d’amorçage, Virus de macros, etc. [4]
2
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE
Ver
Un ver est un type de menace qui peut se reproduire et se propager à travers un réseau en utilisant ses propres
mécanismes, sans avoir réellement besoin de support physique ou logique (disque dur, programme hôte, fichier. . . ).
[4]
Cheval de Troie
Le cheval de Troie est un code nuisible caché dans un programme sain. Il permet généralement d’ouvrir une
porte dérobée (backdoor) dans un système pour y faire entrer un hacker ou d’autre programmes indésirables. [4]
Bombes logiques
Une Bombe logique est une menace dont le déclenchement est programmé par son créateur. Ce déclenchement
peut se faire suite à une séquence de commande ou après un appel au système prédéfinie par le créateur. [4]
Spyware
Un spyware (espiogiciel) est un programme chargé de recueillir des informations sur l’utilisateur de l’ordina-
teur dans lequel il est installé afin de les envoyer à l’entité qui le diffuse. Généralement les spywares sont installés
en même temps que d’autre logiciels. [4]
Keylogger
Un keylogger est un dispositif d’espionnage chargé d’enregistrer les frappes de touches du clavier et de les
enregistrer, à l’insu de l’utilisateur. Il peut servir à des personnes mal intentionnées pour récupérer des mots de
passe ou encore avec certains keylogger d’enregistrer les URL visités ou les e-mails consulté ou envoyés. [4]
Déni de service
Le déni de service (DoS, Denial of Service) est un type d’attaque visant à rendre indisponible pendant un temps
indéterminé les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des
serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Ce type d’attaque peut toucher tout
serveur d’entreprise ou tout particulier relié à Internet. [4]
Un déni de service peut être provoqué par plusieurs machines qui envoient simultanément des paquets, on parle
alors de déni de service distribué (DDoS, Distributed Denial of Service).
3
1.3. LES MENACES INFORMATIQUES
L’usurpation d’adresse IP est une technique consistant à remplacer l’adresse IP de l’expéditeur d’un paquet
IP par l’adresse IP d’une autre machine. Cette technique permet d’envoyer des paquets anonymement sans que
ceux-ci soient interceptés par le système de filtrage de paquets (pare-feu). [4]
Le reniflage réseau (ou reniflage de paquets) consiste à rassembler, collecter et consigner tout ou partie des
paquets qui transitent par le réseau d’un ordinateur, quelle que soit l’adresse à laquelle ces paquets sont destinés.
[5]
La menace Man in the Middle (MITM) est un scénario d’attaque dans lequel un pirate écoute une communica-
tion entre deux parties et falsifie les échanges en se faisant passer à chaque fois pour l’autre partie. [4]
4
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE
Injections
Des failles d’injection, telles que l’injection SQL ou NoSQL, visent les sites web s’appuyant sur des bases de
données relationnelles. Ces injections se produisent lorsque des données non-fiables sont envoyées à un interpréteur
dans le cadre d’une requête. Ainsi, l’attaquant peut accéder à l’ensemble de la base de données ou même d’en
modifier le contenu. [6]
Des failles XSS se produisent chaque fois qu’une application inclut des données non-fiables dans une nouvelle
page Web sans validation appropriée ou met à jour une page Web existante avec des données fournies par l’uti-
lisateur à l’aide d’une API de navigateur qui peut créer du HTML ou du JavaScript. XSS permet aux attaquants
d’exécuter des scripts dans le navigateur de la victime qui peuvent pirater des sessions utilisateur, défigurer des
sites Web ou redirigé l’utilisateur vers des sites malveillants. [6]
De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes dans
les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du
gestionnaire d’URI de fichiers, des partages de fichiers internes, de l’analyse des ports internes, de l’exécution de
code à distance et des attaques par déni de service. [6]
5
1.3. LES MENACES INFORMATIQUES
Authentification brisée
Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées
de manière incorrecte, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de
session, ou d’exploiter d’autre failles d’implémentation pour assumer l’identité des autres utilisateurs de manière
temporaire ou permanente. [6]
Lorsque les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont pas correctement
appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non
autorisées, comme accéder aux comptes d’autres utilisateurs, afficher des fichiers sensibles, modifier les données
d’autre utilisateurs, changer les droits d’accès, etc. [6]
6
Chapitre 2
De nos jours la quasi-totalité des ordinateurs sont connectés à Internet ce qui les expose à une panoplie de
menaces. Néanmoins, ces ordinateurs ne sont pas sans défense contre les attaques de plus en plus nombreuses et
puissantes. Afin de les protéger et garantir un niveau de sécurité acceptable, nous devons utiliser des techniques,
des outils et des moyens adaptés afin de contrôler l’accès au réseau, protéger le flux d’information sensible et
prévenir les menaces qui rôdes sur Internet.
Dans ce chapitre, on définit les techniques et les dispositifs de protection utilisés avant de s’intéressaient plus
en particulier aux pare-feu.
2.1 Le chiffrement
Le chiffrement est l’opération qui consiste à transformer des données d’un format lisible à un format codé qui
peut uniquement être compris ou traité après déchiffrement. Ainsi, on peut garantir la confidentialité et l’authenti-
cité de l’information. [7]
Les principes du chiffrement se basent sur la notion d’algorithmes de chiffrement et de « clés ». Lorsque l’in-
formation est envoyée, elle est chiffrée à l’aide d’un algorithme et peut être décodée uniquement à l’aide de la clé
appropriée. Une clé peut être stockée sur le système de réception, ou peut être transmise avec les données chiffrées.
Les méthodes de chiffrement se développent parallèlement à l’évolution perpétuelle des logiciels informatiques et
des méthodes permettant d’intercepter et de voler les informations [7]. Parmi les méthodes de chiffrement, on peut
citer les plus connues :
Le chiffrement symétrique
C’est une méthode de décodage unique qui doit être fournie au destinataire avant que le message ne puisse
être déchiffré. La clé utilisée pour encoder est la même que celle utilisée pour décoder. Autrement, la clé doit être
envoyée au destinataire, ce qui augmente le risque de compromission si elle est interceptée par un tiers. L’avantage
de cette méthode est qu’elle est beaucoup plus rapide que la méthode asymétrique [7].
7
2.2. SERVEUR PROXY
Le chiffrement asymétrique
Le filtrage
Le proxy permet d’assurer un suivi de connexion via les journaux de logs en enregistrant les requêtes des
utilisateurs lors de leurs Demandes de connexion à Internet. De ce fait, on peut filtrer les connexions à Internet en
analysant d’une part les requêtes des clients, d’autre part les réponses des serveurs tels qu’on peut soit Autoriser
les requêtes ou les interdire.
L’authentification
On peut utiliser le proxy pour l’authentification des utilisateurs ce qui nous permet de donner l’accès aux
ressources externes aux seules personnes autorisées et de pouvoir enregistrer dans les fichiers journaux des accès
identifiés.
La mise en cache
La fonction de cache permet de garder temporairement en mémoire les pages les plus fréquemment visitées
par les utilisateurs du réseau local afin de les leur fournir le plus rapidement possible. Ceci permet de réduire
l’utilisation de la bande passante vers Internet.
8
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS
2.4 Antivirus
Les logiciels antivirus sont une classe de programmes conçus pour prévenir, détecter et supprimer les menaces
sur les différents systèmes et réseaux informatiques. Autrement dit, un antivirus permet de protéger l’ordinateur
contre une grande variété de menace (Keyloggers, ransomware, etc.).
L’antivirus fonctionne généralement comme un processus en arrière-plan, analysant les ordinateurs, les ser-
veurs ou les appareils mobiles pour détecter et limiter la propagation des menaces [9]. Nombreux antivirus incluent
une détection et une protection des menaces en temps réel en utilisant les techniques de détection suivantes [4] :
Un virus est programmé pour ne pas infecter le même fichier. Or pour distinguer les fichiers déjà infectés, il y
intègre une signature virale. Les antivirus utilisent cette signature qui est propre à chaque menace pour les détecter
et les identifier en utilisant sa base virale qui doit être mise à jour.
Contrôle d’intégrité
Certains antivirus utilisent des contrôleurs d’intégrité qui comme son nom l’indique contrôle l’intégrité des
fichiers en surveillant tous les changements tels que la modification, suppression de fichier, etc. De la sorte, le
contrôleur d’intégrité construit une base de données contenant des informations sur les fichiers du système (date
de modification, taille). Ainsi, l’antivirus reste en courant de chaque modification de fichiers.
La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité
proche de celle d’une menace connue. Ainsi, l’antivirus peut détecter des virus mêmes lorsque la base n’a pas été
mise à jour.
9
2.6. DÉTECTION D’INTRUSION (IDS)
prédéfinies. Il établit une barrière entre les réseaux interne sécurisés et contrôlés qui sont digne de confiance et les
réseaux externes non-fiables tels qu’Internet. [10]
Le pare-feu contient un ensemble de règles prédéfinies permettant :
— D’autoriser la connexion.
— De bloquer la connexion.
— De rejeter la demande de connexion sans avertir l’émetteur.
L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité.
Beaucoup d’intrusions ont recours à des violations des protocoles IP, TCP, UDP et ICMP dans le but d’attaquer
une machine. Une simple vérification protocolaire peut mettre en évidence les paquets invalides.
Nombre d’intrusions utilisent des comportements protocolaires invalides. Ainsi, un NIDS doit implémenter
une grande variété de protocoles applicatifs.
Cette méthode identifie une intrusion par le seul examen d’un paquet et la reconnaissance dans une suite
d’octets du paquet d’une séquence caractéristique d’une signature précise.
10
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS
2.8 Conclusion
Pour sécuriser un réseau, on remarque qu’on a le choix entre plusieurs techniques et outils assez différentes les
unes des autres. Or, dans le cadre de notre projet, on s’intéresse aux pare-feu. Donc, dans le chapitre suivant on
décrit plus en détails le fonctionnement du pare-feu pour ensuite faire une étude comparative des pare-feu logiciels
disponibles en téléchargement libre.
11
Chapitre 3
Le pare-feu est primordial pour protéger les données numériques et sécuriser le réseau. Sa mission : filtrer les
entrées et vérifier les sorties. Il peut se présenter sous la forme d’un appareil ou d’un logiciel.
Dans ce chapitre, on va voir plus en détails le fonctionnement d’un pare-feu et comparer entre les différentes
solutions disponibles.
3.1 Présentation
Un pare-feu (coupe-feu, garde-barrière ou firewall) est un système permettant de protéger un ordinateur, ou
un réseau d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment Internet). Il détermine quel trafic
peut ou ne peut pas passer en appliquant des règles définies par l’administrateur. Ces règles traduisent en terme
technique les besoins de sécurité exprimés par l’organisation. [4]
12
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
Il est possible de mettre un système pare-feu sur n’importe quelle machine pourvue que [4] :
— La machine soit suffisamment puissante pour traiter le trafic.
— Le système soit sécurisé.
— Aucun autre service que le service de filtrage de paquets fonctionne sur le system.
En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un pare-feu permet de cloisonner
le réseau et en principe, de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de
telle manière que l’on puisse en fonction d’impératifs de sécurité, séparer des systèmes afin de mieux les contrôler.
[8]
13
3.2. PRINCIPE DE FONCTIONNEMENT
Selon la nature de l’analyse et des traitements effectués par un pare-feu, différents types de pare-feu existent.
Ils se distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP),
niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modèle OSI. [8]
Ce type de pare-feu analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine
du réseau interne et une machine extérieure. Ainsi, les paquets échangés transitent par le pare-feu et possèdent les
en-têtes suivants, systématiquement analysés par le pare-feu [4] :
— Adresse IP de la machine émettrice.
— Adresse IP de la machine réceptrice.
— Type de paquet (TCP, UDP, etc.).
— Numéro de port (un port est un numéro associé à un service ou une application réseau).
14
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
Les adresses IP contenues dans les paquets permettant d’identifier la machine émettrice et la machine cible que
le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. [4]
Un pare-feu dit stateful packet permet de filtrer les paquets en se basant sur la couche transport du modèle OSI
(filtrage au niveau des ports de communication TCP/UDP). Il maintient une table d’état des connexions correspon-
dantes aux ports logiques du niveau 4 et sur tous les ports dont le numéro est supérieur à 1024 (les ports utilisés
par les applications de l’utilisateur) pour un meilleur suivi des communications. Ainsi, si une connexion est auto-
risée, tous les paquets constitutifs de l’échange sont implicitement acceptés. Certains attaquants savent détourner
ce mode de fonctionnement et exploiter les failles dues aux applications communicantes. [8]
Un pare-feu applicatif joue un rôle de filtre des flux applicatifs. Pour le paramétrer correctement, il faut
connaître l’ensemble des applications qui le traverseront. Il peut aussi jouer le rôle d’une passerelle applicative
ou de proxy. Il établit en lieu et place de l’utilisateur le service invoqué par celui-ci en masquant certaines infor-
mations et en validant chaque contenu, ce qui nécessite des ressources et des temps de traitement. [8]
L’objectif d’un système qualifié de proxy est de réaliser un masquage d’adresse par relais applicatif, et de rendre
transparent l’environnement interne de l’organisation. Il est censé constituer un point de passage obligé pour toutes
les applications qui nécessitent un accès internet. Cela suppose qu’une application « relais » soit installé sur le poste
de travail de l’utilisateur et sur le pare-feu. [8]
Ainsi, à chaque demande de connexion internet, le fait de lancer un navigateur active ce programme relais qui
demandera au proxy, en ses lieux et place, de réaliser la connexion externe sollicitée sur Internet avec sa propre
adresse et non pas avec celle du système de l’utilisateur finale et effectue les échanges de données nécessaires. Le
proxy cache de la sorte toute l’infrastructure du réseau interne et ne dévoile en aucun cas les adresses des systèmes.
15
3.3. ZONE DÉMILITARISÉE (DMZ)
Il agit comme une passerelle applicative. Ce type de serveur est systématiquement mis en œuvre lors de l’utilisation
d’un plan d’adressage privé. [8]
Les serveurs situés dans la DMZ sont appelés bastions en raison de leur position d’avant-poste dans le réseau.
La politique de sécurité mis en œuvre sur la DMZ est généralement la suivante [4] :
— Trafic du réseau externe vers la DMZ autorisé.
— Trafic du réseau externe vers le réseau interne interdit.
— Trafic du réseau interne vers la DMZ autorisé.
— Trafic du réseau interne vers le réseau externe autorisé.
— Trafic de la DMZ vers le réseau interne interdit.
— Trafic de la DMZ vers le réseau externe interdit.
16
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
sont autant des failles de sécurité. C’est notamment le cas des connexions effectuées à partir du réseau interne à
l’aide d’un modem ou de tout moyen de connexion échappant au contrôle de pare-feu. De la même manière, l’in-
troduction de support de stockage provenant de l’extérieur sur des machines internes au réseau ou bien d’ordinateur
portable peut porter fortement préjudice à la politique de sécurité globale. [4]
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-feu et notamment
de surveiller son journal d’activité afin d’être en mesure de détecter les tentatives d’intrusion et les anomalies. Par
ailleurs, il est recommandé d’effectuer une veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier
le paramétrage de son dispositif en fonction de la publication des alertes. [4]
La mise en place d’un pare-feu doit donc se faire en accord avec une véritable politique de sécurité.
17
3.6. ARCHITECTURE DE PARE-FEU
La solution la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient en configurant le routeur
qui assure la connexion avec Internet.
Cette solution permet de réaliser les différents serveurs d’un intranet sur plusieurs systèmes. Le routeur de
filtrage contient les autorisations d’accès basées exclusivement sur les adresses IP et le numéro de port. [13] Pour
configurer le routeur, on peut utiliser la méthode standard suivante [14] :
— Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires (Par exemple :
HTTP, HTTPS, FTP, SMTP, DNS).
— Filtrages des connexions entrantes pour interdire les connexions directes sur les pare-feu.
Il existe une autre possibilité permettant de réaliser un pare-feu applicatif à peu de frais : la passerelle double.
Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans les réseaux internet et intranet. Cette
machine doit être équipée de deux cartes réseau. On l’appelle également réseau bastion, car il contrôle tous les
services accessibles de l’extérieur comme de l’intérieur du réseau interne tels que les serveurs WEB, FTP, et
Mail. Un serveur proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne
d’accéder à Internet. Le nom « réseau bastion » découle des mesures particulières de protection qui sont prises en
prévision de possibles intrusions. [13]
Un serveur proxy exécuté sur un hôte bastion (un proxy http par exemple) masque à l’internet toutes les adresses
IP du réseau interne. Concrètement, lorsqu’un utilisateur se procure des informations depuis Internet à partir du
réseau interne, le site internet contacté ne détient que l’adresse IP du serveur proxy, et en aucun cas l’adresse IP de
l’ordinateur du réseau interne. [13]
Le proxy doit donc masquer l’adresse d’expéditeur des paquets de données circulant via Internet, pour empê-
cher tout intrus de déchiffrer les structures internes du réseau. Les serveurs proxy ont l’inconvénient d’être orientés
application, c’est-à-dire tributaires d’un protocole. Par conséquent, chaque service internet proposé aux collabo-
rateurs de l’entreprise exige son propre serveur proxy, qui doit fonctionner sur le système concerné. Les serveurs
proxy sont presque toujours des versions allégées des serveurs concernés, autrement dit, un proxy http est une
version lite de serveur web. Il existe des serveurs proxy pour tous les protocoles courants sur Internet. [13]
18
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
La combinaison des deux méthodes est ici plus sure et efficace. Au niveau du réseau, un pare-feu est configuré
de façon à n’autoriser les accès de l’extérieur et de l’intérieur que par l’intermédiaire du réseau bastion sur lequel
fonctionnent tous les serveurs internet [13] :
Cette solution est de loin la plus sure, mais également la plus onéreuse. Un pare-feu avec sous-réseau de filtrage
se compose de deux pare-feu sous-écran, l’un est connecté à Internet, et l’autre à l’intrant/LAN. Plusieurs réseaux
bastion peuvent s’intercaler pour former entre ces deux pare-feu, en quelque sorte, une zone démilitarisée (DMZ).
[13]
19
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES
Les deux pare-feu appliquent des règles de filtrage de paquets, le bastion contient les services « publics » :
Web, SMTP et DNS. Le pare-feu « interne » peut être un host avec un logiciel de filtrage et de legging, plus un
proxy. Pour avoir un tel réseau, on peut utiliser la configuration suivante [14] :
— Les machines internes ne sont pas autorisées à se connecter à Internet, elles peuvent uniquement commu-
niquer avec le proxy dans la DMZ.
— Seuls les proxys sont autorisés à établir une connexion à destination internet.
— Les fonctions de routages sont désactivées sur les proxys
— Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires en direction de
proxy (HTTP, HTTPS, FTP, SMTP, DNS).
— Filtrage des connexions entrantes pour interdire les connexions directes.
20
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
3.7.1 OPNsense
OPNsense est un pare-feu et une plateforme de routage basés sur HardenedBSD. OPNsense inclut la plupart
des fonctionnalités disponibles dans les pares-feux commerciaux coûteux, et bien plus dans de nombreux cas. [15]
Au départ, OPNsense était un spin-off de pfSense et m0n0wall. Mais, le projet a évolué très rapidement tout en
conservant des aspects familiers à la fois de m0n0wall et de pfSense. Aujourd’hui, OPNsense propose des mises
à jour de sécurité hebdomadaires pour réagir aux nouvelles menaces. Un cycle de publication fixe de 2 versions
majeures chaque année, ce qui offre aux entreprises la possibilité de planifier les mises à niveau à venir. [15]
L’ensemble de fonctionnalités d’OPNsense comprend des fonctionnalités haut de gamme telles que le forward
caching proxy, la mise en forme du trafic, la détection des intrusions et la configuration facile du client OpenVPN.
[15]
Avantages
Inconvénients
3.7.2 IPFire
IPFire est une distribution Linux open source qui fonctionne principalement comme un routeur et un pare-feu.
L’objectif principal d’IPFire est la sécurité. Son pare-feu facile à configurer et son système de détection d’intrusion
empêchent les attaquants de s’introduire dans le réseau. Mais même le pare-feu doit se protéger. IPFire est construit
à partir de zéro et ne repose sur aucune autre distribution. Cela permet aux développeurs de renforcer IPFire mieux
que tout autre système d’exploitation de serveur et de construire tous les composants pour une utilisation en tant
que pare-feu. Les mises à jour fréquentes permettent de garantir la sécurité d’IPFire et de minimiser les failles de
sécurité. [16]
Avantages
21
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES
Inconvénients
3.7.3 pfSense
pfSense est une distribution gratuite, open source et personnalisée de FreeBSD spécialement conçue pour être
utilisée comme un pare-feu et un routeur entièrement gérée via une interface Web. En plus d’être une plateforme
de pare-feu et de routage puissante et flexible, elle comprend une longue liste de fonctionnalités et un système de
package permettant une évolutivité supplémentaire sans ajouter de potentielles failles de sécurité à la distribution
de base. [17]
Avantages
Inconvénients
Ci-dessous un tableau comparatif des différentes caractéristiques que propose chacun des pares-feux étudiés
[16] [18] [19] :
22
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
23
3.8. CONCLUSION
3.8 Conclusion
D’après le tableau comparatif, on remarque que pfSense et OPNsense sont très similaires alors qu’IPFire est
assez diffèrent. Pour choisir notre pare-feu, on commence par éliminer IPFire étant donné que son interface Web
n’est pas très intuitive. Ensuite, entre pfSense et OPNsense, le choix n’est pas évidant, mais on va opter pour
l’utilisation de pfSense en raison de sa grande communauté et de sa documentation excellente.
24
Chapitre 4
25
4.1. LA PRÉSENTATION DE L’ARCHITECTURE CIBLE
Pour des raisons évidentes de moyens et de disponibilité des serveurs et des postes clients, l’ensemble de notre
environnement de travail sera virtualisé. Notre choix s’est porté sur l’environnement de virtualisation VMware.
Notre contrôleur de domaine a été déployé dans un environnement Windows 2012 serveur. Notre contrôleur
de domaine possède l’adresse IP 192.168.10.1. Il a été renommé SRV-DC et on a attribué un mot de passe fort au
compte administrateur. Lors du déploiement du rôle AD DS (Active Directory Domain Services), le service DNS
a été déployé sur ce même serveur. Bien que les bonnes pratiques recommandent le déploiement du serveur DNS
sur un autre serveur, nous avons été obligés de le déployer sur le contrôleur de domaine à cause du manque de
ressources. Une fois le rôle installé, on a créé une nouvelle forêt pour pouvoir créer notre domaine qui se nomme
« Entreprise.com ».
À l’instar du contrôleur de domaine, la machine virtuelle est basée sur un environnement Windows Server 2012
ayant comme adresse IP 192.168.10.2. La machine renommée SRV-Web est membre du domaine. Pour créer notre
serveur web, on déploie le rôle Serveur Web (IIS) avec ces fonctionnalités. Une fois le rôle installé, on attribue
un alias au serveur à l’aide du gestionnaire DNS présent dans le contrôleur de domaine (l’alias aura comme nom
‘web’). Ce serveur Web hébergera le site web de notre entreprise qui sera accessible pour tous les postes clients du
domaine.
On crée une machine basée sur un environnement Windows Server 2012 ayant comme adresse 192.168.10.3
et nommé SRV-Mail. Pour avoir notre serveur de messagerie, on installe Exchange Server 2013. Avant de pouvoir
installer Exchange Server 2013, on doit d’abord configurer le serveur avec les prérequis suivants :
Installer plusieurs fonctionnalités, et ce, en exécutant les commandes suivantes dans PowerShell [20] :
26
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
Tous les postes clients utilisent Windows 7 comme system d’exploitation, chaque poste est évidemment
membre du domaine. En plus, chaque poste doit avoir accès au site Web de l’entreprise et la boîte aux lettres Out-
look en utilisant respectivement les URL suivantes : http ://web.entreprise.com/ , https ://mail.entreprise.com/owa
En plus des serveurs qu’on vient de citer, on ajoute un nouveau serveur web externe. L’objective de ce serveur
est d’héberger le site web de l’entreprise pour permettre aux utilisateurs externes au domaine d’accéder au site web
à travers Internet.
Ce serveurs DNS permet de rediriger les utilisateurs externes vers le serveur web externe et ainsi avoir accès
au site web de l’entreprise.
27
4.2. SÉCURISATION DU RÉSEAU
Tout d’abord, on commence par l’installation de notre pare-feu. On doit télécharger une version ISO de pfSense
version 2.4.5 (64-bits) à l’URL suivante : https ://www.pfsense.org/download/.
Dans VMware, on clique sur File puis New Virtual Machine ensuite, on configure notre machine avec les
paramètres suivants :
28
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
29
4.2. SÉCURISATION DU RÉSEAU
— Concernant le partitionnement, on choisit l’Auto (UFS) car le partitionnement ZFS demande énormément
de RAM. Donc, dans notre cas, il serait préférable d’utiliser le partitionnement UFS. [21]
30
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
— Dans notre cas, on n’a pas besoin de VLAN car le mieux est de segmenter le réseau physiquement en
utilisant différentes interfaces chose qu’on peut facilement faire dans un environnement virtuel.
— Ensuite, on configure l’adresse IP de l’interface LAN, qui sera 192.168.10.200, pour pouvoir accéder à
l’interface Web pfSense.
— Maintenant, on se connecte à l’interface web à l’adresse : http ://192.168.10.200 avec les identifiants par
défaut qui sont :
• Username : admin
• Password : pfSense
— Une fois connecté, on configure les interfaces :
• Interfaces > WAN :
* Description : SERVEURS
* IPv4 Configuration : Static IPv4
* IPv4 Address : 192.168.10.200/24
• Interfaces > OPT1 :
* Enable interface : ON
* Description : CLIENTS
* IPv4 Configuration : Static IPv4
* IPv4 Address : 192.168.15.200/24
• Interfaces > OPT2 :
* Enable interface : ON
* Description : DMZ
31
4.2. SÉCURISATION DU RÉSEAU
* Enable interface : ON
* Description : ADMINISTRATION
* IPv4 Configuration : Static IPv4
* IPv4 Address : 192.168.5.200/24
— Pour confirmer ces changements on clique sur Apply Changes.
— Ainsi, pour résumer on a la configuration suivante :
Avant de définir les règles, on ajoute des alias de ports et d’adresses IP pour faciliter l’ajout et la lecture des
règles. Les alias sont les suivants [22] :
Maintenant, on peut configurer les règles requises pour chaque interface de la sorte :
32
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
— On se connecte à l’interface web pfSense, puis : Firewall > Rules. On a les onglets suivants qui servent à
définir les règles pour chacune des interfaces.
F IGURE 4.13 – Onglets des règles de pare-feu pour les différentes interfaces
— On commence par les règles de l’interface CLIENTS : sur cette interface, on commence par autoriser le port
HTTP pour permettre aux utilisateurs de consulter le site Web de l’entreprise. Puis, on autorise tous les ports
nécessaires (voir figure 4.14) pour le fonctionnement du contrôleur de domaine comme : l’authentification
des utilisateurs ou l’application des GPO. Ensuite, on continue à autoriser les ports requis pour l’échange
des mails avec Exchange [23]. Pour finir, on bloque toutes les communications allant de la zone CLIENTS
vers les autres zones (SERVEURS, DMZ, ADMINISTRATION) comme le montre la figure suivante :
— Ici le « CLIENTS net », « SERVEURS net », « DMZ net » et « ADMINISTRATION net » font référence
à toutes les machines qui se trouvent dans le réseau des interfaces respectivement CLIENTS, SERVEURS,
DMZ et ADMINISTRATION.
— De la même manière, on configure les règles de l’interface SERVEURS de la sorte :
33
4.2. SÉCURISATION DU RÉSEAU
— Sur cette interface, la seule règle importante est la deuxième qui est indispensable pour l’échange des mails.
Et on bloque les communications vers les autres zones.
— Concernant la zone DMZ, les règles à appliquer sont les suivants :
— Dans la zone démilitarisée, on bloque tous trafic allant à la zone CLIENTS, SERVEURS ou ADMINIS-
TRATION depuis la DMZ, mais on autorise les ports exigés le contrôleur de domaine comme l’authentifi-
cation des utilisateurs ou l’application des GPO.
— Pour permettre l’accès au site Web du serveur Web externe à partir de l’extérieur, on ajoute deux règles
redirection de port NAT :
34
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
— De la sorte, il suffit que l’utilisateur externe au domaine configure son DNS comme étant le serveur DNS
de notre DMZ et en tapant « entreprise.com » sur son navigateur notre site s’affiche comme prévu.
— Pour finir, on ajoute les règles de l’interface ADMINISTRATION :
— Pour l’administration, on a besoin du port RDP (Remote Desktop Protcol) pour permettre la connexion
à distance depuis la zone Administration aux différents serveurs et postes clients. Et encore une fois, on
bloque le trafic vers les autres zones tout en autorisant les ports requis pour le contrôleur de domaine.
35
4.2. SÉCURISATION DU RÉSEAU
Parmi les avantages qu’offre pfSense est l’utilisation des packages. Les packages permettent d’ajouter des fonc-
tionnalités a pfSense. Ils fournissent des services et des utilitaires supplémentaires introuvables dans l’installation
de base. Parmi ces packages, on a le package Snort.
Snort est un système open source très populaire de détection et de prévention des intrusions (IDS/IPS). Il est
capable d’effectuer, une analyse trafic en temps réel et une journalisation des paquets sur les réseaux IP. Il a trois
utilisations principales : il peut être utilisé comme un renifleur de paquet simple, un enregistreur de paquets ou
comme un système complet de prévention des intrusions sur le réseau. [24]
Pour installer et configurer Snort sur pfSense on suit les étapes suivantes :
— Dans l’interface Web pfSense : System > Package Manager > Available Packages. On recherche « snort »
puis on l’installe.
— Une fois installé, on se dirige vers : Services > Snort > Global Settings pour commencer la configuration.
— Snort offre trois ensembles de règles : Snort Vulnerability Research Team (VRT) Rules, Snort GPLv2 Com-
munity Rules et Emerging Threats (ET) Rules.
— La VRT Rules possède deux types de règle une pour les utilisateurs abonnés et une autre pour les utilisateurs
inscrits. La différence entre les deux est que les utilisateurs inscrits ont un retard de 30 jours sur les règles
par rapport aux utilisateurs abonnés [25].
— Pour un fonctionnement idéal de Snort. Ce dernier a besoin d’énormément de RAM, plus on applique de
règles plus la consommation de la mémoire est conséquente. Puisque dans notre cas, la mémoire vive est
une ressource précieuse, on a choisi de se limiter à deux ensembles de règles.
— Les deux ensembles sont la Emerging Threats Rules et l’offre des utilisateurs inscrits de Snort VRT Rules.
On a choisi ces deux règles car une fois combinées on à un nombre de règles conséquent qui permet d’avoir
un assez bon IDS/IPS. Bien qu’utiliser l’ensemble Snort GPLv2 Community Rules, aiderais à avoir une
meilleure sécurité.
36
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
— Toujours dans la même page, on configure la fréquence de mise à jour des règles.
— Maintenant, on peut télécharger ces règles dans l’onglet : Services > Snort > Updates.
— Une fois les règles téléchargées, on peut appliquer Snort sur une interface dans l’onglet : Services > Snort
> Snort Interfaces.
37
4.2. SÉCURISATION DU RÉSEAU
— Une fois installer, on peut directement commencer la configuration dans : Services > Squid Proxy Server >
General. De la sorte :
— Enfin, pour s’assurer que tous les utilisateurs du domaine utilisent bien notre proxy, on crée une GPO :
38
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
F IGURE 4.27 – GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine
Après avoir défini les règles de pare-feu et configurer les packages correctement, on doit s’assurer que notre
pare-feu répond à nos exigences. Afin de tester nos règles, on utilise « nmap » qui est un outil open source pour
l’analyse des vulnérabilités. Dans notre cas, nmap va nous permettre de scanner les ports de nos différentes ma-
chines pour trouver d’éventuelles failles dans le comportement du pare-feu.
Premièrement, on test notre infrastructure. En scannant le réseau depuis Internet, on trouve les résultats sui-
vants :
On remarque que les ports ouverts sont ceux qu’on a explicitement ouverts comme le port 53 (DNS) et le port
80 (HTTP) qui sont nécessaires pour que le site Web de l’entreprise soit accessible depuis Internet.
Après, on test les règles de chacune de nos zones. On commence par la DMZ, on scan le serveur web externe
depuis les quatre différentes zones et on trouve les résultats suivants :
— Le scan depuis la zone DMZ :
39
4.2. SÉCURISATION DU RÉSEAU
F IGURE 4.30 – Résultats du scan du serveur Web externe depuis la zone DMZ
F IGURE 4.31 – Résultats du scan du serveur Web externe depuis la zone CLIENTS
F IGURE 4.32 – Résultats du scan du serveur Web externe depuis la zone SERVEURS
F IGURE 4.33 – Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION
Ensuite, on continue avec le scan d’un client de la zone CLIENTS toujours depuis les quatre différentes zones
et on trouve les résultats suivants :
— Le scan depuis la zone DMZ :
Encore une fois, on scan notre serveurs Web interne présent dans la zone SERVEUR :
— Le scan depuis la zone DMZ :
40
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
F IGURE 4.38 – Résultats du scan de serveur Web Interne depuis la zone DMZ
F IGURE 4.39 – Résultats du scan de serveur Web Interne depuis la zone CLIENTS
F IGURE 4.40 – Résultats du scan de serveur Web Interne depuis la zone SERVEURS
F IGURE 4.41 – Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION
Donc, en analysant les résultats des différents tests, on peut conclure que le fonctionnement du pare-feu répond
à nos attentes de telle sorte que les seuls ports qu’on a trouvé ouverts correspondent aux ports qu’on a explicitement
autorisé dans nos règles de pare-feu.
41
Conclusion General
À travers ce mémoire, nous avons essayé de simuler au mieux un réseau d’entreprise dans un environnement
virtuel et ce avec nos contraintes matérielles, surtout par rapport à la mémoire vive qui représente une ressource
précieuse. Malgré ces contraintes, on est parvenue à créer un réseau qui permet de remplir notre objectif, c’est-à-
dire sécurisé un réseau d’entreprise.
Pour sécuriser notre réseau, on a choisi de travailler avec pfSense, un pare-feu professionnel open-source.
D’abord, on a fragmenté notre réseau en quatre zones différentes tels-que chaque zone possède un objective unique.
Ensuite, on a appliqué des règles de pare-feu sur chacune des zones pour permettre de contrôler le trafic entre les
zones.
L’un des avantages des pare-feu open-source est de pouvoir installer des packages ce qui leur offre une grande
flexibilité. Or, pour améliorer notre travail, il faudrait prévoir plus de mémoire vive pour le pare-feu (au minimum
un Gigaoctets). De la sorte, on peut installer plus de packages notamment « pfBlocker » qui permet de bloquer des
adresses IP ou bien « darkstat » pour avoir une meilleure vue sur le trafic qui passe par le pare-feu. On peut aussi
envisager la configuration d’un VPN pour pouvoir se connecter a notre réseau depuis Internet en toute sécurité.
42
Bibliographie
[4] J.-F. P. et J.-P. BAY, Tout sur la sécurité informatique. Dunod, 2013.
43
BIBLIOGRAPHIE
[21] “Installing and upgrading - perform the installation | pfsense documentation.” https://docs.netgate.
com/pfsense/en/latest/book/install/perform-install.html. Accès le 20 Avril 2020.
[22] “Active directory and active directory domain services port requirements.” https://docs.microsoft.
com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/
dd772723(v=ws.10)?redirectedfrom=MSDN. Accès le 18 Mai 2020.
[23] “Network ports for clients and mail flow in exchange 2013.” https://docs.microsoft.com/en-us/
exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help.
Accès le 18 Mai 2020.
[25] “What are the differences in the rule sets ?.” https://www.snort.org/faq/
what-are-the-differences-in-the-rule-sets. Accès le 16 Mai 2020.
44