Protection Dun Rseau Dentreprise Via Un Firewall 221002065350 4655d055

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Université des sciences et de la technologie Houari Boumédiène

Faculté d’Electronique et Informatique
Département Informatique
Mémoire de fin de cycle

En vue de l’obtention d’une licence Informatique
Option :
Génie des Télécommunications et Réseaux
Thème
Protection d’un réseau d’entreprise

avec un pare-feu
Présenté par :
BOUKADOUM Youcef Islem
MELLAH Mouloud
Sous la direction de : M r BERBAR Ahmed
Année universitaire 2019/2020

Remerciements
Nous souhaitons adresser nos remerciements les plus sincères aux personnes qui nous ont apporté leur aide et
qui ont contribué de près ou de loin à l’élaboration de ce mémoire. Nous tenons dans un premier lieu remercié
notre encadreur M r BERBAR Ahmed pour sa patience, sa disponibilité et ces conseils durant tout le long de notre
projet sans quoi la construction de ce travail n’aurait pas pu être possible.
Nous adressons aussi nos remerciements aux membres du jury pour l’intérêt qu’ils ont porté à notre travail en
acceptant de l’examiner.
Enfin, n’oublions pas de remercier nos familles et nos amis pour leurs soutiens inconditionnels et leurs encou-
ragements.
Résumé
Un pare-feu permet d’isoler et de protéger plusieurs réseaux en fonction de leur degré de confiance. Dans ce
projet, nous avons créé un environnement virtuel afin de simuler un réseau informatique d’entreprise fonctionnelle
que nous avons sécurisé avec un pare-feu.
Dans un premier temps, nous avons défini les concepts fondamentaux de la sécurité informatique en donnant
un aperçu sur les différentes menaces informatiques. Puis, nous avons présenté les différents moyens et outils pour
faire face à ces menaces.
Ensuite, on a fait une étude approfondie sur le fonctionnement des pare-feu ce qui nous a permis de connaître
comment utiliser au mieux un pare-feu, ainsi que les limites de ce dernier et les critères permettant de choisir un
pare-feu. Pour choisir notre pare-feu, nous avons fait une étude afin de comparer les pare-feu open-source à notre
disposition.
Finalement, on a réalisé notre environnement virtuel en installant tous les serveurs et postes clients nécessaires.
Puis, on a sécurisé notre réseau en installant notre pare-feu, ce qui a permis de segmenter le réseau en quatre zones.
Une fois les zones mis en place, on pouvait commencer à rédiger nos règles des interfaces du pare-feu. Pour finir,
afin de s’assurer que notre pare-feu est bien fonctionnel, on a mis à l’épreuve le pare-feu en effectuant un ensemble
de tests.
Table des matières
1 Les risques et menaces liés à la Sécurité informatique 1

1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2.1 Sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2.2 Menace informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.3 Risque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.4 Vulnérabilité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.5 Attaque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 Les menaces informatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3.1 Menace passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3.2 Menace active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3.3 Exemple de menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Les Techniques, outils et moyens de sécurités 7

2.1 Le chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Serveur proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3 Réseaux Privés Virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.5 Pare-feu (firewall) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.6 Détection d’intrusion (IDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.7 Prévention d’intrusion (IPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3 Étude des Pares-feux et comparaison des solutions existantes 12

3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.2 Principe de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 Fonctions de cloisonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.2 Fonction de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2.3 Fonctions de relais et de masque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
i
TABLE DES MATIÈRES
3.3 Zone démilitarisée (DMZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3.4 Les limites de système pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.5 Critères de choix d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.6 Architecture de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.6.1 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.6.2 Passerelle double – le réseau bastion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.6.3 Pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.6.4 Pare-feu avec sous réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.7 Etude comparative des solutions existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.7.1 OPNsense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.7.2 IPFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.7.3 pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.7.4 Caractéristiques des 3 solutions étudiées . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4 Virtualisation du réseau d’entreprise 25

4.1 La présentation de l’architecture cible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.1 Contrôleur de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.2 Serveur Web Interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.3 Serveur de messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.4 Poste clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.5 Serveur Web externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.6 Serveur DNS externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2 Sécurisation du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2.1 Création de la machine virtuel pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.2.2 Installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.2.3 Configuration de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.4 Mise en place des règles des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2.5 Mise en place des règles anti intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.2.6 Mise en place d’un proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.2.7 Mise à l’épreuve du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Conclusion General 42
Bibliographie 44
ii
Table des figures
1.1 Illustration d’une attaque DDoS sur un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.2 Illustration d’une attaque MITM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.1 Illustration d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3.2 Fonction de cloisonnement de filtre d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.3 Exemple de pare-feu applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4 Illustration d’un réseau avec DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.5 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.6 Illustration d’une passerelle double . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.7 Illustration de pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.8 Illustration d’un pare-feu avec sous-réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . 20
4.1 Représentation du réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4.2 Représentation du réseau avec un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3 Paramètres de la machine virtuelle pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.4 Copyright de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.5 Message de bienvenue pour l’installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . 29
4.6 Installation de pfSense : sélection du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.7 Choix du partitionnement du disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.8 Menue des options sur la console pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.9 Affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.10 Confirmation de l’affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.11 Les alias de ports du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.12 Les alias IP du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.13 Onglets des règles de pare-feu pour les différentes interfaces . . . . . . . . . . . . . . . . . . . . 33
4.14 Les règles de pare-feu définies sur l’interface CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 33
4.15 Les règles de pare-feu définies sur l’interface SERVEURS . . . . . . . . . . . . . . . . . . . . . 34
4.16 Les règles de pare-feu définies sur l’interface DMZ . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.17 Les règles redirection de port NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
iii
TABLE DES FIGURES
4.18 Les règles de pare-feu définies sur l’interface WAN . . . . . . . . . . . . . . . . . . . . . . . . . 35

4.19 Les règles de pare-feu définies sur l’interface ADMINISTRATION . . . . . . . . . . . . . . . . . 35
4.20 Choix de Snort Vulnerability Research Team (VRT) Rules . . . . . . . . . . . . . . . . . . . . . . 36
4.21 Choix de Emerging Threats (ET) Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.22 Choix de la fréquence de mise a jour des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.23 Choix de l’interface dont Snort va être appliqué . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.24 Paramètre général de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.25 Paramètres de journalisation de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.26 Paramètres de mise en cache de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.27 GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine . . . . . . . . . . . . 39
4.28 Résultats du scan TCP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.29 Résultats du scan UDP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.30 Résultats du scan du serveur Web externe depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40
4.31 Résultats du scan du serveur Web externe depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 40
4.32 Résultats du scan du serveur Web externe depuis la zone SERVEURS . . . . . . . . . . . . . . . 40
4.33 Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION . . . . . . . . . . . 40
4.34 Résultats du scan d’un client depuis la zone DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.35 Résultats du scan d’un client depuis la zone CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 40
4.36 Résultats du scan d’un client depuis la zone SERVEURS . . . . . . . . . . . . . . . . . . . . . . 40
4.37 Résultats du scan d’un client depuis la zone ADMINISTRATION . . . . . . . . . . . . . . . . . 40
4.38 Résultats du scan de serveur Web Interne depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40
4.39 Résultats du scan de serveur Web Interne depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 41
4.40 Résultats du scan de serveur Web Interne depuis la zone SERVEURS . . . . . . . . . . . . . . . 41
4.41 Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION . . . . . . . . . . . 41
4.42 Résultats du scan du client de l’administration depuis la zone DMZ . . . . . . . . . . . . . . . . . 41
4.43 Résultats du scan du client de l’administration depuis la zone CLIENTS . . . . . . . . . . . . . . 41
4.44 Résultats du scan du client de l’administration depuis la zone SERVEURS . . . . . . . . . . . . . 41
4.45 Résultats du scan du client de l’administration depuis la zone ADMINISTRATION . . . . . . . . 41
iv
Liste des tableaux
3.1 Comparaison des caractéristiques des trois pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1 Résumé de la configuration des différentes interfaces . . . . . . . . . . . . . . . . . . . . . . . . 32
v
Chapitre 1
Les risques et menaces liés à la Sécurité

informatique
1.1 Introduction
Aujourd’hui, les systèmes d’information sont au cœur de toutes entreprises de ce fait toutes menacent peut leur
être fatale. Tout appareil connecté à Internet est vulnérable aux attaques et aux menaces qui rôdent dans ce dernier,
ainsi garantir la sécurité des systèmes deviens une nécessitée.
La sécurité est l’ensemble des mesures permettant d’assurer la protection des biens. En informatique, on dis-
tingue deux types : l’information et les données ou les systèmes permettant de traiter, véhiculer et stocker l’infor-
mation.
1.2 Termes et définitions
1.2.1 Sécurité informatique
La sécurité représente l’ensemble des moyen techniques, organisationnels et humains nécessaires et mis en
place pour conserver, rétablir et garantir la sécurité. Elle vise cinq principales caractéristiques [1] :
— La Confidentialité : l’information ne doit pas être diffusée ni divulguée à des personnes, des entités ou des
processus non autorisés.
— L’intégrité : l’information doit être protégée contre toute modification ou destruction accidentelle ou mal-
veillante.
— La disponibilité : l’information et le système doivent être accessible et utilisable a tout instant par une entité
autorisée.
— L’authenticité : permet d’assurer l’identification d’une personne ou d’une entité.
— La non-répudiation : pouvoir prouver qu’une action a étais effectuée par une personne ou une entité et
qu’elle ne peut être niée.
1
1.3. LES MENACES INFORMATIQUES
1.2.2 Menace informatique
Une menace est une cause potentielle d’un incident indésirable, qui peut nuire à un système ou à un organisme.
Elle peut être accidentelle ou intentionnelle et leur origine naturelle ou humaine.
1.2.3 Risque informatique
Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de
la perte consécutive à sa réalisation. [2]
1.2.4 Vulnérabilité informatique
Les systèmes informatiques sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frau-
duleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration, leur destruction ou permettre la
violation des données qui s’y trouvent stockées. Ainsi, une vulnérabilité est une faiblesse d’un système se tradui-
sant par une incapacité partielle de celui-ci à faire face aux menaces informatiques qui le guettent. [3]
1.2.5 Attaque informatique
Une attaque est l’exploitation d’une vulnérabilité par une menace.
1.3 Les menaces informatiques

Les menaces peuvent être classifiées en deux types : menace passive et menace active.
1.3.1 Menace passive
Ce type de menace ne modifie pas l’état du système.
1.3.2 Menace active
Ce type de menace contrairement au premier, altère ou modifie l’état du système et des données qui y transite.
1.3.3 Exemple de menaces
Virus
Définie généralement comme étant un programme capable de s’installer sur un ordinateur à l’insu de son utili-
sateur légitime, une fois installé et lancé, il se charge en mémoire et exécute les instructions que son auteur a pro-
grammé. On distingue plusieurs types de virus, on peut en citer quelques-uns : Virus mutants, Virus polymorphes,
Rétrovirus, Virus de secteur d’amorçage, Virus de macros, etc. [4]
2
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE
Ver
Un ver est un type de menace qui peut se reproduire et se propager à travers un réseau en utilisant ses propres
mécanismes, sans avoir réellement besoin de support physique ou logique (disque dur, programme hôte, fichier. . . ).
[4]
Cheval de Troie
Le cheval de Troie est un code nuisible caché dans un programme sain. Il permet généralement d’ouvrir une
porte dérobée (backdoor) dans un système pour y faire entrer un hacker ou d’autre programmes indésirables. [4]
Bombes logiques
Une Bombe logique est une menace dont le déclenchement est programmé par son créateur. Ce déclenchement
peut se faire suite à une séquence de commande ou après un appel au système prédéfinie par le créateur. [4]
Spyware
Un spyware (espiogiciel) est un programme chargé de recueillir des informations sur l’utilisateur de l’ordina-
teur dans lequel il est installé afin de les envoyer à l’entité qui le diffuse. Généralement les spywares sont installés
en même temps que d’autre logiciels. [4]
Keylogger
Un keylogger est un dispositif d’espionnage chargé d’enregistrer les frappes de touches du clavier et de les
enregistrer, à l’insu de l’utilisateur. Il peut servir à des personnes mal intentionnées pour récupérer des mots de
passe ou encore avec certains keylogger d’enregistrer les URL visités ou les e-mails consulté ou envoyés. [4]
Déni de service
Le déni de service (DoS, Denial of Service) est un type d’attaque visant à rendre indisponible pendant un temps
indéterminé les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des
serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Ce type d’attaque peut toucher tout
serveur d’entreprise ou tout particulier relié à Internet. [4]
Un déni de service peut être provoqué par plusieurs machines qui envoient simultanément des paquets, on parle
alors de déni de service distribué (DDoS, Distributed Denial of Service).
3
F IGURE 1.1 – Illustration d’une attaque DDoS sur un serveur
Usurpation d’adresse IP (Spoofing)
L’usurpation d’adresse IP est une technique consistant à remplacer l’adresse IP de l’expéditeur d’un paquet
IP par l’adresse IP d’une autre machine. Cette technique permet d’envoyer des paquets anonymement sans que
ceux-ci soient interceptés par le système de filtrage de paquets (pare-feu). [4]
Reniflage réseau (Sniffing)
Le reniflage réseau (ou reniflage de paquets) consiste à rassembler, collecter et consigner tout ou partie des
paquets qui transitent par le réseau d’un ordinateur, quelle que soit l’adresse à laquelle ces paquets sont destinés.
[5]
«Man in The Middle»
La menace Man in the Middle (MITM) est un scénario d’attaque dans lequel un pirate écoute une communica-
tion entre deux parties et falsifie les échanges en se faisant passer à chaque fois pour l’autre partie. [4]
4
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE
F IGURE 1.2 – Illustration d’une attaque MITM
Injections
Des failles d’injection, telles que l’injection SQL ou NoSQL, visent les sites web s’appuyant sur des bases de
données relationnelles. Ces injections se produisent lorsque des données non-fiables sont envoyées à un interpréteur
dans le cadre d’une requête. Ainsi, l’attaquant peut accéder à l’ensemble de la base de données ou même d’en
modifier le contenu. [6]
Cross-site Scripting (XSS)
Des failles XSS se produisent chaque fois qu’une application inclut des données non-fiables dans une nouvelle
page Web sans validation appropriée ou met à jour une page Web existante avec des données fournies par l’uti-
lisateur à l’aide d’une API de navigateur qui peut créer du HTML ou du JavaScript. XSS permet aux attaquants
d’exécuter des scripts dans le navigateur de la victime qui peuvent pirater des sessions utilisateur, défigurer des
sites Web ou redirigé l’utilisateur vers des sites malveillants. [6]
XML External Entity (XEE)
De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes dans
les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du
gestionnaire d’URI de fichiers, des partages de fichiers internes, de l’analyse des ports internes, de l’exécution de
code à distance et des attaques par déni de service. [6]
5
Authentification brisée
Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées
de manière incorrecte, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de
session, ou d’exploiter d’autre failles d’implémentation pour assumer l’identité des autres utilisateurs de manière
temporaire ou permanente. [6]
Contrôle d’accès cassé (Broken ACL)
Lorsque les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont pas correctement
appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non
autorisées, comme accéder aux comptes d’autres utilisateurs, afficher des fichiers sensibles, modifier les données
d’autre utilisateurs, changer les droits d’accès, etc. [6]
6
Chapitre 2
Les Techniques, outils et moyens de

sécurités
De nos jours la quasi-totalité des ordinateurs sont connectés à Internet ce qui les expose à une panoplie de
menaces. Néanmoins, ces ordinateurs ne sont pas sans défense contre les attaques de plus en plus nombreuses et
puissantes. Afin de les protéger et garantir un niveau de sécurité acceptable, nous devons utiliser des techniques,
des outils et des moyens adaptés afin de contrôler l’accès au réseau, protéger le flux d’information sensible et
prévenir les menaces qui rôdes sur Internet.
Dans ce chapitre, on définit les techniques et les dispositifs de protection utilisés avant de s’intéressaient plus
en particulier aux pare-feu.
2.1 Le chiffrement
Le chiffrement est l’opération qui consiste à transformer des données d’un format lisible à un format codé qui
peut uniquement être compris ou traité après déchiffrement. Ainsi, on peut garantir la confidentialité et l’authenti-
cité de l’information. [7]
Les principes du chiffrement se basent sur la notion d’algorithmes de chiffrement et de « clés ». Lorsque l’in-
formation est envoyée, elle est chiffrée à l’aide d’un algorithme et peut être décodée uniquement à l’aide de la clé
appropriée. Une clé peut être stockée sur le système de réception, ou peut être transmise avec les données chiffrées.
Les méthodes de chiffrement se développent parallèlement à l’évolution perpétuelle des logiciels informatiques et
des méthodes permettant d’intercepter et de voler les informations [7]. Parmi les méthodes de chiffrement, on peut
citer les plus connues :
Le chiffrement symétrique
C’est une méthode de décodage unique qui doit être fournie au destinataire avant que le message ne puisse
être déchiffré. La clé utilisée pour encoder est la même que celle utilisée pour décoder. Autrement, la clé doit être
envoyée au destinataire, ce qui augmente le risque de compromission si elle est interceptée par un tiers. L’avantage
de cette méthode est qu’elle est beaucoup plus rapide que la méthode asymétrique [7].
7
2.2. SERVEUR PROXY
Le chiffrement asymétrique
Le système de chiffrement asymétrique propose un mécanisme implicite de signature de message. L’émetteur

chiffre un message avec sa clé privée. Une entité connaissant la clé publique de l’émetteur peut déchiffrer le
message et le lire, cela signifie que le message a bien été créé à l’aide de la clé privé correspondante dont l’émetteur
est censé en être le seul propriétaire. On peut ainsi s’assurer de l’origine d’un message et en authentifier l’émetteur.
[8]
Signer électroniquement un document est possible en utilisant un algorithme de chiffrement à clé publique.
Pour cela, il suffit d’effectuer les actions suivantes [8] :
— Créer un petit message de déclaration d’identité, le chiffrer avec sa clé privée pour constituer une signature
que l’on attache au message à envoyer.
— Chiffrer ensuite le message et sa signature avec la clé publique du destinataire puis émettre le message.
— À sa réception, le destinataire déchiffre le message avec sa clé privée et détache la signature qu’il déchiffre
avec la clé publique de l’émetteur.
2.2 Serveur proxy

Le serveur proxy est une machine intermédiaire entre les ordinateurs d’un réseau local et Internet. Les serveurs
proxy offre un certain nombre de fonctionnalités telles que [2] :
Le filtrage
Le proxy permet d’assurer un suivi de connexion via les journaux de logs en enregistrant les requêtes des
utilisateurs lors de leurs Demandes de connexion à Internet. De ce fait, on peut filtrer les connexions à Internet en
analysant d’une part les requêtes des clients, d’autre part les réponses des serveurs tels qu’on peut soit Autoriser
les requêtes ou les interdire.
L’authentification
On peut utiliser le proxy pour l’authentification des utilisateurs ce qui nous permet de donner l’accès aux
ressources externes aux seules personnes autorisées et de pouvoir enregistrer dans les fichiers journaux des accès
identifiés.
La mise en cache
La fonction de cache permet de garder temporairement en mémoire les pages les plus fréquemment visitées
par les utilisateurs du réseau local afin de les leur fournir le plus rapidement possible. Ceci permet de réduire
l’utilisation de la bande passante vers Internet.
8
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS
2.3 Réseaux Privés Virtuels (VPN)

Le VPN permet d’obtenir une liaison sécurisée entre deux réseaux locaux à travers Internet. Il utilise un proto-
cole, appelé protocole de tunnelisation (tunneling), c’est-à-dire un protocole permettant aux données passant d’une
extrémité du VPN à l’autre d’être sécurisées par des algorithmes de chiffrement. Parmi ces protocoles de tunne-
lisation on peut en citer quelques-uns : PPTP (Point-to-Point Tunneling Protocol), L2F (Layer Two Forwarding),
L2TP (Layer Two Tunneling Protocol) et IPSec. [4]
2.4 Antivirus
Les logiciels antivirus sont une classe de programmes conçus pour prévenir, détecter et supprimer les menaces
sur les différents systèmes et réseaux informatiques. Autrement dit, un antivirus permet de protéger l’ordinateur
contre une grande variété de menace (Keyloggers, ransomware, etc.).
L’antivirus fonctionne généralement comme un processus en arrière-plan, analysant les ordinateurs, les ser-
veurs ou les appareils mobiles pour détecter et limiter la propagation des menaces [9]. Nombreux antivirus incluent
une détection et une protection des menaces en temps réel en utilisant les techniques de détection suivantes [4] :
Recherche de signature virale
Un virus est programmé pour ne pas infecter le même fichier. Or pour distinguer les fichiers déjà infectés, il y
intègre une signature virale. Les antivirus utilisent cette signature qui est propre à chaque menace pour les détecter
et les identifier en utilisant sa base virale qui doit être mise à jour.
Contrôle d’intégrité
Certains antivirus utilisent des contrôleurs d’intégrité qui comme son nom l’indique contrôle l’intégrité des
fichiers en surveillant tous les changements tels que la modification, suppression de fichier, etc. De la sorte, le
contrôleur d’intégrité construit une base de données contenant des informations sur les fichiers du système (date
de modification, taille). Ainsi, l’antivirus reste en courant de chaque modification de fichiers.
Analyse des comportements
La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité
proche de celle d’une menace connue. Ainsi, l’antivirus peut détecter des virus mêmes lorsque la base n’a pas été
mise à jour.
2.5 Pare-feu (firewall)

Un pare-feu (firewall) est un dispositif matériel ou logiciel de protection du réseau qui surveille le trafic entrant
et sortant et décide d’autoriser ou de bloquer une partie de ce trafic en fonction d’un ensemble de règles de sécurité
9
2.6. DÉTECTION D’INTRUSION (IDS)
prédéfinies. Il établit une barrière entre les réseaux interne sécurisés et contrôlés qui sont digne de confiance et les
réseaux externes non-fiables tels qu’Internet. [10]
Le pare-feu contient un ensemble de règles prédéfinies permettant :
— D’autoriser la connexion.
— De bloquer la connexion.
— De rejeter la demande de connexion sans avertir l’émetteur.
L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité.
2.6 Détection d’intrusion (IDS)

L’IDS est un logiciel écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou
suspectes et permettant ainsi d’avoir une action de prévention sur les risques d’intrusion. On distingue deux types
d’IDS [4] :
— Les HIDS (Host based Intrusion Detection System) assurent la sécurité au niveau des hôtes.
— Les NIDS (Network based Intrusion Detection System) assurent la sécurité au niveau du réseau.
Un IDS peut utiliser de nombreuses techniques pour reconnaître les intrusions notamment [4] :
Vérification de la pile protocolaire
Beaucoup d’intrusions ont recours à des violations des protocoles IP, TCP, UDP et ICMP dans le but d’attaquer
une machine. Une simple vérification protocolaire peut mettre en évidence les paquets invalides.
Vérification des protocoles applicatifs
Nombre d’intrusions utilisent des comportements protocolaires invalides. Ainsi, un NIDS doit implémenter
une grande variété de protocoles applicatifs.
Reconnaissance des attaques par ‘pattern matching’
Cette méthode identifie une intrusion par le seul examen d’un paquet et la reconnaissance dans une suite
d’octets du paquet d’une séquence caractéristique d’une signature précise.
2.7 Prévention d’intrusion (IPS)

L’IPS est une technologie de prévention des menaces qui examine les flux du trafic réseau pour détecter et pré-
venir les vulnérabilités. Il se trouve généralement directement derrière le pare-feu et fournit une couche d’analyse
complémentaire [11].
À l’instar de l’IDS, qui est un système passif (analyse le trafic et signale les menace), l’IPS prend des mesures
automatisées sur tout le flux qui entre dans le réseau. Il peut réaliser les actions suivantes [11] :
— Envoyer une notification à l’administrateur
10
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS
— Supprimer les paquets malveillants.

— Bloquer du trafic.
— Réinitialiser la connexion.
2.8 Conclusion
Pour sécuriser un réseau, on remarque qu’on a le choix entre plusieurs techniques et outils assez différentes les
unes des autres. Or, dans le cadre de notre projet, on s’intéresse aux pare-feu. Donc, dans le chapitre suivant on
décrit plus en détails le fonctionnement du pare-feu pour ensuite faire une étude comparative des pare-feu logiciels
disponibles en téléchargement libre.
11
Chapitre 3
Étude des Pares-feux et comparaison des

solutions existantes
Le pare-feu est primordial pour protéger les données numériques et sécuriser le réseau. Sa mission : filtrer les
entrées et vérifier les sorties. Il peut se présenter sous la forme d’un appareil ou d’un logiciel.
Dans ce chapitre, on va voir plus en détails le fonctionnement d’un pare-feu et comparer entre les différentes
solutions disponibles.
3.1 Présentation
Un pare-feu (coupe-feu, garde-barrière ou firewall) est un système permettant de protéger un ordinateur, ou
un réseau d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment Internet). Il détermine quel trafic
peut ou ne peut pas passer en appliquant des règles définies par l’administrateur. Ces règles traduisent en terme
technique les besoins de sécurité exprimés par l’organisation. [4]
F IGURE 3.1 – Illustration d’un pare-feu
12
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES
Il est possible de mettre un système pare-feu sur n’importe quelle machine pourvue que [4] :
— La machine soit suffisamment puissante pour traiter le trafic.
— Le système soit sécurisé.
— Aucun autre service que le service de filtrage de paquets fonctionne sur le system.
3.2 Principe de fonctionnement

La configuration d’un pare-feu consiste à rédiger des règles propres et à déterminer les paquets autorisés et les
paquets interdits, chaque paquet est caractérisé par quelques paramètres [12] :
— L’interface réseau sur lequel le paquet est arrivé, un pare-feu a au moins deux inter-faces, l’une connectée
au réseau privé et l’autre connectée au lien d’accès à Internet.
— Le protocole auquel appartient le paquet, tel que mentionné dans son en-tête IP.
— Les adresses d’origine et de destination, mentionnées dans l’en-tête IP.
— Les numéros de port d’origine et de destination, mentionnés dans l’en-tête TCP ou UDP.
— S’il s’agit d’un paquet TCP, les numéros de séquence et d’acquittement, qui permettent de reconstituer la
séquence des paquets d’une connexion TCP.
Pour configurer le pare-feu, deux approches sont possibles :
— L’approche réactive : consiste à tout laisser passer sauf les attaques dont on connaît le fonctionnement.
— L’approche proactive : consiste à tout interdire sauf ce dont vous avez besoin.
L’objectif d’un réseau est d’offrir un maximum de connectivité et d’accès aux ressources, l’objectif de la sécurité
est de limiter ces accès. Ces deux objectifs concurrents et contradictoires se trouvent être ceux d’un pare-feu.
Pour cela, et afin de satisfaire les objectifs de sécurité attendus du pare-feu, ce dernier implémente trois fonctions
basiques : cloisonnement, filtrage et relais. [8]
3.2.1 Fonctions de cloisonnement
En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un pare-feu permet de cloisonner
le réseau et en principe, de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de
telle manière que l’on puisse en fonction d’impératifs de sécurité, séparer des systèmes afin de mieux les contrôler.
[8]
13
3.2. PRINCIPE DE FONCTIONNEMENT
F IGURE 3.2 – Fonction de cloisonnement de filtre d’un pare-feu
Le principe de cloisonnement repose sur la segmentation du système d’information en composants de sécurité

homogène (domaine de confiance mutuelle). Le contrôle d’accès des flux d’information échangés entre les divers
composants du système d’information doit être rigoureux pour garantir la sécurité et la séparation totale et filtrante
des entités cloisonnées. Le cloisonnement d’un réseau permet de constituer des environnements IP disjoints en
rendant physiquement indépendants les accès des réseaux que l’on désire séparer. Cela permet d’interconnecter
deux réseaux de niveaux de sécurité différents. Ainsi, on peut contrer les flux qui pourraient engendrer la compro-
mission des systèmes et des données (modification, destruction, altération, perte, fuite d’information), l’atteinte
aux critères d’intégrité, et de disponibilité. [8]
3.2.2 Fonction de filtrage
Selon la nature de l’analyse et des traitements effectués par un pare-feu, différents types de pare-feu existent.
Ils se distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP),
niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modèle OSI. [8]
Filtrage simple de paquets (stateless packet filtring)
Ce type de pare-feu analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine
du réseau interne et une machine extérieure. Ainsi, les paquets échangés transitent par le pare-feu et possèdent les
en-têtes suivants, systématiquement analysés par le pare-feu [4] :
— Adresse IP de la machine émettrice.
— Adresse IP de la machine réceptrice.
— Type de paquet (TCP, UDP, etc.).
— Numéro de port (un port est un numéro associé à un service ou une application réseau).
14
Les adresses IP contenues dans les paquets permettant d’identifier la machine émettrice et la machine cible que
le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. [4]
Filtrage dynamique (stateful packet filtring)
Un pare-feu dit stateful packet permet de filtrer les paquets en se basant sur la couche transport du modèle OSI
(filtrage au niveau des ports de communication TCP/UDP). Il maintient une table d’état des connexions correspon-
dantes aux ports logiques du niveau 4 et sur tous les ports dont le numéro est supérieur à 1024 (les ports utilisés
par les applications de l’utilisateur) pour un meilleur suivi des communications. Ainsi, si une connexion est auto-
risée, tous les paquets constitutifs de l’échange sont implicitement acceptés. Certains attaquants savent détourner
ce mode de fonctionnement et exploiter les failles dues aux applications communicantes. [8]
3.2.3 Fonctions de relais et de masque
Un pare-feu applicatif joue un rôle de filtre des flux applicatifs. Pour le paramétrer correctement, il faut
connaître l’ensemble des applications qui le traverseront. Il peut aussi jouer le rôle d’une passerelle applicative
ou de proxy. Il établit en lieu et place de l’utilisateur le service invoqué par celui-ci en masquant certaines infor-
mations et en validant chaque contenu, ce qui nécessite des ressources et des temps de traitement. [8]
L’objectif d’un système qualifié de proxy est de réaliser un masquage d’adresse par relais applicatif, et de rendre
transparent l’environnement interne de l’organisation. Il est censé constituer un point de passage obligé pour toutes
les applications qui nécessitent un accès internet. Cela suppose qu’une application « relais » soit installé sur le poste
de travail de l’utilisateur et sur le pare-feu. [8]
F IGURE 3.3 – Exemple de pare-feu applicatif
Ainsi, à chaque demande de connexion internet, le fait de lancer un navigateur active ce programme relais qui
demandera au proxy, en ses lieux et place, de réaliser la connexion externe sollicitée sur Internet avec sa propre
adresse et non pas avec celle du système de l’utilisateur finale et effectue les échanges de données nécessaires. Le
proxy cache de la sorte toute l’infrastructure du réseau interne et ne dévoile en aucun cas les adresses des systèmes.
15
3.3. ZONE DÉMILITARISÉE (DMZ)
Il agit comme une passerelle applicative. Ce type de serveur est systématiquement mis en œuvre lors de l’utilisation
d’un plan d’adressage privé. [8]
3.3 Zone démilitarisée (DMZ)

Lorsque certaines machines du réseau interne ont besoin d’être accessible de l’extérieur (serveur web, serveur
de messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à
part accessible aussi bien du réseau interne que de l’extérieur, sans pour autant risquer de compromettre la sécurité
de l’entreprise. On parle ainsi de zone démilitarisée (Notée DMZ, demilitarized zone) pour désigner cette zone
hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le
réseau à protéger et le réseau hostile. [4]
F IGURE 3.4 – Illustration d’un réseau avec DMZ
Les serveurs situés dans la DMZ sont appelés bastions en raison de leur position d’avant-poste dans le réseau.
La politique de sécurité mis en œuvre sur la DMZ est généralement la suivante [4] :
— Trafic du réseau externe vers la DMZ autorisé.
— Trafic du réseau externe vers le réseau interne interdit.
— Trafic du réseau interne vers la DMZ autorisé.
— Trafic du réseau interne vers le réseau externe autorisé.
— Trafic de la DMZ vers le réseau interne interdit.
— Trafic de la DMZ vers le réseau externe interdit.
3.4 Les limites de système pare-feu

Un système pare-feu n’offre pas une sécurité absolue, bien au contraire. Les pare-feu n’offrent une protection
que dans la mesure où l’ensemble des communications vers l’extérieur passe systématiquement par leur intermé-
diaire et qu’ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du pare-feu
16
sont autant des failles de sécurité. C’est notamment le cas des connexions effectuées à partir du réseau interne à
l’aide d’un modem ou de tout moyen de connexion échappant au contrôle de pare-feu. De la même manière, l’in-
troduction de support de stockage provenant de l’extérieur sur des machines internes au réseau ou bien d’ordinateur
portable peut porter fortement préjudice à la politique de sécurité globale. [4]
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-feu et notamment
de surveiller son journal d’activité afin d’être en mesure de détecter les tentatives d’intrusion et les anomalies. Par
ailleurs, il est recommandé d’effectuer une veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier
le paramétrage de son dispositif en fonction de la publication des alertes. [4]
La mise en place d’un pare-feu doit donc se faire en accord avec une véritable politique de sécurité.
3.5 Critères de choix d’un pare-feu

Les façons de configurer un pare-feu et de le gérer sont tout aussi importantes que les capacités intrinsèques
qu’il possède. Toutefois, lorsque le choix s’impose, on peut prendre en considération les critères suivants [8] :
— La nature et le nombre des applications appréhendées (FTP, messagerie, http, SNMP, vidéoconférences,
etc.).
— Le type de filtre et le niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité de combiner
ces niveaux).
— L’existence d’outils d’analyse, d’audit actif et de détection des activités suspectes.
— Facilités d’administration (interface graphique ou lignes de commandes, administration distante après au-
thentification du gestionnaire, etc.).
— La simplicité du système, proxy facile à comprendre et à vérifier (facilité de configuration, etc.).
— La capacité à supporter un tunnel chiffré permettant de réaliser, si nécessaire un réseau privé virtuel (VPN).
— La disponibilité d’outils de surveillance, d’alarmes, d’audit, actif.
— La possibilité d’effectuer de l’équilibrage de charge.
Le pare-feu est comme tout système sujet à des menaces telles que :
— Les intrusions dans un pare-feu avec, pour conséquences, la modification de sa configuration, des accès,
l’effacement ou la modification des traces de journalisation ou encore l’infection virale.
— Toute opération inappropriée réalisée d’une manière accidentelle ou par négligence.
3.6 Architecture de pare-feu

Plusieurs architectures et configuration de réseau intégrant des pares-feux peuvent être mises en place en fonc-
tion des besoins, du type, du nombre de ressources à protéger ou de l’architecture du système d’information.
17
3.6. ARCHITECTURE DE PARE-FEU
3.6.1 Pare-feu avec routeur de filtrage
La solution la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient en configurant le routeur
qui assure la connexion avec Internet.
F IGURE 3.5 – Pare-feu avec routeur de filtrage
Cette solution permet de réaliser les différents serveurs d’un intranet sur plusieurs systèmes. Le routeur de
filtrage contient les autorisations d’accès basées exclusivement sur les adresses IP et le numéro de port. [13] Pour
configurer le routeur, on peut utiliser la méthode standard suivante [14] :
— Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires (Par exemple :
HTTP, HTTPS, FTP, SMTP, DNS).
— Filtrages des connexions entrantes pour interdire les connexions directes sur les pare-feu.
3.6.2 Passerelle double – le réseau bastion
Il existe une autre possibilité permettant de réaliser un pare-feu applicatif à peu de frais : la passerelle double.
Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans les réseaux internet et intranet. Cette
machine doit être équipée de deux cartes réseau. On l’appelle également réseau bastion, car il contrôle tous les
services accessibles de l’extérieur comme de l’intérieur du réseau interne tels que les serveurs WEB, FTP, et
Mail. Un serveur proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne
d’accéder à Internet. Le nom « réseau bastion » découle des mesures particulières de protection qui sont prises en
prévision de possibles intrusions. [13]
Un serveur proxy exécuté sur un hôte bastion (un proxy http par exemple) masque à l’internet toutes les adresses
IP du réseau interne. Concrètement, lorsqu’un utilisateur se procure des informations depuis Internet à partir du
réseau interne, le site internet contacté ne détient que l’adresse IP du serveur proxy, et en aucun cas l’adresse IP de
l’ordinateur du réseau interne. [13]
Le proxy doit donc masquer l’adresse d’expéditeur des paquets de données circulant via Internet, pour empê-
cher tout intrus de déchiffrer les structures internes du réseau. Les serveurs proxy ont l’inconvénient d’être orientés
application, c’est-à-dire tributaires d’un protocole. Par conséquent, chaque service internet proposé aux collabo-
rateurs de l’entreprise exige son propre serveur proxy, qui doit fonctionner sur le système concerné. Les serveurs
proxy sont presque toujours des versions allégées des serveurs concernés, autrement dit, un proxy http est une
version lite de serveur web. Il existe des serveurs proxy pour tous les protocoles courants sur Internet. [13]
18
F IGURE 3.6 – Illustration d’une passerelle double
3.6.3 Pare-feu avec réseau de filtrage
La combinaison des deux méthodes est ici plus sure et efficace. Au niveau du réseau, un pare-feu est configuré
de façon à n’autoriser les accès de l’extérieur et de l’intérieur que par l’intermédiaire du réseau bastion sur lequel
fonctionnent tous les serveurs internet [13] :
F IGURE 3.7 – Illustration de pare-feu avec réseau de filtrage
Pour configurer le pare-feu, on peut utiliser la méthode standard suivante [14] :

— Les machines internes ne sont pas autorisées à se connecter à internet, elles peuvent uniquement commu-
niquer avec le proxy.
— Seul le proxy est autorisé à établir une connexion à destination d’Internet.
— Filtrage des connexions entrantes pour interdire les connexions directes.
3.6.4 Pare-feu avec sous réseau de filtrage
Cette solution est de loin la plus sure, mais également la plus onéreuse. Un pare-feu avec sous-réseau de filtrage
se compose de deux pare-feu sous-écran, l’un est connecté à Internet, et l’autre à l’intrant/LAN. Plusieurs réseaux
bastion peuvent s’intercaler pour former entre ces deux pare-feu, en quelque sorte, une zone démilitarisée (DMZ).
[13]
19
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES
F IGURE 3.8 – Illustration d’un pare-feu avec sous-réseau de filtrage
Les deux pare-feu appliquent des règles de filtrage de paquets, le bastion contient les services « publics » :
Web, SMTP et DNS. Le pare-feu « interne » peut être un host avec un logiciel de filtrage et de legging, plus un
proxy. Pour avoir un tel réseau, on peut utiliser la configuration suivante [14] :
— Les machines internes ne sont pas autorisées à se connecter à Internet, elles peuvent uniquement commu-
niquer avec le proxy dans la DMZ.
— Seuls les proxys sont autorisés à établir une connexion à destination internet.
— Les fonctions de routages sont désactivées sur les proxys
— Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires en direction de
proxy (HTTP, HTTPS, FTP, SMTP, DNS).
— Filtrage des connexions entrantes pour interdire les connexions directes.
3.7 Etude comparative des solutions existantes

Pour choisir le pare-feu idéal qui conviendra au mieux à notre réseau, nous devons d’abord déterminer les
différents choix qui s’offrent à nous. Puis faire la comparaison en prenant en considération les caractéristiques,
avantages et inconvénients de chacun.
Aujourd’hui, on a la chance d’avoir plusieurs pare-feu professionnels open-source à notre disposition. Mais,
parmi ces pares-feux on peut en éliminer quelques-uns. Comme par exemple : IPCop, Smoothwall et M0n0wall
qui sont actuellement obsolètes, car ce sont des projets abandonnés, ils ne reçoivent plus de mises à jour, donc
ils peuvent potentiellement exposer le réseau à des failles de sécurité. Ou encore : Untangle, Endian et Sophos
qui ne sont pas complètement gratuits où certaines fonctionnalités requièrent une licence. Ainsi, après plusieurs
recherches, on a pu déterminer les 3 meilleurs pare-feu utilisables dans le cadre de notre projet qui sont les suivants :
OPNsense, pfSense et IPFire.
20
3.7.1 OPNsense
OPNsense est un pare-feu et une plateforme de routage basés sur HardenedBSD. OPNsense inclut la plupart
des fonctionnalités disponibles dans les pares-feux commerciaux coûteux, et bien plus dans de nombreux cas. [15]
Au départ, OPNsense était un spin-off de pfSense et m0n0wall. Mais, le projet a évolué très rapidement tout en
conservant des aspects familiers à la fois de m0n0wall et de pfSense. Aujourd’hui, OPNsense propose des mises
à jour de sécurité hebdomadaires pour réagir aux nouvelles menaces. Un cycle de publication fixe de 2 versions
majeures chaque année, ce qui offre aux entreprises la possibilité de planifier les mises à niveau à venir. [15]
L’ensemble de fonctionnalités d’OPNsense comprend des fonctionnalités haut de gamme telles que le forward
caching proxy, la mise en forme du trafic, la détection des intrusions et la configuration facile du client OpenVPN.
[15]
Avantages
— L’interface Web est moderne et facile d’utilisation.

— Mise à jour hebdomadaire.
— Prise en charge de fonctionnalités introuvables ailleurs.
— Installation et configuration initiale assez facile.
— Bonne solution pour les entreprises de petite a moyenne taille.
— Intégrations de service automatiquement.
Inconvénients
— Limitation du débit maximale par connexion.

— Connais des problèmes de fiabilité et de stabilité.
— La documentation officielle manque de détails.
3.7.2 IPFire
IPFire est une distribution Linux open source qui fonctionne principalement comme un routeur et un pare-feu.
L’objectif principal d’IPFire est la sécurité. Son pare-feu facile à configurer et son système de détection d’intrusion
empêchent les attaquants de s’introduire dans le réseau. Mais même le pare-feu doit se protéger. IPFire est construit
à partir de zéro et ne repose sur aucune autre distribution. Cela permet aux développeurs de renforcer IPFire mieux
que tout autre système d’exploitation de serveur et de construire tous les composants pour une utilisation en tant
que pare-feu. Les mises à jour fréquentes permettent de garantir la sécurité d’IPFire et de minimiser les failles de
sécurité. [16]
Avantages
— Peut-être étendu par des modules complémentaires.

— IPFire ne reposant sur aucune autre distribution ce qui offre une bonne stabilité.
21
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES
— Mise à jour fréquentes.
Inconvénients
— Interface Web pas intuitif.

— Toutes les fonctions ne peuvent pas être configurées via l’interface Web.
3.7.3 pfSense
pfSense est une distribution gratuite, open source et personnalisée de FreeBSD spécialement conçue pour être
utilisée comme un pare-feu et un routeur entièrement gérée via une interface Web. En plus d’être une plateforme
de pare-feu et de routage puissante et flexible, elle comprend une longue liste de fonctionnalités et un système de
package permettant une évolutivité supplémentaire sans ajouter de potentielles failles de sécurité à la distribution
de base. [17]
Avantages
— La configuration initiale est très facile.

— Fréquemment mis à jour.
— Considéré comme une solution qui est très robuste.
— Les développeurs de pfSense (Netgate) sont assez réactive contre les menaces.
— Possède une documentation officielle très riche et assez détaillées.
— Interface web facile à utiliser et à comprendre.
— Possibilité de voir le trafic entrant et sortant sous forme de graphe.
— Permet l’ajout facile de fonctionnalité avec le package manager.
Inconvénients
— Dans un environnement virtuel impossible de changer la valeur de la RAM attribuée.

— Impossible de consulter les fichiers de logs depuis l’interface Web.
3.7.4 Caractéristiques des 3 solutions étudiées
Ci-dessous un tableau comparatif des différentes caractéristiques que propose chacun des pares-feux étudiés
[16] [18] [19] :
22
Caractéristiques OPNsense IPFire pfSense

Totalement contrôlable à partir de l’interface graphique x x
Proxy x x x
Server et relais DHCP (IP4 et IP6) x x x
DNS statique x x x
DNS dynamique x x x
DNS forwarder x x x
Telnet x
SSH x x x
NTP (Serveur de temps) x x x
WEB GUI via HTTP x x x
WEB GUI via HTTPS x x x
Protocole IPsec x x x
Protocole PPTP x x
Protocole L2tp x x
Protocole OpenVPN x x x
Chiffrement RSA x
Chiffrement DES x
Chiffrement AES x
Load balancing x x x
Multi-WAN x x
Capacité de fail over x x x
Priorité selon le type de trafic x x x
Lissage de trafic et limitation x x x
Commande Traceroute x x x
Commande Ping x x x
Commande Whois x
Filtrage avec état x x x
Filtrage de l’URL x x x
Filtrage de contenu WEB x x x
Temps d’accès par utilisateur x x
IDS x x x
IPS x x x
Antivirus x x x
Hotspot/portail captif x x x
Routage NAT x x x
Routage 1.1 NAT (SNAT) x x x
Routage avec Port adresses translation x x x
Politique de routage x x x
Support de VLAN trunking (802.1q) x x x
Mise à jour automatique x x x
Possibilité de Backup x x x
Possibilité d’ajouter des modules x x x
Licence BSD GPL BSD
TABLE 3.1 – Comparaison des caractéristiques des trois pare-feu
23
3.8. CONCLUSION
3.8 Conclusion
D’après le tableau comparatif, on remarque que pfSense et OPNsense sont très similaires alors qu’IPFire est
assez diffèrent. Pour choisir notre pare-feu, on commence par éliminer IPFire étant donné que son interface Web
n’est pas très intuitive. Ensuite, entre pfSense et OPNsense, le choix n’est pas évidant, mais on va opter pour
l’utilisation de pfSense en raison de sa grande communauté et de sa documentation excellente.
24
Chapitre 4
Virtualisation du réseau d’entreprise
4.1 La présentation de l’architecture cible

Afin de mettre en œuvre notre processus de sécurisation du réseau d’entreprise, la première étape de notre
travail consiste à implémenter un mini réseau d’entreprise. Ce réseau simulera les principales fonctionnalités né-
cessaires au fonctionnement d’une entreprise et est modélisé dans la figure qui suit :
F IGURE 4.1 – Représentation du réseau local
Notre réseau est composé de :

— Un contrôleur de domaine.
— Un serveur de messagerie.
— Un serveur web interne.
— Un serveur web externe.
— Des serveurs DNS.
— Des postes clients.
25
4.1. LA PRÉSENTATION DE L’ARCHITECTURE CIBLE
Pour des raisons évidentes de moyens et de disponibilité des serveurs et des postes clients, l’ensemble de notre
environnement de travail sera virtualisé. Notre choix s’est porté sur l’environnement de virtualisation VMware.
4.1.1 Contrôleur de domaine
Notre contrôleur de domaine a été déployé dans un environnement Windows 2012 serveur. Notre contrôleur
de domaine possède l’adresse IP 192.168.10.1. Il a été renommé SRV-DC et on a attribué un mot de passe fort au
compte administrateur. Lors du déploiement du rôle AD DS (Active Directory Domain Services), le service DNS
a été déployé sur ce même serveur. Bien que les bonnes pratiques recommandent le déploiement du serveur DNS
sur un autre serveur, nous avons été obligés de le déployer sur le contrôleur de domaine à cause du manque de
ressources. Une fois le rôle installé, on a créé une nouvelle forêt pour pouvoir créer notre domaine qui se nomme
« Entreprise.com ».
4.1.2 Serveur Web Interne
À l’instar du contrôleur de domaine, la machine virtuelle est basée sur un environnement Windows Server 2012
ayant comme adresse IP 192.168.10.2. La machine renommée SRV-Web est membre du domaine. Pour créer notre
serveur web, on déploie le rôle Serveur Web (IIS) avec ces fonctionnalités. Une fois le rôle installé, on attribue
un alias au serveur à l’aide du gestionnaire DNS présent dans le contrôleur de domaine (l’alias aura comme nom
‘web’). Ce serveur Web hébergera le site web de notre entreprise qui sera accessible pour tous les postes clients du
domaine.
4.1.3 Serveur de messagerie
On crée une machine basée sur un environnement Windows Server 2012 ayant comme adresse 192.168.10.3
et nommé SRV-Mail. Pour avoir notre serveur de messagerie, on installe Exchange Server 2013. Avant de pouvoir
installer Exchange Server 2013, on doit d’abord configurer le serveur avec les prérequis suivants :
Installer plusieurs fonctionnalités, et ce, en exécutant les commandes suivantes dans PowerShell [20] :
>INSTALL-WINDOWSFEATURE AS-HTTP-ACTIVATION, DESKTOP-EXPERIENCE,

NET-FRAMEWORK-45-FEATURES, RPC-OVER-HTTP-PROXY, RSAT-CLUSTERING,
RSAT-CLUSTERING-CMDINTERFACE, RSAT-CLUSTERING-MGMT, RSAT-CLUSTERING-POWERSHELL,
WEB-MGMT-CONSOLE, WAS-PROCESS-MODEL, WEB-ASP-NET45, WEB-BASIC-AUTH,
WEB-CLIENT-AUTH, WEB-DIGEST-AUTH, WEB-DIR-BROWSING, WEB-DYN-COMPRESSION,
WEB-HTTP-ERRORS, WEB-HTTP-LOGGING, WEB-HTTP-REDIRECT, WEB-HTTP-TRACING,
WEB-ISAPI-EXT, WEB-ISAPI-FILTER, WEB-LGCY-MGMT-CONSOLE, WEB-METABASE,
WEB-MGMT-CONSOLE, WEB-MGMT-SERVICE, WEB-NET-EXT45, WEB-REQUEST-MONITOR,
WEB-SERVER, WEB-STAT-COMPRESSION, WEB-STATIC-CONTENT, WEB-WINDOWS-AUTH,
WEB-WMI, WINDOWS-IDENTITY-FOUNDATION
>INSTALL-WINDOWSFEATURE RSAT-ADDS
26
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE
Télécharger et installer les composant suivants [20] :

— Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit.
— Microsoft Office 2010 Filter Pack 64-bit.
Une fois ces prérequis installés, on commence l’installation de Exchange Server 2013. Lors de l’installation on
choisit d’installer les 2 rôles suivants dans notre serveur : Mailbox Role et Client Access Role. Une fois l’installa-
tion terminée, on peut accéder au Centre d’administration Exchange, en entrant l’URL suivante dans le navigateur :
https ://mail.entreprise.com/ecp, et commencer la configuration de notre serveur de messagerie. Premièrement,
on ajoute une stratégie d’adresse de messagerie pour définir la manière dont les adresses mail sont attribuées
aux membres du domaine. Ensuite, on configure les boîtes aux lettres des utilisateurs, groupes de distribution et
contacts. Enfin, on configure une adresse qui fera office de Postmaster.
4.1.4 Poste clients
Tous les postes clients utilisent Windows 7 comme system d’exploitation, chaque poste est évidemment
membre du domaine. En plus, chaque poste doit avoir accès au site Web de l’entreprise et la boîte aux lettres Out-
look en utilisant respectivement les URL suivantes : http ://web.entreprise.com/ , https ://mail.entreprise.com/owa
4.1.5 Serveur Web externe
En plus des serveurs qu’on vient de citer, on ajoute un nouveau serveur web externe. L’objective de ce serveur
est d’héberger le site web de l’entreprise pour permettre aux utilisateurs externes au domaine d’accéder au site web
à travers Internet.
4.1.6 Serveur DNS externe
Ce serveurs DNS permet de rediriger les utilisateurs externes vers le serveur web externe et ainsi avoir accès
au site web de l’entreprise.
4.2 Sécurisation du réseau

L’architecture présentée précédemment (voir figure 4.1) ne comporte aucun mécanisme de sécurité ou de fil-
trage. Afin de remédier à ce problème, nous allons déployer un pare-feu. Au préalable, il sera nécessaire de seg-
menter notre réseau en quatre zones comme le montre la figure suivante :
27
4.2. SÉCURISATION DU RÉSEAU
F IGURE 4.2 – Représentation du réseau avec un pare-feu
Les objectifs de ces zones sont les suivants :

— Zone des postes clients : cette zone contient tous les postes clients de l’entreprise et permet de réglementer
le trafic entrant et sortant de la zone en appliquant une politique de sécurité adaptée aux clients.
— Zone des serveurs : cette zone contient tous les serveurs de l’entreprise et permet d’assurer la sécurité de
ces serveurs en régulant le trafic entrant dans la zone.
— Zone démilitarisée (DMZ) : cette zone contient le site web de l’entreprise. L’objectif est de garantir l’accès
au site web pour les utilisateurs à travers Internet et de les empêcher d’accéder au reste du réseau.
— Zone d’administration : cette zone permet de limiter l’administration des serveurs, du pare-feu et des postes
clients sur cette zone. De la sorte, seuls les postes hébergés dans cette zone sont autorisées à effectuer les
tâches d’administration.
4.2.1 Création de la machine virtuel pfSense
Tout d’abord, on commence par l’installation de notre pare-feu. On doit télécharger une version ISO de pfSense
version 2.4.5 (64-bits) à l’URL suivante : https ://www.pfsense.org/download/.
Dans VMware, on clique sur File puis New Virtual Machine ensuite, on configure notre machine avec les
paramètres suivants :
28
F IGURE 4.3 – Paramètres de la machine virtuelle pfSense
4.2.2 Installation de pfSense
On allume la machine qu’on vient de créer et on commence l’installation :

— On accepte la notice de Copyright.
F IGURE 4.4 – Copyright de pfSense
— Dans la page de bienvenue, on choisit Install.
F IGURE 4.5 – Message de bienvenue pour l’installation de pfSense
— On sélectionne la disposition de clavier de notre choix.
29
F IGURE 4.6 – Installation de pfSense : sélection du clavier
— Concernant le partitionnement, on choisit l’Auto (UFS) car le partitionnement ZFS demande énormément
de RAM. Donc, dans notre cas, il serait préférable d’utiliser le partitionnement UFS. [21]
F IGURE 4.7 – Choix du partitionnement du disque
— Une fois l’installation terminée, on redémarre la machine.
4.2.3 Configuration de pfSense
Au démarrage de pfSense on a le menu suivant :
F IGURE 4.8 – Menue des options sur la console pfSense
— La première chose à faire est d’assigner les interfaces.
30
F IGURE 4.9 – Affectation des interfaces
— Dans notre cas, on n’a pas besoin de VLAN car le mieux est de segmenter le réseau physiquement en
utilisant différentes interfaces chose qu’on peut facilement faire dans un environnement virtuel.
F IGURE 4.10 – Confirmation de l’affectation des interfaces
— Ensuite, on configure l’adresse IP de l’interface LAN, qui sera 192.168.10.200, pour pouvoir accéder à
l’interface Web pfSense.
— Maintenant, on se connecte à l’interface web à l’adresse : http ://192.168.10.200 avec les identifiants par
défaut qui sont :
• Username : admin
• Password : pfSense
— Une fois connecté, on configure les interfaces :
• Interfaces > WAN :
* IPv4 Configuration : Static IPv4

* IPv4 Address : 192.168.1.44/24
• Interfaces > LAN :
* Description : SERVEURS
* IPv4 Address : 192.168.10.200/24
• Interfaces > OPT1 :
* Enable interface : ON
* Description : CLIENTS
* IPv4 Address : 192.168.15.200/24
* Description : DMZ
31

* IPv4 Address : 192.168.20.200/24
* Description : ADMINISTRATION
* IPv4 Address : 192.168.5.200/24
— Pour confirmer ces changements on clique sur Apply Changes.
— Ainsi, pour résumer on a la configuration suivante :
Nom de la zone Adresse réseau Nom de l’interface Adresse de l’interface

Internet 192.168.1.0/24 em0 -> WAN 192.168.1.44
Administration 192.168.5.0/24 em4 -> OPT3 192.168.5.200
Serveurs 192.168.10.0/24 em1 -> LAN 192.168.10.200
Clients 192.168.15.0/24 em2 -> OPT1 192.168.15.200
DMZ 192.168.20.0/24 em3 -> OPT2 192.168.20.200
TABLE 4.1 – Résumé de la configuration des différentes interfaces
4.2.4 Mise en place des règles des interfaces
Avant de définir les règles, on ajoute des alias de ports et d’adresses IP pour faciliter l’ajout et la lecture des
règles. Les alias sont les suivants [22] :
F IGURE 4.11 – Les alias de ports du pare-feu
F IGURE 4.12 – Les alias IP du pare-feu
Maintenant, on peut configurer les règles requises pour chaque interface de la sorte :
32
— On se connecte à l’interface web pfSense, puis : Firewall > Rules. On a les onglets suivants qui servent à
définir les règles pour chacune des interfaces.
F IGURE 4.13 – Onglets des règles de pare-feu pour les différentes interfaces
— On commence par les règles de l’interface CLIENTS : sur cette interface, on commence par autoriser le port
HTTP pour permettre aux utilisateurs de consulter le site Web de l’entreprise. Puis, on autorise tous les ports
nécessaires (voir figure 4.14) pour le fonctionnement du contrôleur de domaine comme : l’authentification
des utilisateurs ou l’application des GPO. Ensuite, on continue à autoriser les ports requis pour l’échange
des mails avec Exchange [23]. Pour finir, on bloque toutes les communications allant de la zone CLIENTS
vers les autres zones (SERVEURS, DMZ, ADMINISTRATION) comme le montre la figure suivante :
F IGURE 4.14 – Les règles de pare-feu définies sur l’interface CLIENTS
— Ici le « CLIENTS net », « SERVEURS net », « DMZ net » et « ADMINISTRATION net » font référence
à toutes les machines qui se trouvent dans le réseau des interfaces respectivement CLIENTS, SERVEURS,
DMZ et ADMINISTRATION.
— De la même manière, on configure les règles de l’interface SERVEURS de la sorte :
33
F IGURE 4.15 – Les règles de pare-feu définies sur l’interface SERVEURS
— Sur cette interface, la seule règle importante est la deuxième qui est indispensable pour l’échange des mails.
Et on bloque les communications vers les autres zones.
— Concernant la zone DMZ, les règles à appliquer sont les suivants :
F IGURE 4.16 – Les règles de pare-feu définies sur l’interface DMZ
— Dans la zone démilitarisée, on bloque tous trafic allant à la zone CLIENTS, SERVEURS ou ADMINIS-
TRATION depuis la DMZ, mais on autorise les ports exigés le contrôleur de domaine comme l’authentifi-
cation des utilisateurs ou l’application des GPO.
— Pour permettre l’accès au site Web du serveur Web externe à partir de l’extérieur, on ajoute deux règles
redirection de port NAT :
34
F IGURE 4.17 – Les règles redirection de port NAT
F IGURE 4.18 – Les règles de pare-feu définies sur l’interface WAN
— De la sorte, il suffit que l’utilisateur externe au domaine configure son DNS comme étant le serveur DNS
de notre DMZ et en tapant « entreprise.com » sur son navigateur notre site s’affiche comme prévu.
— Pour finir, on ajoute les règles de l’interface ADMINISTRATION :
F IGURE 4.19 – Les règles de pare-feu définies sur l’interface ADMINISTRATION
— Pour l’administration, on a besoin du port RDP (Remote Desktop Protcol) pour permettre la connexion
à distance depuis la zone Administration aux différents serveurs et postes clients. Et encore une fois, on
bloque le trafic vers les autres zones tout en autorisant les ports requis pour le contrôleur de domaine.
35
4.2.5 Mise en place des règles anti intrusion
Parmi les avantages qu’offre pfSense est l’utilisation des packages. Les packages permettent d’ajouter des fonc-
tionnalités a pfSense. Ils fournissent des services et des utilitaires supplémentaires introuvables dans l’installation
de base. Parmi ces packages, on a le package Snort.
Snort est un système open source très populaire de détection et de prévention des intrusions (IDS/IPS). Il est
capable d’effectuer, une analyse trafic en temps réel et une journalisation des paquets sur les réseaux IP. Il a trois
utilisations principales : il peut être utilisé comme un renifleur de paquet simple, un enregistreur de paquets ou
comme un système complet de prévention des intrusions sur le réseau. [24]
Pour installer et configurer Snort sur pfSense on suit les étapes suivantes :
— Dans l’interface Web pfSense : System > Package Manager > Available Packages. On recherche « snort »
puis on l’installe.
— Une fois installé, on se dirige vers : Services > Snort > Global Settings pour commencer la configuration.
— Snort offre trois ensembles de règles : Snort Vulnerability Research Team (VRT) Rules, Snort GPLv2 Com-
munity Rules et Emerging Threats (ET) Rules.
— La VRT Rules possède deux types de règle une pour les utilisateurs abonnés et une autre pour les utilisateurs
inscrits. La différence entre les deux est que les utilisateurs inscrits ont un retard de 30 jours sur les règles
par rapport aux utilisateurs abonnés [25].
— Pour un fonctionnement idéal de Snort. Ce dernier a besoin d’énormément de RAM, plus on applique de
règles plus la consommation de la mémoire est conséquente. Puisque dans notre cas, la mémoire vive est
une ressource précieuse, on a choisi de se limiter à deux ensembles de règles.
— Les deux ensembles sont la Emerging Threats Rules et l’offre des utilisateurs inscrits de Snort VRT Rules.
On a choisi ces deux règles car une fois combinées on à un nombre de règles conséquent qui permet d’avoir
un assez bon IDS/IPS. Bien qu’utiliser l’ensemble Snort GPLv2 Community Rules, aiderais à avoir une
meilleure sécurité.
F IGURE 4.20 – Choix de Snort Vulnerability Research Team (VRT) Rules
F IGURE 4.21 – Choix de Emerging Threats (ET) Rules
36
— Toujours dans la même page, on configure la fréquence de mise à jour des règles.
F IGURE 4.22 – Choix de la fréquence de mise a jour des règles
— Maintenant, on peut télécharger ces règles dans l’onglet : Services > Snort > Updates.
— Une fois les règles téléchargées, on peut appliquer Snort sur une interface dans l’onglet : Services > Snort
> Snort Interfaces.
F IGURE 4.23 – Choix de l’interface dont Snort va être appliqué
4.2.6 Mise en place d’un proxy
Pour installer un proxy dans notre pare-feu, on télécharge le package Squid.

Squid est un proxy Web prenant en charge HTTP, HTTPS, FTP, etc. Il réduit la bande passante et améliore
le temps de réponse en mettant en cache et en réutilisant les pages Web fréquemment demandées. Squid offre
un environnement de contrôle d’accès, d’autorisation et de journalisation comme il offre aussi un riche ensemble
d’options d’optimisation du trafic, dont la plupart sont activées par défaut pour une installation plus simple et de
hautes performances [26].
Pour installer et configurer Squid sur pfSense on suit les étapes suivantes :
— Dans : System > Package Manager > Available Packages. On recherche « Squid » et on l’Installe.
37
— Une fois installer, on peut directement commencer la configuration dans : Services > Squid Proxy Server >
General. De la sorte :
F IGURE 4.24 – Paramètre général de Squid
— Toujours dans la même page, on configure les paramètres de journalisation :
F IGURE 4.25 – Paramètres de journalisation de Squid
— Puis, les paramètres de mise en cache :
F IGURE 4.26 – Paramètres de mise en cache de Squid
— Enfin, pour s’assurer que tous les utilisateurs du domaine utilisent bien notre proxy, on crée une GPO :
38
F IGURE 4.27 – GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine
4.2.7 Mise à l’épreuve du pare-feu
Après avoir défini les règles de pare-feu et configurer les packages correctement, on doit s’assurer que notre
pare-feu répond à nos exigences. Afin de tester nos règles, on utilise « nmap » qui est un outil open source pour
l’analyse des vulnérabilités. Dans notre cas, nmap va nous permettre de scanner les ports de nos différentes ma-
chines pour trouver d’éventuelles failles dans le comportement du pare-feu.
Premièrement, on test notre infrastructure. En scannant le réseau depuis Internet, on trouve les résultats sui-
vants :
F IGURE 4.28 – Résultats du scan TCP depuis Internet
F IGURE 4.29 – Résultats du scan UDP depuis Internet
On remarque que les ports ouverts sont ceux qu’on a explicitement ouverts comme le port 53 (DNS) et le port
80 (HTTP) qui sont nécessaires pour que le site Web de l’entreprise soit accessible depuis Internet.
Après, on test les règles de chacune de nos zones. On commence par la DMZ, on scan le serveur web externe
depuis les quatre différentes zones et on trouve les résultats suivants :
— Le scan depuis la zone DMZ :
39
F IGURE 4.30 – Résultats du scan du serveur Web externe depuis la zone DMZ
— Le scan depuis la zone CLIENTS :
F IGURE 4.31 – Résultats du scan du serveur Web externe depuis la zone CLIENTS
— Le scan depuis la zone SERVEURS :
F IGURE 4.32 – Résultats du scan du serveur Web externe depuis la zone SERVEURS
— Le scan depuis la zone ADMINISTRATION :
F IGURE 4.33 – Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION
Ensuite, on continue avec le scan d’un client de la zone CLIENTS toujours depuis les quatre différentes zones
et on trouve les résultats suivants :
F IGURE 4.34 – Résultats du scan d’un client depuis la zone DMZ
F IGURE 4.35 – Résultats du scan d’un client depuis la zone CLIENTS
F IGURE 4.36 – Résultats du scan d’un client depuis la zone SERVEURS
F IGURE 4.37 – Résultats du scan d’un client depuis la zone ADMINISTRATION
Encore une fois, on scan notre serveurs Web interne présent dans la zone SERVEUR :
40
F IGURE 4.38 – Résultats du scan de serveur Web Interne depuis la zone DMZ
F IGURE 4.39 – Résultats du scan de serveur Web Interne depuis la zone CLIENTS
F IGURE 4.40 – Résultats du scan de serveur Web Interne depuis la zone SERVEURS
F IGURE 4.41 – Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION
Pour finir, on scan un poste client de la zone ADMINISTRATION :

F IGURE 4.42 – Résultats du scan du client de l’administration depuis la zone DMZ
F IGURE 4.43 – Résultats du scan du client de l’administration depuis la zone CLIENTS
F IGURE 4.44 – Résultats du scan du client de l’administration depuis la zone SERVEURS
F IGURE 4.45 – Résultats du scan du client de l’administration depuis la zone ADMINISTRATION
Donc, en analysant les résultats des différents tests, on peut conclure que le fonctionnement du pare-feu répond
à nos attentes de telle sorte que les seuls ports qu’on a trouvé ouverts correspondent aux ports qu’on a explicitement
autorisé dans nos règles de pare-feu.
41
Conclusion General
À travers ce mémoire, nous avons essayé de simuler au mieux un réseau d’entreprise dans un environnement
virtuel et ce avec nos contraintes matérielles, surtout par rapport à la mémoire vive qui représente une ressource
précieuse. Malgré ces contraintes, on est parvenue à créer un réseau qui permet de remplir notre objectif, c’est-à-
dire sécurisé un réseau d’entreprise.
Pour sécuriser notre réseau, on a choisi de travailler avec pfSense, un pare-feu professionnel open-source.
D’abord, on a fragmenté notre réseau en quatre zones différentes tels-que chaque zone possède un objective unique.
Ensuite, on a appliqué des règles de pare-feu sur chacune des zones pour permettre de contrôler le trafic entre les
zones.
L’un des avantages des pare-feu open-source est de pouvoir installer des packages ce qui leur offre une grande
flexibilité. Or, pour améliorer notre travail, il faudrait prévoir plus de mémoire vive pour le pare-feu (au minimum
un Gigaoctets). De la sorte, on peut installer plus de packages notamment « pfBlocker » qui permet de bloquer des
adresses IP ou bien « darkstat » pour avoir une meilleure vue sur le trafic qui passe par le pare-feu. On peut aussi
envisager la configuration d’un VPN pour pouvoir se connecter a notre réseau depuis Internet en toute sécurité.
42
Bibliographie
[1] “Technologies de l’information.” https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:

v1:fr. Accès le 16 Février 2020.
[2] “Définition du risque informatique.” https://www.oqlf.gouv.qc.ca/ressources/bibliotheque/

dictionnaires/terminologie_sec_informatique/risque_informatique.html. Accès le 12 Fé-
vrier 2020.
[3] “Définition de la vulnérabilité informatque.” https://www.oqlf.gouv.qc.ca/ressources/

bibliotheque/dictionnaires/terminologie_sec_informatique/vulnerabilite.html. Ac-
cès le 12 Février 2020.
[4] J.-F. P. et J.-P. BAY, Tout sur la sécurité informatique. Dunod, 2013.
[5] “It explained : Le reniflage de paquets.” https://www.fr.paessler.com/it-explained/

packet-sniffing. Accès le 16 Février 2020.
[6] “Owasp top ten.” https://owasp.org/www-project-top-ten/. Accès le 16 Février 2020.
[7] “Qu’est-ce que le chiffrement des données ?.” https://www.kaspersky.fr/resource-center/

definitions/encryption. Accès le 07 Avril 2020.
[8] S. GHERNAOUTI-HÉLIE, Sécurité informatique et réseaux. Dunod, 2011.
[9] “What is antivirus software (antivirus program) ?.” https://searchsecurity.techtarget.com/

definition/antivirus-software. Accès le 07 Avril 2020.
[10] “Qu’est-ce qu’un pare-feu ?.” https://www.cisco.com/c/fr_fr/products/security/firewalls/

what-is-a-firewall.html. Accès le 26 Février 2020.
[11] “What is an intrusion prevention system ?.” https://www.paloaltonetworks.com/cyberpedia/

what-is-an-intrusion-prevention-system-ips. Accès le 28 Février 2020.
[12] C. W. et L. BLOCH, Sécurité informatique : Principes et méthodes. Eyrolles, 2013.
[13] “Chapitre 2 : le firewall, une technique de protection.” http://firewalls.chez.com/chapitre2.html.

Accès le 18 Mars 2020.
[14] P. J. e. P. O. G. AVOINE, Sécurité informatique. Vuibert, 2010.
[15] “About opnsense.” https://opnsense.org/about/about-opnsense/. Accès le 15 Avril 2020.
43
BIBLIOGRAPHIE
[16] “Ipfire features.” https://www.ipfire.org/features. Accès le 17 Avril 2020.
[17] “pfsense overview.” https://www.pfsense.org/about-pfsense/. Accès le 15 Avril 2020.
[18] “pfsense firewall appliance features.” https://www.netgate.com/solutions/pfsense/features.

html. Accès le 17 Avril 2020.
[19] “Opnsense’s documentation.” https://docs.opnsense.org/intro.html#feature-set. Accès le 17

Avril 2020.
[20] D. ELFASSY, Mastering Microsoft Exchange Server 2013. Sybex, 2013.
[21] “Installing and upgrading - perform the installation | pfsense documentation.” https://docs.netgate.
com/pfsense/en/latest/book/install/perform-install.html. Accès le 20 Avril 2020.
[22] “Active directory and active directory domain services port requirements.” https://docs.microsoft.
com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/
dd772723(v=ws.10)?redirectedfrom=MSDN. Accès le 18 Mai 2020.
[23] “Network ports for clients and mail flow in exchange 2013.” https://docs.microsoft.com/en-us/
exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help.
Accès le 18 Mai 2020.
[24] “Snort faq.” https://www.snort.org/faq/what-is-snort. Accès le 16 Mai 2020.
[25] “What are the differences in the rule sets ?.” https://www.snort.org/faq/
what-are-the-differences-in-the-rule-sets. Accès le 16 Mai 2020.
[26] “What is squid ?.” http://www.squid-cache.org/Intro/. Accès le 17 Juin 2020.
44

Protection Dun Rseau Dentreprise Via Un Firewall 221002065350 4655d055

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Protection Dun Rseau Dentreprise Via Un Firewall 221002065350 4655d055

Transféré par

Droits d'auteur :

Formats disponibles

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

Université des sciences et de la technologie Houari Boumédiène

Mémoire de fin de cycle

Protection d’un réseau d’entreprise

Sous la direction de : M r BERBAR Ahmed

Année universitaire 2019/2020

projet sans quoi la construction de ce travail n’aurait pas pu être possible.

que nous avons sécurisé avec un pare-feu.

faire face à ces menaces.

1 Les risques et menaces liés à la Sécurité informatique 1

2 Les Techniques, outils et moyens de sécurités 7

3 Étude des Pares-feux et comparaison des solutions existantes 12

3.3 Zone démilitarisée (DMZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4 Virtualisation du réseau d’entreprise 25

1.1 Illustration d’une attaque DDoS sur un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3.1 Illustration d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4.1 Représentation du réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4.18 Les règles de pare-feu définies sur l’interface WAN . . . . . . . . . . . . . . . . . . . . . . . . . 35

3.1 Comparaison des caractéristiques des trois pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.1 Résumé de la configuration des différentes interfaces . . . . . . . . . . . . . . . . . . . . . . . . 32

Les risques et menaces liés à la Sécurité

1.2 Termes et définitions

1.2.1 Sécurité informatique

1.2.2 Menace informatique

1.2.3 Risque informatique

1.2.4 Vulnérabilité informatique

1.2.5 Attaque informatique

Une attaque est l’exploitation d’une vulnérabilité par une menace.

1.3 Les menaces informatiques

1.3.1 Menace passive

Ce type de menace ne modifie pas l’état du système.

1.3.2 Menace active

1.3.3 Exemple de menaces

F IGURE 1.1 – Illustration d’une attaque DDoS sur un serveur

Usurpation d’adresse IP (Spoofing)

Reniflage réseau (Sniffing)

«Man in The Middle»

F IGURE 1.2 – Illustration d’une attaque MITM

Cross-site Scripting (XSS)

XML External Entity (XEE)

Contrôle d’accès cassé (Broken ACL)

Les Techniques, outils et moyens de

Le système de chiffrement asymétrique propose un mécanisme implicite de signature de message. L’émetteur

2.2 Serveur proxy

2.3 Réseaux Privés Virtuels (VPN)

Recherche de signature virale

Analyse des comportements

2.5 Pare-feu (firewall)

2.6 Détection d’intrusion (IDS)

Vérification de la pile protocolaire

Vérification des protocoles applicatifs

Reconnaissance des attaques par ‘pattern matching’

2.7 Prévention d’intrusion (IPS)

— Supprimer les paquets malveillants.

Étude des Pares-feux et comparaison des

F IGURE 3.1 – Illustration d’un pare-feu

3.2 Principe de fonctionnement

3.2.1 Fonctions de cloisonnement

F IGURE 3.2 – Fonction de cloisonnement de filtre d’un pare-feu

Le principe de cloisonnement repose sur la segmentation du système d’information en composants de sécurité

3.2.2 Fonction de filtrage

Filtrage simple de paquets (stateless packet filtring)

Filtrage dynamique (stateful packet filtring)