Académique Documents
Professionnel Documents
Culture Documents
Gratitude, amour, respect, reconnaissance, tous les mots ne peuvent exprimer... Aussi,
il m'est facile de me dédier ce projet de fin d'études
A ma chère famille
Merci d'être toujours à mes côtés, d'avoir ta présence, ton amour et ta tendresse, de
donner du goût et du sens à ma vie. Dieu te bénisse.
A mon père
A ma mère
Amour pour vous, que dieu vous préservent bonne santé et longue vie
A mon frère
A ma sœur
A mes cousines
A toute ma famille pour le soutien moral et les encouragements qu'ils m'ont accordés.
Nous sommes heureux de garder ces quelques lignes pour remercier tous ceux, de près
ou de loin, qui ont contribué à la réalisation de ce projet à la fin de cet ouvrage. Nous
tenons à remercier Docteur Hrizi Hafedh, Tuteur à l'Ecole Supérieure des Sciences
Appliquées et Techniques Mateur, d'avoir accepté d'assurer le suivi et le bon
déroulement de nos travaux. Son soutien et ses compétences nous ont été précieux.
Veuillez exprimer ici notre profonde gratitude et notre respect aux membres du jury
pour avoir accepté de juger ce travail. Nous ne laisserions pas passer cette opportunité
sans remercier tous les enseignants et personnels de l'ISSAT, en particulier ceux du
département Ingénierie des Réseaux et Systèmes, pour leur aide et leurs précieux
conseils et leur intérêt pour notre formation.
Enfin, nous remercions tous ceux qui ont contribué de près ou de loin à la réussite de
ce projet.
Table des matières
3. Objectifs de l’ANSI............................................................................................ 5
2. Problématique..................................................................................................... 7
Conclusion ................................................................................................................. 8
Chapitre 2 : Etat de l’art ............................................................................................. 9
Introduction .............................................................................................................. 10
I. La sécurité informatique ...................................................................................... 10
1. Présentation et solutions de la sécurité informatique ....................................... 10
3. Firewall............................................................................................................. 15
Conclusion ............................................................................................................... 17
Chapitre 3 : Conception de la solution .................................................................... 18
Introduction .............................................................................................................. 19
I. Environnement de travail ..................................................................................... 19
1. Environnement matériel .................................................................................. 19
Conclusion ............................................................................................................... 32
Chapitre 4 : Réalisation du projet............................................................................ 33
Introduction .............................................................................................................. 34
I. Présentation de l’architecture ............................................................................... 34
II. Interface de la mise en place des équipements .................................................... 35
1. Configuration du routage ................................................................................. 35
Figure 5 : Mascarade……………………………………………………………...…13
Figure 55 : L'oinkcode………………………………………………………….……55
IP : Internet Protocol
ISSAT Mateur
INTRODUCTION GÉNÉRALE
Aujourd'hui, personne ne peut nier l'importance du réseau Internet dans nos vies. Ce dernier nous
permet de partager des ressources et de communiquer avec n'importe qui dans n'importe quel pays
sans restrictions ni frontières. Même sur le plan professionnel, Internet présente plusieurs avantages
pour les entreprises car il facilite leur communication avec les partenaires et les clients. Le réseau
permet également aux entreprises de nouer de nouvelles relations et de lancer de nouveaux projets,
économisant encore plus de temps et d'argent.
Cependant, s'il n'est pas suffisamment sécurisé, le réseau Internet sera définitivement désavantagé.
En fait, le réseau Internet, auquel appartient un ensemble d'utilisateurs parfois anonymes (donc
sujets à une méfiance légitime) qui peuvent utiliser ce réseau comme un moyen pour s'infiltrer de
façon illégale à des ressources ou systèmes de nature publics ou privés (Vol d'informations, ...), ou
bien de les attaquer (déni de service ...). Les types d'attaques sont multiples et diverses. En fait, la
plupart des systèmes sont vulnérables, puisque le domaine de l'informatique est très vaste, et chaque
jour de nouvelles failles de sécurité sont détectées telle la (failles 0- Day).
Actuellement, le risque d'être attaqué augmente de manière exponentielle : hier, la découverte des
failles du système était si complexe qu'elle était quasiment indétectable, alors qu'aujourd'hui, les
failles peuvent être trouvées rapidement et même exploitées immédiatement. Généralement, les
entreprises sont conscientes de ces risques et cherchent à protéger leurs systèmes d'information car
ils représentent le socle et le cœur de leur métier. À première vue, établir une stratégie de sécurité
informatique appropriée dans une entreprise peut sembler une lourde charge financière, ce qui les
fait graviter vers des solutions moins chères mais plus vulnérables, entraînant un traitement tardif de
ces aspects de sécurité.
En effet, en Tunisie, une agence spécialisée dans la sécurité informatique (Agence Nationale de la
Sécurité Informatique « ANSI ») a été créée pour exercer un contrôle général sur les systèmes et
réseaux informatiques appartenant à divers organismes publics et privés afin de les aider à trouver
une sécurité adéquate Apporter des solutions à leurs systèmes et réseaux et sensibiliser les
internautes et les professionnels aux risques liés à la connexion à Internet et à l'utilisation des
systèmes informatiques en général. Après la révolution tunisienne, notre cyberespace a été soumis à
un taux élevé d'attaques (attaques anonymes) affectant plusieurs systèmes dans différentes
organisations, obligeant l'ANSI (24 janvier 2012) à relever le niveau d'alerte national de sécurité
informatique au niveau 2, en appelant l'attention des utilisateurs et des professionnels à prendre
toutes les précautions nécessaires pour renforcer leur stratégie de sécurité et surtout à être en veille
permanente en surveillant leur trafic réseau.
Le besoin croissant de protéger tout ce que nous avons en tant que réseau et système d'information à
l'échelle nationale a incité l'ANSI à préparer des solutions pour protéger les systèmes de diverses
entreprises qui demandent de l'aide et de l'assistance. D'autant que nombre d'entre eux ont été
victimes d'attentats. En l'occurrence, en tant que stagiaire, le service technique d'ANSI nous a
demandé de concevoir et de mettre en place une architecture réseau sécurisée basée sur des outils
open source pour répondre à plusieurs exigences de chefs d'entreprise qui souhaitaient protéger leur
parc informatique et informationnel au moindre coût possible.
• Le premier chapitre est consacré à mettre le projet dans son cadre général tout en présentant
l’organisme d’accueil et en spécifiant la problématique et la solution proposée.
• Le deuxième chapitre se focalisera sur les bases d'une architecture réseau sécurisée et toutes les
solutions quelles incluent.
• Le troisième chapitre présentera une étude concernant les types d'outils et les solutions adaptés
pour la sécurité informatique.
• Le quatrième chapitre concernera une étude de cas d'une entreprise cherchant à renforcer la
résistance de ses systèmes face aux différentes tentatives d'attaques réseaux et l'implémenter, dans
une plateforme de tests utilisant l'outil Open Source.
Chapitre 1:
Contexte general du projet
Introduction
Avant de résoudre un problème, il est essentiel de bien comprendre le contexte dans lequel il se
situe. Dans ce chapitre introductif, nous présentons de manière succincte l’organisme d’accueil au
sein du quel notre projet de fin d’études a été élaboré. Nous allons présenter aussi le cadre du projet
et le contexte du travail ce qui nous permettra de mieux connaître l’envergure et l’intérêt du
problème étudié.
1. Historique
• 1999 : Lancement d’une unité de gestion par objectif pour la réalisation du développement de la
sécurité informatique au sein de secrétariat d’état d’informatique.
- La création d’une agence nationale spécialisée dans la sécurité des systèmes d’informations.
• 2004 : Création de l’agence nationale de la sécurité informatique suite à la loi N°2004-5. [1]
2. Informations générales
L'Agence Nationale de la Sécurité Informatique (ANSI) est une agence publique créée en 2004 et
opérant sous la tutelle du Ministère des Technologies de la Communication. Il veille à la mise en
œuvre des orientations stratégiques nationales sur les systèmes d'information et le cyber sécurité.
L'agence fournit plusieurs projets de service national en fournissant des solutions techniques
directionnelles et indicatives (normes, conseils techniques, sensibilisation, etc.), des services
d'urgence (gestion des incidents cybernétiques conformément aux lois sur la sécurité), et la
participation à des recherches importantes et sensibles.
3. Objectifs de l’ANSI
Dans le cadre de la mise en œuvre du choix stratégique national dans le domaine de la sécurité
informatique, et pour répondre aux exigences du développement constant assisté par l’utilisation
des technologies modernes et l’intégration des services et des institutions publiques et privées,
l’ANSI a été créé pour un contrôle général des systèmes informatiques et des réseaux relevant des
divers organismes publics et privés.
4. Organisme de l’ANSI :
L’organisme de l’ANSI est illustré par la figure 1.
D’après la figure 1, l’ANSI se compose de 6 unités et directions gérées par le directeur général. Les
services assurés par l’ANSI sont les suivants :
1. Etude de l’existant
Chez l’ANSI et comme toutes les agences qui contiennent un réseau local a l’accès à Internet, dans
le but est la communication avec l’extérieur. Cette ouverture peut causer des risques aussi de donner
l’autorisation aux étrangers pour essayer de pénétrer le réseau local de l’agence, et parfois
d’appliquer des actions douteuses.
Pour se protéger contre ces attaques, il faut une architecture sécurisée. Pour cela, la plupart des
architectures sont basées sur un IDS qui a pour mission d’analyser et surveiller le trafic et de
détecter des signes indiquant que se sont merveilleux. Cela représente une sécurité supplémentaire
rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de prévenir l’accès
interne vers l’extérieur.
2. Problématique
Au cours de la dernière décennie, les menaces se sont multipliées avec l'avènement de nouvelles
techniques d'attaque plus sophistiquées et sophistiquées. Ces nouvelles menaces ciblent tous les
types d'appareils et s'adaptent aux évolutions de l'environnement de travail et à l'émergence des
nouvelles technologies (cloud, smartphones, virtualisation, IoT, etc.).
Afin de protéger le cyberespace national tunisien, il est nécessaire de savoir avant de prévoir les
menaces ciblées.
3. Solution proposée
Pour répondre aux besoins déjà cités, nous proposons de mettre en place les éléments suivants :
4. Planification du projet
Pendant la période de notre projet qui s’étale sur quatre mois, nous avons choisi de suivre le plan
suivant :
Conclusion
Dans ce chapitre, nous avons présenté l'organisation hôte et les solutions que nous prévoyons de
mettre en œuvre pour sécuriser l'architecture proposée. Le chapitre suivant sera consacré à une étude
théorique des différentes solutions open source pour justifier le choix des outils de sécurité à
installer.
Chapitre 2:
Etat de l’art
Introduction
Tout ordinateur connecté à Internet, et plus généralement à tout réseau informatique, est vulnérable
aux pirates. Il est donc nécessaire de se prémunir contre ces cybers attaques en installant des
équipements de protection.
Dans ce chapitre, nous présenterons le concept de sécurité informatique et montrerons les méthodes
et les stratégies de sécurité utilisées pour l'assurer.
I. La sécurité informatique
Leurs réalisations visent à mettre en œuvre les cinq principes ou objectifs de la sécurité informatique
qui sont les suivants :
L’intégrité : garantie qu’une ressource (données, applications, matériels) n’a pas été
modifiée, altérée ou détruite (transfert sécurisé).
Non-répudiation : garantie qu’un message a bien été envoyé par un émetteur authentifié.
Une attaque passive ne modifie pas le fonctionnement normal des communications et des
réseaux : elle se base sur l’observation et l’analyse du trafic.
Descriptions d’une attaque passive :
Une attaque active peut introduire des données dans le système ainsi que potentiellement
modifier les données au sein de système.
Mascarade : Une attaque par mascarade est une attaque qui utilise une fausse identité pour
obtenir un accès non autorisé aux informations d’un ordinateur personnel.
Replay attaque : C’est une forme d’attaque réseau dans laquelle une transmission est
malicieusement répétée par un attaquant qui a intercepté la transmission.
3. Buts d’attaques
Types des attaques actives sur un système Informatique :
Il s’agit d’un système qui empêche les intrusions, il a une capacité à bloquer les attaques détectées
immédiatement.
Fonctionnement :
C'est un IPS actif qui détecte les attaques connues et inconnues et peut bloquer les ports
automatiquement. En effet, il a effectué des contrôles préventifs et pris les mesures nécessaires pour
réduire l'impact de l'attaque.
3. Firewall
Les Firewalls (pare feu) peuvent être du matériel (dispositifs) intégrés au réseau ou des logiciels
installés sur des serveurs dédiés appartenant au même réseau. C'est un système qui protège un
ordinateur ou un réseau informatique des intrusions de réseaux tiers, notamment Internet. En fait, il
agit comme une barrière entre deux réseaux, un réseau de confiance, tel que le réseau interne d'une
entreprise (réseau local), et un réseau non fiable, tel qu'Internet ou un extranet.
Ainsi, le Firewall fournit une passerelle de filtrage composée d'au moins deux interfaces réseau :
En effet, lorsque certaines machines du réseau interne ont besoin d’externe (serveur de messagerie,
serveur Web), il est donc nécessaire de créer une nouvelle interface vers un réseau distinct
accessible depuis le réseau interne et depuis l'extérieur.
Fonctionnement
Le Firewall permet un accès contrôlé au réseau en fonction d'un ensemble défini de règles société
gérée et configurée par l'administrateur réseau. Il permet flux d'informations sélectif entre les deux
réseaux et neutralisation des tentatives de pénétration externes. Il effectue ce filtrage au niveau des
couches 3 et 4 du modèle OSI.
Ce dernier analyse les adresses IP sources, les adresses IP destinations, le type de paquet (TCP,
UDP), en plus du numéro de port.
Conclusion
Dans ce chapitre nous avons présenté les différentes parties des éléments base de la sécurité
informatique et leurs rôles.
Chapitre 3:
Conception de la solution
Introduction
Dans ce chapitre, nous nous concentrerons sur la partie pratique après avoir introduit la partie
théorique. Nous montrerons les différentes tâches effectuées et la configuration des différents
éléments de cette solution pour atteindre mes objectifs.
I. Environnement de travail
1. Environnement matériel
L’équipement mis à cette disposition pour la réalisation du projet se compose d’un ordinateur
portable dont la caractéristique est la suivante :
• 8 Go de RAM
2. Environnement logiciel
GNS3 est un logiciel de simulation de réseau open source qui encourage les étudiants à
expérimenter le comportement du réseau et à tester différents scénarios. L'outil complète les
appareils physiques en permettant aux étudiants de se mettre en réseau avec un nombre pratiquement
illimité d'appareils et en encourageant la pratique, la découverte et le dépannage.
Le GNS3 VM
La GNS3 VM vous permet d’installer tous les appareils autres que CISCO, il va se lancer par
l’intermédiaire de Workstation tout seul.
Dès lors que le feu vert est affiché, cela veut dire que GNS3 à bien détecté et communique bien avec
la machine virtuelle.
Nous avons utilisé VMware Workstation comme un hyperviseur pour installer GNS3 VM.
Pour tester le GNS3 VM, il suffit de pinger l’IP de la VM depuis notre PC.
2.3. Ubunto
2.3.3. Avantages
Plus besoin de se soucier des virus ou des spywares (quelques virus ont existé pour
Linux, contre plusieurs millions pour Windows…), plus de tranquillité (adieu Ad-Aware,
adieu SpyBot, adieu Norton…).
Fini les spams et publicités intégrées dans les logiciels ! Vos logiciels sont propres et
fonctionnels.
Facilité d'accès à tous les logiciels (avec Synaptic tu lui dis ce que tu veux, tu cliques, il
le télécharge et l'installe tout seul).
Beaucoup plus facile à tenir à jour, vu que tous les programmes des dépôts sont mis à
jour automatiquement :
Pas besoin de consulter quinze mille sites comme sous Windows pour rester à la page.
Finies les alertes de mises à jour Java, Norton, et Avast.
La majorité des logiciels disponibles sont des logiciels Libres sous licence GPL, dont le
code source est ouvert, peut être vérifié par tous, et mis à jour plus rapidement que les
logiciels propriétaires (ou privateurs de liberté).
Utiliser tout le potentiel de votre bande passante.
Plus besoin de regarder si vous installez un shareware, un freeware ou autre et donc de
savoir quand finit la période d'essai, de trouver un crack …etc,
Gratuité de la quasi-totalité des applications (sauf peut-être 1 ou 2 trucs ultra
spécifiques), donc fini le piratage !
Dès que vous avez une question/problème, la doc Ubuntu saura vous guider et les forums
sont très réactifs pour vous donner un coup de main.
Système mieux organisé (pas de dll ou de base de registre).
Ubuntu ne s'alourdit pas au fil des mois sans modification, pas besoin de défragmenter.
Linux est un système très sécurisé, les droits des fichiers et applications sont mieux
gérés.
2.3.4. Inconvénients
L'installation de logiciels est aisée à partir du moment où l'on a accès à internet et qu'ils sont
disponibles dans les dépôts (ce qui est le cas pour la plupart des logiciels). Sinon, ben… faut
suivre les procédures pas à pas données par la doc Ubuntu, donc pas si compliqué que ça !
Si vous voulez utiliser des jeux/logiciels achetés dans le commerce, ça doit pouvoir marcher
même s'il ne s'agit pas d'une version compatible Linux, mais dans ce cas c'est moins simple
que sous Windows.
L’objectif d’une politique de sécurité est de protéger les éléments sensibles d’une organisation afin
d’assurer sa pérennité en cas d’incidents de sécurité.
à un niveau formel, les règles et les principes fondamentaux de sécurité dans l’organisation
(guide, standard, recommandation).
la mise en œuvre opérationnelle et technique de la politique (procédure).
Il existe deux types de listes d’accès dans les routeurs Cisco. Il y a les listes standards et les
listes étendu. La différence entre les deux listes est au niveau de la fonctionnalité qu’offre
chaque type de liste. Les listes standard nous permet de contrôler l’accès d’un sous réseau en
acceptant ou en refusant tous les équipements d’un sous réseau. Or que la liste d’accès étendu
offre des fonctionnalités plus spécifiques tel que le numéro de port, le protocole de transport
TCP/UDP, on peut refuser l’accès d’un seul hôte d’un sous réseau.
Afin de protéger leurs données, le matériel et les personnes, la plupart des entreprises de grandes
tailles ou même de dimensions plus modestes, doivent s’assurer de leur sécurité et d’une protection
efficace face aux intrusions physiques ou virtuelles (menaces d’intrusion d’un réseau de données par
Internet . . .). De même, les risque d’espionnage industriel pouvant mettre l’entreprise en danger sur
le plan commercial et concurrentiel doivent également être considérés.
Afin de faire aux problèmes potentiels de sécurité, la plupart des sociétés se dotent d’une politique
de sécurité performante. Qu’elle soit discrète ou plus ostentatoire, la sécurité d’une entreprise et sa
mise en pratique cohérente contre des risques potentiels se doit d’être contrôlée périodiquement pour
s’assurer des performances des systèmes, protocoles et pratiques de sécurité. C’est à ce moment
qu’interviendra l’audit de sécurité.
En effet, pour sécuriser le réseau de «ACS», nous allons choisir le firewall « PFsense » comme une
solution plus efficace puisqu’il est libre et plus performant.
Apport
Les limites
SNORT était à l’origine un système assez statique. Les réseaux d’aujourd’hui sont très
dynamiques et la mise à jour des systèmes peut être difficile.
SNORT n’a pas été programmé pour créer ou utiliser une prise de conscience contextuelle,
ce qui est essentiel pour la sécurité de la prochaine génération.
La sensibilisation contextuelle est construite en compilant des données sur la composition et
le comportement des réseaux, des applications et des utilisateurs.
Le manque de conscience contextuelle rend l’automatisation fiable et l’évaluation rapide des
menaces plus difficiles. Sans automatisation, vous devez trier manuellement les alertes
uniquement pour déterminer celles qui sont pertinentes avant de pouvoir identifier celles qui
présentent un risque légitime.
Ces problèmes peuvent s’avérer difficiles car vous essayez d’optimiser la sécurité et de réduire les
frais généraux administratifs sans rejeter votre déploiement SNORT et les nombreux avantages qu’il
offre.
Architecture
Principe de fonctionnement
Il effectue une capture d’un flux réseau, aux moyens de sondes, reliées à un agrégateur
central.
Après avoir collecté des paquets, le serveur doit analyser les données reçues, afin de détecter
les activités anormales.
Enfin, si un ou des paquet(s) sont détectés par l’analyseur, alors le système va alerter les
administrateurs.
TLS (Sécurité de la couche de transport) est un protocole de sécurisation des échanges de données
sur internet. C’est une version améliorée du protocole SSL. Il corrige des manquements de
l’ancienne version pour mieux répondre aux attaques actuelles du web.
Caractéristiques
Cryptage : 160 bits et 256 bits.
Configuration manuelle possible : Windows, Mac OS, Linux, Android.
Sécurité : Le chiffrement le plus élevée. Authentifie les données à l’aide de certificats
numériques.
Vitesse : Le protocole le plus performant. Débits rapides, même sur les connexions à latence
élevée et sur des grandes distants.
Stabilité : Plus fiable et plus stable sur les réseaux moins protégés et sur les hots-pots WI-FI,
même derrière des routeurs sans fil.
Compatibilité : Compatible dans la plupart des systèmes d’exploitation d’ordinateurs de
bureau mobile Android et tablette.
Avantage
Le TLS est une solution efficace pour rendre le trafic Web plus sûr. En effet, cette solution n’exige
pas des deux parties qu’elles chiffrent elles-mêmes le contenu, par exemple les données des
formulaires. Au lieu de cela, il suffit simplement que le transfert soit réalisé via le protocole TLS,
quels que soient les systèmes d’exploitation et les applications logicielles des deux parties. Tous les
flux de données sont alors automatiquement chiffrés pendant la transmission.
Inconvénient
Le prix de la sécurité est une configuration de connexion un peu plus lente, car les étapes du
processus décrites ci-dessus : certificat, nombre aléatoire et échange de clés sont gourmandes en
ressources.
Il deviendra ainsi très simple de collecter les flux de plusieurs de vos réseaux en temps réel.
IPCOOP PFsense
Basé sur Linux (Gratuit) Basé sur Free BSD (Gratuit)
Caractéristiques: Caractéristiques:
(Ntop)
Compte tenu de ce comparatif, la deuxième solution s'adapte aux standards de sécurité dont nous
avons besoin, puisque PFsense dispose de plus de fonctionnalités qu'IPCOOP (auto-update, portail
captif, load balancing, multi-WAN). Par conséquent, mon choix s'est porté sur le logiciel open
source PFsense, qui apportera la sécurité nécessaire au réseau local de l'entreprise de par ses
différentes fonctionnalités.
Conclusion
Dans ce chapitre, nous avons présenté quelques informations générales sur les réseaux
informatiques. Nous donnons ensuite un aperçu du cyber sécurité, dans lequel nous citons quelques
techniques pour atténuer les attaques. Dans le chapitre suivant, nous détaillerons les étapes de mise
en place du pare-feu PFsense.
Chapitre 4:
Réalisation du projet
Introduction
Dans ce chapitre, on va mettre en évidence la partie pratique après avoir présenté la partie
théorique. Nous allons commencer par la mise en place d’une architecture réseau à l’aide d’outils
open source. On va présenter les différentes taches faites ainsi que la configuration des différents
éléments de cette solution pour atteindre notre objectif.
I. Présentation de l’architecture
Dans cette section, nous présentons l’architecture réseau actuelle illustrée par la figure et nous
identifions les différents types d’éléments de sécurité entre les équipements existants.
Vlan utilisateurs : un vlan qui permet de protéger les utilisateurs en limitant des accès à
certains utilisateurs non autorisés.
Vlan administrations : c’est un Vlan auquel il a toutes les autorisations aux différents Vlan
connecté aux mêmes réseaux.
Vlan serveurs critiques : c’est un Vlan regroupant des serveurs ayant des différentes
fonctionnalités tel que serveur SQL, serveur DataWarehouse.
Vlan serveurs communs : c’est un Vlan qui permet de regrouper plusieurs serveurs tel que
le serveur d’Antivirus, serveur Backup.
1. Configuration du routage
Pour le routage entre l’espace technique 1 et l’espace technique 2, nous choisissons d’utiliser le
routage statique dont le but d’assurer la connectivité entre l’extrémité du réseau.
Pour le routage statique, les tables sont remplies manuellement. Il est utilisé sur des petits réseaux ou
sur des réseaux d'extrémité.
Le routage statique présente plusieurs avantages tels que la gestion de bande passante : Étant donné
qu'aucune information ne transite entre les routeurs pour qu'ils se tiennent à jour, la bande passante
n'est pas encombrée avec des messages d'information et de routage.
Pour tester le routage, on peut utiliser la commande de contrôle PING assuré par le protocole de
communication ICMP, à des différentes machines du réseau :
2. Les VLAN
Pour mettre l’empreinte de la sécurité, nous créons des Vlan au niveau du switch 5 tels que vlan
utilisateurs 40, vlan serveurs communs 10, vlan serveurs critiques 20 et vlan administration 30.
Le rôle principale du VLAN est améliorer la gestion du réseau en apportant plus de souplesse dans
son administration.
Pour rendre les VLAN communiquent entre eux, on a besoin du routage inter-VLAN qui est un
processus qui permet de transférer du trafic réseau d'un VLAN à un autre à l'aide d'un périphérique
de couche 3 comme un routeur.
On va faire des tests de connectivité entre les machines des différentes VLAN pour s’assurer que
l’opération est réussie :
3. Les ACL
Pour mieux de contrôle, nous choisissons la technologie ACL représenté dans une liste de règles
qui permet de filtrer ou d’autoriser du trafic sur un réseau en fonction de l’adresse IP.
Et pour ce faire, on a créé l’ACL 107 qui bloque le sens de PC 24 qui admet l’adresse IP
192.168.3.24 vers le PC 26 qui admet l’adresse IP 192.168.15.26.
Et pour ce faire, on a créé l’ACL 108 qui bloque le sens de PC 28 qui admet l’adresse IP
192.168.15.28 vers le PC 12 qui admet l’adresse IP 192.168.3.12.
Et pour ce faire, on a créé l’ACL 109 qui bloque le sens de PC 1 qui admet l’adresse IP 192.168.3.1
vers le PC 27 qui admet l’adresse IP 192.168.15.27 et bloque aussi le sens de PC 25 qui prend
comme adresse IP 192.168.3.25 vers le PC 27 qui admet l’adresse IP 192.168.15.27.
Après toutes ces configurations qui comportent la configuration des ACL et les VLAN, nous avons
bien assuré la protection du système d’informations contre les menaces internes.
commandes certaines ne sont pas présentes sur le système PFsense, puisque les parties inutiles
de l’OS ont été supprimées pour des contraintes de sécurité ou de taille.
Pftop : Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données
envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la bande
passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
Filter logs : En utilisant cette option vous verrez toutes les entrées du journal de filtrage
apparaissant en temps réel, dans leur sous forme brute. Il est possible de voir ces informations
dans le WebGUI (onglet Status, puis System Logs et enfin onglet Firewall), avec cependant mois
de renseignements par ligne.
Restart webConfigurator : Redémarrer le processus du système qui exécute le WebGUI. Dans
de rares occasions, un changement sur ce dernier pourrait avoir besoins de cela pour prendre
effet, ou dans des conditions extrêmement rares, le processus peut avoir été arrêté pour une
raison quelconque.
PFsense Développer Shell : Le Shell du développeur est un utilitaire très puissant qui permet
d’exécuter du code PHP dans le contexte du système en cours d’exécution. Comme avec le Shell
normal, il peut aussi être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell
est principalement utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers
au code PHP et au code de base de PFsense.
Upgrade from console : En utilisant cette option, il est possible de mettre à niveau le VMware
de PFsense, et ce en entrant l’URL de l’image PFsense à mettre à niveau, ou grâce à un chemin
d’accès locale vers une image téléchargée d’une autre manière. Nous avons travaillé avec la
version PFsense 2.6.0, caractérisée par sa stabilité. Cependant grâce à cette option, il nous est
possible de mettre à jour facilement notre version.
Enable Secure Shell (sshd) : Cette option nous permet de changer le statut du démon Secure
Shell. Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit,
nous allons détailler les tâches réalisées pour le faire.
Avant de se lancer dans la configuration de PFsense, il faut configurer les Vmnet de VMware
Workstation. Les Vmnet sont des switchs virtuels qui permettent de fournir trois modes de
connexion:
Le mode Host-only qui permet de connecter des machines virtuelles entre-elles ou/et avec la
machine physique.
Le mode Bridged qui permet de connecter une machine virtuelle au réseau externe.
Le mode NAT qui permet de se cacher derrière la machine physique et de partager sa
connexion internet avec la machine virtuelle.
Donc, si en réalité pour connecter plusieurs machines physiques on doit les brancher dans le même
switch, dans VMware, pour connecter des machines entre-elles, il faut les mettre dans le même
Vmnet. La configuration des Vmnet se fait grâce à l'outil "Virtual Network Editor" qui vient avec
l'installation de VMware Workstation.
Dans PFsense, l'adressage dynamique (DHCP) est désactivé et l'adresse IP LAN a été changée en
192.168.208.150, donc cette adresse IP permettra l'accès à PFsense via son interface Web.
Enter an option : 2
Enter the number of the interface: 2
Enter the new LAN IPV4 address: 192.168.208.150
Enter the new LAN IPV4 subnet bit: 24
Click: “ENTER”
Click: “ENTER”
Click: Y
Click : 192.168.208.1
Click : 192.168.208.254
Click : N
On lance l'interface web de configuration depuis le poste client. Au niveau de la barre de navigation,
tapez https://address-ip-lan. Ensuite, il faut s'authentifier pour accéder à l'interface PFsense.
Cette adresse représente l'interface d'authentification pour la configuration Pfsense illustrée dans la
figure.
Login : admin
Mot de passe : pfsense
On accède au Setup Wizard de menu System de PFsense qui terminera l’installation de ce pare-feu,
puis on clique sur le bouton Next.
Nous avons entré le nom de la machine, notre domaine et l’adresse IP du DNS comme indiqué dans
la figure. Attention, il faut décocher l’option se trouvant dessous.
Puis, on arrive à la choisir de « Africa/Tunis » dans la Timezone et on laisse par défaut le nom
d'hôte du serveur de temps « 2.pfsence.pool.ntp.org ».
Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix
sont disponibles, soit Static, DHCP, PPoE ou PPTP, le choix est basé sur la manière avec
laquelle mon interface va être utilisé. Dans notre cas, on choisit DHCP.
Block RFC1918 Private Networks : Bloque les connexions proviennent de réseaux privés.
Block bogon Networks : lorsqu'il est activé, le pare-feu empêche le trafic d'entrer s'il
provient d'un espace IP réservé ou non alloué qui ne doit pas être utilisé. Bloquer les paquets
avec des adresses sources IANA non définies.
Donc, cette fois, on va à l’interface LAN. On peut changer l’adresse IP de l’interface LAN de
PFsense (on l’a déjà fait en amont). Puis on clique sur Next.
Durant la phase de configuration, il est également nécessaire de modifier les identifiants par défaut
du compte admin de Pfsense. Ensuite, on tape Next.
La phase finale de l’installation de PFsense est terminée. On clique sur Reload pour recharger
PFsense.
On avoir l’interface graphique du firewall. PFsense offre la possibilité d’implémenter des VPN des
IDS/IPS et beaucoup d’autre fonctionnalités.
1. Installation de SNORT
En premier lieu on a installé le serveur SNORT, on accède au menu System et sélectionne l’option
de Package Manager.
2. Paramétrage de SNORT
Nous avons alors créé un compte sur « www.snort.org », obtenu la clé « Oinkmaster » pour pouvoir
télécharger toutes les règles de SNORT, puis configuré les services correspondants.
Figure 55 : L’Oinkcode
Sur cette interface, il existe quatre sources pour télécharger les signatures d'attaque (Activer Snort
VRT, Activer Snort GPLv2, Activer ET Open et Activer Open AppID).
Les règles Snort sont des fichiers qui contiennent des règles spécifiques à l'utilisation. Elles sont
téléchargées en cliquant sur l'onglet Mises à jour puis en cliquant sur le bouton Mettre à jour les
règles.
Après avoir téléchargé les règles SNORT, on vérifie que l’interface a bien été ajoutée comme le
montre la figure 57.
Finalement, vous pouvez voir la liste des alertes gérées par le service SNORT via l'interface de la
figure. Il doit rester actif pendant un certain temps pour afficher la liste des alertes.
1. Installation de Ntopng
Dans un premiers temps, an va installer le package Ntopng dans PFsense
« System>Package Manager>Ntopng »
2. Paramétrage de Ntopng
Après cela, on passe à la configuration du package, on va dans le menu Diagnostics et sélectionné
Ntopng settings pour initialiser Ntopng et démarrer le service correspondant. Pour accéder à
l’interface web Ntopng, on configure le compte administrateur. Le mot de passe et l'interface LAN
sont insérés.
Ensuite, on accède à Ntopng du menu Diagnostics et l’interface de connexion Ntopng devrait être
présentée.
3. Utilisation de Ntopng
Lors de la première connexion, la première chose qui va vous être présentée c’est le tableau de bord.
Par défaut, nous remarquons que l'installation lance un essai de la version complète de Ntopng, mais
pour une durée très limitée. Une fois ce "compte à rebours" atteint, la version community est activée
et le Dashboard change.
Dans la figure ci-dessous, on va expliquer les échanges effectués par PFsense et leurs
caractéristiques pour les adresses IP.
Ntopng utilise une technologie appelée DPI pour Deep Packet Inspection, lui permettant de
catégoriser chaque flux réseau (montant et descendant).
La visualisation des protocoles d’application est nécessaire aussi pour voir l’état du réseau.
Ntopng nous permettons de capturer ces protocoles et les classifier en fonction de l’utilisation de la
bande passante.
Dans ce réseau on trouve le TLS qui sécurise les échanges de données sur internet.
Finalement, Ntopng est également capable d'émettre des alertes de sécurité sur certains flux.
Celles-ci se trouvent dans le menu Alerts, sur le bandeau de gauche. Nous ne remarquons aucunes
alertes de différentes sévérités : Notice, Warning et Error.
Sélectionnez LAN.
On a des règles par défaut qui autorisent l'accès à Internet puis nous devons le gérer.
Les modifications ont été appliquées avec succès. Les règles de Firewall se rechargent maintenant
en arrière-plan.
Maintenant, nous pouvons voir que l'utilisateur ne peut pas accéder à la connexion Internet.
Maintenant, nous devons créer des règles pour l'utilisateur dans le but de donner l’autorisation de
l’accès.
Nous allons ajouter une adresse source du client dans la nouvelle règle et changer la destination vers
le port 80 (http).
Conclusion
Dans ce chapitre, nous avons réalisé une architecture réseau à l’aide des logiciels GNS3 et VMware
dans le but d’atteindre une sécurisation au niveau de réseau. On a évoqué tous les aspects qui sont en
relation avec la réalisation de l’application. On a montré, des captures d’écran témoignant des
différentes facettes de l’application.
Conclusion Générale
Ce projet de fin d'études s'inscrit dans le cadre d'une licence nationale en Ingénierie des Réseaux et
Systèmes à l'Ecole Supérieure des Sciences Appliquées et Techniques de Mateur.
Dans ce projet réalisé par l'Agence Nationale de la Sécurité Informatique. Ce travail se résume à la
mise en place d'une architecture réseau sécurisée. Dans le cadre de cette ascension, nous avons été
impliqués dans plusieurs phases, principalement une phase de recherche globale, pour bien
comprendre la nature du projet. Ensuite, nous commençons la partie de recherche théorique, qui peut
montrer différents concepts théoriques de ce projet.
La sécurité des réseaux est très importante dans le domaine informatique en général, elle participe à
l'échec de tous les événements nuisibles d'attaques et de processus de paquets sur les sites Web, et
affecte également la croissance des performances, en particulier dans les entreprises. Le but de ce
projet est de choisir une solution qui répond aux besoins de l'entreprise et il n'y a pas de meilleur
moyen de répondre à ce besoin Se sentir. En fait, PFsense est un véritable gestionnaire de réseau
central qui nous permet de faire fonctionner ensemble des pare-feu, des routeurs, des proxies, des
portails captifs, des outils de détection d'attaques réseau et bien plus encore. Tout sur un seul
serveur. Ce stage nous a permis d'acquérir des connaissances dans le domaine de la sécurité des
réseaux informatiques. Nous pensons que notre projet a atteint les objectifs recommandés.
Au final, nous espérons que cet humble travail satisfera les membres du jury et toutes les personnes
intéressées, de près ou de loin.
Annexes
Tapez « Entrer »
L’installation va continuer, essuyant le disque cible et installant PFsense. La copie des fichiers peut
prendre un certain temps pour terminer.
Une fois les options de configuration manuelle de l’installation terminées, sélectionnez non pour
continuer.
Si PFsense s’est installé correctement, vous pouvez retirer le cd et redémarrer la machine en allant
sur « reboot » Premiers paramétrages de PFsense
PFsense affiche les différentes cartes réseaux avec leur adresse MAC, ce qui vous permettra de les
différencier.
La première étape de configuration concerne l’utilisation des VLAN, pour l’instant ce qui nous
importe est la configuration de base de PFsense, nous appuyons donc sur la touche « N ». Nous
devons ensuite déterminer quelle interface sera sur le côté WAN, pour cela on peut soit saisir
manuellement le nom de l’interface. (Pour nous «em0») Ensuite, nous faisons la même chose pour la
carte réseau sur le LAN, j’entre donc « em1 ».
Tapez « em0 » pour WAN et «em1» pour LAN (attention, le clavier est sûrement en qwerty ! !).
Branchez le câble qui sera relié au WAN (PFsense vous dira qu’il voit un lien s’activer (up)) puis
validez par « Entrée ».
A ce moment-là, PFsense est accessible via son interface web sur l’adresse IP 192.168.208.150.
Nous allons donc la modifier pour l’intégrer à notre réseau et poursuivre la configuration. On est
donc devant l’écran suivant :
Bibliographies
[2]https://www.google.com/search?q=les+types+d%27attaques&sxsrf=ALiCzsbQVG8CpD60P
so4_DBk8-
d9YtT0AQ:1653041337961&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjX2f3t6u33AhW
0gv0HHfijBL8Q_AUoAXoECAEQAw&biw=1366&bih=625&dpr=1, consulté le 11/02/2022
[8] https://www.maxmind.com/en/accounts/current/minfraud/report-
transactions?utm_source=txn_email, consulté le 05/02/2022
[16]https://www.google.com/search?q=pfsense&sxsrf=ALiCzsZ30FhBCzh3iFU7aJ9fMB1_hsB
puA:1653041856830&source=lnms&tbm=isch&sa=X&ved=2ahUKEwip97Ll7O33AhU5iv0H
HStYBIYQ_AUoAXoECAIQAw&biw=1366&bih=625&dpr=1, consulté le 30/03/2022
[18]https://www.youtube.com/watch?fbclid=IwAR3ZtJOd3wDW9a2bLIR23bC6D-
ZHShg1eCzeIbWRzi0Fbm_sJoT5L_XHv4I&v=zOg-EYDaHX8, consulté le 15/05/2022