Rapport Finale PFE

DÉDICACES
Gratitude, amour, respect, reconnaissance, tous les mots ne peuvent exprimer... Aussi,
il m'est facile de me dédier ce projet de fin d'études
A ma chère famille
Aucun dévouement ne peut exprimer mon respect, mon amour éternel et ma

considération pour vos sacrifices pour mon éducation et mon bonheur. Je vous
remercie pour tout le soutien et l'amour que vous m'avez donnés depuis que je suis
enfant et j'espère que vos bénédictions seront toujours avec moi. Puisse cet humble
travail répondre à vos souhaits soigneusement élaborés et être le fruit de vos
innombrables sacrifices, même si je ne pourrai jamais vous payer assez. Que le Dieu
Très-Haut vous accorde santé, bonheur et longévité, et vos conseils m'ont toujours
guidé vers le succès.
Merci d'être toujours à mes côtés, d'avoir ta présence, ton amour et ta tendresse, de
donner du goût et du sens à ma vie. Dieu te bénisse.
A mes chers amis
A tous ceux que j’aime et qui m’aiment.

DÉDICACES
Je dédie ce projet de fin d'études, comme preuve de respect et de gratitude
A mon père
A ma mère
Pour leurs conseils, leurs prières et leurs soutiens permanents
J'espère que ce travail porte ma profonde reconnaissance et mon grand
Amour pour vous, que dieu vous préservent bonne santé et longue vie
Votre satisfaction restera toujours mon but.
A mon frère
A ma sœur
A mes cousines
Je vous souhaite un brillant avenir.
A toute ma famille pour le soutien moral et les encouragements qu'ils m'ont accordés.
A tous ceux qui me sont chers.
A tous mes enseignants de l'Institut Supérieur De Sciences Appliquées Et De

Technologie De Mateur.
REMERCIEMENTS
Nous sommes heureux de garder ces quelques lignes pour remercier tous ceux, de près
ou de loin, qui ont contribué à la réalisation de ce projet à la fin de cet ouvrage. Nous
tenons à remercier Docteur Hrizi Hafedh, Tuteur à l'Ecole Supérieure des Sciences
Appliquées et Techniques Mateur, d'avoir accepté d'assurer le suivi et le bon
déroulement de nos travaux. Son soutien et ses compétences nous ont été précieux.
Que notre Directeur à l'Agence Nationale de la Sécurité Informatique, Monsieur

Arfaoui Bilel, trouve ici nos remerciements pour son aide, ses conseils très utiles et
son assistance technique tout au long du stage. Nous lui sommes d'autant plus
reconnaissants de la confiance qu'il nous accorde et nous espérons être à la hauteur de
ses attentes.
Veuillez exprimer ici notre profonde gratitude et notre respect aux membres du jury
pour avoir accepté de juger ce travail. Nous ne laisserions pas passer cette opportunité
sans remercier tous les enseignants et personnels de l'ISSAT, en particulier ceux du
département Ingénierie des Réseaux et Systèmes, pour leur aide et leurs précieux
conseils et leur intérêt pour notre formation.
Enfin, nous remercions tous ceux qui ont contribué de près ou de loin à la réussite de
ce projet.
Table des matières
INTRODUCTION GÉNÉRALE ................................................................................ 1

Chapitre 1 : Contexte general du projet .................................................................... 3
Introduction ................................................................................................................ 4
I. Présentation de l’organisme d’accueil .................................................................... 4
1. Historique ........................................................................................................... 4
2. Informations générales ....................................................................................... 4
3. Objectifs de l’ANSI............................................................................................ 5
4. Organisme de l’ANSI :....................................................................................... 6
II. Présentation du projet ............................................................................................ 7

1. Etude de l’existant .............................................................................................. 7
2. Problématique..................................................................................................... 7
3. Solution proposée ............................................................................................... 7
4. Planification du projet ........................................................................................ 8
Conclusion ................................................................................................................. 8
Chapitre 2 : Etat de l’art ............................................................................................. 9
Introduction .............................................................................................................. 10
I. La sécurité informatique ...................................................................................... 10
1. Présentation et solutions de la sécurité informatique ....................................... 10
2. Objectives de la sécurité informatique ............................................................. 10
II. Les attaques informatiques .................................................................................. 11

1. Les sous familles d’attaque .............................................................................. 11
2. Les types des attaques ...................................................................................... 12
3. Buts d’attaques ................................................................................................. 14
III. Les éléments de bases de la sécurité informatique ............................................ 15

1. Les IDS (Les systèmes de détection d’intrusion) ............................................. 15
2. Les IPS (Intrusions Prévention Système) ......................................................... 15
3. Firewall............................................................................................................. 15
Conclusion ............................................................................................................... 17
Chapitre 3 : Conception de la solution .................................................................... 18
Introduction .............................................................................................................. 19
I. Environnement de travail ..................................................................................... 19
1. Environnement matériel .................................................................................. 19
2. Environnement logiciel ................................................................................... 19
II. Politique de sécurité ............................................................................................ 24

1. Présentation de la politique de sécurité ............................................................ 24
2. Quelques règles de la politique de sécurité ...................................................... 24
3. Mécanismes de sécurité d’un système informatique ........................................ 25
4. Mise en place d’une solution sécurisée ............................................................ 25
Conclusion ............................................................................................................... 32
Chapitre 4 : Réalisation du projet............................................................................ 33
Introduction .............................................................................................................. 34
I. Présentation de l’architecture ............................................................................... 34
II. Interface de la mise en place des équipements .................................................... 35
1. Configuration du routage ................................................................................. 35
2. Les VLAN ........................................................................................................ 36
3. Les ACL ........................................................................................................... 39
II. Installation de PFsense ........................................................................................ 42

1. Description des différentes options de PFsense ............................................... 43
2. Configuration basique de PFsense ................................................................... 44
3. Configuration de base de système .................................................................... 48
III. Mise en place de Snort ....................................................................................... 52

1. Installation de Snort ......................................................................................... 52
2. Paramétrage de Snort ....................................................................................... 54
IV. Supervision de la bande passante Ntopng ......................................................... 57

1. Installation de Ntopng ...................................................................................... 57
2. Paramétrage de Ntopng .................................................................................... 58
3. Utilisation de Ntopng ....................................................................................... 59
V. Test d’accès de l’internet à l’aide du PFsense .................................................... 62

1. Deny de l’internet pour un utilisateur .............................................................. 62
2. Allow de l’internet pour un utilisateur ............................................................. 64

Conclusion ............................................................................................................... 67
Conclusion Générale ................................................................................................. 68
Annexes ....................................................................................................................... 69
Bibliographies ............................................................................................................ 74
Liste des figures
Figure 1 : Organisme de l'ANSI…………………………………..…………….……6
Figure 2 : Sous familles des attaques………………………….……………………11
Figure 3 : Lecture du contenue de message………………….………………….…12
Figure 4 : Analyse le trafic ………………………………….………………………13
Figure 5 : Mascarade……………………………………………………………...…13
Figure 6 : Replay attaque…………………………………….…………………...…14
Figure 7 : Les types d'attaques…………………………………………………...…14
Figure 8 : Emplacement d'un Firewall…………………….…………………...……15
Figure 9 : Fonctionnement de Firewall…………………………………………...…16
Figure 10 : Logo de VMware………………………...….……………………….…19
Figure 11 : Logo de GNS3……………………………….……………………..……20
Figure 12 : Le feu vert…………………..…………….……………………………..20
Figure 13 : Interface GNS3 VM……………………….…………………………….21
Figure 14 : Test de la GNS3 VM……………………………………………….……21
Figure 15 : Logo d'Ubunto…………………………….……………………………..22
Figure 16 : Logo de PFsense………………………...…………………………...…26
Figure 17 : Logo de SNORT……………………….…..……………………………27
Figure 18 : Mise en place d'un SNORT……………..……………………………….28
Figure 19 : Logo de Ntopng………………………………………………………….30
Figure 20 : Architecture réseau …………………….……………………………….34
Figure 21 : Test de routage 1………………………………………………..………35
Figure 22 : Test de routage 2……………………….……………………….………36
Figure 23 : Créations des Vlan…..………………………………………………….36
Figure 24 : Configuration du routage Inter-Vlan…………………………………..37

Figure 25 : Test de connectivité 1………………….……………………..………38
Figure 26 : Test de connectivité 2 …………………………….………………….38
Figure 27 : Test de connectivité 3………………………………...………………38
Figure 28 : Configuration de l'ACL 107………………….……....………………39
Figure 29 : Test de l'ACL 107…………………………..….…….……………….39
Figure 30 : Configuration de l'ACL 108……………………….…………………40
Figure 31 : Test de l'ACL 108…………………………………….………………40
Figure 32 : Configuration de l'ACL 109…………………………….……………41
Figure 33 : Test de l'ACL 109……………………………………….……………41
Figure 34 : Test 2 de l'ACL 109………………………………………..…………42
Figure 35 : Installation de PFsense……………………………………….………42
Figure 36 : Configuration des Vmnet………………………………………..……45
Figure 37 : Configuration de l'interface LAN………………………………….….46
Figure 38 : Les interfaces réseaux sur un serveur PFsense …………………….47
Figure 39 : Interface web de PFsense ………………………………………….…47
Figure 40 : 1ére interface de setup Wizard …………………………………….…48
Figure 41 : Paramètre général de PFsense ………………………………………..48
Figure 42 : Réglage du serveur d'horloge …………………………………………49
Figure 43 : Interface WAN…………………………………………………………49
Figure 44 : Configuration de l'interface LAN…………………………………..…50
Figure 45 : Changement de mot de passe de l'administrateur …………..….……50
Figure 46 : Recharge PFsense ………………………………………………..……51
Figure 47 : Installation de PFsense est terminée………………………….………51
Figure 48 : Interface graphique de PFsense……………………………….………52
Figure 49 : Package manager de menu system……………………………………52
Figure 50 : Installation de SNORT…………………………………………………53

Figure 51 : Téléchargement SNORT avec succès …………………………………53
Figure 52 : Configuration du SNORT et ajout de la clé "Oinkmaster"…….…….…54
Figure 53 : Network Intrusion Detection………………………………….………..54
Figure 54 : Téléchargement de SNORT v3.0………………………………...……..55
Figure 55 : L'oinkcode………………………………………………………….……55
Figure 56 : Téléchargement des règles du SNORT………………………………….56
Figure 57 : Affichage des interfaces SNORT actives ………………………………56
Figure 58 : Historique des alertes de SNORT…………………………….…………57
Figure 59 : Installation de Ntopng…………………………………………………...57
Figure 60 : Téléchargement Ntopng avec succès ……………………………..……58
Figure 61 : Réglage de compte administrateur …………………………….…..…...58
Figure 62 : Interface de Ntopng……………………………………………………...59
Figure 63 : Tableau de bord Ntopng………………………………………………...59
Figure 64 : Dashbord Ntopng………………………………………………………..60
Figure 65 : Caractéristiques du trafic………………………………….………..…..60
Figure 66 : Diagramme de trafic par protocoles d'application ………..…………..61
Figure 67 : Contrôle des alertes……………………………………………………..61
Figure 68 : Configuration de blocage……………………………………………….62
Figure 69 : Rechargement de la règle………………………………………………..63
Figure 70 : Deny d’accès…………………………………………………………….63
Figure 71 : Adresse IP du client……………………………………………………..64
Figure 72 : Ajout de l’adresse client…………………………………………………64
Figure 73 : Changement du port……………………………………………………..65
Figure 74 : Rechargement de la nouvelle règle……………………………………..65
Figure 75 : L’accès à l’internet………………………………………………………66
Figure 76 : Test de l’accès à google…………………………………………………66

Liste des tableaux
Tableau 1 : Diagramme de Gantt…………………………………………………8
Tableau 2 : Tableau comparative entre PFsense et IPCOOP…………………..31

Liste des acronymes
ANSI : Agence Nationale de Sécurité Informatique
IDS : Intusion Detection System
SSH : Secure Shell
SSL : Secure Sockets Layer
TLS : Transport Layer Security
VPN : Virtuel Private Network
IPSEC : Internet Protocol Security
IPS : Intrusion Prevention System
LAN : Locale Area Network
WAN : Wide Area Network
OSI : Open Systems Interconnection
GNS3 : Graphical Network Simulator-3
VLAN : Virtual Local Area Networks
ACL : Access Control List
SNORT : Supersonic Naval Ordnance Research Track
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System
QOS : Traffic Chapping
URL : Uniform Resource Locator
ICMP : Internet Control Message Protocol
IP : Internet Protocol
ISSAT Mateur
INTRODUCTION GÉNÉRALE
Aujourd'hui, personne ne peut nier l'importance du réseau Internet dans nos vies. Ce dernier nous
permet de partager des ressources et de communiquer avec n'importe qui dans n'importe quel pays
sans restrictions ni frontières. Même sur le plan professionnel, Internet présente plusieurs avantages
pour les entreprises car il facilite leur communication avec les partenaires et les clients. Le réseau
permet également aux entreprises de nouer de nouvelles relations et de lancer de nouveaux projets,
économisant encore plus de temps et d'argent.
Cependant, s'il n'est pas suffisamment sécurisé, le réseau Internet sera définitivement désavantagé.
En fait, le réseau Internet, auquel appartient un ensemble d'utilisateurs parfois anonymes (donc
sujets à une méfiance légitime) qui peuvent utiliser ce réseau comme un moyen pour s'infiltrer de
façon illégale à des ressources ou systèmes de nature publics ou privés (Vol d'informations, ...), ou
bien de les attaquer (déni de service ...). Les types d'attaques sont multiples et diverses. En fait, la
plupart des systèmes sont vulnérables, puisque le domaine de l'informatique est très vaste, et chaque
jour de nouvelles failles de sécurité sont détectées telle la (failles 0- Day).
Actuellement, le risque d'être attaqué augmente de manière exponentielle : hier, la découverte des
failles du système était si complexe qu'elle était quasiment indétectable, alors qu'aujourd'hui, les
failles peuvent être trouvées rapidement et même exploitées immédiatement. Généralement, les
entreprises sont conscientes de ces risques et cherchent à protéger leurs systèmes d'information car
ils représentent le socle et le cœur de leur métier. À première vue, établir une stratégie de sécurité
informatique appropriée dans une entreprise peut sembler une lourde charge financière, ce qui les
fait graviter vers des solutions moins chères mais plus vulnérables, entraînant un traitement tardif de
ces aspects de sécurité.
En effet, en Tunisie, une agence spécialisée dans la sécurité informatique (Agence Nationale de la
Sécurité Informatique « ANSI ») a été créée pour exercer un contrôle général sur les systèmes et
réseaux informatiques appartenant à divers organismes publics et privés afin de les aider à trouver
une sécurité adéquate Apporter des solutions à leurs systèmes et réseaux et sensibiliser les
internautes et les professionnels aux risques liés à la connexion à Internet et à l'utilisation des
systèmes informatiques en général. Après la révolution tunisienne, notre cyberespace a été soumis à
un taux élevé d'attaques (attaques anonymes) affectant plusieurs systèmes dans différentes
organisations, obligeant l'ANSI (24 janvier 2012) à relever le niveau d'alerte national de sécurité
informatique au niveau 2, en appelant l'attention des utilisateurs et des professionnels à prendre
1 Année université 2021/2022

ISSAT Mateur
toutes les précautions nécessaires pour renforcer leur stratégie de sécurité et surtout à être en veille
permanente en surveillant leur trafic réseau.
Le besoin croissant de protéger tout ce que nous avons en tant que réseau et système d'information à
l'échelle nationale a incité l'ANSI à préparer des solutions pour protéger les systèmes de diverses
entreprises qui demandent de l'aide et de l'assistance. D'autant que nombre d'entre eux ont été
victimes d'attentats. En l'occurrence, en tant que stagiaire, le service technique d'ANSI nous a
demandé de concevoir et de mettre en place une architecture réseau sécurisée basée sur des outils
open source pour répondre à plusieurs exigences de chefs d'entreprise qui souhaitaient protéger leur
parc informatique et informationnel au moindre coût possible.
Le présent rapport est subdivisé en quatre chapitres :
• Le premier chapitre est consacré à mettre le projet dans son cadre général tout en présentant
l’organisme d’accueil et en spécifiant la problématique et la solution proposée.
• Le deuxième chapitre se focalisera sur les bases d'une architecture réseau sécurisée et toutes les
solutions quelles incluent.
• Le troisième chapitre présentera une étude concernant les types d'outils et les solutions adaptés
pour la sécurité informatique.
• Le quatrième chapitre concernera une étude de cas d'une entreprise cherchant à renforcer la
résistance de ses systèmes face aux différentes tentatives d'attaques réseaux et l'implémenter, dans
une plateforme de tests utilisant l'outil Open Source.

ISSAT Mateur
Chapitre 1:
Contexte general du projet

ISSAT Mateur
Introduction
Avant de résoudre un problème, il est essentiel de bien comprendre le contexte dans lequel il se
situe. Dans ce chapitre introductif, nous présentons de manière succincte l’organisme d’accueil au
sein du quel notre projet de fin d’études a été élaboré. Nous allons présenter aussi le cadre du projet
et le contexte du travail ce qui nous permettra de mieux connaître l’envergure et l’intérêt du
problème étudié.
I. Présentation de l’organisme d’accueil
1. Historique
• 1999 : Lancement d’une unité de gestion par objectif pour la réalisation du développement de la
sécurité informatique au sein de secrétariat d’état d’informatique.
• 2002 : Modification du rôle et de la structure de l’unité.
• 2003 : Conseil ministériel restreint dédié à l’informatique et à la sécurité des systèmes

d’informations qui a décidé :
- La création d’une agence nationale spécialisée dans la sécurité des systèmes d’informations.
- L’introduction d’un audit obligatoire et périodique dans le domaine de la sécurité informatique.
- La création d’un corps d’auditeurs certifiés en sécurité des systèmes d’information.
• 2004 : Création de l’agence nationale de la sécurité informatique suite à la loi N°2004-5. [1]
2. Informations générales
L'Agence Nationale de la Sécurité Informatique (ANSI) est une agence publique créée en 2004 et
opérant sous la tutelle du Ministère des Technologies de la Communication. Il veille à la mise en
œuvre des orientations stratégiques nationales sur les systèmes d'information et le cyber sécurité.
L'agence fournit plusieurs projets de service national en fournissant des solutions techniques
directionnelles et indicatives (normes, conseils techniques, sensibilisation, etc.), des services
d'urgence (gestion des incidents cybernétiques conformément aux lois sur la sécurité), et la
participation à des recherches importantes et sensibles.

ISSAT Mateur
Carte de visite de l’ANSI :
 Adresse : 49 avenue Jean Jaurès, 1000 Tunis

 Tél : (+216)71846020
 Adresse mail : ansi@ansi.tn
 Adresse web : www.ansi.tn [1]
3. Objectifs de l’ANSI
Dans le cadre de la mise en œuvre du choix stratégique national dans le domaine de la sécurité
informatique, et pour répondre aux exigences du développement constant assisté par l’utilisation
des technologies modernes et l’intégration des services et des institutions publiques et privées,
l’ANSI a été créé pour un contrôle général des systèmes informatiques et des réseaux relevant des
divers organismes publics et privés.
Les principales missions de l’ANSI sont :
 Assurer la mise en œuvre des orientations stratégiques nationales et publiques pour

assurer la sécurité des systèmes d’informations et des réseaux.
 Certifier des personnes physiques et morales afin d’exercer la tâche d’expert d’audit
dans le secteur de la sécurité des systèmes d’informations.
 Offrir les solutions et les outils essentiels pour éviter les attaques et les menaces qui
peuvent empêcher le bon fonctionnement des systèmes d’informations et des réseaux.
 Contrôler les systèmes d’informations et les réseaux des différentes institutions
publiques et privées.
 Participer à la consolidation de la formation et du recyclage dans le domaine de la
sécurité informatique.

ISSAT Mateur
4. Organisme de l’ANSI :
L’organisme de l’ANSI est illustré par la figure 1.
Figure 1 : Organisme de l’ANSI [1]
D’après la figure 1, l’ANSI se compose de 6 unités et directions gérées par le directeur général. Les
services assurés par l’ANSI sont les suivants :
 Unité de prospection et de veille technologique : qui a pour tâche de suivre les

développements scientifiques dans le domaine de la sécurité informatique et de fournir des
mécanismes techniques pour attirer des projets de recherche et de développement.
 Unité de contrôle de gestion et de Management de qualité : qui prépare des guides de
management et de qualité, veille sur la préparation des statistiques et suit les réalisations.
 Directions des ressources est assurée par un « Directeur » : division des affaires
financières et comptables et division de la gestion des ressources humaines et des services
généraux.
 Direction des technologies de sécurité des systèmes d’information : qui intervient lors
d’un incident ou une attaque sur les réseaux et les sites Web tunisiens et effectue L’audit
technique et des attaques blanches pour assurer la sécurité des réseaux et des systèmes
d’informations.

ISSAT Mateur
 Direction de l’audit de la sécurité des systèmes d’information : qui analyse la situation de

la sécurité des systèmes d’informations et des réseaux soumis à l’opération d’audit des
indicateurs d’évaluation.
 Direction de la réaction aux urgences informatiques et d’assistance : qui met des guides
et des programmes de sensibilisation destinés aux publics et les spécialistes du domaine,
détecte les dangers et les évalue annonçant directement les attaques qui visent l’espace
cybernétique national, avec la coordination des fournisseurs d’accès internet et autres.
II. Présentation du projet
1. Etude de l’existant
Chez l’ANSI et comme toutes les agences qui contiennent un réseau local a l’accès à Internet, dans
le but est la communication avec l’extérieur. Cette ouverture peut causer des risques aussi de donner
l’autorisation aux étrangers pour essayer de pénétrer le réseau local de l’agence, et parfois
d’appliquer des actions douteuses.
Pour se protéger contre ces attaques, il faut une architecture sécurisée. Pour cela, la plupart des
architectures sont basées sur un IDS qui a pour mission d’analyser et surveiller le trafic et de
détecter des signes indiquant que se sont merveilleux. Cela représente une sécurité supplémentaire
rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de prévenir l’accès
interne vers l’extérieur.
2. Problématique
Au cours de la dernière décennie, les menaces se sont multipliées avec l'avènement de nouvelles
techniques d'attaque plus sophistiquées et sophistiquées. Ces nouvelles menaces ciblent tous les
types d'appareils et s'adaptent aux évolutions de l'environnement de travail et à l'émergence des
nouvelles technologies (cloud, smartphones, virtualisation, IoT, etc.).
Afin de protéger le cyberespace national tunisien, il est nécessaire de savoir avant de prévoir les
menaces ciblées.
3. Solution proposée
Pour répondre aux besoins déjà cités, nous proposons de mettre en place les éléments suivants :
 Implémentation d’une architecture à base d’outils GNS3.

 Création des Vlan et Inter-Vlan.

ISSAT Mateur
 Commander le routage par des ACL.
 Un pare-feu pour contrôler le trafic, nous avons choisi PFsense.

 Un système de détection d'intrusion (IDS/IPS), nous avons choisi SNORT.
 Un système de supervision de la bande passante Ntopng.
 Gérer l’accès de l’internet à un client.
4. Planification du projet
Pendant la période de notre projet qui s’étale sur quatre mois, nous avons choisi de suivre le plan
suivant :
Tableau 1 : Diagramme de Gantt
Conclusion
Dans ce chapitre, nous avons présenté l'organisation hôte et les solutions que nous prévoyons de
mettre en œuvre pour sécuriser l'architecture proposée. Le chapitre suivant sera consacré à une étude
théorique des différentes solutions open source pour justifier le choix des outils de sécurité à
installer.

ISSAT Mateur
Chapitre 2:
Etat de l’art

ISSAT Mateur
Introduction
Tout ordinateur connecté à Internet, et plus généralement à tout réseau informatique, est vulnérable
aux pirates. Il est donc nécessaire de se prémunir contre ces cybers attaques en installant des
équipements de protection.
Dans ce chapitre, nous présenterons le concept de sécurité informatique et montrerons les méthodes
et les stratégies de sécurité utilisées pour l'assurer.
I. La sécurité informatique
1. Présentation et solutions de la sécurité informatique

La sécurité informatique est une discipline conçue pour protéger l'intégrité et confidentialité des
informations stockées dans les systèmes. C’est un ensemble des moyens mis en œuvre pour
minimiser la vulnérabilité d’un système contre des menaces accidentelles ou intentionnelles.
2. Objectives de la sécurité informatique

L’objectif de la sécurité est de protéger les éléments sensibles d’un réseau (d’une architecture)
afin d’assurer sa pérennité en cas d’incidents de sécurité.
Leurs réalisations visent à mettre en œuvre les cinq principes ou objectifs de la sécurité informatique
qui sont les suivants :
 Disponibilité : garantie l’accès et l’utilisation des ressources (services, bande passante,

données) de manière continue et non altérée.
 La confidentialité : permet de garder priver des échanges de données (contrôle d’accès,
chiffrement).
 L’intégrité : garantie qu’une ressource (données, applications, matériels) n’a pas été
modifiée, altérée ou détruite (transfert sécurisé).
 L’authentification : valide l’identité prétendue (mot de passe).
 Non-répudiation : garantie qu’un message a bien été envoyé par un émetteur authentifié.

ISSAT Mateur
II. Les attaques informatiques
1. Les sous familles d’attaque

Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une
attaque. C’est une action de malveillance consistant à tenter de contourner les fonctions de
sécurité d’un système informatique.
Les motivations des attaques peuvent être de différentes sortes :
 Obtenir un accès au système.

 Voler des informations, tels que des secrets industriels ou des propriétés intellectuelles.
 Glaner des informations personnelles sur un utilisateur.
 Récupérer des données bancaires.
 S’informer sur l’organisation (entreprise de l’utilisateur, etc.).
 Troubler le bon fonctionnement d’un service.
 Utiliser les ressources du système de l’utilisateur, notamment lorsque le réseau sur lequel il
est situé possède une bande passante élevée, etc.
Il existe deux sous-familles d’attaques :
Figure 2 : Sous familles des attaques

ISSAT Mateur
 Une attaque passive ne modifie pas le fonctionnement normal des communications et des
réseaux : elle se base sur l’observation et l’analyse du trafic.
Descriptions d’une attaque passive :
 L’attaquant n’entre aucun changement aux informations interceptées.

 L’attaque passive ne cause aucun dommage aux ressources du système.
 Considérée comme une menace pour la confidentialité des données.
 La victime n’est pas consciente de l’attaque passive.
 L’attaquant a juste besoin d’observer la transmission.
 Une attaque active peut introduire des données dans le système ainsi que potentiellement
modifier les données au sein de système.
Descriptions d’une attaque active :
 Inclut la modification du message.

 L’entité attaquée est consciente de l’attaque en cas d’attaque active.
 Accomplie en obtenant le contrôle physique sur la liaison de communication.
 Constitue une menace pour l’intégrité et la disponibilité des données.
 Inflige énormément de dégâts au système pour capturer et insérer la transmission.
2. Les types des attaques

 Lecture de continue du message : C’est une méthode consistait à infecter la machine de la
victime avec une application afin de lire ses messages.
Figure 3 : Lecture du contenue de message [2]

ISSAT Mateur
 Analyse le trafic : Consiste à analyser le la forme ou le motif ou le rythme des messages

entre les deux terminaisons.
Figure 4 : Analyse le trafic [2]
 Mascarade : Une attaque par mascarade est une attaque qui utilise une fausse identité pour
obtenir un accès non autorisé aux informations d’un ordinateur personnel.
Figure 5 : Mascarade [2]

ISSAT Mateur
 Replay attaque : C’est une forme d’attaque réseau dans laquelle une transmission est
malicieusement répétée par un attaquant qui a intercepté la transmission.
Figure 6 : Replay attaque [2]
3. Buts d’attaques
Types des attaques actives sur un système Informatique :
Figure 7 : Les types d’attaques [2]

ISSAT Mateur
Dans une communication, ces attaques peuvent engendrer:
 Interruption: vise la disponibilité des informations

 Interception: vise la confidentialité des informations
 Modification: vise l’intégrité des informations
 Fabrication: vise l’authenticité des informations
III. Les éléments de bases de la sécurité informatique
1. Les IDS (Les systèmes de détection d’intrusion)

IDS est l'acronyme du terme (Intrusion détection System) : il permet Détecte diverses tentatives
d'intrusion sur la cible d'analyse, cette cible peut être Un réseau ou une machine. Exister En fait, il
existe trois types d'IDS : HIDS, NIDS, Hybrid IDS. Une fonction IDS est essentiellement un moteur
qui analyse le trafic. Il Peut analyser la couche réseau, la couche de transport, les protocoles de
couche Application du modèle OSI.
2. Les IPS (Intrusions Prévention Système)
Il s’agit d’un système qui empêche les intrusions, il a une capacité à bloquer les attaques détectées
immédiatement.
 Fonctionnement :
C'est un IPS actif qui détecte les attaques connues et inconnues et peut bloquer les ports
automatiquement. En effet, il a effectué des contrôles préventifs et pris les mesures nécessaires pour
réduire l'impact de l'attaque.
3. Firewall
Figure 8 : Emplacement d’un Firewall [16]

ISSAT Mateur
Les Firewalls (pare feu) peuvent être du matériel (dispositifs) intégrés au réseau ou des logiciels
installés sur des serveurs dédiés appartenant au même réseau. C'est un système qui protège un
ordinateur ou un réseau informatique des intrusions de réseaux tiers, notamment Internet. En fait, il
agit comme une barrière entre deux réseaux, un réseau de confiance, tel que le réseau interne d'une
entreprise (réseau local), et un réseau non fiable, tel qu'Internet ou un extranet.
Ainsi, le Firewall fournit une passerelle de filtrage composée d'au moins deux interfaces réseau :
 Interface vers le réseau protégé (réseau interne LAN)

 Interface pour réseau externe (WAN)
En effet, lorsque certaines machines du réseau interne ont besoin d’externe (serveur de messagerie,
serveur Web), il est donc nécessaire de créer une nouvelle interface vers un réseau distinct
accessible depuis le réseau interne et depuis l'extérieur.
 Fonctionnement
Figure 9 : Fonctionnement de Firewall [16]
Le Firewall permet un accès contrôlé au réseau en fonction d'un ensemble défini de règles société
gérée et configurée par l'administrateur réseau. Il permet flux d'informations sélectif entre les deux
réseaux et neutralisation des tentatives de pénétration externes. Il effectue ce filtrage au niveau des
couches 3 et 4 du modèle OSI.

ISSAT Mateur
Ce dernier analyse les adresses IP sources, les adresses IP destinations, le type de paquet (TCP,
UDP), en plus du numéro de port.
Il contient un ensemble de règles prédéfinies permettant soit :
 D’autoriser la connexion (Permit).

 De bloquer la connexion (Deny).
 De rejeter la demande de connexion sans avertir l’émetteur (Drop).
 Avantage
 Les firewalls minimisent le taux d’expositions aux attaques réseaux.
 Impossible de l’éviter (les paquets passeront par ses interfaces).
 Peu coûteux.
 Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic
TCP et UDP.
 Inconvénient
 Plus le nombre de règles à appliquer est grand, plus les performances du pare feu diminuent.
 Possibilité de le contourner (il suffit de passer outre ses règles).
 Configuration souvent contraignante.
 Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus souvent
en Stateless).
Conclusion
Dans ce chapitre nous avons présenté les différentes parties des éléments base de la sécurité
informatique et leurs rôles.

ISSAT Mateur
Chapitre 3:
Conception de la solution

ISSAT Mateur
Introduction
Dans ce chapitre, nous nous concentrerons sur la partie pratique après avoir introduit la partie
théorique. Nous montrerons les différentes tâches effectuées et la configuration des différents
éléments de cette solution pour atteindre mes objectifs.
I. Environnement de travail
1. Environnement matériel
L’équipement mis à cette disposition pour la réalisation du projet se compose d’un ordinateur
portable dont la caractéristique est la suivante :
• Intel(R) Core(TM) i5-8265U CPU @ 1,60GHz 1,80 GHz
• 8 Go de RAM
• Système d’exploitation Windows 10 professionnel 64 bits
2. Environnement logiciel
2.1. VMware Workstation Pro

Il s'agit de la version station de travail du logiciel. Il permet la création d'une ou plusieurs machines
virtuelles au sein d'un même système d'exploitation (généralement Windows ou Linux), qui peuvent
être connectées au réseau local à l'aide d'adresses IP différentes, tout en étant sur la même machine
physique (la machine qui existe réellement). Plusieurs machines virtuelles peuvent être exécutées
simultanément, avec des limites correspondant aux performances de l'hôte. L'avantage de la version
Linux est que vous pouvez enregistrer les fichiers de la machine virtuelle pendant que la machine
virtuelle est en cours d'exécution.
Figure 10 : logo de VMware [4]

ISSAT Mateur
2.2. GNS3 (Graphical Network Simulator)

Il s'agit d'un émulateur de réseau développé qui nous permet de simuler le réseau avant d'acheter
l'appareil et de le configurer. Pour les machines choisies dans ce travail, comme les serveurs et les
Firewalls, j'ai choisi d'installer cela dans ma machine pour les voir prêts notamment au niveau de la
configuration.
GNS3 est un logiciel de simulation de réseau open source qui encourage les étudiants à
expérimenter le comportement du réseau et à tester différents scénarios. L'outil complète les
appareils physiques en permettant aux étudiants de se mettre en réseau avec un nombre pratiquement
illimité d'appareils et en encourageant la pratique, la découverte et le dépannage.
Figure 11 : logo de GNS3 [3]
 Le GNS3 VM
La GNS3 VM vous permet d’installer tous les appareils autres que CISCO, il va se lancer par
l’intermédiaire de Workstation tout seul.
Le VM GNS3 à bien démarré :
Dès lors que le feu vert est affiché, cela veut dire que GNS3 à bien détecté et communique bien avec
la machine virtuelle.
Figure 12 : Le feu vert

ISSAT Mateur
Nous avons utilisé VMware Workstation comme un hyperviseur pour installer GNS3 VM.
Figure 13 : Interface GNS3 VM
Pour tester le GNS3 VM, il suffit de pinger l’IP de la VM depuis notre PC.
Figure 14 : Test de la GNS3 VM

ISSAT Mateur
2.3. Ubunto
2.3.1. Présentation Ubunto

Ubuntu est un système d'exploitation Linux de bureau complet, disponible gratuitement avec un
support professionnel. La communauté Ubuntu est construite sur les idées inscrites dans le
Manifeste Ubuntu : que les logiciels devraient être disponibles gratuitement, que les outils logiciels
devraient être utilisables par des personnes dans leur langue locale et malgré tout handicap, et que
les gens devraient avoir la liberté de personnaliser et modifier leur logiciel de la manière qui leur
convient. « Ubuntu » est un ancien mot africain, signifiant l’humanité aux autres. La distribution
Ubuntu apporte l'esprit d'Ubuntu au monde du logiciel.
Figure 15 : Logo d’Ubunto [6]

Logo d
2.3.2. Spécifique à Ubunto

 Ubuntu est simple à prendre en main pour les débutants.
 Une communauté sympa et dynamique
 Ubuntu est devenue la distribution Linux l'une des plus populaires, ce qui rend sa
communauté très dynamique !
 Les dépôts Ubuntu hébergent une multitude de logiciels à découvrir. Souvent
simples mais très utiles et suffisants pour la majorité d'entre nous.
 L'intégration des logiciels est parfois stupéfiante et facilite la vie (installer un logiciel
en un clic à partir de Firefox !)
 Hautement personnalisable : tout est paramétrable avec plus ou moins d'efforts.
 Cycle régulier de sortie et de support
 Importante documentation disponible (de source officielle ou venante de la
communauté des utilisateurs)

ISSAT Mateur
2.3.3. Avantages
 Plus besoin de se soucier des virus ou des spywares (quelques virus ont existé pour
Linux, contre plusieurs millions pour Windows…), plus de tranquillité (adieu Ad-Aware,
adieu SpyBot, adieu Norton…).
 Fini les spams et publicités intégrées dans les logiciels ! Vos logiciels sont propres et
fonctionnels.
 Facilité d'accès à tous les logiciels (avec Synaptic tu lui dis ce que tu veux, tu cliques, il
le télécharge et l'installe tout seul).
 Beaucoup plus facile à tenir à jour, vu que tous les programmes des dépôts sont mis à
jour automatiquement :
 Pas besoin de consulter quinze mille sites comme sous Windows pour rester à la page.
 Finies les alertes de mises à jour Java, Norton, et Avast.
 La majorité des logiciels disponibles sont des logiciels Libres sous licence GPL, dont le
code source est ouvert, peut être vérifié par tous, et mis à jour plus rapidement que les
logiciels propriétaires (ou privateurs de liberté).
 Utiliser tout le potentiel de votre bande passante.
 Plus besoin de regarder si vous installez un shareware, un freeware ou autre et donc de
savoir quand finit la période d'essai, de trouver un crack …etc,
 Gratuité de la quasi-totalité des applications (sauf peut-être 1 ou 2 trucs ultra
spécifiques), donc fini le piratage !
 Dès que vous avez une question/problème, la doc Ubuntu saura vous guider et les forums
sont très réactifs pour vous donner un coup de main.
 Système mieux organisé (pas de dll ou de base de registre).
 Ubuntu ne s'alourdit pas au fil des mois sans modification, pas besoin de défragmenter.
 Linux est un système très sécurisé, les droits des fichiers et applications sont mieux
gérés.
2.3.4. Inconvénients
 La reconnaissance du matériel sur certains ordinateurs, notamment :

 L’hibernation et la mise en veille ne marchent pas toujours correctement.
 Les webcams.
 Il faut réapprendre pleins de trucs. C'est souvent intéressant mais parfois fatiguant.

ISSAT Mateur
 L'installation de logiciels est aisée à partir du moment où l'on a accès à internet et qu'ils sont
disponibles dans les dépôts (ce qui est le cas pour la plupart des logiciels). Sinon, ben… faut
suivre les procédures pas à pas données par la doc Ubuntu, donc pas si compliqué que ça !
 Si vous voulez utiliser des jeux/logiciels achetés dans le commerce, ça doit pouvoir marcher
même s'il ne s'agit pas d'une version compatible Linux, mais dans ce cas c'est moins simple
que sous Windows.
II. Politique de sécurité
1. Présentation de la politique de sécurité

La politique de sécurité est un document confidentiel qui appartient à la société. Il se présent en
forme de règles à appliquer afin de prendre les mesures nécessaires pour se méfier contre les
attaques internes et externes.
L’objectif d’une politique de sécurité est de protéger les éléments sensibles d’une organisation afin
d’assurer sa pérennité en cas d’incidents de sécurité.
Une politique consiste à rédiger des documents qui décrivent :
 à un niveau formel, les règles et les principes fondamentaux de sécurité dans l’organisation
(guide, standard, recommandation).
 la mise en œuvre opérationnelle et technique de la politique (procédure).
La politique de sécurité fait la liaison entre la stratégie de sécurité d’une organisation
et l’implémentation opérationnelle de la sécurité.
Se doit d'être élaborée au niveau de la direction de l'organisation.
2. Quelques règles de la politique de sécurité

 R1 : Les communications entre les machines du département Réseau, Développement, et
communication sont interdites.
 R2 : Les échange des données entre les différents départements se fait à partir du service de
coordination.
 R3 : Le scan des ports des serveurs à partir des utilisateurs est interdite sauf pour
l’administrateur du réseau.
 R4 : Les connexions en SSH est interdites pour les utilisateurs du réseau sauf
l’administrateur du réseau.

ISSAT Mateur
 R5 : Les utilisateurs du réseau n’ont pas le droit d’accéder à l’imprimante d’administration

pour imprimer un fichier.
 R6 : Dans le cas où le réseau n’est pas disponible, il faut contacter l’administrateur du
réseau pour résoudre le problème.
 R7 : Aucun utilisateur au droit de toucher aux configurations des machines.
 R8 : Tous les équipements doivent être protégés par des mots de passes robustes.
3. Mécanismes de sécurité d’un système informatique

Pour assurer la sécurité d’un système d’information, nous avons intérêt à utiliser des concepts,
des normes et des mécanismes pour assurer les services de sécurité CIA.
 Le VLAN : est un mécanisme de sécurité utilisé pour séparer logiquement les

regroupements des ports d’un Switch. Cette séparation a pour rôle de diminuer la chance
d’avoir des attaques internes passives ou actives dans plusieurs départements différents qui
utilise le même Switch.
 Inter VLAN : Le routage inter-VLAN est un processus qui permet de transférer du trafic
réseau d'un VLAN à un autre à l'aide d'un périphérique de couche 3 comme un routeur.
 Les ACL : Le contrôle d’accès est un service de sécurité important qui doit être pris en
considération dans le système d’informations. C’est une technique utilisé au niveau des
routeurs qui assure la restriction d’accès d’une machine qui veut envoyer des paquets d’un
sous réseau à un autre.
Il existe deux types de listes d’accès dans les routeurs Cisco. Il y a les listes standards et les
listes étendu. La différence entre les deux listes est au niveau de la fonctionnalité qu’offre
chaque type de liste. Les listes standard nous permet de contrôler l’accès d’un sous réseau en
acceptant ou en refusant tous les équipements d’un sous réseau. Or que la liste d’accès étendu
offre des fonctionnalités plus spécifiques tel que le numéro de port, le protocole de transport
TCP/UDP, on peut refuser l’accès d’un seul hôte d’un sous réseau.
4. Mise en place d’une solution sécurisée

4.1. Introduction
Afin de protéger leurs données, le matériel et les personnes, la plupart des entreprises de grandes
tailles ou même de dimensions plus modestes, doivent s’assurer de leur sécurité et d’une protection
efficace face aux intrusions physiques ou virtuelles (menaces d’intrusion d’un réseau de données par
Internet . . .). De même, les risque d’espionnage industriel pouvant mettre l’entreprise en danger sur
le plan commercial et concurrentiel doivent également être considérés.

ISSAT Mateur
Afin de faire aux problèmes potentiels de sécurité, la plupart des sociétés se dotent d’une politique
de sécurité performante. Qu’elle soit discrète ou plus ostentatoire, la sécurité d’une entreprise et sa
mise en pratique cohérente contre des risques potentiels se doit d’être contrôlée périodiquement pour
s’assurer des performances des systèmes, protocoles et pratiques de sécurité. C’est à ce moment
qu’interviendra l’audit de sécurité.
En effet, pour sécuriser le réseau de «ACS», nous allons choisir le firewall « PFsense » comme une
solution plus efficace puisqu’il est libre et plus performant.
4.2. Présentation de PFsense

PFsense est un système d'exploitation open source conçu pour construire un routeur/pare-feu basé
sur le système d'exploitation FreeBSD. Il date de 2004, d'un fork de m0n0wall de Chris Buechler et
Scott Ullrich. En plus d'être une plate-forme de routage et de pare-feu puissante et flexible, il
comprend une longue liste de fonctions connexes et un système de progiciel qui permet en outre une
évolutivité sans ajouter de gonflement et potentiellement de sécurité à la distribution de base. [16]
Figure 16 : Logo de PFsense [16]
Les principaux avantages de PFsense sont :
 Visibilité et contrôle des applications.

 Identifiez et contrôlez les menaces applicatives éludées.
 Prévention des intrusions intégrée.
 Prend en charge les environnements physiques et virtuels.
 Intégration avec LDAP et Active Directory.
 Émulation de menaces basée sur le cloud en bac à sable ou isolée.
 Accessibilité 24h/24 et 7j/7.
 Importation.
 Exportation de données.

ISSAT Mateur
4.3. Les fonctionnalités de PFsense
4.3.1. Détection et prévention d’intrusions réseaux : SNORT

SNORT est un outil open source de détection des intrusions réseau « NIDS », qui permettent de
détecter Tentatives d'intrusion sur le réseau basées sur des règles. Il est capable d'écouter l'interface
pour exécuter Analyse du trafic en temps réel, recherche du contenu correspondant. Le but est de
détecter un Diverses attaques connues.
Figure 17 : Logo de SNORT [11]
 Apport
La méthodologie de développement open-source de SNORT offre trois avantages principaux :
 Réponse rapide : Protégez votre environnement des attaques émergentes rapidement en

utilisant SNORT pour personnaliser et appliquer vos propres règles de sécurité et protégez-
vous contre les menaces que vous n’avez même pas vues à travers le Groupe de recherche et
de sécurité (Talos) Cisco Talos Security.
SNORT a été écrit chaque heure de la journée pour lutter contre les menaces nouvelles et
évolutives.
 Une plus grande précision : renforcer votre sécurité sans rien faire. La communauté
SNORT mondiale révise continuellement, teste et offre des améliorations au code source
SNORT. Profitez de la connaissance collective des équipes de sécurité dans le monde entier,
car elles suggèrent des changements.
 Haute adaptabilité : utilisez le système SNORT comme base pour créer vos propres
solutions de sécurité de réseau unique. Avec un accès facile au code source et à la
documentation, vous pouvez ajouter vos propres fonctions à SNORT.

ISSAT Mateur
 Les limites
Même avec ces avantages, SNORT peut présenter des limites :
 SNORT était à l’origine un système assez statique. Les réseaux d’aujourd’hui sont très
dynamiques et la mise à jour des systèmes peut être difficile.
 SNORT n’a pas été programmé pour créer ou utiliser une prise de conscience contextuelle,
ce qui est essentiel pour la sécurité de la prochaine génération.
 La sensibilisation contextuelle est construite en compilant des données sur la composition et
le comportement des réseaux, des applications et des utilisateurs.
 Le manque de conscience contextuelle rend l’automatisation fiable et l’évaluation rapide des
menaces plus difficiles. Sans automatisation, vous devez trier manuellement les alertes
uniquement pour déterminer celles qui sont pertinentes avant de pouvoir identifier celles qui
présentent un risque légitime.
Ces problèmes peuvent s’avérer difficiles car vous essayez d’optimiser la sécurité et de réduire les
frais généraux administratifs sans rejeter votre déploiement SNORT et les nombreux avantages qu’il
offre.
 Architecture
Figure 18 : Mise en place d’un SNORT [11]

ISSAT Mateur
 Principe de fonctionnement
 Il effectue une capture d’un flux réseau, aux moyens de sondes, reliées à un agrégateur
central.
 Après avoir collecté des paquets, le serveur doit analyser les données reçues, afin de détecter
les activités anormales.
 Enfin, si un ou des paquet(s) sont détectés par l’analyseur, alors le système va alerter les
administrateurs.
4.3.2. Protocole TLS

 Présentation de protocole TLS
TLS (Sécurité de la couche de transport) est un protocole de sécurisation des échanges de données
sur internet. C’est une version améliorée du protocole SSL. Il corrige des manquements de
l’ancienne version pour mieux répondre aux attaques actuelles du web.
 Caractéristiques
 Cryptage : 160 bits et 256 bits.
 Configuration manuelle possible : Windows, Mac OS, Linux, Android.
 Sécurité : Le chiffrement le plus élevée. Authentifie les données à l’aide de certificats
numériques.
 Vitesse : Le protocole le plus performant. Débits rapides, même sur les connexions à latence
élevée et sur des grandes distants.
 Stabilité : Plus fiable et plus stable sur les réseaux moins protégés et sur les hots-pots WI-FI,
même derrière des routeurs sans fil.
 Compatibilité : Compatible dans la plupart des systèmes d’exploitation d’ordinateurs de
bureau mobile Android et tablette.
 Avantage
Le TLS est une solution efficace pour rendre le trafic Web plus sûr. En effet, cette solution n’exige
pas des deux parties qu’elles chiffrent elles-mêmes le contenu, par exemple les données des
formulaires. Au lieu de cela, il suffit simplement que le transfert soit réalisé via le protocole TLS,
quels que soient les systèmes d’exploitation et les applications logicielles des deux parties. Tous les
flux de données sont alors automatiquement chiffrés pendant la transmission.

ISSAT Mateur
 Inconvénient
Le prix de la sécurité est une configuration de connexion un peu plus lente, car les étapes du
processus décrites ci-dessus : certificat, nombre aléatoire et échange de clés sont gourmandes en
ressources.
4.3.3. Supervision de la bande passante Ntopng

Ntopng est la nouvelle version du logiciel Open Source ntop : sonde de trafic réseau qui permet la
supervision des usages web. Ce logiciel est basé sur libpcap et a été écrit de façon à pouvoir être
porté sur n'importe quelle plate-forme dérivée d’Unix (Linux, Mac OSX) et même Windows.
Ntopng offre une interface web simple, intuitive et encrypté (après une courte manipulation) qui
permet d'explorer en temps réel l'historique du trafic d'un ou de plusieurs réseaux.
Il deviendra ainsi très simple de collecter les flux de plusieurs de vos réseaux en temps réel.
Figure 19 : Logo de Ntopng [12]
4.4. Tableau comparatif IPCOOP/PFsense

L’analyse concurrentielle est une étape très importante pour le choix du pare-feu. Elle consiste à
déterminer les principaux concurrents du pare-feu afin d’extraire leurs aspects Positifs et négatifs.
Pour cela on a choisi d’étudier deux pare-feu, qui sont PFsense et IPCOOP.

ISSAT Mateur
Le tableau ci-dessous représente une étude comparative de PFsense et IPCOOP :
IPCOOP PFsense
Basé sur Linux (Gratuit) Basé sur Free BSD (Gratuit)
Caractéristiques: Caractéristiques:
 DHCP (Dynamic Host  DHCP

Configuration Protocol)  DNS
 DNS (Domain Name System)  NTP
 NTP (Network Time  NAT
Protocol)  VPN : IPSec, PPTP, L2TP
 NAT (Network address  Load Balancing (Equilibrage
translation) de charge)
 VPN : IPSec  Multi-WAN
 QOS (traffic chapping) :  QOS (traffic chapping) :
Priorité selon type de trafic, Priorité selon type de trafic,
lissage de trafic lissage de trafic
(limitation) (limitation)
 Un serveur proxy Web  Un serveur proxy Web

 Filtrage d’URL (Squid)
(SquidGuard)
 Filtrage dynamique
 Filtrage d’URL (SquidGuard)

 Supervision de la bande  Portail captif
passante.  Filtrage simple de paquet
 Filtrage dynamique
 Supervision de la bande passante
(Ntop)
 Mises à jour automatique
Tableau 2 : Tableau comparative entre PFsense et IPCOOP

ISSAT Mateur
Compte tenu de ce comparatif, la deuxième solution s'adapte aux standards de sécurité dont nous
avons besoin, puisque PFsense dispose de plus de fonctionnalités qu'IPCOOP (auto-update, portail
captif, load balancing, multi-WAN). Par conséquent, mon choix s'est porté sur le logiciel open
source PFsense, qui apportera la sécurité nécessaire au réseau local de l'entreprise de par ses
différentes fonctionnalités.
Conclusion
Dans ce chapitre, nous avons présenté quelques informations générales sur les réseaux
informatiques. Nous donnons ensuite un aperçu du cyber sécurité, dans lequel nous citons quelques
techniques pour atténuer les attaques. Dans le chapitre suivant, nous détaillerons les étapes de mise
en place du pare-feu PFsense.

ISSAT Mateur
Chapitre 4:
Réalisation du projet

ISSAT Mateur
Introduction
Dans ce chapitre, on va mettre en évidence la partie pratique après avoir présenté la partie
théorique. Nous allons commencer par la mise en place d’une architecture réseau à l’aide d’outils
open source. On va présenter les différentes taches faites ainsi que la configuration des différents
éléments de cette solution pour atteindre notre objectif.
I. Présentation de l’architecture
Dans cette section, nous présentons l’architecture réseau actuelle illustrée par la figure et nous
identifions les différents types d’éléments de sécurité entre les équipements existants.
Figure 20 : Architecture réseau
D’après la figure, nous avons segmenté notre réseau en quatre VLAN :
 Vlan utilisateurs : un vlan qui permet de protéger les utilisateurs en limitant des accès à
certains utilisateurs non autorisés.
 Vlan administrations : c’est un Vlan auquel il a toutes les autorisations aux différents Vlan
connecté aux mêmes réseaux.
 Vlan serveurs critiques : c’est un Vlan regroupant des serveurs ayant des différentes
fonctionnalités tel que serveur SQL, serveur DataWarehouse.

ISSAT Mateur
 Vlan serveurs communs : c’est un Vlan qui permet de regrouper plusieurs serveurs tel que
le serveur d’Antivirus, serveur Backup.
II. Interface de la mise en place des équipements
1. Configuration du routage
Pour le routage entre l’espace technique 1 et l’espace technique 2, nous choisissons d’utiliser le
routage statique dont le but d’assurer la connectivité entre l’extrémité du réseau.
Pour le routage statique, les tables sont remplies manuellement. Il est utilisé sur des petits réseaux ou
sur des réseaux d'extrémité.
Le routage statique présente plusieurs avantages tels que la gestion de bande passante : Étant donné
qu'aucune information ne transite entre les routeurs pour qu'ils se tiennent à jour, la bande passante
n'est pas encombrée avec des messages d'information et de routage.
Pour tester le routage, on peut utiliser la commande de contrôle PING assuré par le protocole de
communication ICMP, à des différentes machines du réseau :
 Test de Ping de la machine PC 26 de l’espace technique 1 qui admet l’adresse IP

192.168.15.26 au PC 24 qui admet l’adresse IP 192.168.3.24.
Figure 21 : Test de routage 1

ISSAT Mateur
 Test de Ping de la machine PC 24 de l’espace technique 2 qui admet l’adresse IP

192.168.3.24 vers les machines 27 et 26 qui ont des adresses IP respectivement
192.168.15.27 et 192.168.15.26.
Figure 22 : Test de routage 2
2. Les VLAN
Pour mettre l’empreinte de la sécurité, nous créons des Vlan au niveau du switch 5 tels que vlan
utilisateurs 40, vlan serveurs communs 10, vlan serveurs critiques 20 et vlan administration 30.
Le rôle principale du VLAN est améliorer la gestion du réseau en apportant plus de souplesse dans
son administration.
Figure 23 : Création des VLAN

ISSAT Mateur
Pour rendre les VLAN communiquent entre eux, on a besoin du routage inter-VLAN qui est un
processus qui permet de transférer du trafic réseau d'un VLAN à un autre à l'aide d'un périphérique
de couche 3 comme un routeur.
Figure 24 : Configuration du routage inter-Vlan
On va faire des tests de connectivité entre les machines des différentes VLAN pour s’assurer que
l’opération est réussie :
 Réaliser un PING du machine Active Directory 1 du vlan serveurs communs vers la

machine Data Ware House 13 du vlan serveurs critiques.

ISSAT Mateur
Figure 25 : Test de connectivité 1
 Réaliser un Ping de l’administrateur 17 du vlan administrations vers la machine Mise à

jour 3 vlan serveurs communs.
 Réaliser un PING de PC 6 du vlan utilisateurs vers la machine BD Tunis 14 du vlan

serveurs critiques.

ISSAT Mateur
3. Les ACL
Pour mieux de contrôle, nous choisissons la technologie ACL représenté dans une liste de règles
qui permet de filtrer ou d’autoriser du trafic sur un réseau en fonction de l’adresse IP.
Pour appliquer l’ACL, on applique les règles suivantes :
 La règle 1 : PC 26 du l’espace technique 1 ne peut communiquer au PC 24 du l’espace

technique 2.
Et pour ce faire, on a créé l’ACL 107 qui bloque le sens de PC 24 qui admet l’adresse IP
192.168.3.24 vers le PC 26 qui admet l’adresse IP 192.168.15.26.
Figure 28 : Configuration de l’ACL 107
Figure 29 : Test de L’ACL 107

ISSAT Mateur
 La règle 2 : PC 28 du l’espace technique 1 ne peut communiquer au PC 12 du l’espace

technique 2.
Et pour ce faire, on a créé l’ACL 108 qui bloque le sens de PC 28 qui admet l’adresse IP
192.168.15.28 vers le PC 12 qui admet l’adresse IP 192.168.3.12.
Figure 30 : Configuration de L’ACL 108
Figure 31 : Test de L’ACL 108

ISSAT Mateur
 La règle 3 : PC 1 et PC 25 du l’espace technique 2 ne peuvent communiquer au PC 27 du

l’espace technique 1.
Et pour ce faire, on a créé l’ACL 109 qui bloque le sens de PC 1 qui admet l’adresse IP 192.168.3.1
vers le PC 27 qui admet l’adresse IP 192.168.15.27 et bloque aussi le sens de PC 25 qui prend
comme adresse IP 192.168.3.25 vers le PC 27 qui admet l’adresse IP 192.168.15.27.
Figure 32 : Configuration de L’ACL 109
Figure 33 : Test 1 de L’ACL 109

ISSAT Mateur
Figure 34 : Test 2 de l’ACL 109
Après toutes ces configurations qui comportent la configuration des ACL et les VLAN, nous avons
bien assuré la protection du système d’informations contre les menaces internes.
II. Installation de PFsense

Tout d’abord nous allons télécharger l’image ISO de PFsense dans la section « Download » de
PFsense (http ://www.PFsense.com). Puis démarrer la machine à partir du CD de l’image de
PFsense ; pour l’installation voire l’annexe.
Figure 35 : Installation de PFsense

ISSAT Mateur
1. Description des différentes options de PFsense

 Assign interfaces : Cela va redémarrer le serveur en réaffectant les interfaces existantes, ou en
créant de nouvelles. En choisissant cette option pour ajouter nous interfaces : WAN, LAN
 Set interface(s) IP address : Cette option nous permet d’abord d’ajouter ou de modifier une
adresse IP, ensuite soit :
- Activer le DHCP sur l’interface : Dans ce cas, nous avons la main pour régler la plage
d’adresses IP.
- Désactiver le DHCP sur l’interface. Au niveau de cette option, nous avons ajouté les
adresses suivantes :
 WAN : l’adresse IP est 192.168.1.111 en désactivant le DHCP.
 LAN : l’adresse IP est 192.168.208.150 en activant le DHCP pour la plage :
192.168.208.1 jusqu’à 192.168.208.254.
 Reset web configurator password : Cette option permet de réinitialiser le nom d’utilisateur et
le mot de passe Web GUI, respectivement à admin et PFsense. Reset to factory default Cela
permet de restaurer la configuration du système aux paramètres d’usine. Cela n’apporte
cependant pas de modifications au système de fichier ou aux paquets installés sur le système
d’exploitation. Si les fichiers système ont été endommagés ou modifiés, le meilleur moyen
consiste à faire une sauvegarde, et réinstaller PFsense à partir du CD ou autre support
d’installation ou également à partir du WebGUI, onglet Diagnostic puis Factory defaults.
 Reboot system : Arrête PFsense et redémarre le système d’exploitation. Cette opération est
également possible à partir du WebGUI, onglet Diagnostic puis Reboot.
 Halt system : Arrête proprement PFsense et met la machine hors tension. Cette opération est
également possible à partir du WebGUI, onglet Diagnostic puis Halt system).
 Ping host : Ajuste une adresse IP, à qui seront envoyées trois demandes d’écho ICMP. Le
résultat du Ping montre le nombre de paquets reçus, les numéros de séquence, les temps de
réponse et le pourcentage de perte paquets. Au niveau de cette option, nous avons effectué des
tests de Ping vers les différentes interfaces.
 Shell : Démarre une ligne de commande Shell. Cette option est très utile, et puissante. Certaines
tâches de configuration complexes peuvent nécessiter de travailler avec les commandes Shell, et
certaines tâches de dépannage sont plus faciles à accomplir avec Shell. Cependant, il y a toujours
une chance de provoquer des erreurs de manipulation irréparables au système s’il n’est pas
manipulé avec soin. La majorité des utilisateurs PFsense ne toucheront peut-être jamais au Shell,
ou même ignoreront qu’il existe. Les utilisateurs de Free BSD pourra se auront la majorité des

ISSAT Mateur
commandes certaines ne sont pas présentes sur le système PFsense, puisque les parties inutiles
de l’OS ont été supprimées pour des contraintes de sécurité ou de taille.
 Pftop : Pftop donne une vue en temps réel des connexions du pare-feu, et la quantité de données
envoyée et reçue. Il peut aider à identifier les adresses IP qui utilisent actuellement de la bande
passante et peut aussi aider à diagnostiquer d’autres problèmes de connexion réseau.
 Filter logs : En utilisant cette option vous verrez toutes les entrées du journal de filtrage
apparaissant en temps réel, dans leur sous forme brute. Il est possible de voir ces informations
dans le WebGUI (onglet Status, puis System Logs et enfin onglet Firewall), avec cependant mois
de renseignements par ligne.
 Restart webConfigurator : Redémarrer le processus du système qui exécute le WebGUI. Dans
de rares occasions, un changement sur ce dernier pourrait avoir besoins de cela pour prendre
effet, ou dans des conditions extrêmement rares, le processus peut avoir été arrêté pour une
raison quelconque.
 PFsense Développer Shell : Le Shell du développeur est un utilitaire très puissant qui permet
d’exécuter du code PHP dans le contexte du système en cours d’exécution. Comme avec le Shell
normal, il peut aussi être très dangereux à utiliser suite à une mauvaise manipulation. Ce Shell
est principalement utilisé par les développeurs et les utilisateurs expérimentés qui sont familiers
au code PHP et au code de base de PFsense.
 Upgrade from console : En utilisant cette option, il est possible de mettre à niveau le VMware
de PFsense, et ce en entrant l’URL de l’image PFsense à mettre à niveau, ou grâce à un chemin
d’accès locale vers une image téléchargée d’une autre manière. Nous avons travaillé avec la
version PFsense 2.6.0, caractérisée par sa stabilité. Cependant grâce à cette option, il nous est
possible de mettre à jour facilement notre version.
 Enable Secure Shell (sshd) : Cette option nous permet de changer le statut du démon Secure
Shell. Nous avons effectué son activation à travers l’interface Web WebGUI. Dans ce qui suit,
nous allons détailler les tâches réalisées pour le faire.
2. Configuration basique de PFsense
Avant de se lancer dans la configuration de PFsense, il faut configurer les Vmnet de VMware
Workstation. Les Vmnet sont des switchs virtuels qui permettent de fournir trois modes de
connexion:
 Le mode Host-only qui permet de connecter des machines virtuelles entre-elles ou/et avec la
machine physique.

ISSAT Mateur
 Le mode Bridged qui permet de connecter une machine virtuelle au réseau externe.
 Le mode NAT qui permet de se cacher derrière la machine physique et de partager sa
connexion internet avec la machine virtuelle.
Donc, si en réalité pour connecter plusieurs machines physiques on doit les brancher dans le même
switch, dans VMware, pour connecter des machines entre-elles, il faut les mettre dans le même
Vmnet. La configuration des Vmnet se fait grâce à l'outil "Virtual Network Editor" qui vient avec
l'installation de VMware Workstation.
Figure 36 : Configuration des Vmnet
Après avoir installé PFsense, il faut configurer les interfaces :
Dans PFsense, l'adressage dynamique (DHCP) est désactivé et l'adresse IP LAN a été changée en
192.168.208.150, donc cette adresse IP permettra l'accès à PFsense via son interface Web.

ISSAT Mateur
Figure 37 : Configuration de l’interface LAN
Les étapes de la configuration de l’interface LAN :
 Enter an option : 2
 Enter the number of the interface: 2
 Enter the new LAN IPV4 address: 192.168.208.150
 Enter the new LAN IPV4 subnet bit: 24
 Click: “ENTER”
 Click: “ENTER”
 Click: Y
 Click : 192.168.208.1
 Click : 192.168.208.254
 Click : N

ISSAT Mateur
Enfin, on trouve cette interface.
Figure 38 : Les interfaces réseaux sur un serveur PFsense
On lance l'interface web de configuration depuis le poste client. Au niveau de la barre de navigation,
tapez https://address-ip-lan. Ensuite, il faut s'authentifier pour accéder à l'interface PFsense.
Exemple : Pour PFsense, on tape 192.168.208.150.
Cette adresse représente l'interface d'authentification pour la configuration Pfsense illustrée dans la
figure.
Figure 39 : Interface web de PFsense

ISSAT Mateur
Les identifiants par défaut de PFsense sont les suivants :
 Login : admin
 Mot de passe : pfsense
3. Configuration de base de système

Lors de la connexion à l’adresse de PFsense, une aide à la configuration apparait. Elle permet de
configurer la base de PFsense. Il est conseillé de l’utiliser même si par la suite les informations
renseignées peuvent être changées.
On accède au Setup Wizard de menu System de PFsense qui terminera l’installation de ce pare-feu,
puis on clique sur le bouton Next.
Figure 40 : 1ére interface de setup Wizard
Nous avons entré le nom de la machine, notre domaine et l’adresse IP du DNS comme indiqué dans
la figure. Attention, il faut décocher l’option se trouvant dessous.
Figure 41 : Paramètre général de PFsense

ISSAT Mateur
Dans la partie de la configuration générale de PFsense, on a saisi les données suivantes :
 Le nom de la machine : PFsense

 Le domaine : pfe.home.arpa
 L’IP DNS : 8.8.8.8
 Secondary DNS Server : 8.8.4.4
 La case Override DNS : est facultative, elle permet d’écraser la configuration de serveur
DNS si des serveurs DNS de FAI/Hébergeur répondent sur l’interface WAN.
Puis, on arrive à la choisir de « Africa/Tunis » dans la Timezone et on laisse par défaut le nom
d'hôte du serveur de temps « 2.pfsence.pool.ntp.org ».
Figure 42 : Réglage du serveur d'horloge
Ensuite, on arrive à la configuration de l’interface WAN.
Figure 43 : Interface WAN

ISSAT Mateur
 Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix
sont disponibles, soit Static, DHCP, PPoE ou PPTP, le choix est basé sur la manière avec
laquelle mon interface va être utilisé. Dans notre cas, on choisit DHCP.
 Block RFC1918 Private Networks : Bloque les connexions proviennent de réseaux privés.
 Block bogon Networks : lorsqu'il est activé, le pare-feu empêche le trafic d'entrer s'il
provient d'un espace IP réservé ou non alloué qui ne doit pas être utilisé. Bloquer les paquets
avec des adresses sources IANA non définies.
Donc, cette fois, on va à l’interface LAN. On peut changer l’adresse IP de l’interface LAN de
PFsense (on l’a déjà fait en amont). Puis on clique sur Next.
Figure 44 : Configuration de l’interface LAN
Durant la phase de configuration, il est également nécessaire de modifier les identifiants par défaut
du compte admin de Pfsense. Ensuite, on tape Next.
Figure 45 : Changement de mot de passe de l'administrateur

ISSAT Mateur
La phase finale de l’installation de PFsense est terminée. On clique sur Reload pour recharger
PFsense.
Figure 46 : Recharge PFsense
Alors, l’installation de PFsense a été terminée avec succès
Figure 47 : Installation de PFsense est terminée
On avoir l’interface graphique du firewall. PFsense offre la possibilité d’implémenter des VPN des
IDS/IPS et beaucoup d’autre fonctionnalités.

ISSAT Mateur
Figure 48 : Interface graphique de PFsense
III. Mise en place de SNORT
1. Installation de SNORT
En premier lieu on a installé le serveur SNORT, on accède au menu System et sélectionne l’option
de Package Manager.
Figure 49 : Package Manager du menu System

ISSAT Mateur
Maintenant on va installer le paquet SNORT « System>Package Manager>SNORT »
Figure 50 : Installation de SNORT
Figure 51 : Téléchargement SNORT avec succès

ISSAT Mateur
2. Paramétrage de SNORT
Nous avons alors créé un compte sur « www.snort.org », obtenu la clé « Oinkmaster » pour pouvoir
télécharger toutes les règles de SNORT, puis configuré les services correspondants.
Figure 52 : Configuration du SNORT et ajout de la clé « Oinkmaster »
Figure 53 : Network Intrusion Detection

ISSAT Mateur
Figure 54 : Téléchargement de SNORT v3.0
Figure 55 : L’Oinkcode
Sur cette interface, il existe quatre sources pour télécharger les signatures d'attaque (Activer Snort
VRT, Activer Snort GPLv2, Activer ET Open et Activer Open AppID).
Les règles Snort sont des fichiers qui contiennent des règles spécifiques à l'utilisation. Elles sont
téléchargées en cliquant sur l'onglet Mises à jour puis en cliquant sur le bouton Mettre à jour les
règles.

ISSAT Mateur
La figure 56, montre le succès de téléchargement des règles.
Figure 56 : Téléchargement des règles du SNORT
Après avoir téléchargé les règles SNORT, on vérifie que l’interface a bien été ajoutée comme le
montre la figure 57.
Figure 57 : Affichage des interfaces SNORT actives
Finalement, vous pouvez voir la liste des alertes gérées par le service SNORT via l'interface de la
figure. Il doit rester actif pendant un certain temps pour afficher la liste des alertes.

ISSAT Mateur
Figure 58 : Historique des alertes de SNORT
IV. Supervision de la bande passante Ntopng
1. Installation de Ntopng
Dans un premiers temps, an va installer le package Ntopng dans PFsense
« System>Package Manager>Ntopng »
Figure 59 : Installation de Ntopng

ISSAT Mateur
Figure 60 : Téléchargement Ntopng avec succès
2. Paramétrage de Ntopng
Après cela, on passe à la configuration du package, on va dans le menu Diagnostics et sélectionné
Ntopng settings pour initialiser Ntopng et démarrer le service correspondant. Pour accéder à
l’interface web Ntopng, on configure le compte administrateur. Le mot de passe et l'interface LAN
sont insérés.
Figure 61 : Réglage de compte administrateur

ISSAT Mateur
Ensuite, on accède à Ntopng du menu Diagnostics et l’interface de connexion Ntopng devrait être
présentée.
Les informations d’identification Ntopng sont :
Nom d’utilisateur : admin
Mot de passe : Le mot de passe que vous avez défini auparavant.
Figure 62 : Interface de Ntopng
3. Utilisation de Ntopng
Lors de la première connexion, la première chose qui va vous être présentée c’est le tableau de bord.
Figure 63 : Tableau de bord Ntopng

ISSAT Mateur
Par défaut, nous remarquons que l'installation lance un essai de la version complète de Ntopng, mais
pour une durée très limitée. Une fois ce "compte à rebours" atteint, la version community est activée
et le Dashboard change.
Figure 64 : Dashboard Ntopng
Dans la figure ci-dessous, on va expliquer les échanges effectués par PFsense et leurs
caractéristiques pour les adresses IP.
Ntopng utilise une technologie appelée DPI pour Deep Packet Inspection, lui permettant de
catégoriser chaque flux réseau (montant et descendant).
Le trafic a immédiatement été reconnu et catégorisé.
Figure 65 : Caractéristiques du trafic

ISSAT Mateur
La visualisation des protocoles d’application est nécessaire aussi pour voir l’état du réseau.
Ntopng nous permettons de capturer ces protocoles et les classifier en fonction de l’utilisation de la
bande passante.
Dans ce réseau on trouve le TLS qui sécurise les échanges de données sur internet.
Figure 66 : Diagramme de trafic par protocoles d’application
Finalement, Ntopng est également capable d'émettre des alertes de sécurité sur certains flux.
Celles-ci se trouvent dans le menu Alerts, sur le bandeau de gauche. Nous ne remarquons aucunes
alertes de différentes sévérités : Notice, Warning et Error.
Figure 67 : Contrôle des alertes

ISSAT Mateur
V. Test d’accès de l’internet à l’aide du PFsense
1. Deny de l’internet pour un utilisateur

Pour contrôler le trafic, nous utilisons Firewall et les règles.
Ici, nous pouvons voir Wan et Lan.
Sélectionnez LAN.
On a des règles par défaut qui autorisent l'accès à Internet puis nous devons le gérer.
Figure 68 : Configuration de blocage

ISSAT Mateur
Les modifications ont été appliquées avec succès. Les règles de Firewall se rechargent maintenant
en arrière-plan.
Figure 69 : Rechargement de la règle
Maintenant, nous pouvons voir que l'utilisateur ne peut pas accéder à la connexion Internet.
Figure 70 : Deny d’accès

ISSAT Mateur
2. Allow de l’internet pour un utilisateur

On a 192.168.208.101 est l’adresse IP du client.
Figure 71 : Adresse IP du client
Maintenant, nous devons créer des règles pour l'utilisateur dans le but de donner l’autorisation de
l’accès.
Nous allons ajouter une adresse source du client dans la nouvelle règle et changer la destination vers
le port 80 (http).
Figure 72 : Ajout de l’adresse client

ISSAT Mateur
Figure 73 : Changement du port
Les modifications ont été appliquées avec succès.
Figure 74 : Rechargement de la nouvelle régle

ISSAT Mateur
Maintenant, nous pouvons voir que l'utilisateur peut accéder à Internet.
Figure 75 : l’accès à l’internet
Finalement, nous pouvons tester le Ping.
Figure 76 : test de l’accès à google

ISSAT Mateur
Conclusion
Dans ce chapitre, nous avons réalisé une architecture réseau à l’aide des logiciels GNS3 et VMware
dans le but d’atteindre une sécurisation au niveau de réseau. On a évoqué tous les aspects qui sont en
relation avec la réalisation de l’application. On a montré, des captures d’écran témoignant des
différentes facettes de l’application.

ISSAT Mateur
Conclusion Générale
Ce projet de fin d'études s'inscrit dans le cadre d'une licence nationale en Ingénierie des Réseaux et
Systèmes à l'Ecole Supérieure des Sciences Appliquées et Techniques de Mateur.
Dans ce projet réalisé par l'Agence Nationale de la Sécurité Informatique. Ce travail se résume à la
mise en place d'une architecture réseau sécurisée. Dans le cadre de cette ascension, nous avons été
impliqués dans plusieurs phases, principalement une phase de recherche globale, pour bien
comprendre la nature du projet. Ensuite, nous commençons la partie de recherche théorique, qui peut
montrer différents concepts théoriques de ce projet.
La sécurité des réseaux est très importante dans le domaine informatique en général, elle participe à
l'échec de tous les événements nuisibles d'attaques et de processus de paquets sur les sites Web, et
affecte également la croissance des performances, en particulier dans les entreprises. Le but de ce
projet est de choisir une solution qui répond aux besoins de l'entreprise et il n'y a pas de meilleur
moyen de répondre à ce besoin Se sentir. En fait, PFsense est un véritable gestionnaire de réseau
central qui nous permet de faire fonctionner ensemble des pare-feu, des routeurs, des proxies, des
portails captifs, des outils de détection d'attaques réseau et bien plus encore. Tout sur un seul
serveur. Ce stage nous a permis d'acquérir des connaissances dans le domaine de la sécurité des
réseaux informatiques. Nous pensons que notre projet a atteint les objectifs recommandés.
Au final, nous espérons que cet humble travail satisfera les membres du jury et toutes les personnes
intéressées, de près ou de loin.

ISSAT Mateur
Annexes
Tout d’abord, il faut se rendre sur le site https : //www.pfsense.org/download/ ?section=downloads

afin de récupérer l’image ISO à graver sur CDs pour installer PFsense. Une fois l’image graver, on
boot sur le CD et on arrive aux menus suivants :
Tapez « Entrer »

ISSAT Mateur
Placez-vous sur «Install PFsense» et tapez «Entrée»
Sélectionnez «OK» (cette étape consiste à sélectionner le système de fichiers).

ISSAT Mateur
Sélectionnez«Select» (le standard US est par défauts).
L’installation va continuer, essuyant le disque cible et installant PFsense. La copie des fichiers peut
prendre un certain temps pour terminer.
Une fois les options de configuration manuelle de l’installation terminées, sélectionnez non pour
continuer.

ISSAT Mateur
Si PFsense s’est installé correctement, vous pouvez retirer le cd et redémarrer la machine en allant
sur « reboot » Premiers paramétrages de PFsense
PFsense affiche les différentes cartes réseaux avec leur adresse MAC, ce qui vous permettra de les
différencier.
La première étape de configuration concerne l’utilisation des VLAN, pour l’instant ce qui nous
importe est la configuration de base de PFsense, nous appuyons donc sur la touche « N ». Nous
devons ensuite déterminer quelle interface sera sur le côté WAN, pour cela on peut soit saisir
manuellement le nom de l’interface. (Pour nous «em0») Ensuite, nous faisons la même chose pour la
carte réseau sur le LAN, j’entre donc « em1 ».

ISSAT Mateur
Tapez « em0 » pour WAN et «em1» pour LAN (attention, le clavier est sûrement en qwerty ! !).
Branchez le câble qui sera relié au WAN (PFsense vous dira qu’il voit un lien s’activer (up)) puis
validez par « Entrée ».
Répétez l’opération pour le câble LAN (et les éventuels autres).
A ce moment-là, PFsense est accessible via son interface web sur l’adresse IP 192.168.208.150.
Nous allons donc la modifier pour l’intégrer à notre réseau et poursuivre la configuration. On est
donc devant l’écran suivant :

ISSAT Mateur
Bibliographies
[1] https://www.ansi.tn/, consulté le date 07/02/2022
[2]https://www.google.com/search?q=les+types+d%27attaques&sxsrf=ALiCzsbQVG8CpD60P
so4_DBk8-
d9YtT0AQ:1653041337961&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjX2f3t6u33AhW
0gv0HHfijBL8Q_AUoAXoECAEQAw&biw=1366&bih=625&dpr=1, consulté le 11/02/2022
[3] https://www.gns3.com/software/download, consulté le 27/02/2022
[4] https://customerconnect.vmware.com/downloads/#all_products, consulté le 03/03/2022
[5] https://administrateur-systeme.fr/images-cisco-ios/, consulté le 04/03/2022
[6] https://ubuntu.com/download/desktop, consulté le 04/03/2022
[7]https://docs.gns3.com/docs/getting-started/installation/download-gns3-vm/, consulté le 27/02
[8] https://www.maxmind.com/en/accounts/current/minfraud/report-
transactions?utm_source=txn_email, consulté le 05/02/2022
[9] https://www.snort.org/users/837290/oinkcodes/837128, consulté le 26/03/2022
[10] https://fr.wikipedia.org/wiki/TLS, consulté le 08/04/2022
[11] https://fr.wikipedia.org/wiki/Snort, consulté le 12/04/2022
[12] https://en.wikipedia.org/wiki/Ntopng, consulté le 20/04/2022
[13] https://www.youtube.com/watch?v=P8oxTUoF2Nw, consulté le 21/04/2022
[14] https://www.youtube.com/watch?v=P8oxTUoF2Nw, consulté le 25/04/2022
[15] https://www.youtube.com/watch?v=eFyshhIXpmE, consulté le 28/04/2022
[16]https://www.google.com/search?q=pfsense&sxsrf=ALiCzsZ30FhBCzh3iFU7aJ9fMB1_hsB
puA:1653041856830&source=lnms&tbm=isch&sa=X&ved=2ahUKEwip97Ll7O33AhU5iv0H
HStYBIYQ_AUoAXoECAIQAw&biw=1366&bih=625&dpr=1, consulté le 30/03/2022
[17] https://www.youtube.com/watch?v=whIL9IUDEtw, consulté le10/05/2022
[18]https://www.youtube.com/watch?fbclid=IwAR3ZtJOd3wDW9a2bLIR23bC6D-
ZHShg1eCzeIbWRzi0Fbm_sJoT5L_XHv4I&v=zOg-EYDaHX8, consulté le 15/05/2022

ISSAT Mateur

Rapport Finale PFE

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport Finale PFE

Transféré par

Droits d'auteur :

Formats disponibles

DÉDICACES

Aucun dévouement ne peut exprimer mon respect, mon amour éternel et ma

A mes chers amis

A tous ceux que j’aime et qui m’aiment.

Je dédie ce projet de fin d'études, comme preuve de respect et de gratitude

Pour leurs conseils, leurs prières et leurs soutiens permanents

J'espère que ce travail porte ma profonde reconnaissance et mon grand

Votre satisfaction restera toujours mon but.

Je vous souhaite un brillant avenir.

A tous ceux qui me sont chers.

A tous mes enseignants de l'Institut Supérieur De Sciences Appliquées Et De

Que notre Directeur à l'Agence Nationale de la Sécurité Informatique, Monsieur

INTRODUCTION GÉNÉRALE ................................................................................ 1

2. Informations générales ....................................................................................... 4

4. Organisme de l’ANSI :....................................................................................... 6

II. Présentation du projet ............................................................................................ 7

3. Solution proposée ............................................................................................... 7

4. Planification du projet ........................................................................................ 8

2. Objectives de la sécurité informatique ............................................................. 10

II. Les attaques informatiques .................................................................................. 11

2. Les types des attaques ...................................................................................... 12

3. Buts d’attaques ................................................................................................. 14

III. Les éléments de bases de la sécurité informatique ............................................ 15

2. Les IPS (Intrusions Prévention Système) ......................................................... 15

2. Environnement logiciel ................................................................................... 19

II. Politique de sécurité ............................................................................................ 24

2. Quelques règles de la politique de sécurité ...................................................... 24

3. Mécanismes de sécurité d’un système informatique ........................................ 25

4. Mise en place d’une solution sécurisée ............................................................ 25

2. Les VLAN ........................................................................................................ 36

3. Les ACL ........................................................................................................... 39

II. Installation de PFsense ........................................................................................ 42

2. Configuration basique de PFsense ................................................................... 44

3. Configuration de base de système .................................................................... 48

III. Mise en place de Snort ....................................................................................... 52

2. Paramétrage de Snort ....................................................................................... 54

IV. Supervision de la bande passante Ntopng ......................................................... 57

2. Paramétrage de Ntopng .................................................................................... 58

3. Utilisation de Ntopng ....................................................................................... 59

V. Test d’accès de l’internet à l’aide du PFsense .................................................... 62

2. Allow de l’internet pour un utilisateur ............................................................. 64

Figure 2 : Sous familles des attaques………………………….……………………11

Figure 3 : Lecture du contenue de message………………….………………….…12

Figure 4 : Analyse le trafic ………………………………….………………………13

Figure 6 : Replay attaque…………………………………….…………………...…14

Figure 7 : Les types d'attaques…………………………………………………...…14

Figure 8 : Emplacement d'un Firewall…………………….…………………...……15

Figure 9 : Fonctionnement de Firewall…………………………………………...…16

Figure 10 : Logo de VMware………………………...….……………………….…19

Figure 11 : Logo de GNS3……………………………….……………………..……20

Figure 12 : Le feu vert…………………..…………….……………………………..20

Figure 13 : Interface GNS3 VM……………………….…………………………….21

Figure 14 : Test de la GNS3 VM……………………………………………….……21

Figure 15 : Logo d'Ubunto…………………………….……………………………..22

Figure 16 : Logo de PFsense………………………...…………………………...…26

Figure 17 : Logo de SNORT……………………….…..……………………………27

Figure 18 : Mise en place d'un SNORT……………..……………………………….28

Figure 19 : Logo de Ntopng………………………………………………………….30

Figure 20 : Architecture réseau …………………….……………………………….34

Figure 21 : Test de routage 1………………………………………………..………35

Figure 22 : Test de routage 2……………………….……………………….………36

Figure 23 : Créations des Vlan…..………………………………………………….36

Figure 24 : Configuration du routage Inter-Vlan…………………………………..37

Figure 26 : Test de connectivité 2 …………………………….………………….38