Académique Documents
Professionnel Documents
Culture Documents
Référence :
Classe: STIC L3 SR B
Par ailleurs, je remercie toute personne qui m’a permis de faire une connaissance large dans le
domaine de la sécurité des réseaux en général. Également, les ingénieurs Monsieur Mondher Smii,
Monsieur Bilel Arfaoui et finalement Monsieur Anis Arfaoui.
Et finalement, je présente mon infini respect à Madame Nabila Karoui dans le département
des Ressources Humaine qui m’a aidé à s’intégrer dans cet organisme
Table des matières
Introduction Générale.......................................................................................................................... 1
CHAPITRE 1 : Cadre général de stage ......................................................................................... 2
Introduction ...................................................................................................................................... 2
1. Présentation de l’organisme d’accueil ................................................................................... 2
1.1. Objectifs de l’ANSI......................................................................................................... 2
1.2. Organigramme de l’ANSI ............................................................................................ 3
1.2.1. UPVT ............................................................................................................................ 3
1.2.2. UCGMQ ....................................................................................................................... 3
1.2.3. DTSSI............................................................................................................................ 4
1.2.4. DASSI ........................................................................................................................... 4
1.2.5. DRUIA.......................................................................................................................... 4
2. Objectif du stage ...................................................................................................................... 4
3. Présentation du projet ............................................................................................................. 4
4. Environnement du travail ....................................................................................................... 5
4.1. La virtualisation................................................................................................................ 5
4.2. Cisco Packet Tracer......................................................................................................... 5
4.3. Oracle VM VirtualBox ................................................................................................... 6
Conclusion ......................................................................................................................................... 6
CHAPITRE 2 : Le Système d’Information ................................................................................... 7
Introduction ...................................................................................................................................... 7
1. Les composants d’un Système d’Information..................................................................... 7
1.1. Les systèmes d’exploitation ........................................................................................... 7
1.2. Les routeurs ...................................................................................................................... 8
1.3. Les commutateurs ........................................................................................................... 8
1.4. les serveurs ........................................................................................................................ 8
1.5. Firewall ............................................................................................................................ 10
1.6. Les protocoles ................................................................................................................ 11
2. politique de sécurité ............................................................................................................... 12
2.1. définition ......................................................................................................................... 12
2.2. Règles de la politique de sécurité du SI ..................................................................... 12
3. Mécanisme de Sécurité du SI ............................................................................................... 13
3.1. Le VLAN ........................................................................................................................ 13
3.2. Les ACL .......................................................................................................................... 13
3.3. Le chiffrement................................................................................................................ 14
3.4. Le PAT ............................................................................................................................ 14
3.5. Politique des Mot des passes robustes ....................................................................... 15
Conclusion ....................................................................................................................................... 16
CHAPITRE 3 : Spécification de la solution de sécurité ........................................................... 17
Introduction .................................................................................................................................... 17
1. Modélisation du problème.................................................................................................... 17
1.1. Les attaques Passives .................................................................................................... 17
1.2. Les attaques actives ....................................................................................................... 17
2. Conception de l’architecture ................................................................................................ 18
2.1. Première conception ..................................................................................................... 18
3. Sécurité du SI .......................................................................................................................... 19
3.1. Confidentialité ................................................................................................................ 19
3.2. Intégrité ........................................................................................................................... 19
3.3. Disponibilité ................................................................................................................... 19
4. Segmentation du réseau VLSM ........................................................................................... 20
4.1. Plan d’adressage ............................................................................................................. 21
5. Identification des ressources ................................................................................................ 22
5.1. Choix des routeurs ........................................................................................................ 22
5.2. Choix des commutateurs.............................................................................................. 23
5.2.1. Cisco 2950T-24.......................................................................................................... 23
5.3. Choix du Firewall .......................................................................................................... 23
5.4. Choix du système d’exploitation ................................................................................. 24
6. Mise en place des équipements............................................................................................ 24
6.1. Installation du Serveur FTP ......................................................................................... 24
6.2. Installation de pfSense .................................................................................................. 25
7. Configuration des équipements ........................................................................................... 26
7.1. Configuration des Routeurs ......................................................................................... 26
7.2. Configuration des commutateurs ............................................................................... 31
7.3. Configuration de pfSense ............................................................................................. 32
7.4. Installation et configuration des Services Windows ................................................ 34
7.5. Configuration du Serveur FTP.................................................................................... 35
Conclusion ....................................................................................................................................... 36
Conclusion Générale .......................................................................................................................... 37
Références ............................................................................................................................................ 38
Table des Figures
Figure 1: Organigramme de l'ANSI ............................................................................................. 3
Figure 2: Interface de Packet Tracer ........................................................................................... 5
Figure 3: Interface de Oracle VirtualBox ................................................................................... 6
Figure 4: Mécanisme de Sécurité de Ubuntu Server ............................................................ 10
Figure 5: Requête HTTP............................................................................................................... 12
Figure 6: Conception de l'architecture...................................................................................... 18
Figure 7: Amélioration de l'architecture ................................................................................... 20
Figure 8: Cisco 1941 ......................................................................................................................... 22
Figure 9:Redondance des interfaces .......................................................................................... 23
Figure 10: Installation de Ubuntu Server .................................................................................. 25
Figure 11: Confirmation de la Clé SSH...................................................................................... 25
Figure 12: Installation de pfSense ............................................................................................... 26
Figure 13: Configuration d'un Router ....................................................................................... 26
Figure 14: Configuration d'un Mot de passe ........................................................................... 26
Figure 15: Configuration du Routage OSPF ........................................................................... 27
Figure 16: Table de Routage ........................................................................................................ 27
Figure 17: Configuration d'une ACL ......................................................................................... 28
Figure 18: Configuration d'une ACL 2 ...................................................................................... 29
Figure 19: Test de l'ACL 1 ............................................................................................................. 29
Figure 20: Test de l'ACL 2 ............................................................................................................ 29
Figure 21: Test de l'ACL 3............................................................................................................. 29
Figure 22: Test de l'ACL4 ............................................................................................................. 30
Figure 23: Configuration du PAT ............................................................................................... 30
Figure 24: Configuration SSH ...................................................................................................... 31
Figure 25: Configuration d'un VLAN ....................................................................................... 31
Figure 26: Application d'un VLAN ............................................................................................ 32
Figure 27: Configuration de pfSense ......................................................................................... 33
Figure 28: Authentification de pfSense ..................................................................................... 33
Figure 29: Interface graphique de pfSense .............................................................................. 33
Figure 30: Installation des Services sur Windows Server .................................................... 34
Figure 31: Configuration du DNS ............................................................................................... 35
Figure 32: Fichier de Configuration du service VSFTPD ................................................... 36
Les Abréviations
IP : Internet Protocol
Introduction Générale
Dans ce rapport il est nécessaire d’avoir sur le cadre général du stage, qui portera une
présentation de l’organisme d’accueil, une présentation sur les objectifs du stage, savoir
l’environnement dont j’ai travaillé sur et finalement une présentation du projet que j’ai élaboré. Ça
sera le contenu du premier chapitre.
Le deuxième chapitre comportera une vue générale sur les Systèmes d’informations. Dont on
trouvera les composants d’un système d’informations, les risque environ un système
d’informations non sécurisé. Finalement, les mécanismes qu’on peut implémenter pour sécuriser
un système d’information.
Le troisième chapitre, c’est le chapitre le plus intéressant. Il comportera les étapes que j’ai suivi
pour spécifier la solution de sécurité. Ce chapitre est composé par une explication détaillée du
réseau, un plan d’adressage VLSM, l’implémentation des mécanismes de sécurité nécessaires pour
sécuriser le système d’information, des explications sur le choix des équipements, et finalement les
configurations nécessaires des équipements.
1
CHAPITRE 1 : Cadre général de stage
Introduction
Dans ce chapitre, nous allons vous présenter le cadre général du stage qui porte sur une
présentation de l’entreprise et ses objectifs, il est nécessaire d’avoir une idée sur les unités travaillant
dans cet organisme ainsi que son organigramme. Il est nécessaire d’avoir une idée sur les objectifs
du stage qui portera un plus, l’environnement de travail de ce stage et finalement la présentation
du projet.
- Les principales missions de l’ANSI sont Assurer la mise en œuvre des orientations
stratégiques nationales et publiques pour assurer la sécurité des systèmes d’informations et des
réseaux.
- Certifier des personnes physiques et morales afin d’exercer la tâche d’expert d’audit dans
le secteur de la sécurité des systèmes d’informations.
- Offrir les solutions et les outils essentiels pour éviter les attaques et les menaces qui peuvent
empêcher le bon fonctionnement des systèmes d’informations et des réseaux.
- Contrôler les systèmes d’informations et les réseaux des différentes institutions publiques
et privées.
2
Chapitre 1 Cadre général du stage
- Fixer des normes pour la sécurité des systèmes d’informations et préparer des guides
techniques
- Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le
secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et
assurer la coordination entre les intervenants dans ce domaine.
1.2.1. UPVT
L’ Unité de prospection et de veille technologique a pour tâche de suivre les développements
scientifiques dans le domaine de la sécurité informatique et de fournir des mécanismes techniques
pour attirer des projets de recherche et de développement
1.2.2. UCGMQ
L’Unité de Contrôle de Gestion et de Management de Qualité, prépare des guides de manage-
ment et de qualité, veille sur la préparation des statistiques et suit les réalisations.
3
Chapitre 1 Cadre général du stage
1.2.3. DTSSI
La Direction des Technologies de Sécurité des Systèmes d’Informations, intervient lors d’un
incident ou une attaque sur les réseaux et les sites Web tunisiens et effectue l’audit technique et
des attaques blanches pour assurer la sécurité des réseaux et des systèmes d’informations.
1.2.4. DASSI
La Direction de l’Audit de la Sécurité des Systèmes d’Informations analyse la situation de la
sécurité des systèmes d’informations et des réseaux soumis à l’opération d’auditerait des indicateurs
d’évaluation.
1.2.5. DRUIA
La Direction de la Réaction aux Urgences Informatiques et d’Assistance, met des guides et
des programmes de sensibilisation destinés aux publics et les spécialistes du domaine, détecte les
dangers et les évalue annonçant directement les attaques qui visent l’espace cybernétique national,
avec la coordination des fournisseurs d’accès internet et autres.
2. Objectif du stage
L’objectif de ce stage est de penser un peu plus sur les mécanismes pour assurer la sécurité
d’un système d’information puisque les informations des entreprises sont des informations
confidentielles qui ne doivent pas être touché par aucune personne sauf les personnes concernées.
3. Présentation du projet
Le projet comporte un SI d’une société qui porte les départements et les services suivant :
4
Chapitre 1 Cadre général du stage
le réseau est bordé par un routeur de bord et un Firewall, composé par des routeurs internes,
des commutateurs et des postes de travails.
Le réseau sera sécurisé en utilisant une architecture robuste contre les attaques et des
mécanismes spécifiques afin d’assurer le CIA
4. Environnement du travail
Différâmes aux environnements réelles, l’environnement de ce travail est un environnement
virtuel essentiellement. Pour ce projet, j’ai choisi de faire l’étude de ce travail en utilisant le logiciel
Cisco Packet Tracer et le logiciel Oracle VM VirtualBox
4.1. La virtualisation
La virtualisation nous permet d'exploiter toute la capacité d'une machine physique en la
répartissant entre de nombreux utilisateurs ou environnements différents. [1]
Packet Tracer est une puissante plate-forme de simulation réseau qui incite les étudiants à
expérimenter le comportement des réseaux et à tester différents scénarios. Cet outil complète
l'équipement physique de la salle de classe en permettant aux étudiants de créer un réseau avec un
5
Chapitre 1 Cadre général du stage
L’outil nous offre une interface graphique qui nous permet d’implémenter des composants
Cisco et de configurer ces équipements selon l’architecture voulu. [2]
Actuellement, VirtualBox fonctionne sur les hôtes Windows, Linux, Macintosh et Solaris et
prend en charge un grand nombre de systèmes d'exploitation. [3]
Conclusion
Dans ce chapitre, c’était une intégration sur l’environnement du travail dans ce stage, on note
la présentation de l’organisme d’accueil, l’environnement du travail du stage, les objectifs de ce
stage.
6
CHAPITRE 2 : Le Système d’Information
Introduction
Durant ce chapitre nous allons introduire des notions théoriques sur les serveurs, les
protocoles et les composants du SI en général.
• Switch
• Routeurs
• Poste de travail
• Serveurs
• Imprimantes
• Des firewalls
• Procédure de configuration
• Manuel d’utilisation
• Politique de sécurité
7
Chapitre 2 Le Système d’Information
La liaison entre deux routeurs se fait par le câble série. Mais d’un routeur à un switch se fait
par le câble Ethernet et ses dérivés.
Dans le cas de la présence d’un routeur, il envoie des requetés ARP pour obtenir les adresse
IP des équipements et correspondre chaque adresse IP à son adresse MAC associé.
1.3.2. Niveau 3
La différence entre le commutateur niveau 2 et niveau 3 est au niveau du rôle. En effet, le
commutateur niveau 3 assure le routage des paquets ce qui nécessite plus de configuration que le
commutateur niveau 2.
8
Chapitre 2 Le Système d’Information
• Serveur Web
Le serveur Web a pour rôle de stocker et traiter les pages Web. La communication entre le
serveur et le client s’établit grâce au protocole HTTP ou HTTPS. les images, feuilles de style ou
script sont transmis via des documents HTML. Les serveurs Web courants sont des serveurs http
Apache, Microsoft IIS ou Nginx.
• Serveur de fichiers
Un serveur de fichiers sert à l’enregistrement central de fichiers accessibles depuis différents
clients sur un réseau. Les entreprises misent sur de tels systèmes de gestion de fichiers dans le but
que plus de groupes de travail puissent accéder aux mêmes fichiers. Il permet de stocker l’ensemble
des versions de fichiers et assure une sauvegarde centrale des données de l’entreprise. Si l’accès au
serveur de fichiers se fait par Internet, les protocoles de transmission tels que FTP ou SFTP, FTPS
entrent en jeu. Les réseaux locaux recourent quant à eux aux protocoles SMB et NFS.
• Serveur de mail
Un serveur mail est composé de plusieurs modules logiciels dont l’assemblage permet la
réception et l’expédition de courriers électroniques. En général, le protocole utilisé est le SMTP.
Les utilisateurs qui voudraient accéder à un serveur email ont besoin d’un client mail dont le but
est de récupérer les messages du serveur et de les expédier dans la boîte de réception électronique.
Ce chargement passe par le protocole IMAP.
9
Chapitre 2 Le Système d’Information
Windows Server 2012 Standard supporte jusqu'à deux processeurs par licence. Tout comme
l'édition Datacenter, elle prend en charge les machines disposant d'un maximum de 64 processeurs
et de 4 To de mémoire RAM.
• Le gestionnaire de serveur
Le gestionnaire de serveur est l'un des composants majeurs de Windows Server. En effet, il
permet d'afficher un ensemble d'informations détaillées, notamment sur des options de
configuration/sécurité, des informations sur le serveur ou encore les rôles et fonctionnalités
installés. [5]
Un mécanisme simple utilisé par le serveur Ubuntu est la dernière date d’authentification après
s’authentifier une fois. Ce mécanisme permet de détecter les contrôles d’accès non autorisé.
10
Chapitre 2 Le Système d’Information
La résolution ARP se fait par une requête ARP envoyé par le routeur afin de correspondre
l’adresse IP avec l’adresse MAC.
1.6.2. STP
Le STP est un protocole réseau de niveau 2 permettant de déterminer une topologie réseau
dans les LAN. Il est défini dans la norme IEEE 802.1D et est basé sur un algorithme. Ce protocole
est basé sur le vieillissement et des paramètres temporels. Basé sur une hiérarchie des
commutateurs en fournissant un arbre de commutateurs.
1.6.3. OSPF
C’est un protocole de routage dynamique qui assure la transmission des données en se basant
sur l’algorithme du plus court chemin Dijkstra.
1.6.4. DNS
C’est un protocole de niveau 7 dans le modèle OSI. La résolution du nom de domaine se fait
à partir d’un serveur DNS. C’est étape importante pour se connecter à un serveur Web externe.
En effet, chaque URL est associée à une adresse IP publique du serveur associé.
1.6.5. DHCP
Le protocole DHCP a pour fonctionnalité de fournir aux machines qui le demandent une
configuration IP complète, adresse IPv4, masque de sous-réseau, passerelle par défaut, serveur
DNS…
1 - Le client émet un message de demande qui est envoyé sous forme d'une diffusion sur le
réseau avec adresse IP source 0.0.0.0 et adresse IP destination 255.255.255.255 et adresse MAC.
2 – Le serveur DHCP répond en proposant une adresse IP avec une durée de bail et l'adresse
IP du serveur DHCP
3 - Le client sélectionne l’adresse IP reçue et envoie une demande d'utilisation de cette adresse
au serveur DHCP. Son message envoyé par diffusion comporte l'identification du serveur
sélectionné qui est informé que son offre a été retenue.
11
Chapitre 2 Le Système d’Information
4 - Le serveur DHCP accuse réception de la demande et accorde l'adresse en bail, les autres
serveurs retirent leur proposition. [6]
1.6.6. HTTP
Le HTTP c’est un protocole qui a pour rôle de transférer
les pages web à partir d’un serveur Web externe.
2. politique de sécurité
2.1. définition
La politique de sécurité est un document confidentiel qui appartient à la société. Il se présente
en forme de règles à appliquer afin de prendre les mesures nécessaires pour se méfier contre les
attaques internes et externes.
12
Chapitre 2 Le Système d’Information
R 4 : Les connexions en SSH est interdite pour les utilisateurs du réseau sauf l’administrateur
du réseau
R 5 : Les utilisateurs du réseau n’ont pas le droit d’accéder à l’imprimante d’administration
pour imprimer un fichier.
R 6 : dans le cas où le réseau n’est pas disponible, il faut contacter l’administrateur du réseau
pour résoudre le problème
R 7 : aucun utilisateur à le droit de toucher aux configurations des machines
R 8 : Tous les équipements doivent être protégé par des mots de passes robustes
R 9 : l’utilisation d’un seul mot de passe pour plusieurs équipement est interdit.
R 10 : La connexion en utilisant le protocole Telnet est interdite sauf par
l’administrateur du réseau.
R 11 : tous les mots de passes des utilisateurs de l’application de gestion du système
d’information doivent être haché.
R 12 : toute information venante du réseau sans fil 192.168.1.160 est interdite.
R 13 : Aucun utilisateur a le droit de savoir l’adresse d’une interface sauf l’administrateur
du réseau
R 14 : La communication par machine des 3 département vers le réseau de
l’administration et vice versa sont interdites.
R 15 : chaque utilisateur est responsable sur les données confidentielles enregistré dans
son poste de travail.
3. Mécanismes de Sécurité du SI
Pour assurer la sécurité d’un système d’information, nous avons intérêt à utiliser des concepts,
des normes et des mécanismes pour assurer les services de sécurité CIA.
3.1. Le VLAN
Le VLAN est un mécanisme de sécurité utilisé pour séparer logiquement les regroupements
des ports d’un switch. Cette séparation a pour rôle de diminuer la chance d’avoir des attaques
internes passives ou actives dans plusieurs départements différents qui utilise le même switch.
Les ACL est une technique utilisé au niveau des routeurs qui assure la restriction d’accès d’une
machine qui veut envoyer des paquets d’un sous réseau à un autre.
Il existe deux types de listes d’accès dans les routeurs Cisco. Il y a les listes standards et les
listes étendu. La différence entre les deux listes est au niveau des fonctionnalité qu’offre chaque
type de liste. Les listes standard nous permet de contrôler l’accès d’un sous réseau en acceptant ou
en refusant tous les équipements d’un sous réseau. Or que la liste d’accès étendu offre des
13
Chapitre 2 Le Système d’Information
fonctionnalités plus spécifiques tel que le numéro de port, le protocole de transport TCP/UDP,
on peut refuser l’accès d’un seul hôte d’un sous réseau.
3.3. Le chiffrement
C’est une science mathématique permettant d’effectuer des opérations sur un texte intelligible
afin d’assurer une ou plusieurs propriétés de la sécurité de l’information. On trouve 2 types de
chiffrement. Le chiffrement symétrique et le chiffrement asymétrique.
• Chaque personne dispose d’une paire de clé le chiffrement se fait par la clé privée et le
déchiffrement se fait par la clé publique
• Le cryptage se fait par l’une et le décryptage se fait par l’autre
Si Le cryptage de l’information se fait en utilisant la clé publique du récepteur et le
décryptage se fait par la clé privée du récepteur, on assure la confidentialité
Si le cryptage de l’information se fait en utilisant la clé privée de l’émetteur et le décryptage
se fait par la clé publique de l’émetteur, on assure l’authentification.
Un des algorithmes les plus connus pour ce type de chiffrement est l’algorithme RSA qui
utilise des clés représentées sur 1024 bits.
3.4. Le PAT
C’est un mécanisme utilisé par la majorité des FSI afin de résoudre le problème de gaspillages
des adresse IP. Cette technique est implémentée au niveau des routeurs. En plus de ça elle assure
un bon niveau de sécurité.
14
Chapitre 2 Le Système d’Information
3.4.1. Principe
C’est évident que chaque routeur admet au moins deux interfaces, une interface interne et une
interface externe. Par ce mécanisme, tout paquet envoyé par un utilisateur se passe par l’interface
interne, puis l’interface externe. Sur ce, tout paquet envoyé sera identifié par l’interface externe du
routeur. Le routeur affecte à chaque adresse IP interne un numéro de port. Cette technique nous
protèges contre le scan du sous réseau qu’on veut protéger par un utilisateur interne. Ce qui nous
assure une amélioration dans le niveau de sécurité.
1. Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts.
En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et
pour sa messagerie personnelle est à proscrire impérativement.
2. Choisissez un mot de passe qui n’est pas lié à votre identité (CIN, numéro de téléphone,
date de naissance…) pour ne pas se tomber contre l’attaque par dictionnaire.
3. Ne demandez jamais à une personne de créer pour vous un mot de passe.
4. Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes
en contiennent.
5. Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un
bon compromis pour les systèmes contenant des données sensibles.
6. Ne stockez pas les mots de passe dans un fichier sur un poste informatique
particulièrement exposé au risque, encore moins sur un papier facilement accessible.
7. Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
8. Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent"
pas des mots de passe choisis.
Concernant la première recommandation, la vulnérabilité qui existe dans nos jours, c’est la
réutilisation des mots de passes dans plusieurs comptes. Kyle Millikan un pirate qui a été arrêté
après avoir voler des millions d’informations sur des utilisateurs des sociétés Kickstarter, Imgur.
Nous conseille aujourd’hui de ne plus utiliser un seul mot de passe pour plusieurs comptes. Il nous
conseille aussi de stocker ces mots de passes dans des plateformes de gestion de mots de passes
comme Kaspersky Password Manager, Keepass … ce sont des plateformes dédiées pour ce faire.
En plus, il nous conseille d’utiliser une double authentification comme l’utilisation d’un code de
sécurité envoyé dans un SMS. Facebook et Google utilisent ce mécanisme. [9]
15
Chapitre 2 Le Système d’Information
Exemple
J’ai acheté huit cd pour cent euros cet après-midi ➔ ght8CD%E7am ;
Exemple
un tien vaut mieux que deux tu l’auras ➔ 1tvmQ2tl’A.
Conclusion
Ce chapitre étais plein de notions théoriques. Mais, c’était intéressant et enrichissant en termes
d’informations pour souder la sécurité d’un système d’information.
16
CHAPITRE 3 : Spécification de la solution
de sécurité
Introduction
Dans ce chapitre, on va entamer plus de travail pratique, nous allons découvrir par détail la
conception du SI, nous allons parler encore plus sur les mécanismes de sécurité dans le côté
pratique, les équipements choisit. Finalement la mise en place des machines et la configuration des
équipements.
1. Modélisation du problème
Les informations et les systèmes d’informations d’une entreprise peuvent subir des dommages
de plusieurs façons : certains intentionnels (malveillants), d’autres par accident. Ces événements
seront appelés des « attaques ».
une attaque c’est l’exploitation d’une vulnérabilité existante dans l’un ou les équipements du
système d’information.
Il existe deux types d’attaques. Les attaques passives et les attaques Actives. Ces deux types
d’attaques peuvent être interne ou externe. Le but est de sécuriser le SI contre les attaques internes
et externes en mettant en place des mécanismes de sécurité.
• Déni de Service
• Spoofing
17
Chapitre 3 Spécification de la solution de sécurité
2. Conception de l’architecture
Durant ce travail, j’ai essayé de faire une architecture robuste qui peut sécuriser le système
d’information en assurant la Confidentialité, l’Intégrité et la Disponibilité.
1. La première partie est le cœur du réseau qui se compose principalement par des routeurs
un commutateur principal et le Firewall.
2. La deuxième partie est la partie des départements Développement, Réseau, Marketing et
Communication et le service de coordination.
3. La troisième partie est le réseau administratif qui possède des postes de travails et une
imprimante.
4. La quatrième partie est une zone où se trouve le serveur FTP, le serveur de messagerie, le
serveur DNS local et le serveur d’authentification qui a pour rôle de faire l’authentification
selon les privilèges
5. La cinquième partie est composé par une unité d’administration du réseau qui a pour rôle
de faire le contrôle nécessaire du système d’information, et la détection des attaques et
avec un serveur de messagerie pour échanger les messages internes.
6. La sixième partie est la partie Démilitarisé du réseau qui se compose d’une ferme de
serveur. Dans cette zone on trouve un serveur HTTP, HTTPS, FTP. La présence du point
d’accès dans cette zone est faite expert pour que chaque visiteur d l’entreprise qui veut se
bénéficier par une connexion au réseau Internet, il peut avoir cette connexion sans fil sans
touché au ressources du réseau interne.
7. La septième partie est finalement représente le réseau externe.
18
Chapitre 3 Spécification de la solution de sécurité
Lors de la conception de cette partie, je me suis basé sur la protection des segments sensibles
comme les serveurs interne et le sous réseau administratif par des routeurs internes en utilisant le
PAT comme notée dans le chapitre précédent.
3. Sécurité du SI
Afin d’assurer la sécurité d’un système d’information, il faut tout d’abord assurer les services
de sécurité. On notes de ces services : la Confidentialité, l’Intégrité et la Disponibilité du système
d’information.
3.1. Confidentialité
La confidentialité c’est le fait de s'assurer que l'information n'est accessible qu'à ceux dont
l'accès est autorisé.
Pour assurer la confidentialité dans ce SI, c’est le fait de crypter le trafic échanger. Le cryptage
c’est le mécanisme le plus populaire pour assurer la confidentialité d’un système d’information.
toutes les données stockées dans les serveurs doivent être crypté. Le cryptage peut s’effectuer au
niveau des fichiers aussi puisque ça sera plus intéressant de ne pas accéder à des fichiers
confidentiels en interne.
3.2. Intégrité
L’intégrité est le fait de garantir que les données sont bien elles et qui n’ont pas subi des
changements. Vérifier l’intégrité des données consiste à déterminer si les données n’ont pas été
altérées durant la communication. La fonction de hachage est le mécanisme le plus connu qui nous
permet de vérifier si une donnée a été modifié lors du transfert ou non. Cette vérification se fait
en comparant le hach de l’information envoyé avec l’information reçu. Si c’est le même, alors il y
a de l’intégrité dans l’information. Sinon la donnée a été changé.
3.3. Disponibilité
Assurer la disponibilité du service est une étape très importante dans la conception d’un
système d’information. La haute disponibilité se calcule par le temps d’arrêt par année. Plus que le
réseau est disponible, la société aura plus de bénéfices. Ce service sera assuré en utilisant une
technique appelé la redondance des matériaux.
3.3.1. La redondance
La redondance c’est le fait de dupliquer le matériel informatique afin d’assurer la disponibilité
du système d’information.
19
Chapitre 3 Spécification de la solution de sécurité
les différents segments du réseau ce qui a encombré le montage un peut. Le principale but de la
nouvelle architecture est d’assurer une haute disponibilité pour le système d’informations.
La redondance des équipements est une étape importante mais elle présente un cout supérieur
pour le système d’information. Du coup, j’ai utilisé ce processus spécialement pour les routeurs.
Tous segment du réseau est relié à deux interfaces de routeur. comme le monte la figure ci-dessous.
Dans le cas où un des switches ou tous les switches sont en panne, un réseau sans fil est
disponible pour connecter les équipements du réseau en attendant le remplacement du switch
défectueux.
Pour cette architecture, nous avons 11 sous réseaux. Pour cela, il faut réserver 4 bits de la
partie hôte de l’adresse IP du réseau globale 192.168.1.0. pour rendre les choses plus simples, j’ai
choisi le même masque pour tous les sous réseaux quelque soit le nombre d’adresses necessaire
pour le sous réseau.
20
Chapitre 3 Spécification de la solution de sécurité
Type Nom Interface Adresse IP Passerelle par défaut 1 Passerelle par défaut 2
Les RBord G0/0 PUBLIQUE N/A N/A
S0/0/0 192.168.1.145 N/A N/A
Routeurs S0/0/1 192.168.1.130 N/A N/A
R1 G0/0 192.168.1.49 N/A N/A
G0/1 192.168.1.99 N/A N/A
S0/1/0 192.168.1.81 N/A N/A
S0/1/1 192.168.1.146 N/A N/A
R2 G0/0 192.168.1.161 N/A N/A
S0/0/0 192.168.1.82 N/A N/A
S0/1 192.168.1.129 N/A N/A
R3 F0/0 192.168.1.33 N/A N/A
F0/1 192.168.1.50 N/A N/A
F1/0 192.168.1.98 N/A N/A
F1/1 192.168.1.7 N/A N/A
R4 F0/0 192.168.1.17 N/A N/A
F0/1 192.168.1.51 N/A N/A
F1/0 192.168.1.100 N/A N/A
F1/1 192.168.1.70 N/A N/A
R5 F0/0 192.168.1.65 N/A N/A
F0/1 192.168.1.113 N/A N/A
F1/0 192.168.1.52 N/A N/A
F1/1 192.168.1.97 N/A N/A
R6 F0/0 192.168.1.18 N/A N/A
F0/1 192.168.1.1 N/A N/A
F1/0 192.168.1.123 N/A N/A
F1/1 192.168.1.40 N/A N/A
Les A1 F0 192.168.1.19 192.168.1.17 192.168.1.18
A2 F0 192.168.1.20 192.168.1.17 192.168.1.18
Machines A3 F0 192.168.1.21 192.168.1.17 192.168.1.18
A4 F0 192.168.1.22 192.168.1.17 192.168.1.18
IMPRIMANTE F0 192.168.1.23 192.168.1.17 192.168.1.18
SC1 F0 192.168.1.66 192.168.1.65 192.168.1.70
SC2 F0 192.168.1.67 192.168.1.65 192.168.1.70
SC3 F0 192.168.1.68 192.168.1.65 192.168.1.70
IMPRIMANTE F0 192.168.1.69 192.168.1.65 192.168.1.70
DMC1 F0 192.168.1.114 192.168.1.113 192.168.1.123
DMC2 F0 192.168.1.115 192.168.1.113 192.168.1.123
DMC3 F0 192.168.1.116 192.168.1.113 192.168.1.123
DDEV1 F0 192.168.1.117 192.168.1.113 192.168.1.123
DDEV2 F0 192.168.1.118 192.168.1.113 192.168.1.123
DDEV3 F0 192.168.1.119 192.168.1.113 192.168.1.123
21
Chapitre 3 Spécification de la solution de sécurité
Pour le choix des routeurs on s’intéressera à travailler sur les routeurs Cisco 1941, et 2811.
22
Chapitre 3 Spécification de la solution de sécurité
La plupart des routeurs utilisé dans ce Réseau sont les routeurs Cisco 2811 puisqu’on peut
ajouter des interfaces Fast-Ethernet afin de connecter plus de commutateurs dans ce réseau.
23
Chapitre 3 Spécification de la solution de sécurité
pfSense support la technique du « Load Balancing » qui consiste à activer le deuxième Firewall
après un tôt de balance pour ne pas avoir un déni de service.
Pour les services DNS, AD DS et DHCP, le choix étais le Windows Server 2012 R2. La
résolution DNS dans un serveur Windows se fait en se basant sur l’AD DS. Pour ne pas gaspiller
les ressources, on peut implémenter 3 services dans un seul serveur surtout que les demandes des
clients ne sont pas importantes.
Pour le serveur FTP, il vaut mieux choisir un système d’exploitation Ubuntu Server 18.04
puisque c’est la dernière version de la distribution Ubuntu. Les fichiers confidentiels de l’entreprise
doivent être bien sécurisé en utilisant un système d’exploitation qui possède un cœur bien robuste.
24
Chapitre 3 Spécification de la solution de sécurité
Le serveur FTP a été configuré par le protocole SSH pour une connexion à distance entre
l’administrateur et le serveur interne.
25
Chapitre 3 Spécification de la solution de sécurité
configuration système de la machine créer pour avoir cette interface. Puis, il faut retirer ce fichier
pour passer à la configuration.
Une étape très importante pour les mots de passes, c’est l’activation du chiffrement des mots
de passes de configurations par la première commande.
26
Chapitre 3 Spécification de la solution de sécurité
La deuxième ligne de commande nous permet de se méfier contre les attaques brute force pour
connaitre le mot de passe du routeur R4. Cette commande bloque le CLI du routeur pour 180
secondes après 2 tentatives incorrectes.
Le routage OSPF est un routage dont la configuration est simple. Il s’agit de définir pour le
routeur les sous réseaux qui appartiennent à chaque interface. Dans notre cas, le Routeur R5
possèdes les sous réseaux suivants : 192.168.1.64/28, 192.168.1.80/28, 192.168.1.96/28,
192.168.1.112/28. La commande contient aussi le masque inversé du sous réseau
«Wildcard Mask » . Il nous permet de connaitre le nombre d’adresses réservé pour ce sous réseau.
Ainsi, ce protocole de routage envoie des messages de contrôle à tous les routeurs adjacents afin
de vérifier les liens entre les routeurs. Ce processus assure le contrôle des liens de connexion du
réseau. C'est-à-dire, si un lien est interrompu, le deuxième lien sera disponible.
On remarque la présence d’un message qui nous informe que la configuration OSPF est bien
établit. Le problème que ce message apparait sauf après la configuration de plusieurs routeurs. La
commande SHOW IP ROUTE nous permet de vérifier si la configuration est bien établie ou non.
On remarque la présence de 11 sous réseau dans la table de routage du routeur 5.
27
Chapitre 3 Spécification de la solution de sécurité
28
Chapitre 3 Spécification de la solution de sécurité
J’ai choisi de faire la configuration dans ce routeur et non pas dans le routeur R4 qui possède
la passerelle par défaut du réseau 192.168.1.16/28 pour que les machines du réseau
192.168.1.112/28 peuvent envoyer des requetés et recevoir des réponses au serveurs internes.
Pour tester les listes d’accès, on envoie un ping de la machine SC3 qui possède l’adresse IP
192.168.1.68 vers la machine DR3 qui possède l’adresse IP 192.168.1.122
Et finalement la partie la plus délicate est au niveau de la communication des utilisateurs avec
les serveurs internes. Si on envoie une requête ping de la machine SC3 vers le serveur
d’authentification interne qui possède l’adresse IP 192.168.1.5, la communication est établie.
29
Chapitre 3 Spécification de la solution de sécurité
Si on teste une requête ping d’une machine du réseau 192.168.1.122/28 vers le serveur FTP
interne qui possède l’adresse IP 192.168.1.3, la communication est parfaitement établie.
La première étape est de définir les interfaces du réseau interne et les interfaces des réseau
externes. Pour le routeur R5, nous avons deux interfaces internes la première est fast-Ethernet 0/1
et la deuxième est fast-Ethernet 0/0.
L’étape suivante est de définir une liste d’accès ce qui nous permet de configurer le PAT (
NAT OVERLOAD). Chaque réseau interne est attribué à une ACL bien déterminé.
30
Chapitre 3 Spécification de la solution de sécurité
Pour le nom de domaine j’ai choisi le même nom d’hôte du routeur, le cryptage RSA sur 1024
bits sera intéressant pour générer plus de clés et pour qu’un attaquant ne devine pas les clés
facilement. Et finalement, j’ai activé la connexion en SSH dans l’interface VTY.
31
Chapitre 3 Spécification de la solution de sécurité
Pour tester les VLANs ont été bien configuré ou non, on peut utiliser la commande de
contrôle ping à des différentes machines du réseau sous réseau 192.168.1.112/28.
Le problème de la configuration des VLAN est au niveau du VLAN par défaut qui porte
l’identifiant 1. Le commutateur est relié au 3 département et à l’interface faste-Ethernet 0/1 du
routeur R5. Puisqu’il existe maintenant 4 VLANs, les machines du sous réseau ne peuvent pas
envoyer des requêtes ping à cette interface.
Après toute ces configurations qui comporte la configuration des ACL le PAT et les VLANs,
nous avons bien assuré la protection du système d’informations contre les menaces internes.
Remarque : L’adresse IP attribué au pare feu est une adresse IP qui appartient au résau
domestique et non pas une adresse IP du réseau du packet tracer.
32
Chapitre 3 Spécification de la solution de sécurité
Après avoir atribuer une adresse IP privée à l’interface LAN du parefeu, on peut continer la
configuration en utilisant une interface graphique plus souple en tappant l’adresse IP attribué.
Cette étape nécessite une authentification pour avoir l’interface graphique du firewall. pfSense
offre la possibilité d’implémenter des VPN des IDS/IPS et beaucoup d’autre fonctionnalités.
33
Chapitre 3 Spécification de la solution de sécurité
Après l’installation de ces services, il faut les configurer en utilisant le gestionnaire de serveur
Windows. Sur le plan réel, le service DHCP ne nécessite pas une configuration ainsi que le service
AD DS, Mais le service DNS faut le configurer. La configuration de ce service nécessite
principalement l’attribution d’un nom de domaine racine dans notre cas j’ai choisi google.com
pour le nom de domaine racine, le nom de domaine de la NetBIOS, et l’emplacement de la base
de données AD DS.
Les services de domaine Active Directory stockent des informations sur les utilisateurs, les
ordinateurs, et d’autres périphériques sur le réseau. Ils permettent aux administrateurs de gérer en
toute sécurité ces informations et facilitent le partage des ressources et la collaboration entre les
utilisateurs. Les services AD DS doivent aussi être installés sur le réseau afin d’installer des
applications compatibles avec l’annuaire, telles que Microsoft Exchange Server, et d’autres
technologies Windows Server, telle que la stratégie de groupe. Lors de l’installation du rôle sur un
serveur primaire nous devons y créer une forêt, ce foret est la base de ce service en étant l’hôte du
domaine et regroupant toutes les informations de celui-ci. [11]
34
Chapitre 3 Spécification de la solution de sécurité
Voici une vue globale sur les étapes de la configuration du service DNS.
chroot_local_user=YES
chroot_list_enable=NO
chroot_list_file=/etc/vsftpd.chroot_list
35
Chapitre 3 Spécification de la solution de sécurité
chroot_list_file=/etc/vsftpd.chroot_list
Conclusion
Ce chapitre étais le chapitre le plus intéressant au niveau pratique puisqu’il portait les
configurations nécessaires des équipements, c’est le chapitre qui a touché les interfaces des
équipements et la configuration des mécanismes mis en place.
36
Conclusion Générale
Dans ce rapport nous avons eu une idée sur le cadre général du stage, qui a porté une
présentation de l’organisme d’accueil, une présentation sur les objectifs du stage, savoir
l’environnement dont j’ai travaillé sur et finalement une présentation du projet que j’ai élaboré.
Dans le deuxième chapitre, nous avons vu une idée sur les différents composants d’un système
d’informations telle que les équipements du réseau, les protocoles utilisés pour la communication
interne, nous nous avons familiariser avec les différents risques qui touchent les systèmes
d’informations en général.
C’était la première fois que j’ai touché la configuration et l’installation des serveurs Ubuntu et
Windows, ainsi que l’installation du Firewall. De plus, je me suis familiarisé avec les configurations
des équipements du réseau dans un environnement virtuel. L’adressage du réseau étais une
expérience enrichissante aussi.
37
Références
[1] Virtualisation. (2019, 09 20). Récupéré sur Redhat:
www.redhat.com/fr/topics/virtualization/what-is-virtualization
[5] Windows Serveur 2012 - Le Gestionnaire de serveur. (2019, 09 10). Récupéré sur Supinfo:
www.supinfo.com/articles/single/3377-windows-serveur-2012-gestionnaire-serveur
[6] Fonctionnement de DHCP. (2019, 07 15). Récupéré sur Linux France: www.linux-
france.org/prj/edu/archinet/systeme/ch27s03.html
[9] Madiot, J. (2019, 09 20). Un célèbre hacker livre ses conseils en matiere de sécurité. Récupéré sur
Logitheque:
www.logitheque.com/articles/un_celebre_hacker_livre_ses_conseils_en_matiere_de_sec
urite_3548.htm
[10] ANSSI. (2019, 09 18). Sécurité des Mots de passes. Récupéré sur SSI:
www.ssi.gouv.fr/guide/mot-de-passe/
38