Département : STIC

Référence :

RAPPORT DE STAGE « Technicien »

Sujet : Mise en place d’une infrastructure d’un

système d’informations sécurisé

Stage réalisé par : Noussayr Derbel

Classe: STIC L3 SR B

Entreprise d’Accueil : ANSI

Période: de 01/07/2019 au 04/08/2019

Année Universitaire : 2019-2020

 Remerciements
Avant tout, je remercie ceux qui m’ont beaucoup appris au cours de ce stage, et qui ont
contribué au succès de mon stage, du début jusqu'à la fin.

Dans un deuxième temps je tiens à remercier toute l’équipe pédagogique de l’Institut

Supérieure de Etudes Technologiques en Communication de Tunis, qui m’a donné la chance de
faire ce stage et m’a donné la possibilité de connaitre la vie professionnelle.

Ensuite je remercie la direction de l’Agence Nationale de la Sécurité Informatique pour

m’avoir accueilli dans son local.

Par ailleurs, je remercie toute personne qui m’a permis de faire une connaissance large dans le
domaine de la sécurité des réseaux en général. Également, les ingénieurs Monsieur Mondher Smii,
Monsieur Bilel Arfaoui et finalement Monsieur Anis Arfaoui.

Et finalement, je présente mon infini respect à Madame Nabila Karoui dans le département
des Ressources Humaine qui m’a aidé à s’intégrer dans cet organisme
Table des matières
Introduction Générale.......................................................................................................................... 1
CHAPITRE 1 : Cadre général de stage ......................................................................................... 2
Introduction ...................................................................................................................................... 2
1. Présentation de l’organisme d’accueil ................................................................................... 2
1.1. Objectifs de l’ANSI......................................................................................................... 2
1.2. Organigramme de l’ANSI ............................................................................................ 3
1.2.1. UPVT ............................................................................................................................ 3
1.2.2. UCGMQ ....................................................................................................................... 3
1.2.3. DTSSI............................................................................................................................ 4
1.2.4. DASSI ........................................................................................................................... 4
1.2.5. DRUIA.......................................................................................................................... 4
2. Objectif du stage ...................................................................................................................... 4
3. Présentation du projet ............................................................................................................. 4
4. Environnement du travail ....................................................................................................... 5
4.1. La virtualisation................................................................................................................ 5
4.2. Cisco Packet Tracer......................................................................................................... 5
4.3. Oracle VM VirtualBox ................................................................................................... 6
Conclusion ......................................................................................................................................... 6
CHAPITRE 2 : Le Système d’Information ................................................................................... 7
Introduction ...................................................................................................................................... 7
1. Les composants d’un Système d’Information..................................................................... 7
1.1. Les systèmes d’exploitation ........................................................................................... 7
1.2. Les routeurs ...................................................................................................................... 8
1.3. Les commutateurs ........................................................................................................... 8
1.4. les serveurs ........................................................................................................................ 8
1.5. Firewall ............................................................................................................................ 10
1.6. Les protocoles ................................................................................................................ 11
 2. politique de sécurité ............................................................................................................... 12
2.1. définition ......................................................................................................................... 12
2.2. Règles de la politique de sécurité du SI ..................................................................... 12
3. Mécanisme de Sécurité du SI ............................................................................................... 13
3.1. Le VLAN ........................................................................................................................ 13
3.2. Les ACL .......................................................................................................................... 13
3.3. Le chiffrement................................................................................................................ 14
3.4. Le PAT ............................................................................................................................ 14
3.5. Politique des Mot des passes robustes ....................................................................... 15
Conclusion ....................................................................................................................................... 16
CHAPITRE 3 : Spécification de la solution de sécurité ........................................................... 17
Introduction .................................................................................................................................... 17
1. Modélisation du problème.................................................................................................... 17
1.1. Les attaques Passives .................................................................................................... 17
1.2. Les attaques actives ....................................................................................................... 17
2. Conception de l’architecture ................................................................................................ 18
2.1. Première conception ..................................................................................................... 18
3. Sécurité du SI .......................................................................................................................... 19
3.1. Confidentialité ................................................................................................................ 19
3.2. Intégrité ........................................................................................................................... 19
3.3. Disponibilité ................................................................................................................... 19
4. Segmentation du réseau VLSM ........................................................................................... 20
4.1. Plan d’adressage ............................................................................................................. 21
5. Identification des ressources ................................................................................................ 22
5.1. Choix des routeurs ........................................................................................................ 22
5.2. Choix des commutateurs.............................................................................................. 23
5.2.1. Cisco 2950T-24.......................................................................................................... 23
5.3. Choix du Firewall .......................................................................................................... 23
5.4. Choix du système d’exploitation ................................................................................. 24
6. Mise en place des équipements............................................................................................ 24
6.1. Installation du Serveur FTP ......................................................................................... 24
6.2. Installation de pfSense .................................................................................................. 25
 7. Configuration des équipements ........................................................................................... 26
7.1. Configuration des Routeurs ......................................................................................... 26
7.2. Configuration des commutateurs ............................................................................... 31
7.3. Configuration de pfSense ............................................................................................. 32
7.4. Installation et configuration des Services Windows ................................................ 34
7.5. Configuration du Serveur FTP.................................................................................... 35
Conclusion ....................................................................................................................................... 36
Conclusion Générale .......................................................................................................................... 37
Références ............................................................................................................................................ 38
Table des Figures
Figure 1: Organigramme de l'ANSI ............................................................................................. 3
Figure 2: Interface de Packet Tracer ........................................................................................... 5
Figure 3: Interface de Oracle VirtualBox ................................................................................... 6
Figure 4: Mécanisme de Sécurité de Ubuntu Server ............................................................ 10
Figure 5: Requête HTTP............................................................................................................... 12
Figure 6: Conception de l'architecture...................................................................................... 18
Figure 7: Amélioration de l'architecture ................................................................................... 20
Figure 8: Cisco 1941 ......................................................................................................................... 22
Figure 9:Redondance des interfaces .......................................................................................... 23
Figure 10: Installation de Ubuntu Server .................................................................................. 25
Figure 11: Confirmation de la Clé SSH...................................................................................... 25
Figure 12: Installation de pfSense ............................................................................................... 26
Figure 13: Configuration d'un Router ....................................................................................... 26
Figure 14: Configuration d'un Mot de passe ........................................................................... 26
Figure 15: Configuration du Routage OSPF ........................................................................... 27
Figure 16: Table de Routage ........................................................................................................ 27
Figure 17: Configuration d'une ACL ......................................................................................... 28
Figure 18: Configuration d'une ACL 2 ...................................................................................... 29
Figure 19: Test de l'ACL 1 ............................................................................................................. 29
Figure 20: Test de l'ACL 2 ............................................................................................................ 29
Figure 21: Test de l'ACL 3............................................................................................................. 29
Figure 22: Test de l'ACL4 ............................................................................................................. 30
Figure 23: Configuration du PAT ............................................................................................... 30
Figure 24: Configuration SSH ...................................................................................................... 31
Figure 25: Configuration d'un VLAN ....................................................................................... 31
Figure 26: Application d'un VLAN ............................................................................................ 32
Figure 27: Configuration de pfSense ......................................................................................... 33
Figure 28: Authentification de pfSense ..................................................................................... 33
Figure 29: Interface graphique de pfSense .............................................................................. 33
Figure 30: Installation des Services sur Windows Server .................................................... 34
Figure 31: Configuration du DNS ............................................................................................... 35
Figure 32: Fichier de Configuration du service VSFTPD ................................................... 36
 Les Abréviations

ACL : Access Control List IPS : Intrusion Prevention System

AD DS : Active Directory Domain Service LAN : Local Area Network

ANSI : Agence Nationale de la Sécurité NFS : Network File System

Informatique
OSPF : Open Shortest Path First
ANSSI : Agence Nationale de la Sécurité des
PAT : Port Address Translation
Systèmes d’Information
SMB : Server Message Block
ARP : Address Resolution Protocol
SMTP : Simple Mail Transfer Protocol
DASSI : Direction de l’Audit de la Sécurité des
Systèmes d’Information SSH : Secure Shell

DHCP : Dynamic Host Configuration UCGMQ : Unité de Contrôle de Gestion et de

Protocol Management de Qualité

DMZ : zone Démilitarisé UPVT : Unité de prospection et de veille

technologique
DNS : Domain Name System
SI : Système d’Information
DRUIA : Direction de la Réaction aux
Urgences Informatique et d’Assistance STP : Spanning Tree Protocol

DTSSI : Direction des Technologies de VLAN : Virtual Local Area Network

Sécurité des Systèmes d’Information
FSI : Fournisseur de Service Internet
FTP : File Transfer Protocol
VLSM : Variable Length Subnet Mask
VSFTPD : Very Secure File Transfer Protocol
Daemon.

FTPS : FTP via SSL VM : Virtual Machine

HTTP : Hyper Text Transfer Protocol VPN : Virtual Private Network

HTTPS :Hyper Text Transfer Protocol WWW : World Wide Web

Secure

IDS :Intrusion Detection System

IIS : Internet Information Service

IMAP : Internet Access Message Protocol

IP : Internet Protocol
 Introduction Générale
Dans ce rapport il est nécessaire d’avoir sur le cadre général du stage, qui portera une
présentation de l’organisme d’accueil, une présentation sur les objectifs du stage, savoir
l’environnement dont j’ai travaillé sur et finalement une présentation du projet que j’ai élaboré. Ça
sera le contenu du premier chapitre.

Le deuxième chapitre comportera une vue générale sur les Systèmes d’informations. Dont on
trouvera les composants d’un système d’informations, les risque environ un système
d’informations non sécurisé. Finalement, les mécanismes qu’on peut implémenter pour sécuriser
un système d’information.

Le troisième chapitre, c’est le chapitre le plus intéressant. Il comportera les étapes que j’ai suivi
pour spécifier la solution de sécurité. Ce chapitre est composé par une explication détaillée du
réseau, un plan d’adressage VLSM, l’implémentation des mécanismes de sécurité nécessaires pour
sécuriser le système d’information, des explications sur le choix des équipements, et finalement les
configurations nécessaires des équipements.

1
 CHAPITRE 1 : Cadre général de stage

Introduction
Dans ce chapitre, nous allons vous présenter le cadre général du stage qui porte sur une
présentation de l’entreprise et ses objectifs, il est nécessaire d’avoir une idée sur les unités travaillant
dans cet organisme ainsi que son organigramme. Il est nécessaire d’avoir une idée sur les objectifs
du stage qui portera un plus, l’environnement de travail de ce stage et finalement la présentation
du projet.

1. Présentation de l’organisme d’accueil

L’Agence Nationale de la Sécurité Informatique est une institution publique qui a été créée en
2004 et opère sous la tutelle du ministère des Technologies de la Communication et de l’Économie
Numérique. Elle veille à assurer la mise en œuvre des orientations nationales stratégiques pour la
sécurité des systèmes d’informations et des réseaux. L’agence fournit plusieurs services nationaux
en proposant des solutions techniques de nature directionnelle et indicative (cahier des charges,
conseils techniques, sensibilisation...), des services d’urgence (gestion des incidents cybernétiques
selon la loi de la sécurité) ainsi que la participation à l’étude des projets grands et sensibles

1.1. Objectifs de l’ANSI

Dans le cadre de la mise en œuvre du choix stratégique national dans le domaine de la sécurité
informatique, et pour répondre aux exigences du développement constant assisté par l’utilisation
des technologies modernes et l’intégration des services et des institutions publiques et privées,
l’ANSI a été créé pour un contrôle général des systèmes informatiques et des réseaux relevant des
divers organismes publics et privés

- Les principales missions de l’ANSI sont Assurer la mise en œuvre des orientations
stratégiques nationales et publiques pour assurer la sécurité des systèmes d’informations et des
réseaux.

- Certifier des personnes physiques et morales afin d’exercer la tâche d’expert d’audit dans
le secteur de la sécurité des systèmes d’informations.

- Offrir les solutions et les outils essentiels pour éviter les attaques et les menaces qui peuvent
empêcher le bon fonctionnement des systèmes d’informations et des réseaux.

- Contrôler les systèmes d’informations et les réseaux des différentes institutions publiques
et privées.

2
 Chapitre 1 Cadre général du stage

- Fixer des normes pour la sécurité des systèmes d’informations et préparer des guides
techniques

- Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité

informatique

- Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de

sécurité des systèmes informatiques et des réseaux

- Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le
secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et
assurer la coordination entre les intervenants dans ce domaine.

1.2. Organigramme de l’ANSI

L’organigramme de l’ANSI est illustré par la figure ci-dessous.

Figure 1: Organigramme de l'ANSI

1.2.1. UPVT
L’ Unité de prospection et de veille technologique a pour tâche de suivre les développements
scientifiques dans le domaine de la sécurité informatique et de fournir des mécanismes techniques
pour attirer des projets de recherche et de développement

1.2.2. UCGMQ
L’Unité de Contrôle de Gestion et de Management de Qualité, prépare des guides de manage-
ment et de qualité, veille sur la préparation des statistiques et suit les réalisations.

3
 Chapitre 1 Cadre général du stage

1.2.3. DTSSI
La Direction des Technologies de Sécurité des Systèmes d’Informations, intervient lors d’un
incident ou une attaque sur les réseaux et les sites Web tunisiens et effectue l’audit technique et
des attaques blanches pour assurer la sécurité des réseaux et des systèmes d’informations.

1.2.4. DASSI
La Direction de l’Audit de la Sécurité des Systèmes d’Informations analyse la situation de la
sécurité des systèmes d’informations et des réseaux soumis à l’opération d’auditerait des indicateurs
d’évaluation.

1.2.5. DRUIA
La Direction de la Réaction aux Urgences Informatiques et d’Assistance, met des guides et
des programmes de sensibilisation destinés aux publics et les spécialistes du domaine, détecte les
dangers et les évalue annonçant directement les attaques qui visent l’espace cybernétique national,
avec la coordination des fournisseurs d’accès internet et autres.

2. Objectif du stage
L’objectif de ce stage est de penser un peu plus sur les mécanismes pour assurer la sécurité
d’un système d’information puisque les informations des entreprises sont des informations
confidentielles qui ne doivent pas être touché par aucune personne sauf les personnes concernées.

3. Présentation du projet
Le projet comporte un SI d’une société qui porte les départements et les services suivant :

• Un département de développement qui a pour rôle de développer les applications web,

mobile demandé pour les clients
• Un département de réseau pour faire les études et la réalisation des réseau des entreprises
clients.
• Un département de marketing et communication pour l’entreprise
• Un service de coordination qui assure la coordination entre les départements
• Un service administratif

le réseau comporte aussi des serveurs

• Pour les serveurs internes :

o un serveur d’authentification à l’application de gestion du SI
o un serveur de transfert de fichier FTP pour gérer les fichiers entre les utilisateurs
o un serveur de messagerie pour faciliter la communication entre les services de
l’entreprise
• pour les serveurs externes ( situé dans la zone Démilitarisé )

4
 Chapitre 1 Cadre général du stage

o un serveur Web HTTP et HTTPS

o un serveur FTP pour partager les programmes open source de l’entreprise

le réseau est bordé par un routeur de bord et un Firewall, composé par des routeurs internes,
des commutateurs et des postes de travails.

Le réseau sera sécurisé en utilisant une architecture robuste contre les attaques et des
mécanismes spécifiques afin d’assurer le CIA

4. Environnement du travail
Différâmes aux environnements réelles, l’environnement de ce travail est un environnement
virtuel essentiellement. Pour ce projet, j’ai choisi de faire l’étude de ce travail en utilisant le logiciel
Cisco Packet Tracer et le logiciel Oracle VM VirtualBox

4.1. La virtualisation
La virtualisation nous permet d'exploiter toute la capacité d'une machine physique en la
répartissant entre de nombreux utilisateurs ou environnements différents. [1]

4.2. Cisco Packet Tracer

c’est un simulateur réseau développé par la fameuse société Cisco il nous donne la possibilité
de faire la simulation du réseau avant d’acheter les équipements et les mettre en place. Pour les
machines choisit dans ce travail, telle que les serveurs et les Firewalls par exemple, j’ai choisi
d’installer dans ma machine ces équipements afin de les voir bien de prêt au niveau de la
configuration surtout.

Figure 2: Interface de Packet Tracer

Packet Tracer est une puissante plate-forme de simulation réseau qui incite les étudiants à
expérimenter le comportement des réseaux et à tester différents scénarios. Cet outil complète
l'équipement physique de la salle de classe en permettant aux étudiants de créer un réseau avec un

5
 Chapitre 1 Cadre général du stage

nombre pratiquement illimité d'appareils, et en encourageant la pratique, la découverte et le

dépannage.

L’outil nous offre une interface graphique qui nous permet d’implémenter des composants
Cisco et de configurer ces équipements selon l’architecture voulu. [2]

4.3. Oracle VM VirtualBox

VirtualBox est une application bureau puissante de virtualisation destiné aux entreprises et
aux particuliers. C’est un produit extrêmement performant riche en fonctionnalités ainsi qu’il est
facile à manipuler.

Actuellement, VirtualBox fonctionne sur les hôtes Windows, Linux, Macintosh et Solaris et
prend en charge un grand nombre de systèmes d'exploitation. [3]

Figure 3: Interface de Oracle VirtualBox

Conclusion
Dans ce chapitre, c’était une intégration sur l’environnement du travail dans ce stage, on note
la présentation de l’organisme d’accueil, l’environnement du travail du stage, les objectifs de ce
stage.

6
 CHAPITRE 2 : Le Système d’Information

Introduction
Durant ce chapitre nous allons introduire des notions théoriques sur les serveurs, les
protocoles et les composants du SI en général.

1. Les composants d’un Système d’Information

Un système d’information est un ensemble de ressource Logicielles et matérielles qui nous
permet de partager, modifier et manipuler l’information entre différentes entités.

Les ressources matérielles sont les composant physique telle que :

• Switch
• Routeurs
• Poste de travail
• Serveurs
• Imprimantes
• Des firewalls

Les ressources logicielles peuvent être :

• Des logiciels d’application

• Des systèmes d’exploitation
• Des protocoles

Ainsi que des documents

• Procédure de configuration
• Manuel d’utilisation
• Politique de sécurité

1.1. Les systèmes d’exploitation

Généralement, il existe pas mal de nombre de système d’exploitation. On site les systèmes
d’exploitation des Ordinateurs, des téléphones et des serveurs. les systèmes d’exploitation les plus
utilisé au niveau des ordinateurs sont le Windows, Mac OS et Linux avec ses distributions. en
sécurité informatique, les système Linux telle que Kali, RedHat…

7
 Chapitre 2 Le Système d’Information

1.2. Les routeurs

C’est l’équipement responsable sur le routage de l’information dans le réseau Internet, et ce
en utilisant le protocole de routage associé. Il constitut un système intermédiaire au niveau de la
couche réseau ce qu’il permet de connecter les réseaux entre eux à partir de ses interfaces. Il utilise
sa table de routage pour déterminer le meilleur chemin pour le transfert des paquets.

La liaison entre deux routeurs se fait par le câble série. Mais d’un routeur à un switch se fait
par le câble Ethernet et ses dérivés.

1.3. Les commutateurs

1.3.1. Niveau 2
C’est un équipement plus développé que le concentrateur, il permet de commuter
l’information à la destination voulu selon l’adresse MAC dans la trame. Il présente un nœud central
entre le différent équipement.

Dans le cas de la présence d’un routeur, il envoie des requetés ARP pour obtenir les adresse
IP des équipements et correspondre chaque adresse IP à son adresse MAC associé.

1.3.2. Niveau 3
La différence entre le commutateur niveau 2 et niveau 3 est au niveau du rôle. En effet, le
commutateur niveau 3 assure le routage des paquets ce qui nécessite plus de configuration que le
commutateur niveau 2.

1.4. les serveurs

Un serveur informatique est un dispositif informatique matériel ou logiciel qui offre des
services, à un ou plusieurs clients. Les services les plus courants sont :

• l'accès aux informations du WWW

• le courrier électronique
• le commerce électronique
• le stockage en base de données

1.4.1. Serveurs existants

• Serveur DNS
Les serveurs DNS sont d’une importance capitale car ils traduisent des noms de domaines tels
que les adresses des sites web en adresses IP correspondantes. La résolution DNS est une étape
importante pour naviguer dans le Web. Si cette résolution est échouée, la navigation ne sera pas
établie.

8
 Chapitre 2 Le Système d’Information

• Serveur Web
Le serveur Web a pour rôle de stocker et traiter les pages Web. La communication entre le
serveur et le client s’établit grâce au protocole HTTP ou HTTPS. les images, feuilles de style ou
script sont transmis via des documents HTML. Les serveurs Web courants sont des serveurs http
Apache, Microsoft IIS ou Nginx.

• Serveur de fichiers
Un serveur de fichiers sert à l’enregistrement central de fichiers accessibles depuis différents
clients sur un réseau. Les entreprises misent sur de tels systèmes de gestion de fichiers dans le but
que plus de groupes de travail puissent accéder aux mêmes fichiers. Il permet de stocker l’ensemble
des versions de fichiers et assure une sauvegarde centrale des données de l’entreprise. Si l’accès au
serveur de fichiers se fait par Internet, les protocoles de transmission tels que FTP ou SFTP, FTPS
entrent en jeu. Les réseaux locaux recourent quant à eux aux protocoles SMB et NFS.

• Serveur de mail
Un serveur mail est composé de plusieurs modules logiciels dont l’assemblage permet la
réception et l’expédition de courriers électroniques. En général, le protocole utilisé est le SMTP.
Les utilisateurs qui voudraient accéder à un serveur email ont besoin d’un client mail dont le but
est de récupérer les messages du serveur et de les expédier dans la boîte de réception électronique.
Ce chargement passe par le protocole IMAP.

• Serveur de bases de données

Un serveur de bases de données est un programme informatique permettant à d’autres
programmes l’accès en réseau à un ou plusieurs systèmes de bases de données. Les logiciels de ce
type ayant les plus grandes parts de marché sont Oracle, MySQL, Microsoft SQL Server, et
PostgreSQL. Ces serveurs sont compatibles avec les serveurs Web pour l’enregistrement et
l‘expédition de données. [4]

1.4.2. Les Serveurs Windows

• Serveurs Windows 2008
Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur.
Basé sur le même noyau que Vista. Il possède plusieurs fonctionnalités.

• Windows server 2012

est la seconde avant dernière version du système d'exploitation réseau Windows Server Page
d'aide sur l'homonymie. La version suivante est Windows Server 2012 R2.

• Windows Server 2012 Standard

La principale édition de Windows Server 2012 offre toutes les fonctionnalités du produit, tout
comme l'édition Datacenter. Elle se distingue de cette dernière par le nombre de machines
virtuelles couvertes par la licence, à savoir deux.

9
 Chapitre 2 Le Système d’Information

Windows Server 2012 Standard supporte jusqu'à deux processeurs par licence. Tout comme
l'édition Datacenter, elle prend en charge les machines disposant d'un maximum de 64 processeurs
et de 4 To de mémoire RAM.

• Le gestionnaire de serveur
Le gestionnaire de serveur est l'un des composants majeurs de Windows Server. En effet, il
permet d'afficher un ensemble d'informations détaillées, notamment sur des options de
configuration/sécurité, des informations sur le serveur ou encore les rôles et fonctionnalités
installés. [5]

1.4.3. Les Serveurs Linux

Ubuntu server
Ubuntu Server est un système d’exploitation Linux open source qui offre plus de sécurité que
les serveurs Windows. La différence entre un serveur Ubuntu et un serveur Windows est au niveau
de l’interface graphique. La configuration principale des serveur Linux est par des lignes de
commandes comme pour l’installation d’un service ou pour gérer les fichiers du serveur.

Figure 4: Mécanisme de Sécurité de Ubuntu Server

Un mécanisme simple utilisé par le serveur Ubuntu est la dernière date d’authentification après
s’authentifier une fois. Ce mécanisme permet de détecter les contrôles d’accès non autorisé.

1.5. Les Pare feux

Les pare feux sont des équipements basés sur des règles qui permettent de filtrer les paquets
indésirable sortant du réseau ou entrant au réseau. Cet équipement est indispensable pour les
entreprises. Les règles se basent selon la politique de sécurité. Il existe 3 types de firewalls. Le
premier le plus simple, il possède un filtrage simple de paquet. Le deuxième est un peu utile c’est
le filtrage dynamique des paquets. Le troisième type qui est le plus couteux c’est le filtrage applicatif.

L’emplacement du firewall est généralement externe avant le routeur de bord. L’emplacement

des firewalls en interne est généralement minimal.

1.5.1. La zone Démilitarisé

C’est une ou plusieurs interfaces qui se trouvent au niveau du firewall, cette zone est plus
souple en termes de sécurité. Dans cette zone on trouve les serveurs publics de l’entreprise qui
peuvent être consulté par les clients du réseau externe.

10
 Chapitre 2 Le Système d’Information

1.6. Les protocoles

1.6.1. ARP
C’est un protocole de niveau 3 utilisé par les routeurs pour faire le remplissage des caches
MAC des routeurs. La résolution d’adresse se fait quotidiennement par les routeurs en envoyant
des messages de contrôle. Le routeur associe à chaque adresse IP interne l’adresse MAC de
l’interface associé.

La résolution ARP se fait par une requête ARP envoyé par le routeur afin de correspondre
l’adresse IP avec l’adresse MAC.

1.6.2. STP
Le STP est un protocole réseau de niveau 2 permettant de déterminer une topologie réseau
dans les LAN. Il est défini dans la norme IEEE 802.1D et est basé sur un algorithme. Ce protocole
est basé sur le vieillissement et des paramètres temporels. Basé sur une hiérarchie des
commutateurs en fournissant un arbre de commutateurs.

1.6.3. OSPF
C’est un protocole de routage dynamique qui assure la transmission des données en se basant
sur l’algorithme du plus court chemin Dijkstra.

1.6.4. DNS
C’est un protocole de niveau 7 dans le modèle OSI. La résolution du nom de domaine se fait
à partir d’un serveur DNS. C’est étape importante pour se connecter à un serveur Web externe.
En effet, chaque URL est associée à une adresse IP publique du serveur associé.

1.6.5. DHCP
Le protocole DHCP a pour fonctionnalité de fournir aux machines qui le demandent une
configuration IP complète, adresse IPv4, masque de sous-réseau, passerelle par défaut, serveur
DNS…

Lorsqu'un client DHCP initialise un accès à un réseau TCP/IP, le processus d'obtention du

bail IP se déroule en 4 phases :

1 - Le client émet un message de demande qui est envoyé sous forme d'une diffusion sur le
réseau avec adresse IP source 0.0.0.0 et adresse IP destination 255.255.255.255 et adresse MAC.

2 – Le serveur DHCP répond en proposant une adresse IP avec une durée de bail et l'adresse
IP du serveur DHCP

3 - Le client sélectionne l’adresse IP reçue et envoie une demande d'utilisation de cette adresse
au serveur DHCP. Son message envoyé par diffusion comporte l'identification du serveur
sélectionné qui est informé que son offre a été retenue.

11
 Chapitre 2 Le Système d’Information

4 - Le serveur DHCP accuse réception de la demande et accorde l'adresse en bail, les autres
serveurs retirent leur proposition. [6]

1.6.6. HTTP
Le HTTP c’est un protocole qui a pour rôle de transférer
les pages web à partir d’un serveur Web externe.

La communication entre un Client et un serveur, se

fait en deux parties. Une requête http, et une réponse http.
Le serveur http consulte la base de données qui contienne
les pages web et envoie au client le code source de cette
page. [7]
Figure 5: Requête HTTP

1.6.7. Telnet / SSH

Le Telnet est un protocole permettant l'interfaçage de terminaux et d'applications à travers
Internet qui a pour rôle d’assurer les connexions à distance entre un client et une machine qui
possède ce service ouvert sur le port 23. L’authentification de ce service se fait en claire en tapant
le nom d’utilisateur et le mot de passe de cette machine ce qui engendre un problème au niveau de
la sécurité des équipements de la part d’un attaquant et affecte la confidentialité de la connexion.
Sur ce, il est préférable de migrer vers le SSH. C’est un service qui utilise la connexion à distance
chiffré en utilisant le chiffrement asymétrique. Ce service utilise le port 22, ce qui nous permet
d’assurer une bonne confidentialité au niveau de l’authentification. [8]

2. politique de sécurité
2.1. définition
La politique de sécurité est un document confidentiel qui appartient à la société. Il se présente
en forme de règles à appliquer afin de prendre les mesures nécessaires pour se méfier contre les
attaques internes et externes.

2.2. Règles de la politique de sécurité du SI

Voici des règles que j’ai rédigé pour la politique de sécurité.

R 1 : Les communications entre les machines du département Réseau, Développement,

Marketing et communication sont interdites
R 2 : Les échange des données entre les différents départements se fait à partir du service
de coordination.
R 3 : Le scan des ports des serveurs à partir des utilisateurs est interdite sauf pour
l’administrateur du réseau.

12
 Chapitre 2 Le Système d’Information

R 4 : Les connexions en SSH est interdite pour les utilisateurs du réseau sauf l’administrateur
du réseau
R 5 : Les utilisateurs du réseau n’ont pas le droit d’accéder à l’imprimante d’administration
pour imprimer un fichier.
R 6 : dans le cas où le réseau n’est pas disponible, il faut contacter l’administrateur du réseau
pour résoudre le problème
R 7 : aucun utilisateur à le droit de toucher aux configurations des machines
R 8 : Tous les équipements doivent être protégé par des mots de passes robustes
R 9 : l’utilisation d’un seul mot de passe pour plusieurs équipement est interdit.
R 10 : La connexion en utilisant le protocole Telnet est interdite sauf par
l’administrateur du réseau.
R 11 : tous les mots de passes des utilisateurs de l’application de gestion du système
d’information doivent être haché.
R 12 : toute information venante du réseau sans fil 192.168.1.160 est interdite.
R 13 : Aucun utilisateur a le droit de savoir l’adresse d’une interface sauf l’administrateur
du réseau
R 14 : La communication par machine des 3 département vers le réseau de
l’administration et vice versa sont interdites.
R 15 : chaque utilisateur est responsable sur les données confidentielles enregistré dans
son poste de travail.

3. Mécanismes de Sécurité du SI
Pour assurer la sécurité d’un système d’information, nous avons intérêt à utiliser des concepts,
des normes et des mécanismes pour assurer les services de sécurité CIA.

3.1. Le VLAN
Le VLAN est un mécanisme de sécurité utilisé pour séparer logiquement les regroupements
des ports d’un switch. Cette séparation a pour rôle de diminuer la chance d’avoir des attaques
internes passives ou actives dans plusieurs départements différents qui utilise le même switch.

3.2. Les ACL

Le contrôle d’accès est un service de sécurité important qui doit être pris en considération
dans le système d’informations.

Les ACL est une technique utilisé au niveau des routeurs qui assure la restriction d’accès d’une
machine qui veut envoyer des paquets d’un sous réseau à un autre.

Il existe deux types de listes d’accès dans les routeurs Cisco. Il y a les listes standards et les
listes étendu. La différence entre les deux listes est au niveau des fonctionnalité qu’offre chaque
type de liste. Les listes standard nous permet de contrôler l’accès d’un sous réseau en acceptant ou
en refusant tous les équipements d’un sous réseau. Or que la liste d’accès étendu offre des

13
 Chapitre 2 Le Système d’Information

fonctionnalités plus spécifiques tel que le numéro de port, le protocole de transport TCP/UDP,
on peut refuser l’accès d’un seul hôte d’un sous réseau.

3.3. Le chiffrement
C’est une science mathématique permettant d’effectuer des opérations sur un texte intelligible
afin d’assurer une ou plusieurs propriétés de la sécurité de l’information. On trouve 2 types de
chiffrement. Le chiffrement symétrique et le chiffrement asymétrique.

3.3.1. Le chiffrement asymétrique

C’est un type de chiffrement qui utilise une seule clé pour le chiffrement et le déchiffrement.
Le problème est au niveau de la gestion des clés puisque pour chaque récepteur il faut avoir une
nouvelle clé. Un des algorithmes le plus utilisé pour ce type de chiffrement est le AES.

3.3.2. Le chiffrement symétrique

C’est un type de chiffrement caractérisé par les caractères suivants :

• Chaque personne dispose d’une paire de clé le chiffrement se fait par la clé privée et le
déchiffrement se fait par la clé publique
• Le cryptage se fait par l’une et le décryptage se fait par l’autre
 Si Le cryptage de l’information se fait en utilisant la clé publique du récepteur et le
décryptage se fait par la clé privée du récepteur, on assure la confidentialité
 Si le cryptage de l’information se fait en utilisant la clé privée de l’émetteur et le décryptage
se fait par la clé publique de l’émetteur, on assure l’authentification.

Un des algorithmes les plus connus pour ce type de chiffrement est l’algorithme RSA qui
utilise des clés représentées sur 1024 bits.

3.3.3. La fonction de hachage

La fonction de hachage est un algorithme qui permet de créer le hach d’une chaine de
caractère. Cette fonction est caractérisée par l’irréversibilité. C'est-à-dire, qu’on ne peut pas avoir
la forme originale de la chaine de caractère a partir de sons hach. De plus, cette fonction donne un
résultat de taille fixe quelques soit la taille de l’entrée. Même une petite modification au niveau de
l’entrée du hach donne un résultat complétement diffèrent. On note MD5, SHA 256 et plusieurs
autres algorithmes utilisés dans nos jours utilisé pour le hachage. Ce mécanisme est utilisé dans la
commerce électronique pour générer la signature électronique, et au niveau de l’enregistrement des
mots de passes dans les bases de données.

3.4. Le PAT
C’est un mécanisme utilisé par la majorité des FSI afin de résoudre le problème de gaspillages
des adresse IP. Cette technique est implémentée au niveau des routeurs. En plus de ça elle assure
un bon niveau de sécurité.

14
 Chapitre 2 Le Système d’Information

3.4.1. Principe
C’est évident que chaque routeur admet au moins deux interfaces, une interface interne et une
interface externe. Par ce mécanisme, tout paquet envoyé par un utilisateur se passe par l’interface
interne, puis l’interface externe. Sur ce, tout paquet envoyé sera identifié par l’interface externe du
routeur. Le routeur affecte à chaque adresse IP interne un numéro de port. Cette technique nous
protèges contre le scan du sous réseau qu’on veut protéger par un utilisateur interne. Ce qui nous
assure une amélioration dans le niveau de sécurité.

3.5. Politique des Mot des passes robustes

3.5.1. Recommandations
Le choix des mots de passes est une tâche importante pour augmenter la sécurité d’un système
d’information. Il y a beaucoup de normes pour garantir l’application d’un mot de passe robuste.
L’agence française ANSSI estime 8 recommandations indépendantes qui doivent être utilisé au
minimum.

1. Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts.
En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et
pour sa messagerie personnelle est à proscrire impérativement.
2. Choisissez un mot de passe qui n’est pas lié à votre identité (CIN, numéro de téléphone,
date de naissance…) pour ne pas se tomber contre l’attaque par dictionnaire.
3. Ne demandez jamais à une personne de créer pour vous un mot de passe.
4. Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes
en contiennent.
5. Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un
bon compromis pour les systèmes contenant des données sensibles.
6. Ne stockez pas les mots de passe dans un fichier sur un poste informatique
particulièrement exposé au risque, encore moins sur un papier facilement accessible.
7. Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
8. Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent"
pas des mots de passe choisis.

Concernant la première recommandation, la vulnérabilité qui existe dans nos jours, c’est la
réutilisation des mots de passes dans plusieurs comptes. Kyle Millikan un pirate qui a été arrêté
après avoir voler des millions d’informations sur des utilisateurs des sociétés Kickstarter, Imgur.
Nous conseille aujourd’hui de ne plus utiliser un seul mot de passe pour plusieurs comptes. Il nous
conseille aussi de stocker ces mots de passes dans des plateformes de gestion de mots de passes
comme Kaspersky Password Manager, Keepass … ce sont des plateformes dédiées pour ce faire.
En plus, il nous conseille d’utiliser une double authentification comme l’utilisation d’un code de
sécurité envoyé dans un SMS. Facebook et Google utilisent ce mécanisme. [9]

15
 Chapitre 2 Le Système d’Information

Au niveau de la composition du mot de passe, il vaut mieux utiliser au minimum 12 caractères

qui portes des majuscules, des minuscules, des caractères spéciaux et des chiffres. Le nombre
minimal des caractères dépends du développement informatique et du développement des
performance du calcul des processeurs et des processeurs graphiques. Puisque l’attaque la plus
déterministe pour deviner un mot de passe est la Brute Force. Elle consiste à essayer toutes les
possibilités de tous les caractères qui peuvent être utiliser dans un mot de passe. Plus la machine
qui exécute cet algorithme est performante plus que le temps de deviner ce mot de passe sera
diminué. [10]

La robuste d’un mot de passes dépend généralement de la complexité de ce dernier l’ANSSI

nous présente deux méthodes pour choisir un mot de passe.

3.5.2. Méthode phonétique

Le principe de cette méthode est de choisir une citation ou une phrase puis de faire la
translation phonétique pour ce choix.

Exemple
J’ai acheté huit cd pour cent euros cet après-midi ➔ ght8CD%E7am ;

3.5.3. Méthode de la première lettre

Le principe de cette méthode est de choisir une citation ou une phrase puis de choisir les
premières lettres de chaque mot pour rassembler le mot de passe.

Exemple
un tien vaut mieux que deux tu l’auras ➔ 1tvmQ2tl’A.

3.5.4. Forme de mot de passes

Pour ne pas choisir les mêmes mots de passes pour tous les équipements, j’ai choisi de créer

une forme Standard composé par des informations celons l’équipement

Pour les Routeurs

## Nom du routeur Dernier quarter des adresses IP des interfaces *+

Pour les Switches

|| Nom du Dernier quarter de l’adresse IP Assigné au Switch pour la connexion /+
Switch en SSH

Conclusion
Ce chapitre étais plein de notions théoriques. Mais, c’était intéressant et enrichissant en termes
d’informations pour souder la sécurité d’un système d’information.

16
 CHAPITRE 3 : Spécification de la solution
de sécurité

Introduction
Dans ce chapitre, on va entamer plus de travail pratique, nous allons découvrir par détail la
conception du SI, nous allons parler encore plus sur les mécanismes de sécurité dans le côté
pratique, les équipements choisit. Finalement la mise en place des machines et la configuration des
équipements.

1. Modélisation du problème
Les informations et les systèmes d’informations d’une entreprise peuvent subir des dommages
de plusieurs façons : certains intentionnels (malveillants), d’autres par accident. Ces événements
seront appelés des « attaques ».

une attaque c’est l’exploitation d’une vulnérabilité existante dans l’un ou les équipements du
système d’information.

Il existe deux types d’attaques. Les attaques passives et les attaques Actives. Ces deux types
d’attaques peuvent être interne ou externe. Le but est de sécuriser le SI contre les attaques internes
et externes en mettant en place des mécanismes de sécurité.

1.1. Les attaques Passives

Ce sont des attaques qui tentent à collecter ou utiliser des informations relatives au SI, mais
elle n’affectent pas les ressources de ce système. L’attaque passive la plus connu est le scan des
ports d’une ressource. Le logiciel Nmap est l’outil le plus populaire qui permet d’exécuter cette
attaque.

1.2. Les attaques actives

Ce sont des attaques qui tentent d’introduire des modifications sur les ressources du SI ou
affecter leur fonctionnement. Ce type d’attaque vient après les attaques passives en trouvant une
vulnérabilité dans une ressource du SI et en l’exploitant. Il existe plusieurs attaques actives on
note :

• Déni de Service
• Spoofing

17
Chapitre 3 Spécification de la solution de sécurité

• TCP SYN Flooding

2. Conception de l’architecture
Durant ce travail, j’ai essayé de faire une architecture robuste qui peut sécuriser le système
d’information en assurant la Confidentialité, l’Intégrité et la Disponibilité.

Figure 6: Conception de l'architecture

2.1. Première conception

Le réseau ce compose de 7 parties

1. La première partie est le cœur du réseau qui se compose principalement par des routeurs
un commutateur principal et le Firewall.
2. La deuxième partie est la partie des départements Développement, Réseau, Marketing et
Communication et le service de coordination.
3. La troisième partie est le réseau administratif qui possède des postes de travails et une
imprimante.
4. La quatrième partie est une zone où se trouve le serveur FTP, le serveur de messagerie, le
serveur DNS local et le serveur d’authentification qui a pour rôle de faire l’authentification
selon les privilèges
5. La cinquième partie est composé par une unité d’administration du réseau qui a pour rôle
de faire le contrôle nécessaire du système d’information, et la détection des attaques et
avec un serveur de messagerie pour échanger les messages internes.
6. La sixième partie est la partie Démilitarisé du réseau qui se compose d’une ferme de
serveur. Dans cette zone on trouve un serveur HTTP, HTTPS, FTP. La présence du point
d’accès dans cette zone est faite expert pour que chaque visiteur d l’entreprise qui veut se
bénéficier par une connexion au réseau Internet, il peut avoir cette connexion sans fil sans
touché au ressources du réseau interne.
7. La septième partie est finalement représente le réseau externe.

18
Chapitre 3 Spécification de la solution de sécurité

Lors de la conception de cette partie, je me suis basé sur la protection des segments sensibles
comme les serveurs interne et le sous réseau administratif par des routeurs internes en utilisant le
PAT comme notée dans le chapitre précédent.

3. Sécurité du SI
Afin d’assurer la sécurité d’un système d’information, il faut tout d’abord assurer les services
de sécurité. On notes de ces services : la Confidentialité, l’Intégrité et la Disponibilité du système
d’information.

3.1. Confidentialité
La confidentialité c’est le fait de s'assurer que l'information n'est accessible qu'à ceux dont
l'accès est autorisé.

Pour assurer la confidentialité dans ce SI, c’est le fait de crypter le trafic échanger. Le cryptage
c’est le mécanisme le plus populaire pour assurer la confidentialité d’un système d’information.
toutes les données stockées dans les serveurs doivent être crypté. Le cryptage peut s’effectuer au
niveau des fichiers aussi puisque ça sera plus intéressant de ne pas accéder à des fichiers
confidentiels en interne.

3.2. Intégrité
L’intégrité est le fait de garantir que les données sont bien elles et qui n’ont pas subi des
changements. Vérifier l’intégrité des données consiste à déterminer si les données n’ont pas été
altérées durant la communication. La fonction de hachage est le mécanisme le plus connu qui nous
permet de vérifier si une donnée a été modifié lors du transfert ou non. Cette vérification se fait
en comparant le hach de l’information envoyé avec l’information reçu. Si c’est le même, alors il y
a de l’intégrité dans l’information. Sinon la donnée a été changé.

3.3. Disponibilité
Assurer la disponibilité du service est une étape très importante dans la conception d’un
système d’information. La haute disponibilité se calcule par le temps d’arrêt par année. Plus que le
réseau est disponible, la société aura plus de bénéfices. Ce service sera assuré en utilisant une
technique appelé la redondance des matériaux.

3.3.1. La redondance
La redondance c’est le fait de dupliquer le matériel informatique afin d’assurer la disponibilité
du système d’information.

3.3.2. Amélioration de l’architecture

Le SI devient un peu plus compliqué mais chaque composant ajouté est nécessaire afin
d’assurer la continuité du service. Le composant principale ajouté est le switch principal qui relie

19
Chapitre 3 Spécification de la solution de sécurité

les différents segments du réseau ce qui a encombré le montage un peut. Le principale but de la
nouvelle architecture est d’assurer une haute disponibilité pour le système d’informations.

La redondance des équipements est une étape importante mais elle présente un cout supérieur
pour le système d’information. Du coup, j’ai utilisé ce processus spécialement pour les routeurs.
Tous segment du réseau est relié à deux interfaces de routeur. comme le monte la figure ci-dessous.

Figure 7: Amélioration de l'architecture

Dans le cas où un des switches ou tous les switches sont en panne, un réseau sans fil est
disponible pour connecter les équipements du réseau en attendant le remplacement du switch
défectueux.

4. Segmentation du réseau VLSM

Le VLSM est une méthode consiste à partager un réseau en plusieurs sous réseaux en faisant
la variation du masque du réseau principale.

Pour cette architecture, nous avons 11 sous réseaux. Pour cela, il faut réserver 4 bits de la
partie hôte de l’adresse IP du réseau globale 192.168.1.0. pour rendre les choses plus simples, j’ai
choisi le même masque pour tous les sous réseaux quelque soit le nombre d’adresses necessaire
pour le sous réseau.

Adresse du Sous Masque Adresse de

Réseau diffusion
192.168.1.0 255.255.255.240 192.168.1.15
192.168.1.16 255.255.255.240 192.168.1.31
192.168.1.32 255.255.255.240 192.168.1.47
192.168.1.48 255.255.255.240 192.168.1.63
192.168.1.64 255.255.255.240 192.168.1.79
192.168.1.80 255.255.255.240 192.168.1.95
192.168.1.96 255.255.255.240 192.168.1.111
192.168.1.112 255.255.255.240 192.168.1.127
192.168.1.128 255.255.255.240 192.168.1.143
192.168.1.144 255.255.255.240 192.168.1.159
192.168.1.160 255.255.255.240 192.168.1.175

20
 Chapitre 3 Spécification de la solution de sécurité

4.1. Plan d’adressage

En se basant sur la segmentation VLSM proposé, voici un plan d’adressage du réseau

Type Nom Interface Adresse IP Passerelle par défaut 1 Passerelle par défaut 2
Les RBord G0/0 PUBLIQUE N/A N/A
S0/0/0 192.168.1.145 N/A N/A
Routeurs S0/0/1 192.168.1.130 N/A N/A
R1 G0/0 192.168.1.49 N/A N/A
G0/1 192.168.1.99 N/A N/A
S0/1/0 192.168.1.81 N/A N/A
S0/1/1 192.168.1.146 N/A N/A
R2 G0/0 192.168.1.161 N/A N/A
S0/0/0 192.168.1.82 N/A N/A
S0/1 192.168.1.129 N/A N/A
R3 F0/0 192.168.1.33 N/A N/A
F0/1 192.168.1.50 N/A N/A
F1/0 192.168.1.98 N/A N/A
F1/1 192.168.1.7 N/A N/A
R4 F0/0 192.168.1.17 N/A N/A
F0/1 192.168.1.51 N/A N/A
F1/0 192.168.1.100 N/A N/A
F1/1 192.168.1.70 N/A N/A
R5 F0/0 192.168.1.65 N/A N/A
F0/1 192.168.1.113 N/A N/A
F1/0 192.168.1.52 N/A N/A
F1/1 192.168.1.97 N/A N/A
R6 F0/0 192.168.1.18 N/A N/A
F0/1 192.168.1.1 N/A N/A
F1/0 192.168.1.123 N/A N/A
F1/1 192.168.1.40 N/A N/A
Les A1 F0 192.168.1.19 192.168.1.17 192.168.1.18
A2 F0 192.168.1.20 192.168.1.17 192.168.1.18
Machines A3 F0 192.168.1.21 192.168.1.17 192.168.1.18
A4 F0 192.168.1.22 192.168.1.17 192.168.1.18
IMPRIMANTE F0 192.168.1.23 192.168.1.17 192.168.1.18
SC1 F0 192.168.1.66 192.168.1.65 192.168.1.70
SC2 F0 192.168.1.67 192.168.1.65 192.168.1.70
SC3 F0 192.168.1.68 192.168.1.65 192.168.1.70
IMPRIMANTE F0 192.168.1.69 192.168.1.65 192.168.1.70
DMC1 F0 192.168.1.114 192.168.1.113 192.168.1.123
DMC2 F0 192.168.1.115 192.168.1.113 192.168.1.123
DMC3 F0 192.168.1.116 192.168.1.113 192.168.1.123
DDEV1 F0 192.168.1.117 192.168.1.113 192.168.1.123
DDEV2 F0 192.168.1.118 192.168.1.113 192.168.1.123
DDEV3 F0 192.168.1.119 192.168.1.113 192.168.1.123

21
 Chapitre 3 Spécification de la solution de sécurité

DR1 F0 192.168.1.120 192.168.1.113 192.168.1.123

DR2 F0 192.168.1.121 192.168.1.113 192.168.1.123
DR3 F0 192.168.1.122 192.168.1.113 192.168.1.123
Les AUTH F0 192.168.1.5 192.168.1.1 192.168.1.7
FTP F0 192.168.1.3 192.168.1.1 192.168.1.7
serveurs MESS F0 192.168.1.6 192.168.1.1 192.168.1.7
internes DNS F0 192.168.1.2 192.168.1.1 192.168.1.7
Les HTTP F0 192.168.1.34 192.168.1.33 192.168.1.40
HTTPS F0 192.168.1.35 192.168.1.33 192.168.1.40
serveurs FTP F0 192.168.1.36 192.168.1.33 192.168.1.40
Externes HTTP F0 192.168.1.37 192.168.1.33 192.168.1.40
HTTPS F0 192.168.1.36 192.168.1.33 192.168.1.40
FTP F0 168.168.1.39 192.168.1.33 192.168.1.40

5. Identification des ressources

Suite à la présence de plusieurs ressources qu’on peut utiliser dans nos réseaux informatiques,
le choix reste toujours selon le besoin puisque chaque ressource valable dans le marché présente
des avantages et des inconvénients.

5.1. Choix des routeurs

Dans ce sous-titre, le choix des routeurs sera dans le cas du Simulateur puisque les
équipements offerts dans le simulateur sont les même dans le cas réel. On trouve dans le simulateur
les routeurs Cisco 1841, 1941, 2620XM, 2811, 2901, 2911 qui offres plusieurs fonctionnalités selon
le modèle. Il sera nécessaire d’ajouter des modules qui possèdes des interfaces qui nous assure des
services bien déterminé selon le besoin il y a deux types de modules qu’on peut ajouter. NM,
HWIC et WIC selon l’extension physique disponible dans le routeur.

Pour le choix des routeurs on s’intéressera à travailler sur les routeurs Cisco 1941, et 2811.

5.1.1. Cisco 1941

Ce routeur admet deux interfaces Gigabit-ethernet qui possède un débit très haut. Au niveau
des modules qu’on peut ajouter, le routeur Cisco 1841 possède un choix plus important que celui-
ci. Il possède une base de données des VLAN. J’ai utilisé 3 routeur utilisé dans la partie d’accès à
internet.

Figure 8: Cisco 1941

22
Chapitre 3 Spécification de la solution de sécurité

5.1.2. Cisco 2811

C’est le routeur le plus sophistiqué utilisé dans le réseau en termes de modules qu’on peut
ajouter. Mais les interfaces qui existent sont des interfaces Fast-Ethernet.

La plupart des routeurs utilisé dans ce Réseau sont les routeurs Cisco 2811 puisqu’on peut
ajouter des interfaces Fast-Ethernet afin de connecter plus de commutateurs dans ce réseau.

Figure 9:Redondance des interfaces

5.2. Choix des commutateurs

Les commutateurs disponibles dans le logiciel sont Cisco 2950-24, Cisco 2950T-24, Cisco
2960-24TT et Cisco 3560-24PS. Pour ce travail j’ai choisi les commutateurs suivants : Cisco 2950T-
24,

5.2.1. Cisco 2950T-24

C’est un commutateur qui possède 24 interfaces Fast-Ethernet et 2 interfaces Gigabit-
Ethernet. Il n’y pas une extension au niveau des switch mais c’est l’équipement principale qui
possède une base de données pour les VLANs.

5.3. Choix du Firewall

C’est un composant qui bloque ou laisse passer le trafic selon une politique de sécurité bien
définit. On s’intéressera à avoir une connaissance sur les pares-feux payants et Open source.

5.3.1. Les pares-feux payants

Les pare feu les plus utilisés sont :

• Barracuda NextGen Firewall

• Cisco ASA
• Fortinet FortiGate

23
Chapitre 3 Spécification de la solution de sécurité

5.3.2. Les pares-feux open source

pfSense
Une solution de sécurité open source avec un noyau personnalisé basé sur le système
d'exploitation FreeBSD.

pfSense support la technique du « Load Balancing » qui consiste à activer le deuxième Firewall
après un tôt de balance pour ne pas avoir un déni de service.

5.4. Choix du système d’exploitation

5.4.1. Serveurs
La présence des systèmes d’exploitation pour les serveurs est énorme avec les distributions de
Windows et Linux. La présence de plusieurs systèmes d’exploitation pour le serveur ne présente
pas un problème puisqu’il y a une compatibilité dans ce niveau. En prenant en considération que
les serveurs Linux présente un cœur plus robuste et fiable que le serveur windows, j’ai choisi de
faire une diversification.

Pour les services DNS, AD DS et DHCP, le choix étais le Windows Server 2012 R2. La
résolution DNS dans un serveur Windows se fait en se basant sur l’AD DS. Pour ne pas gaspiller
les ressources, on peut implémenter 3 services dans un seul serveur surtout que les demandes des
clients ne sont pas importantes.

Pour le serveur FTP, il vaut mieux choisir un système d’exploitation Ubuntu Server 18.04
puisque c’est la dernière version de la distribution Ubuntu. Les fichiers confidentiels de l’entreprise
doivent être bien sécurisé en utilisant un système d’exploitation qui possède un cœur bien robuste.

5.4.2. Postes de travail

Les postes de travail du personnelles de l’entreprise varient selon les besoins. L’administrateur
réseau a besoin d’avoir un Système d’exploitation dédié au piratage éthique. On trouve les systèmes
d’exploitation Kali Linux, Parrot, Back Box qui utilisent des outils bien déterminés dédié au
piratage.

6. Mise en place des équipements

C’est la partie la plus intéressante au niveau pratique puisqu’elle nous permet de manipuler
encore mieux les serveurs et les Firewalls.

6.1. Installation du Serveur FTP

Le choix du serveur FTP est un serveur Ubuntu. Ubuntu nous offre l’installation d’un service
VSFTPD c’est un service FTP sécurisé qui comporte un chiffrement SSL.

24
Chapitre 3 Spécification de la solution de sécurité

Figure 10: Installation de Ubuntu Server

Le serveur FTP a été configuré par le protocole SSH pour une connexion à distance entre
l’administrateur et le serveur interne.

Figure 11: Confirmation de la Clé SSH

6.2. Installation de pfSense

Dans cette partie, nous allons avoir une idée sur l’installation de pfSense. L’installation de
pfSense n’est pas compliquée. C’est comme l’installation des autres Machines virtuelles. Après
avoir télécharger le fichier du pare feu sous format ISO, il faut insérer ce fichier Dans la

25
Chapitre 3 Spécification de la solution de sécurité

configuration système de la machine créer pour avoir cette interface. Puis, il faut retirer ce fichier
pour passer à la configuration.

Figure 12: Installation de pfSense

7. Configuration des équipements

7.1. Configuration des Routeurs
La configuration d’un routeur nécessite la configuration des paramètres par défaut comme le
nom de l’hôte, l’attribution des adresses IP pour les interfaces du réseau et le masque de ces
interfaces.

Figure 13: Configuration d'un Router

7.1.1. Configuration des mots de passes

Pour l’attribution des mots de passes, j’ai utilisé la forme que j’ai élaboré récemment.

Figure 14: Configuration d'un Mot de passe

Une étape très importante pour les mots de passes, c’est l’activation du chiffrement des mots
de passes de configurations par la première commande.

26
Chapitre 3 Spécification de la solution de sécurité

La deuxième ligne de commande nous permet de se méfier contre les attaques brute force pour
connaitre le mot de passe du routeur R4. Cette commande bloque le CLI du routeur pour 180
secondes après 2 tentatives incorrectes.

7.1.2. Configuration du routage

Pour le routage au sein du réseau, j’ai choisi d’utiliser le routage OSPF suite à des difficultés
que j’ai rencontré en travaillant sur le routage Statique et RIP.

Le routage OSPF est un routage dont la configuration est simple. Il s’agit de définir pour le
routeur les sous réseaux qui appartiennent à chaque interface. Dans notre cas, le Routeur R5
possèdes les sous réseaux suivants : 192.168.1.64/28, 192.168.1.80/28, 192.168.1.96/28,
192.168.1.112/28. La commande contient aussi le masque inversé du sous réseau
«Wildcard Mask » . Il nous permet de connaitre le nombre d’adresses réservé pour ce sous réseau.
Ainsi, ce protocole de routage envoie des messages de contrôle à tous les routeurs adjacents afin
de vérifier les liens entre les routeurs. Ce processus assure le contrôle des liens de connexion du
réseau. C'est-à-dire, si un lien est interrompu, le deuxième lien sera disponible.

Figure 15: Configuration du Routage OSPF

On remarque la présence d’un message qui nous informe que la configuration OSPF est bien
établit. Le problème que ce message apparait sauf après la configuration de plusieurs routeurs. La
commande SHOW IP ROUTE nous permet de vérifier si la configuration est bien établie ou non.
On remarque la présence de 11 sous réseau dans la table de routage du routeur 5.

Figure 16: Table de Routage

7.1.3. Test du Routage

Pour tester le routage, on peut utiliser la commande de contrôle PING assuré par le protocole
de communication ICMP, à des différentes machines du réseau.

27
Chapitre 3 Spécification de la solution de sécurité

Test de ping de la machine DR3

du département réseau, qui admet
l’adresse IP 192.168.1.122 au
serveur de messagerie interne qui
admet l’adresse IP 192.168.1.3

Test de ping de la machine DMC

2 du département Marketing et
Communication qui admet
l’adresse IP 192.168.1.115 à
l’interface interne du routeur R3
qui admet l’adresse IP 192.168.33

Test de ping de la machine SC 3

du service de coordination qui
admet l’adresse IP 192.168.1.68 à
l’interface externe du routeur R1
qui admet l’adresse IP
192.168.1.99.

7.1.4. Configuration des ACL

Pour des mesures de sécurité, et comme annoncé dans les règles de la politique de sécurité,
les communications du sous réseau 192.168.1.112/28 au sous réseau 192.168.1.11/28 et du réseau
192.168.1.64/28 au sous réseau 192.168.1.112/28 sont interdites. Pour ce faire, j’ai configuré 2
listes d’accès étendu au niveau du routeur R5. Une nommé ACL5E1 pour le trafic venant du sous
réseau 192.168.1.16/28 et l’autre nommé ACL5E pour le trafic venant du sous réseau
192.168.1.64/28 pour le trafic venant du sous réseau 192.168.1.64/28. L’astuce est d’appliquer ces
règles dans l’interface Faste Ethernet 0/1 qui possède l’adresse IP 192.168.1.113.

Voici la configuration de la première liste d’accès ACL5E

Figure 17: Configuration d'une ACL

Voici la configuration de la deuxième liste d’accès ACL5E1

28
Chapitre 3 Spécification de la solution de sécurité

Figure 18: Configuration d'une ACL 2

J’ai choisi de faire la configuration dans ce routeur et non pas dans le routeur R4 qui possède
la passerelle par défaut du réseau 192.168.1.16/28 pour que les machines du réseau
192.168.1.112/28 peuvent envoyer des requetés et recevoir des réponses au serveurs internes.

Pour tester les listes d’accès, on envoie un ping de la machine SC3 qui possède l’adresse IP
192.168.1.68 vers la machine DR3 qui possède l’adresse IP 192.168.1.122

Figure 19: Test de l'ACL 1

Un message d’erreur vient de la passerelle par défaut du sous réseau 192.168.1.64/28. Si on

test une requête ping vers le sens contraire, c'est-à-dire de la machine DR3 vers la machine SC3,
on remarque que le message d’erreur est différé.

Figure 20: Test de l'ACL 2

Et finalement la partie la plus délicate est au niveau de la communication des utilisateurs avec
les serveurs internes. Si on envoie une requête ping de la machine SC3 vers le serveur
d’authentification interne qui possède l’adresse IP 192.168.1.5, la communication est établie.

Figure 21: Test de l'ACL 3

29
Chapitre 3 Spécification de la solution de sécurité

Si on teste une requête ping d’une machine du réseau 192.168.1.122/28 vers le serveur FTP
interne qui possède l’adresse IP 192.168.1.3, la communication est parfaitement établie.

Figure 22: Test de l'ACL4

7.1.5. Configuration du PAT

La configuration du PAT pour les routeurs Cisco nécessite la configuration de nouvelles listes
d’accès qui assure la permission du trafic du sous réseau appartenant au routeur qui sera configuré
par ce mécanisme.

La première étape est de définir les interfaces du réseau interne et les interfaces des réseau
externes. Pour le routeur R5, nous avons deux interfaces internes la première est fast-Ethernet 0/1
et la deuxième est fast-Ethernet 0/0.

L’étape suivante est de définir une liste d’accès ce qui nous permet de configurer le PAT (
NAT OVERLOAD). Chaque réseau interne est attribué à une ACL bien déterminé.

Figure 23: Configuration du PAT

30
Chapitre 3 Spécification de la solution de sécurité

7.1.6. Configuration du SSH

La configuration du SSH est basé sur le cryptage RSA du Traffic de connexion à distance.
Pour cette configuration, il faut identifier le nom du domaine, le nombre de bits pour le cryptage
RSA et le nombre de connexion simultané de la ligne VTY.

Figure 24: Configuration SSH

Pour le nom de domaine j’ai choisi le même nom d’hôte du routeur, le cryptage RSA sur 1024
bits sera intéressant pour générer plus de clés et pour qu’un attaquant ne devine pas les clés
facilement. Et finalement, j’ai activé la connexion en SSH dans l’interface VTY.

7.2. Configuration des commutateurs

La configuration des commutateurs consiste à attribuer une adresse IP pour les connexions à
distance en utilisant le service SSH, et la gestion des VLAN dans ces commutateurs j’ai choisi de
configurer un seul commutateur par le VLAN.

La configuration du VLAN se fait en attribuant à chaque port, l’identifiant du VLAN choisit.

J’ai choisi l’identifiant 56 pour le VLAN du département marketing et communication, l’identifiant
561 pour le VLAN du département de développement et finalement l’identifiant 562 pour le
VLAN du département Réseau.

Figure 25: Configuration d'un VLAN

31
Chapitre 3 Spécification de la solution de sécurité

Figure 26: Application d'un VLAN

Pour tester les VLANs ont été bien configuré ou non, on peut utiliser la commande de
contrôle ping à des différentes machines du réseau sous réseau 192.168.1.112/28.

Test de ping de la machine DMC3, qui

admet l’adresse IP 192.168.1.116 à la
machine DR3 qui possède l’adresse IP
192.168.1.122.

Test de ping de la machine DMC3, qui

admet l’adresse IP 192.168.1.116 à la
machine DDEV 2 qui possède l’adresse
IP 192.168.1.118.

➔ le sous réseau est protégé contre les attaques internes.

Le problème de la configuration des VLAN est au niveau du VLAN par défaut qui porte
l’identifiant 1. Le commutateur est relié au 3 département et à l’interface faste-Ethernet 0/1 du
routeur R5. Puisqu’il existe maintenant 4 VLANs, les machines du sous réseau ne peuvent pas
envoyer des requêtes ping à cette interface.

Après toute ces configurations qui comporte la configuration des ACL le PAT et les VLANs,
nous avons bien assuré la protection du système d’informations contre les menaces internes.

7.3. Configuration de pfSense

La configuration principale de pfSense se fait au niveau de la machine virtuelle. Le parametre
principale qui doit etre configuré est l’interface LAN. Cette interface doit posseder une adresse IP
privée avec le réseau interne. Pour cet exemple, j’ai choisit l’adresse IP 192.168.1.253.

Remarque : L’adresse IP attribué au pare feu est une adresse IP qui appartient au résau
domestique et non pas une adresse IP du réseau du packet tracer.

32
Chapitre 3 Spécification de la solution de sécurité

Figure 27: Configuration de pfSense

Après avoir atribuer une adresse IP privée à l’interface LAN du parefeu, on peut continer la
configuration en utilisant une interface graphique plus souple en tappant l’adresse IP attribué.

Figure 28: Authentification de pfSense

Cette étape nécessite une authentification pour avoir l’interface graphique du firewall. pfSense
offre la possibilité d’implémenter des VPN des IDS/IPS et beaucoup d’autre fonctionnalités.

Figure 29: Interface graphique de pfSense

33
Chapitre 3 Spécification de la solution de sécurité

7.4. Installation et configuration des Services Windows

L’installation et la configuration des service sous windows est purement en utilisant l’interface
graphique, pour le serveur Windows 2012 R2, j’ai choisi d’installer les services DNS, AD DS,
DHCP.

Figure 30: Installation des Services sur Windows Server

Après l’installation de ces services, il faut les configurer en utilisant le gestionnaire de serveur
Windows. Sur le plan réel, le service DHCP ne nécessite pas une configuration ainsi que le service
AD DS, Mais le service DNS faut le configurer. La configuration de ce service nécessite
principalement l’attribution d’un nom de domaine racine dans notre cas j’ai choisi google.com
pour le nom de domaine racine, le nom de domaine de la NetBIOS, et l’emplacement de la base
de données AD DS.

Les services de domaine Active Directory stockent des informations sur les utilisateurs, les
ordinateurs, et d’autres périphériques sur le réseau. Ils permettent aux administrateurs de gérer en
toute sécurité ces informations et facilitent le partage des ressources et la collaboration entre les
utilisateurs. Les services AD DS doivent aussi être installés sur le réseau afin d’installer des
applications compatibles avec l’annuaire, telles que Microsoft Exchange Server, et d’autres
technologies Windows Server, telle que la stratégie de groupe. Lors de l’installation du rôle sur un
serveur primaire nous devons y créer une forêt, ce foret est la base de ce service en étant l’hôte du
domaine et regroupant toutes les informations de celui-ci. [11]

34
Chapitre 3 Spécification de la solution de sécurité

Voici une vue globale sur les étapes de la configuration du service DNS.

Figure 31: Configuration du DNS

7.5. Configuration du Serveur FTP

Le Service VSFTPD est créé en 2000, est un serveur FTP qui mise beaucoup sur la sécurité
développée par Chris Evans. Il est l'un des premiers logiciels serveurs à mettre en œuvre la
séparation des privilèges, minimisant ainsi les risques de piratage.

Ce service a pas mal de fonctionnalité il assure une configuration accessible, il utilise la

virtualisation des adresses IP, il supporte l’IPV6 ainsi qu’il supporte le chiffrement à travers le SSL.

La configuration du service VSFTPD se fait à partir du fichier de configuration de ce service.

Ce fichier contient beaucoup de fonctionnalités. Ce fichier est de type Script Shell [12]

La configuration basique doit contenir les paramètres suivants

chroot_local_user=YES

chroot_list_enable=NO

chroot_list_file=/etc/vsftpd.chroot_list

35
Chapitre 3 Spécification de la solution de sécurité

chroot_list_file=/etc/vsftpd.chroot_list

Figure 32: Fichier de Configuration du service VSFTPD

Conclusion
Ce chapitre étais le chapitre le plus intéressant au niveau pratique puisqu’il portait les
configurations nécessaires des équipements, c’est le chapitre qui a touché les interfaces des
équipements et la configuration des mécanismes mis en place.

36
 Conclusion Générale
Dans ce rapport nous avons eu une idée sur le cadre général du stage, qui a porté une
présentation de l’organisme d’accueil, une présentation sur les objectifs du stage, savoir
l’environnement dont j’ai travaillé sur et finalement une présentation du projet que j’ai élaboré.

Dans le deuxième chapitre, nous avons vu une idée sur les différents composants d’un système
d’informations telle que les équipements du réseau, les protocoles utilisés pour la communication
interne, nous nous avons familiariser avec les différents risques qui touchent les systèmes
d’informations en général.

C’était la première fois que j’ai touché la configuration et l’installation des serveurs Ubuntu et
Windows, ainsi que l’installation du Firewall. De plus, je me suis familiarisé avec les configurations
des équipements du réseau dans un environnement virtuel. L’adressage du réseau étais une
expérience enrichissante aussi.

37
 Références
[1] Virtualisation. (2019, 09 20). Récupéré sur Redhat:
www.redhat.com/fr/topics/virtualization/what-is-virtualization

[2] VirtualBox. (2019, 09 28). Récupéré sur VirtualBox: www.virtualbox.org

[3] Packet Tracer. (2019, 09 23). Récupéré sur Netacad: www.netacad.com/fr/courses/packet-

tracer

[4] Serveur informatique. (2019, 07 12). Récupéré sur Wikipedia:

www.fr.wikipedia.org/wiki/Serveur_informatique

[5] Windows Serveur 2012 - Le Gestionnaire de serveur. (2019, 09 10). Récupéré sur Supinfo:
www.supinfo.com/articles/single/3377-windows-serveur-2012-gestionnaire-serveur

[6] Fonctionnement de DHCP. (2019, 07 15). Récupéré sur Linux France: www.linux-
france.org/prj/edu/archinet/systeme/ch27s03.html

[7] Le protocole HTTP. (2019, 09 25). Récupéré sur Comment ca marche:

www.commentcamarche.net/contents/520-le-protocole-http

[8] Le Protocole Telnet. (2019, 09 24). Récupéré sur Commen ça marche:

www.commentcamarche.net/contents/540-le-protocole-telnet

[9] Madiot, J. (2019, 09 20). Un célèbre hacker livre ses conseils en matiere de sécurité. Récupéré sur
Logitheque:
www.logitheque.com/articles/un_celebre_hacker_livre_ses_conseils_en_matiere_de_sec
urite_3548.htm

[10] ANSSI. (2019, 09 18). Sécurité des Mots de passes. Récupéré sur SSI:
www.ssi.gouv.fr/guide/mot-de-passe/

[11] Active Directory. (2019, 07 11). Récupéré sur Wikipedia:

www.fr.wikipedia.org/wiki/Active_Directory

[12]VSFTPD. (2019, 09 01). Récupéré sur Wikipedia: www.fr.wikipedia.org/wiki/VsFTPd

38