Académique Documents
Professionnel Documents
Culture Documents
Thème
Mise en place d’une architecture réseau VPN sécurisée
pour l’interconnexion des sites distants
Cas d’étude : Entreprise CEVITAL de Béjaia
Promotion 2016-2017
Remerciements
Nous remercions tout d’abords, dieu le tout puissant de nous avoir accordé la force, la
volonté et la connaissance pour accomplir ce travail ;
Nos remerciements vont également à tous les enseignants qui nous ont aidé tout
au long de notre travail pour l’esprit de coopération et la courtoisie dont ils ont fait preuve
à notre égard ;
Comme on remercie toutes les personnes qui ont contribué de près ou de loin à
la réalisation de ce modeste travail.
Dédicace
A mes très chers parents pour m’avoir apporté support et soutien, tant psycholo-
gique que financier, pendant toute la durée de mes études ;
A mon binôme ;
Je ne peux oublier l’ensemble de mes ami(e)s qui m’ont apporté leur soutien ;
AMIMEUR Ghani
Dédicace
A mes chers parents, pour tous leurs sacrifices, leur amour, leur tendresse, leur
soutien et leurs prières tout au long de mes études ;
A toute ma famille pour leur soutien tout au long de mon parcours universitaire ;
HABBACHE Nourdine
Table des matières
i
TABLE DES MATIÈRES
ii
TABLE DES MATIÈRES
iii
Table des figures
iv
TABLE DES FIGURES
v
Liste des abréviations
vi
Liste des abréviation
vii
Introduction générale
L’humanité a longtemps imaginé un monde où nous contrôlons tout, un univers sans
frontières ni limites où tout est possible, c’est de ces besoins qu’est née l’informatique,
cette science qui met en œuvre des ensembles complexes de machines appelées Automates,
Calculateurs, Ordinateurs, et Systèmes informatiques. L’évolution de la technologie
ne s’est pas arrêtée là, en effet un moyen de relier ces équipements informatiques fut
élaboré, c’est ce que nous appellons les réseaux informatiques, leur première apparition
date de 1960, ces derniers permettent le partage d’informations et de données, entre les
équipements reliés entre eux.
Au départ les réseaux informatiques ont été conçus pour l’armée américaine, afin
que cette dernière puisse protéger ses infrastructures informatiques contre d’éventuelles
attaques, mais ces réseaux présentaient l’inconvénient de ne pouvoir couvrir que des
distances géographiquement limitée.
Mais c’est surtout avec l’apparition d’internet que l’informatique a fait un bond en
avant, les réseaux n’étaient plus limités, ils pouvaient enfin communiquer entre eux et ce
indépendamment des distances, internet offre donc un grand éventail de possibilités, qui
sont de plus en plus importantes de jour en jour, avec entre autre des connections haut
débit comme le Câble ou l’ADSL.
Cette croissance s’accompagne naturellement avec l’augmentation du nombre d’utili-
sateurs, connus ou non, ces utilisateurs ne sont pas forcément pleins de bonnes intentions
vis-à-vis de ces réseaux. Ils peuvent exploiter les vulnérabilités des réseaux et systèmes
pour essayer d’accéder à des informations sensibles dans le but éventuellement de les
modifier ou les détruire, pour porter atteinte au bon fonctionnement du système ou encore
tout simplement par curiosité.
Dès lors que ces réseaux sont apparus comme des cibles d’attaques potentielles, leur
sécurisation est devenue un enjeu incontournable pour les différentes institutions, ainsi
l’entreprise CEVITAL ne fait pas exception à cette règle surtout avec sa communauté
(fonctionnaires, responsables, . . .) et ses différents sites qui ne cessent d’augmenter. Cette
sécurisation va garantir la confidentialité, l’intégrité, la disponibilité et la non-répudiation.
Et pour cela de nombreux outils et moyens sont disponibles, tels que les solutions matériels,
logiciels d’audits, les systèmes de détection d’intrusions (IDS), firewalls (pare-feu), les
antivirus, les réseaux privés virtuels (VPN).
Le stage que nous avons effectué au sein de l’entreprise CEVITAL de Bejaia, nous
a permis de découvrir son réseau et de comprendre son fonctionnement. Le but de
1
Introduction générale
notre travail est de leur proposer une architecture sécurisée du réseau et de mettre des
mécanismes de sécurisation des échanges de données. Afin de réaliser les objectifs visés,
nous avons organisé ce travail en quatre chapitres :
Le premier chapitre est consacré aux généralités sur les réseaux, la sécurité informatique
et les dispositifs de sécurité.
Le deuxième chapitre est focalisé sur les réseaux Privés Virtuels : leurs principes
et fonctionnement, ses différents types et les différents protocoles utilisés pour sa réalisation.
Le quatrième chapitre est consacré pour la mise en œuvre des VPNs, cette phase est
décomposée en deux parties, dans la première nous introduirons les outils et logiciels ayant
servi à l’élaboration du projet, ensuite présentation de l’architecture proposé, tout en
expliquant les configurations des différents sites, nous nous passerons enfin à la deuxième
partie qui sera principalement consacrée à la création de VPN site à site.
Enfin, nous terminerons par une conclusion générale résumant les éléments essentiels
qui ont été abordés dans ce mémoire ainsi que l’expérience acquise durant ce projet.
2
Chapitre 1
1.1 Introduction
La sécurité des réseaux informatiques est un sujet essentiel qui favorise le développement
des échanges d’information dans tous les domaines. L’expansion et l’importance grandis-
sante des réseaux informatiques ont engendré le problème de sécurité des systèmes de
communication. Dans la plupart des organisations informatisées, partager les données di-
rectement entre machines est un souci majeur. Il s’avère indispensable de renforcer les
mesures de sécurités, dans le but de maintenir la confidentialité, l’intégrité et le contrôle
d’accès au réseau pour réduire les risques d’attaques.
3
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
4
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
B. Intranet
Un intranet est un ensemble de services internet (par exemple un serveur web) in-
ternes à un réseau local, c’est-à-dire accessibles uniquement à partir des postes d’un réseau
local, ou bien d’un ensemble de réseaux bien définis, et invisibles (ou inaccessibles) de
l’extérieur. Il consiste à utiliser les standards client-serveur de l’internet (en utilisant les
protocoles TCP/IP), comme par exemple l’utilisation de navigateurs internet (client basé
sur le protocole HTTP) et des serveurs web (protocole HTTP), pour réaliser un système
d’information interne à une organisation ou une entreprise.
C. Extranet
Un extranet est une extension du système d’information de l’entreprise à des partenaires
situés au-delà du réseau. L’accès à l’extranet doit être sécurisé dans la mesure où cela offre
un accès au système d’information à des personnes situées en dehors de l’entreprise. Il
peut s’agir soit d’une authentification simple (authentification par nom d’utilisateur et
mot de passe) ou d’une authentification forte (authentification à l’aide d’un certificat).
Il est conseillé d’utiliser HTTPS pour toutes les pages web consultées depuis l’extérieur
afin de sécuriser le transport des requêtes et des réponses HTTP et d’éviter notamment la
circulation du mot de passe en clair sur le réseau .Un extranet n’est donc ni un intranet,
ni un site internet. Il s’agit d’un système supplémentaire offrant par exemple aux clients
d’une entreprise, à ses partenaires ou à des filiales, un accès privilégié à certaines ressources
informatiques de l’entreprise par l’intermédiaire d’une interface Web.
5
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
• Le concentrateur (Hub)
Le concentrateur appelé hub en anglais est un équipement physique à plusieurs ports.
Il sert à relier plusieurs ordinateurs entre eux. Son rôle c’est de prendre les données reçues
sur un port et les diffuser bêtement sur l’ensemble des ports.
• Le répéteur (Repeater)
Le répéteur appelé repeater en anglais, est un équipement qui sert à régénérer le signal
entre deux nœuds pour le but d’étendre la distance du réseau. Il est à noter qu’on peut
utiliser un répéteur pour relier deux supports de transmission de type différents.
• Le pont (Bridge)
Le pont appelé bridge en anglais est un équipement qui sert à relier deux réseaux
utilisant le même protocole. Quand il reçoit la trame, il est en mesure d’identifier l’émetteur
et le récepteur, comme ça il dirige la trame directement vers la machine destinataire.
• Le commutateur (Switch)
Le commutateur appelé switch en anglais, est un équipement multiport comme le
concentrateur. Il sert à relier plusieurs équipements informatiques entre eux. Sa seule
différence avec le hub, c’est sa capacité de connaı̂tre l’adresse physique des machines qui
lui sont connectés et d’analyser les trames reçues pour les diriger vers la machine de des-
tination.
• La passerelle
La passerelle est un système matériel et logiciel qui sert à relier deux réseaux utilisant
deux protocoles et/ou architectures différents ; comme par exemple un réseau local et in-
ternet. Lorsque un utilisateur distant contact un tel dispositif, celui-ci examine sa requête,
et si celle-ci correspond aux règles que l’administrateur réseaux a défini, la passerelle crée
un pont entre les deux réseaux. Les informations ne sont pas directement transmises, elles
sont plutôt traduites pour assurer la transmission tout en respectant les deux protocoles.
• Le routeur
Le routeur est un matériel de communication de réseau informatique qui a pour rôle
d’assurer l’acheminement des paquets, le filtrage et le contrôle du trafic. Le terme router
signifie emprunter une route. Le routage est la fonction qui consiste à trouver le chemin
optimal que va emprunter le message depuis l’émetteur vers le récepteur.
• Pont routeur ou B-routeur
Le B-routeur se comporte à la fois comme un pont et un routeur. Si le protocole n’est
pas routable, le B-routeur est capable de se replier vers un niveau inférieur et se comporter
comme un pont. Dans le cas contraire, le B-routeur joue le rôle d’un routeur.
6
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
7
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
8
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
A. La confidentialité
La confidentialité est le fait de s’assurer qu’une information est accessible uniquement
par les entités qui ont le droit d’accéder à celle-ci. C’est-à-dire Une information qui n’est
ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.
B. L’authentification
Permet de s’assurer que seules les entités autorisées ont accès au système.
C. Intégrité
C’est garantir que la donnée est restée intègre (non altérée) depuis sa création.
D. La Disponibilité
La disponibilité est le fait de s’assurer que l’information soit toujours disponible peu
importe le moment choisit. (Permettant de maintenir le bon fonctionnement du système
d’information).
E. Non répudiation
L’élément de la preuve de non-répudiation doit permettre l’identification de celui qu’il
représente c’est-à-dire une entité ne peut nier son implication dans une action à laquelle
elle a participé.
9
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
B. Menaces
Ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité et qui posent un danger sur l’intégrité, la confidentialité et la disponibilité
d’un patrimoine. Il existe deux types de menaces, les menaces accidentelles (exposition) et
les menaces intentionnelle (attaques).
C. Risque
Le risque désigne la probabilité d’un évènement préjudiciable, ainsi que les couts qui
s’ensuivent. Le risque dépend également du montant des valeurs à protéger.
D. Intrusion (Hacking)
Accès par effraction à un système informatique, en vue d’en modifier ou d’en subtiliser
des informations. Le hacking décrit l’intrusion non autorisée dans le système informatique
d’une entreprise. Il consiste souvent a utiliser des programmes ciblé (cheval de trois, espio-
giciels).
10
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
11
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
B. Proxy
Un serveur proxy, appelé également serveur mandataire en français, est une machine
faisant l’intermédiaire entre un réseau local (LAN) et internet. Généralement utilisé pour
relayer les requêtes HTTP, il peut aussi servir à d’autres protocoles tels que FTP, SOCKS,
Gopher, streaming, etc [9].
12
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
13
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
1.3.6 Cryptographie
La cryptographie est l’étude des méthodes permettant de transmettre des données de
manière confidentielle, il existe deux catégories de cryptage : le cryptage symétrique et
cryptage asymétrique.
A. La cryptographie Symétrique
La cryptographie à clé secrète, dite aussi chiffrement symétrique, fonctionne selon le
principe suivant :
Les deux parties communicante partage la même clé entre eux, cette clé sert à chiffrer
et à déchiffrer les messages échangés. L’avantage de ce système est sa rapidité d’exécution
car il utilise des opérations simples. Les algorithmes développés pour réaliser les opérations
de chiffrement Symétrique sont DES, 3DES et AES.
B. La cryptographie Asymétrique
La cryptographie asymétrique, dite aussi à clé publique, ce système de cryptage utilise
un couple de clés, une est privé qui est gardée confidentielle par l’utilisateur et la deuxième
publique accessible par tout le monde. Chaque clé a une relation logique avec la clé duale de
telle manière qu’un message chiffré avec une clé publique ne puisse être déchiffre qu’avec
la clé privée correspondante. Ce système présente l’avantage de permettre la signature
numérique des messages et ainsi permette l’authentification de l’émetteur. Les algorithmes
les plus fréquemment employée dans ce système sont DSA, RSA et DH.
C. Fonction de hachage
Il s’agit de la troisième grande famille d’algorithmes utilisés en cryptographie. Le prin-
cipe est qu’un message clair de longueur quelconque doit être transformé en un message de
longueur fixe inférieure à celle de départ. Le message réduit portera le nom de ”Haché” ou
de ”Condensé”. L’intérêt est d’utiliser ce condensé comme empreinte digitale du message
original afin que ce dernier soit identifié de manière univoque. Deux caractéristiques im-
portantes sont les suivantes les fonctions unidirectionnelles et les fonctions sans collisions.
D. Signature numériquement
Une signature numérique est une empreinte chiffrée par la clé privée de l’auteur, la
signature est un procédé permettant de garantir l’authenticité de l’expéditeur ainsi que la
14
Chapitre 1 Généralité sur les réseaux et la sécurité informatique
1.4 Conclusion
Dans ce chapitre, nous avons défini les notions fondamentaux dans les réseaux infor-
matiques et les stratégies de sécurité à prendre pour remédier aux attaques. Le prochain
chapitre sera consacré aux VPNs (Virtuel Privat Network).
15
Chapitre 2
2.1 Introduction
Le VPN est avant tout une réponse à un besoin actuellement de plus en plus présent.
En effet, toutes entreprises composées d’au moins deux bâtiments distants ont besoins de
pouvoir communiquer entre eux pour les besoins d’un système d’information. De plus, les
VPN permettent de connecter ponctuellement un utilisateur distant ayant une connexion
internet aux services de son entreprise (mails, transfert de fichiers, ...).
Dans ce chapitre nous présenterons les principales caractéristiques des VPN, quelques
définitions et principes de fonctionnement, les différentes typologies ainsi que les détails
sur le protocole IPsec.
16
Chapitre 2 Les réseaux privés virtuels
du tunnel. Ainsi, les utilisateurs ont l’impression de se connecter directement sur le réseau
de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié
l’émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en
empruntant ce chemin virtuel. Afin d’assurer un accès aisé et peu coûteux aux intranets
ou aux extranets d’entreprise, les réseaux privés virtuels d’accès simulent un réseau privé,
alors qu’ils utilisent en réalité une infrastructure d’accès partagée comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent
d’IP. Dans ce cas, le protocole de tunneling encapsule les données en ajoutant un en-
tête. Le tunneling est l’ensemble des processus d’encapsulation, de transmission et de
désencapsulation[12].
A. VPN d’entreprise
Suivant le besoin, dans cette catégorie nous pouvons distinguer trois types standards
d’utilisation des VPNs [13].
17
Chapitre 2 Les réseaux privés virtuels
• L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l’entreprise.
• L’utilisateur demande au fournisseur d’accès de lui établir une connexion cryptée
vers le serveur distant : il communique avec le NAS (Network Access Server) du
fournisseur d’accès et c’est le NAS qui établit la connexion cryptée.
18
Chapitre 2 Les réseaux privés virtuels
B. VPN Operateur
VPN operateur, c’est à dire un opérateur spécialisé dans les offres VPN. Il as-
sure la sécurité du réseau et sa performance. Il peut aussi ajouter des services comme
l’hébergement de serveurs, la téléphonie ou encore le cloud computing. Cette technolo-
gie facilite la transmission des données sans entraı̂ner d’encombrements, Les offres d’un
opérateur VPN sont donc ciblées et permettent de mettre en place un réseau privatif, de
connecter des entreprises entre elles et même de créer un réseau entre ses filiales et ses
collaborateurs.
Ce réseau tient plus d’un réseau de tunnels que d’un véritable réseau VPN mais il
est assez courant de parler quand même d’un VPN operateur, car il est difficile, sans la
19
Chapitre 2 Les réseaux privés virtuels
20
Chapitre 2 Les réseaux privés virtuels
21
Chapitre 2 Les réseaux privés virtuels
22
Chapitre 2 Les réseaux privés virtuels
IPSec permet de s’assurer que chaque paquet a bien été envoyé par l’hôte et qu’il a
bien été reçu par le destinataire souhaité.
• Intégrité des données échangées
IPSec permet de vérifier qu’aucune donnée n’a été altérée lors du trajet.
• Protection contre les écoutes et analyses de trafic
Le mode tunneling permet de chiffrer les adresses IP réelles et les en-têtes des paquets
IP de l’émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes
les attaques de ceux qui voudraient intercepter des trames afin d’en récupérer leur
contenu.
• Protection contre le rejet
IPSec intègre la possibilité d’empêcher un pirate d’intercepter un paquet afin de le
renvoyer à nouveau dans le but d’acquérir les mêmes droits que l’envoyeur d’origine.
23
Chapitre 2 Les réseaux privés virtuels
24
Chapitre 2 Les réseaux privés virtuels
25
Chapitre 2 Les réseaux privés virtuels
Le mode tunnel possède comme grand intérêt de pouvoir créer des tunnels sécurisés.
Deux machines ou passerelles de deux réseaux voulant sécuriser leurs communications qui
passent par une zone non protégée, vont créer un tunnel IPsec entre ces deux passerelles.
Toute communication d’une machine d’un réseau vers l’autre sera encapsulée dans un
nouvel en-tête IP.
Une personne écoutant la communication ne verrait que des paquets allant d’une pas-
serelle à l’autre sans pouvoir déchiffrer le contenu de ces paquets. Ce mode correspond à
l’utilisation d’un réseau privé virtuel ou VPN (Virtual Private Network)[17].
26
Chapitre 2 Les réseaux privés virtuels
27
Chapitre 2 Les réseaux privés virtuels
2.4 Conclusion
A travers ce chapitre, nous avons effectué une présentation des réseaux privés virtuels
(VPNs) ainsi que les protocoles utilisés pour les réaliser, et particulièrement la solution
que présente IPSec qui est un standard sur le marché . Mais également que le terme VPN
ne se référençait pas qu’à la solution IPSec mais il est avant tout un concept et ne précise
rien concernant ses moyens.
28
Chapitre 3
3.1 Introduction
Dans ce chapitre nous allons présenter l’entreprise dans laquelle nous avons effectué
notre stage pour la réalisation de notre projet de fin de cycle, ensuite nous ferons le point
sur les problèmes rencontres et la solution proposé.
29
Chapitre 3 Présentation de l’organisme d’accueil
l’Ouest. Elle compte parmi ses clients de grandes marques mondiales d’agro-business, tel
que : Coca Cola, Kraft Food, Danone...
Cevital est le plus grand complexe privé en Algérie et le leader en Afrique et dans le bas-
sin méditerranéen dans l’industrie du sucre et l’huile végétale, Sa Situation géographique
à l’arrière port de Béjaia à 200 ML du quai :Ce terrain à l’origine marécageux et incons-
tructible a été récupéré en partie d’une décharge publique[20].
30
Chapitre 3 Présentation de l’organisme d’accueil
31
Chapitre 3 Présentation de l’organisme d’accueil
• D’expédier et transférer vers les différents utilisateurs de ces produit dont l’alimen-
tation de raffinerie de sucre et les futures unités de trituration.
• De faire également l’entretien et maintien en état de services les installations des
unités silos.
32
Chapitre 3 Présentation de l’organisme d’accueil
33
Chapitre 3 Présentation de l’organisme d’accueil
34
Chapitre 3 Présentation de l’organisme d’accueil
relay. L’intérêt majeur de ce travail est de découvrir les différents aspects de la sécurité sur
la transmission des données dans un réseau, à savoir, les réseaux privé virtuel (VPN).
3.5.1 Problématique
De nombreuses difficultés de communication et de diffusion de l’information sont ren-
contrées lors de l’utilisation des liaisons satellitaires VSAT parmi lesquelles :
• Problème de coût : quatre-vingt millions par mois, 960 millions par ans.
• Problème de lenteur : les utilisateurs des autres sites accèdent aux serveurs de site
central (serveur de messagerie, serveurs de stockage et serveur sage pour la factura-
tion).
• Si l’élément central hub tombe en panne empêche la communication entre les différant
sites.
D’où la nécessité d’une intervention faisant appel aux moyens de sécurité informatique,
car lors d’échange des données entre ses différents sites, ces données transitent par le réseau
privé (opérateur), ce qui les rendent possible d’être interceptées et rend la communication
vulnérable.
3.6 Conclusion
Au terme de ce troisième chapitre consacré à la présentation de l’organisme d’accueil
et ses différents sites, l’analyse de l’existant, critique de l’existant et proposition d’une
solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et
sécurisée. Le chapitre suivant, quant à lui, sera consacré à la mise en œuvre de la solution
proposée.
35
Chapitre 4
4.1 Introduction
La mise en œuvre des VPNs est l’une des solutions à laquelle nous avons abouti suite
à notre étude faite dans le chapitre précèdent.
Dans ce chapitre, nous décrirons les outils utilisés, présenterions l’architecture permet-
tant de relier les différents sites de l’entreprise ainsi que les principales étapes de configu-
ration pour mettre en œuvre un VPN site à site.
36
Chapitre 4 Mise en œuvre des VPNs
• Virtualbox
Qui va nous permettre de créer et lancer ces machines virtuelles
• Wireschark
Wireschark est un logiciel pour analyser les trames.
4.2.2 Wireshark
Wireshark est l’analyseur réseau le plus populaire du monde. Cet outil extrêmement
puissant fournit des informations sur des protocoles réseaux et applicatifs à partir de
données capturées sur un réseau. Il permet à l’utilisateur de visualiser une liste de pa-
quets capturés, analyser des données sur chaque paquet. Les données contenues dans ce
paquet au format hexadécimal. Il a intégré des fonctionnalités de codage couleur qui aident
37
Chapitre 4 Mise en œuvre des VPNs
l’utilisateur à identifier notamment les types de trafic réseau, tels que DNS en bleu et en
vert HTTP. Son interface graphique est représentée dans la figure 4.2 .
Comme un grand nombre de programmes, Wireshark utilise la librairie réseau pcap
pour capturer les paquets.
La force de Wireshark vient de :
• Sa facilité d’installation.
• sa simplicité d’utilisation de son interface graphique.
• son très grand nombre de fonctionnalités.
4.2.3 VMWARE
Permet la création d’une ou plusieurs machines virtuelles, au sein d’un même système
d’exploitation (généralement Windows ou Linux), ceux-ci pouvant être reliés au réseau
38
Chapitre 4 Mise en œuvre des VPNs
local avec une adresse IP différente, tout en étant sur la même machine physique (machine
existante réellement). Il est possible de faire fonctionner plusieurs machines virtuelles en
même temps[22]. La figure suivante représente l’interface de la VMWare workstation 11.
39
Chapitre 4 Mise en œuvre des VPNs
La nouvelle architecture proposée dispose de quatre sites (voir figure 4.4), notre topo-
logie illustre leurs interconnexions via un tunnel VPN. Pour cela, il faudrait définir une
clef partagée, une association de sécurité, une fonction de hachage.
Ainsi, cette solution permettra au site central CEVITAL Bejaia d’échanger des données
avec les autres sites de CEVITAL (Lala Khedidja, Cojeck Elkseur, Elkhroub) en passant
par un protocole de liaison Frame Relay d’une façon sécurisée, en utilisant le tunnel VPN.
Le site central se connecte a chaque site avec la même clé partagé, le type de hachage, la
taille de police, la longueur des clés, la durée de vie de clé avant renégociation, la méthode
de cryptage des données, la durée de vie de la clé de cryptage, une ACL permettant
d’identifier le trafic à traiter par le tunnel et enfin la création d’une cryptomap.
40
Chapitre 4 Mise en œuvre des VPNs
editor ensuite une fenêtre s’ouvrira comme le montre la figure 4.5 cliqué sur add network
puis saisir l’adresse IP ensuite coucher host-only et connect a host virtuel adapter To this
network.
Après la configuration des cartes réseaux virtuel, nous allons connecter chaque machine
vers une carte réseau qui lui correspond.
41
Chapitre 4 Mise en œuvre des VPNs
42
Chapitre 4 Mise en œuvre des VPNs
Nous avons utilisé OSPF (Open Shortest Path First) comme protocole de routage pour
plusieurs raisons :
• OSPF est un protocole de routage dynamique conçu à choisir la voie la plus efficace
pour livrer des paquets IP au sein d’un seul réseau, il est utilisé dans l’architecture
du réseau réel.
• OSPF est un protocole conçu pour fonctionner avec les grands réseaux (comme dans
notre cas). Ainsi, il permet de diviser le domaine de routage afin de faciliter sa
gestion.
43
Chapitre 4 Mise en œuvre des VPNs
44
Chapitre 4 Mise en œuvre des VPNs
45
Chapitre 4 Mise en œuvre des VPNs
46
Chapitre 4 Mise en œuvre des VPNs
Figure 4.12 – Résultat d’une requête ICMP de site centrale vers les autres sites.
Pour voir ce qui se passe sur notre architecture pendant la commande ping, nous utili-
sons le logiciel wireshark dans GNS3.
47
Chapitre 4 Mise en œuvre des VPNs
Nous remarquons dans la figure 4.13, que l’affichage des résultats se décompose en trois
parties :
• Le volet 1 Qui permet de recenser l’ensemble des paquets capturés, après un ping,
des échanges de messages entre deux sites grâce au protocole ICMP (Internet Control
Message Protocol).
• Le volet 2
La décomposition exacte de paquet. Cette décomposition permet de visualiser les
champs des entêtes des protocoles ainsi que l’imbrication des différentes couches de
protocoles connus.
• Le volet 3
contient la capture affichée en hexadécimal et en ASCII.
Il faut créer une stratégie ISAKMP et configurer une association d’extrémité incluant
la stratégie ISAKMP. Une stratégie ISAKMP définit les algorithmes d’authentification, de
cryptage et de hachage utilisés pour transmettre le trafic entre les deux extrémités VPN.
48
Chapitre 4 Mise en œuvre des VPNs
La description des commandes utilisées dans la figure 4.15 est présentée ci-dessous :
• Policy : Policy qui définit la politique de connexion pour les SA (Security Associa-
tion) de ISAKMP. Un numéro indiquant la priorité de l’utilisation lui est attribué à
la fin de la commande.
• Encryption : Nous avons utilisé AES comme algorithme de chiffrement.
• Pre-share : Utilisation d’une clé pré-partagée comme méthode d’authentification.
• Sha : L’algorithme de hachage.
• Group 2 : Spécifie l’identifiant Diffie-Hellman pour l’échange de clef.
• Lifetime : Spécifie le temps de validité de la connexion avant une nouvelle
négociation des clefs.
Pour configurer le protocole IPSec nous avons besoin de configurer les éléments sui-
vants :
49
Chapitre 4 Mise en œuvre des VPNs
Ensuite, nous fixons une valeur de la durée de vie de la clé partagée en Seconde.
• Phase 2 : Cette étape consiste à créer une ACL (Access List) qui va déterminer
le trafic autorisé de passer à travers le tunnel VPN. Dans notre projet, le trafic
s’achemine du réseau 172.16.1.0/24 à 172.16.15.0/24.
• Phase 3 : Dans cette dernière étape, nous configurons la crypto-map pour l’instal-
lation et l’établissement du lien entre ISAKMP définie précédemment et la configu-
ration IPSEC.
50
Chapitre 4 Mise en œuvre des VPNs
Les paramètres pour Kheroub sont identiques, la seule différence étant les adresses
IP attribuées et les listes d’accès.
Les mêmes paramètres de VPN pour :
• Le VPN entre le site de Bejaia et le site LLK.
• Le VPN entre le site de Bejaia et le site Cojeck.
4.7 Vérification
Pour pouvoir vérifier la validité de notre configuration, nous allons vérifier les informa-
tions retournées par le VPN sur le routeur CevitalBej (Central)
51
Chapitre 4 Mise en œuvre des VPNs
La commande show crypto IPSec transform-set nous a permit de savoir quel mode
utilisé, dans notre cas c’est le mode tunnel.
52
Chapitre 4 Mise en œuvre des VPNs
53
Chapitre 4 Mise en œuvre des VPNs
54
Chapitre 4 Mise en œuvre des VPNs
Les messages échangés durant le mode quick (Quick mode) sont protégés en authenti-
cité et en confidentialité grâce aux éléments négociés durant le mode main (main mode).
L’authenticité des messages et assurée par l’ajout d’un bloc HASH après l’en-tête ISAKMP,
et la confidentialité est assurée par le chiffrement de l’ensemble des blocs du message. En-
fin, la capture dans la figure 4.28, nous montre clairement que le trafic est crypté avec le
protocole ESP.
55
Chapitre 4 Mise en œuvre des VPNs
4.8 Conclusion
Dans ce chapitre, nous avons présenté les outils que nous avons utilisé, ensuit, nous
avons présenté les différents étapes de la configuration de notre solution qui est la mise en
place d’un tunnel VPN reliant les quatre sites distants site à site de l’entreprise Cevital,
ainsi que les résultats des différents tests effectués afin de vérifier le bon fonctionnement
de notre solution.
56
Conclusion générale
57
Bibliographie
[6] Manuel S. lic et I. Phil, collaborateur scientifique ,Center for security Studies(CSS),
ETH Zurich, aout 2006
[8] M. Riguidel, Pour l’émergence d’une nouvelle sécurité dans les réseaux de
communication et les systemes d’information futurs, OFTA, Arago Vol23, Paris,
2000.
[12] Tomas Klein, http ://www.frameip.com/vpn/ : Document sur les Réseaux privés
Virtuels-VPN, suivi Xavier Lasserre, 2014.
[13] fr.scribd.com/doc/Chap-8-Les-VPN.
i
Bibliographie
[14] J.P. ARCHIER, Les VPN, fonctionnement et mise en œuvre, édition eni,2011.
[16] Eric BAHATI, Mise en place d’un réseau VPN au sein d’une entreprise Cas de la
BRALIMA, mémoire de fin d’étude, Institut supérieur de commerce Kinnshasa,
2011.
[18] Pierre Leonard, Mobilité et sécurité sur le réseau réaumur, mise en place de
solutions DHCP et VPN, Rapport, juin 2006.
[19] S.tan, de Reynal, de Rorthais, Representation sur les VPN , rappot informatique
et Réseaux, fervrier 2004.
ii
Résumé
CEVITAL est une entreprise agroalimentaire composée de sites distants
répartis sur le territoire national. Pour des besoins de communication entre ces sites,
CEVITAL met à leur disposition son réseau qui est alors à la merci de tous genres
d’utilisateurs. Pour protéger ce réseau, une idée serait d’acquérir un mécanisme de
gestion qu’il soit à la fois robuste et sécurisé pour le réseau.
En effet, l’objectif de notre travail consiste à proposer un architecteur réseau
sécurisé pour CEVITAL, pour cela nous avons procédé à une étude de l’architecture
actuelle, ainsi que les dispositifs de sécurité mis en place. Ce qui nous a permis de la
critiquer et de suggérer des solutions afin de proposer une nouvelle architecture réseau
qui donne une meilleure fluidité pour le trafic ainsi que sa sécurité.
Sur le plan applicatif, nous avons relié les quatre sites de l’entreprise
CEVITAL à l’aide de protocole Frame-Relay point à point, nous avons configuré les
machines virtuelles via VMWare. En fin, nous avons configuré le tunnel sécurisé au
niveau du routeur des sites en utilisant le simulateur GNS3 afin de sécuriser le trafic
passant par les routeurs des sites distants.
Abstract:
CEVITAL is an agri-food company consisting of distant sites spread over the
national territory. In order to communicate data between these sites, CEVITAL puts at
their disposal its network which is subject to all kinds of users. To protect this
network, one idea would be to provide a managing mechanism that is both robust and
secure for the network.
Indeed, our work aims to propose a secure network architect for CEVITAL. That
is why we have carried out a study of the current architecture, as well as the
implemented security features. This allowed us to analyze and suggest solutions
leading to a new network architecture that gives better fluidity for the traffic as well as
for its security.
On the application level, we connected the four CEVITAL sites using point-to-
point Frame-Relay protocol, we configured the virtual machines via VMWare. Finally,
we configured the secure tunnel at the site router using the GNS3 simulator to secure
the traffic passing through the routers of distant sites.