Académique Documents
Professionnel Documents
Culture Documents
Peace-Work-Fatherland
Paix-Travail-Patrie
******
******
MINISTRY OF HIGHER EDUCATION
MINISTERE DES ENSEIGNEMENTS SUPERIEUR
******
******
University Institute SIANTOU
Institut Universitaire SIANTOU
******
******
RAPPORT DE STAGE
Année académique
2023-2024
DEDICACES
A
Ma mère
Mme CHEMOE Epse CHEGUEUMarlise
A
Mon grand frère
M. Frank Loïc TCHOUANBOU
A
Mon feu père
M. CHEGUEU Pierre réné
De nos jours, la gestion de la confidentialité des données pour une entreprise est devenue
très indispensable. Bien gérer les données d’une entreprise c’est satisfaire les utilisateurs,
réduire la vulnérabilité des données d’une entreprise. C’est dans cette optique que le
MINSTERE DES TRAVAUX PUBLICS nous a confié la gestion de l’envoie et de la réception des
paquets d’une site A pour un site B en toute sécurité. Soucieux de la réussite de cette mission
qui nous est confiée et conscients des contraintes liées à cette mission, bous avons adopté
une démarche qui consiste en une étude des différentes solutions existantes et à mener une
étude comparative par la suite afin d’identifier celles qui couvrent mieux les besoins du
projet. C’est ainsi que tunnel IPSec, une solution Open Source de référence dans la gestion
des tunnels d’envois des données. Les résultats obtenus après les tests de la solution ont été
jugés satisfaisants.
Durant l’année académique, l’institut s’efforce de donner à ses apprenants le nécessaire pour
leur vente sur le marché de l’emploi ; les connaissances reçues par ici se trouvant plus
théorique que pratique, nous sommes appelés à effectuer des stages académiques pour
mettre en pratique les enseignements reçus. C’est dans cette lancée que nous vous
présenterons dans cette partie MINTP, notre structure d’accueil et initiatrice du thème. Et
ensuite, nous présenterons le contexte qui a conduit à l’élaboration du thème, la
problématique du thème et les objectifs généraux de celui-ci.
2.OBJECTIFS ET MISSIONS
A.OBJECTIFS
L’objectif premier de la cellule informatique du MINTP est de s’assurer que les besoins des
utilisateurs du ministère soient identifiés et traités. Gérer les aspects technologiques du
ministère, développer et maintenir des logiciels.
Le MINTP se charge de garantir la sécurité des données et des réseaux, collaborer avec
d’autres département de technologie et d’informatique dans les projets d’infrastructure.
B.MISSIONS
La cellule informatique du MINTP, offre la possibilité a tous les services du ministère d’être
satisfait de leurs besoins. Ses principales missions sont :
III- ORGANIGRAMME
MVOG-MBI
IMMEUBLE
EMERGENCE
PHARMACIE
SNI ROND
POINT
POSTE
CENTRALE
MVOG-ADA
CAMTEL
BOULEVARD DU 20 MAI
ICI
FIGURE 2 : PLAN DE LOCALISATION CELLULE INFORMATIQUE MINTP
- La responsabilité
- Les disponibilités
- La ponctualité
L’esprit actif, futé et éveillé : il consiste a chercher au-delà des réponses et connaissances
acquises sur un travail effectué afin de nous familiariser aux équipement informatiques de
l’entreprise.
1-DIFFICULTÉS RENCONTRÉE
Comme difficulté rencontrées nous pouvons citer :
En définitive, ce chapitre nous a servi à mettre le thème dans son cadre. En effet, notre
thème de stage a été effectué au sein de la cellule informatique du MINTP. Et consiste à l’étude
et l’implémentation d’une interconnexion sécurisée de sites distants avec IPsec.
Le cahier de charges peut être vu comme une étude du réseau actuel de l’existant
dans l’entreprise et ainsi mettre en exergue ses points positifs et négatifs tout en évaluant
ses ressources logicielles et matérielles entrant dans le cadre de l’étude. Dans cette partie,
nous présenterons d’abord les participants à l’étude, ensuite nous étudierons l’existant dans
l’entreprise à notre arrivée dans le but de trouver une solution répondant aux besoins
exprimés par celle-ci, nous ferons ensuite une étude comparée des différents outils de
création de tunnels sécurisés les plus utilisés. Enfin, cette étude doit pouvoir démontrer la
solution la plus adaptée pour résoudre le problème.
1- ETUDE DE L’EXISTANT
La Cellule Informatique du Services du MINTP assiste le Secrétaire Général dans la
conception, l'administration et le suivi des questions liées au domaine de l'informatique. Elle
dispose à cet effet des ressources matérielles et logicielles lui permettant de subvenir aux
besoins de ses clients.
i- Environnement matériel
2. StrongSwan
StrongSwan est une implémentation IPSec open-source qui peut être utilisée pour créer des
connexions VPN sécurisées. Il prend en charge différents algorithmes de chiffrement et
méthodes d'authentification, et peut être configuré pour fonctionner avec différentes
méthodes d'échange de clés.
3. IPSec-tools
IPSec-tools est une collection d'outils pour configurer et gérer des connexions IPSec. Il prend
en charge différents algorithmes de chiffrement et méthodes d'authentification, et peut être
utilisé pour créer des connexions VPN site à site et d'accès distant.
4. pfsense
pfsense est une solution de pare-feu et de VPN open-source qui peut être utilisée pour créer
des tunnels IPSec. Il prend en charge différents algorithmes de chiffrement et méthodes
d'authentification, et peut être configuré pour fonctionner avec différentes méthodes
d'échange de clés.
5. SoftEther VPN
Ultra-rapide : SoftEther VPN est conçu pour être rapide, avec des technologies avancées
telles que l'accélération TCP et UDP, et le tunneling VPN multi-protocole.
Open-source : Le logiciel est open-source, ce qui signifie qu'il est librement disponible et peut
être modifié et distribué par n'importe qui.
Développement actif : SoftEther VPN est activement maintenu, avec des mises à jour et des
améliorations régulières.
Intégrité : Les données sont protégées contre toute modification non autorisée
pendant leur transmission ;
Flexibilité : Le mode tunnel IPSec peut être utilisé pour connecter des réseaux
distants, tandis que le mode transport IPSec peut être utilisé pour des
communications point à point ;
Compatibilité : IPSec est un protocole standard qui est pris en charge par de
nombreux équipements réseau, tels que les routeurs et les pare-feu ;
Dans le cadre de notre étude, Un tunnel IPsec est un canal de communication sécurisé
entre deux appareils, généralement des routeurs, qui chiffre et authentifie toutes les
données transmises entre eux. Le processus sera basé sur les points suivants:
3. Encapsulation : Les appareils encapsulent les paquets IP dans des paquets IPsec, qui
sont ensuite transmis sur le réseau. Ce processus s'appelle "tunneling".
• Ouvrir le logiciel Packet Tracer et créez un réseau avec deux ou plusieurs hôtes.
• Sur chaque hôte, créer une configuration IPSec en spécifiant les paramètres de
sécurité, tels que les clés, les certificats et les protocoles.
• S’assurer que les paramètres de sécurité sont identiques sur les deux hôtes pour
que le tunnel fonctionne correctement.
• Sur chaque hôte, configurer les paramètres de routage pour que les paquets soient
envoyés vers le tunnel IPSec.
• S’assurer que les routes sont correctement définies pour que les paquets puissent
passer par le tunnel.
3. Vérifier la configuration :
• Vérifier que les paramètres de sécurité et de routage sont corrects sur les deux
hôtes.
• Tester le tunnel IPSec en envoyant des paquets à travers le tunnel pour vérifier que
la communication est établie correctement.
CONCLUSION
Dans ce chapitre, nous avons présenté les détails de tunnel IPSec, ses caractéristiques
particulières ainsi que sa mise en place et les différents coûts qui y sont liés. Dans lechapitre
suivant, nous présenterons les détails de la mise en œuvre de la solution notamment, les
différentes étapes de son implémentation technique.
INTRODUCTION
Etant donné que nous connaissons le thème de notre étude qui est letunnel IPSec, nous
sommes assez informés sur sa particularité et l’espace de travail nécessaire à sa mise en
place, il est temps de le mettre sur pieds. Cette partie présente les différentes installations
de la solution, l’implémentation technique, les différents tests de fonctionnement de la
solution réalisés et le bilan de l’étude.
Notons que pour que le résultat soit parfait il ne faudrait pas avancer avec des retours
de commandes négatifs donc il faudrait à chaque fois se rassurer que la commande entrée
ait renvoyée la réponse attendue et aussi ne pas sauter les commandes.
De ce fait, nous commencerons par mettre en place la topologie réseau idéale pour le tunnel
IPSec :
Nousallons vous ici montrer comment créer une liaison d'interconnexion site à site, au travers
d’un réseau non sécurisé, tel qu'Internet.Cette liaison est un tunnel VPN IPsec utilisé afin de
sécuriser une connexion entre deux sites.Afin de mieux comprendre le principe du
fonctionnement des VPN IPsec, je vous renvoie à la lecture du mémo IPsec que je vous avais
remis.Cette partie vise à montrer la configuration de base pour l’établissement du VPN IPsec
site à site (de routeur à routeur), reposant sur le protocole ISAKMP avec secret partagé.
#interface FastEthernet0/0 : Cette commande est utilisée pour configurer les paramètres
d’interface Fast Ethernet 0/0 sur un périphérique réseau, tels que les routeurs ou les
commutateurs. Cette commande permet de définir les paramètres tels que l’adresse IP, le
masque de sous-réseau. Enutilisant cette commande, nous pouvons personnaliser les
paramètres de cette interface pour répondre aux besoins de votre réseau.
#IP nat inside : cette commande est utilisée pour configurer le Network Address Translation
(NAT) sur une interface réseau interne d’un routeur. Cette commande indique au routeur
que l’interface internet à partir de laquelle le trafic sortant doit être traduit en adresse IP
publiques pour permettre la communication avec les réseaux externes. En d’autre terme, elle
de mapper les adresses IP privée internes a des adresses IP publiques externes pour faciliter
la communication sur internet
#interface Serial0/0/0 : cette commande est utilisée pour configurer les paramètres
d’interface serie0/0/0 sur un périphérique réseau, tel que qu’un routeur. Cette commande
permet de définir les paramètresspécifiques a cette interface série, tel que la vitesse de
transmission, le débit, le protocole de communication, les paramètres de contrôle de flux, et
#ip route 0.0.0.0 0.0.0.0 101.0.0.254 : cette commande est utilisée pour configurer les routes
IP statiques sur un routeur ou un commutateur. Cette commande permet de spécifier
comment le trafic IP doit être achemine vers des réseaux distants en définissant
manuellement les chemins que les paquets doivent emprunter. En définissant les routes IP
statiques avec la commande (IP route), nous pouvons contrôler le flux de trafic sur notre
réseau garantir que les données atteignent leur destination correctement.
Le ACL est une liste de règledéfinie sur un routeur ou un commutateur pour filtrer le trafic
réseau en fonction des critères spécifiques tels que les adresses IP source et destination, les
port TCP ou UDP ou d’autres paramètres.
#Access-list 100 deny ip 10.0.0.0 0.255.255.255 30.0.0.0 0.255.255.255 : cette commande est
utilisée pour configurer une liste de contrôle d’accès ACL sur un routeur ou un commutateur
afin de refuser spécifiquement le trafic IP qui correspond aux critères définis dans cette liste.
#access-list 100 permit ip 10.0.0.0 0.255.255.255 any : cette commande permet de spécifier
une règle dans l’ACL numéro 100 qui autorise le trafic IP provenant de l’ensemble d’adresse
10.0.0.0 avec un masque de sous réseau de 0.255.255.255 à destination de n’importe quelle
adresse IP.
#Ip nat inisde source list 100 interface serial0/0/0 overload : cette commande est utilisée
pour configurer la translation d’adresses réseau (NAT) sur un routeur Cisco. Elle indique au
routeur d’utiliser la liste d’accès (ACL) numéro 100 pour spécifier les adresses sources qui
seront traduite lorsqu’elles passent par l’interface série serial0/0/0.
#interface FastEthernet0/0 : Cette commande est utilisée pour configurer les paramètres
d’interface Fast Ethernet 0/0 sur un périphérique réseau, tels que les routeurs ou les
commutateurs. Cette commande permet de définir les paramètres tels que l’adresse IP, le
masque de sous-réseau. Enutilisant cette commande, nous pouvons personnaliser les
paramètres de cette interface pour répondre aux besoins de votre réseau.
#IP nat inside : cette commande est utilisée pour configurer le Network Address Translation
(NAT) sur une interface réseau interne d’un routeur. Cette commande indique au routeur
que l’interface internet à partir de laquelle le trafic sortant doit être traduit en adresse IP
publiques pour permettre la communication avec les réseaux externes. En d’autre terme, elle
de mapper les adresses IP privée internes a des adresses IP publiques externes pour faciliter
la communication sur internet
#ip route 0.0.0.0 0.0.0.0 102.0.0.254 : cette commande est utilisée pour configurer les routes
IP statiques sur un routeur ou un commutateur. Cette commande permet de spécifier
comment le trafic IP doit être achemine vers des réseaux distants en définissant
manuellement les chemins que les paquets doivent emprunter. En définissant les routes IP
statiques avec la commande (IP route), nous pouvons contrôler le flux de trafic sur notre
réseau garantir que les données atteignent leur destination correctement.
Le ACL est une liste de règle définie sur un routeur ou un commutateur pour filtrer le trafic
réseau en fonction des critères spécifiques tels que les adresses IP source et destination, les
port TCP ou UDP ou d’autres paramètres.
#Access-list 100 deny ip 30.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 : cette commande est
utilisée pour configurer une liste de contrôle d’accès ACL sur un routeur ou un commutateur
afin de refuser spécifiquement le trafic IP qui correspond aux critères définis dans cette liste.
#access-list 100 permit ip 30.0.0.0 0.255.255.255 any : cette commande permet de spécifier
une règle dans l’ACL numéro 100 qui autorise le trafic IP provenant de l’ensemble d’adresse
#Ip nat inisde source list 100 interface serial0/0/0 overload : cette commande est utilisée
pour configurer la translation d’adresses réseau (NAT) sur un routeur Cisco. Elle indique au
routeur d’utiliser la liste d’accès (ACL) numéro 100 pour spécifier les adresses sources qui
seront traduite lorsqu’elles passent par l’interface série serial0/0/0.
Dans cette étape, nous avons configurés le routeur3 qui est le routeur central.
Ici :
#clock rate 2000000 : cette commande est utilisée dans la configuration d’une interface série
d’un routeur Cisco. Elle définit le débit de transmission (Clock rate) pour l’interface série
spécifiée 2000000 bps (bits par seconde).
On spécifie le protocole de hash utilisé, le type et la durée de validité des clés de sessions.
On indique ensuite si le routeur 'peer' (celui situé au bout du tunnel) est identifié par un nom
ou son adresse.
A cette étape, nous avons procédé a la configuration du tunnel IPSec et nous avons utilisés
les commandes phares ci-dessous
#crypto isakmp enable : Active le service ISAKMP dur le routeur.
#Crypto isakmp policy 10 : Crée une politique ISAKMP portant le numero d’identification 10.
#Encryption aes : Specifie l’algorithme de chiffreement AES pour la phase 1.
#Authenticaton pre-share : configure l’authentification pré-partagée (pre-shared key)
#hash sha : definit l’algorithme de hachage SHA pour la phase 1
2. Nous allons ensuite une liste de contrôle d'accés (access-list) que je nomme
''VPN'', servant à identifier le trafic à traiter par le tunnel VPN. Pour Routeur1,
ce sera le trafic d'origine 10.0.0.0/8 à destination de 30.0.0.0/8.
3. Nous allons créer finalement une carte de cryptage (crypto-map) que j'appelle
''CARTEVPN'', servant à spécifier le pair distant, le 'transform set' et l'access list.
A cette étape, nous avons procédé à la configuration du tunnel IPSec et nous avons utilisés les
commandes phares ci-dessous
#interface serial0/0/0 : Accède a la configuration de l’interface serie 0/0/0 du routeur.
#crypto map CARTEVPN : associe a la carte crypto nommée CARTEVPN a l’interface série. Cela
signifie que le trafic traversant cette interface doit être protégé en utilisant les paramètres
définis protégé en utilisant les paramètres définis dans la carte crypto.
#do wr : enregistre la configuration en cours dans la mémoire persistante (sauvegarde). Cela
permet de sauvegarder les modifications apportées a la configuration, y compris l’association
de la carte a l’interface série.
Pour établir la liaison VPN et vérifier le fonctionnement, il faut envoyer du trafic au travers du
tunnel, on faisant un ping entre les stations.
Une fois le tunnel configuré, plusieurs commandes permettent de vérifier si le tunnel
fonctionne.
Dans ce chapitre nous avons présenté les tests de fonctionnalités démontrant que la solution
répond aux attentes. Le tunnel IPSec est employé pour la sécurisation des paquets quittant
d’un site A à un site B. Ensuite, nous avons un bilan dans lequel sont présentés les points sur
la réalisation du projet ainsi que les limites de notre solution.
Dans le cadre de notre stage de fin du cycle BTS de la sécurité réseau, nous avons été
accueillis à le MINISTERE DES TRAVAUX PUBLICS où nous avons effectué un stage d’une durée
de deux mois. Il nous a été soumis comme thème d’étude : «Etude et implémentation d’une
interconnexion sécurisée de deux sites distants avec IPSec». Pour accomplir cette tâche nous
avons commencé par une présentation du thème en faisant ressortir sa problématique et ses
objectifs. En plus, nous avons réalisé une étude de l’infrastructure existante afin de maitriser
son fonctionnement. Nous avons également procédé à un recensement des outils
technologiques existant afin de mener une étude comparative. C’est ainsi que IPSec, une
solution de securité, a été retenu après une étude détaillée et implémentée de façon
effective ; son rôle primordial étant d’assurer la sécurisation des paquets. Après des tests de
fonctionnement, cet outil satisfait pleinement les attentes du MINTP. En ce qui concerne
l’apport de ce stage dans notre parcours, nous pouvons affirmer que :
HTTPS://WWW.HEYCAMI.AI
HTTPS://FR.SCRIB.COM
https://www.Le-vpn.com
https://www.commentcamarche.net
https://www.tala-informatique.fr
https://wapiti.telecom-lille.fr