Etude Pour La Sécurisation D'un Réseau Par La Mise en Place D'un Pare-Feu Open Source: Cas de C.A.F.E. Informatique & Télécommunications

WOW !! MUCH LOVE !
SO
PEACE !
Rechercher sur le site: Fond bitcoin pour l'amélioration d
1memzGeKS7CB3ECNkzSn2qHwxU
Dogecoin (tips/pourboires)
DCLoo9Dd4qECqpMLurdgGnaoqbftj
Recherche
Home | Publier un mémoire | Une page au hasard
Memoire Online > Informatique et Télécommunications > Sécurité informatique

Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu open
source: cas de C.A.F.E. informatique & télécommunications Disponible en mode
par Haleem SHITOU OGUNGBEMI multipage
Université de Lomé - Licence professionnelle en Maintenance et Réseaux Informatiques 2019
DEDICACES
Gloire à AllahSeigneur des mondes, le Tout Puissant pour Sa grâce, Son amour infini, Son assistance, Sa miséricorde grâce
à qui j'ai pu arriver à réaliser ce
modeste travail que je dédie :
A ma maman chérie RADJI Shérifa, celle qui n'a cessé de me soutenir, grâce à qui je ne baisserai jamais les bras. Tes
prières et tes bénédictions m'ont été d'un grand secours pour mener à bien mes études. Aucune dédicace ne saurait être
assez éloquente pour exprimer ce que tu mérites pour tous les sacrifices que tu n'as cessé de m'accorder depuis ma
naissance, durant mon enfance et même à l'âge adulte. Tu as fait plus qu'une mère puisse faire pour que ses enfants
suivent le bon chemin dans leur vie et leurs études. Puisse Allah, le Tout Puissant, te préserve et t'accorde santé, longue vie
et bonheur.
A mon père bien aimé, SHITOU OGUNGBEMI Issa, qui malgré les difficultés de la vie s'est engagé corps et âme dans mon
éducation.
A ma très chère soeur SHITOU OGUNGBEMI Soifat, pour son apport moral.
A mes frères SHITOU OGUNGBEMI Mansour et Nabil.
A tous mes camarades de promotion qui ont toujours été là pour moi.
A tous ceux qui m'ont encouragé, je ne saurais citer tous les noms de peur d'en oublier, mais
je vous remercie du fond du coeur.
Haleem SHITOU OGUNGBEMI
REMERCIEMENTS
Avant tout développement sur cette expérience professionnelle, il apparaît opportun de commencer ce rapport de stage par
des remerciements. Nous tenons à saisir cette occasion et adresser nos sincères remerciements et nos profondes
reconnaissances à Allah le tout puissant et miséricordieux qui nous a donné la force et la puissance d'accomplir ce travail.
Nous adressons particulièrement nos remerciements aux membres du Jury, Dr. AMOU le Président du jury et Dr. TEPE qui
nous ont fait l'honneur de leur présence lors de notre soutenance. Nous profitons de l'occasion pour leur adresser nos
sincères respects. Leurs remarques et suggestions nous ont été très utiles et fructueuses pour la finalisation de notre
formation.
Nous remercions ceux qui de près ou de loin, nous ont aidés ou soutenus d'une manière ou d'une autre pour l'élaboration
de ce mémoire. Notre gratitude va particulièrement à :
Ø Monsieur Kossi ATCHONOUGLO, Maitre de conférences, Directeur du CIC ;
Ø Monsieur Venant Eyouleki PALANGA, Maitre-Assistant, Ex-Directeur Adjoint du CIC, pour son encadrement et ses efforts
consentis pour la réussite de notre cursus scolaire ;
Ø Monsieur Tchamye Tcha-Esso BOROZE, Maitre-Assistant, Directeur Adjoint du CIC ;

Ø Monsieur Salomon ADJONYO, Responsable de la Sécurité des Systèmes d'Information à la B.T.C.I, Enseignant au
Centre Informatique et de Calcul de l'Université de Lomé, notre directeur de mémoire pour son implication, son suivi, son
écoute et ses remarques judicieuses, qui malgré ses nombreuses occupations a supervisé et encadré notre travail de
mémoire pour l'orientation, la confiance, la patience qui ont constitué un apport considérable sans lequel ce travail n'aurait
pas pu être mené au bon port. Qu'il trouve dans ce travail un hommage vivant à sa haute personnalité ;
Ø Monsieur Guy DJADOU, informaticien Télécom et coordonnateur des interventions techniques à C.A.F.E I&T, notre maitre
de stage pour son assistance et ses conseils tout le long du stage ;
Ø Ma mère Shérifa RADJI, pour son affection, son soutien et pour la confiance qu'elle a toujours dans ce que j'entreprends ;
Ø Tout le personnel de C.A.F.E I&T en particulier à tous les techniciens et stagiaires du département `support technique' ;
Ø Tout le personnel Enseignant, Administratif et Technique du CIC pour leur disponibilité et soutien durant notre période de
formation ;
Ø Nos promotionnaires, avec qui nous avons connu et continuons par vivre des moments de partage et d'ambiance
fraternelle.
Chapitre 1 : RESUME
Le renforcement de la sécurité informatique est devenu une nécessité primordiale vu l'apparition des diverses formes
d'attaques informatiques de nos jours. Et ce sont les réseaux d'entreprises, d'institutions, de gouvernements qui ont le plus
besoin de cette sécurisation car elles sont fréquemment les cibles des attaques d'intrusion.Les pare-feu sont très populaires
en tant qu'outils permettant d'élaborer efficacement des stratégies pour sécuriser unréseau informatique. Un firewall offre au
système une protection d'un réseau interne, contre un certain nombre d'intrusions venant de l'extérieur, grâce à des
techniques de filtrage rapides et intelligentes.
L'objectif de ce travail est la mise en place d'un firewall open source, pfsense comme solution. Ce pare-feu offre un panel de
fonctionnalités de type NAT, DHCP, ...etc., auquel nous avons ajouté le package « Ntopng » pour la supervision de la bande
passante, le paquet « Snort » qui sert à la détection et la prévention d'intrusions et « Free Radius» pour authentifier les
utilisateurs avant l'accès à Internet. En somme le pare-feu est une solution de premier choix, mais il nécessite quand même
une intervention humaine.
Chapitre 2 : ABSTRACT
The reinforcement of computer security has become a primary necessity given the appearance of various forms of computer
attacks these days. Moreover, it is the networks of companies, institutions and governments that most need this security
because they are frequently targets of intrusion attacks. Firewalls are very popular as tools for effectively developing
strategies for securing a computer network. A firewall offers the system protection of an internal network, against a number
of intrusions from outside, thanks to fast and intelligent filtering techniques.
The objective of this work is the establishment of an open source firewall, pfsense as a solution. This firewall offers a panel
of NAT, DHCP, etc., features, to which we have added the "Ntopng" package for the supervision of the bandwidth, the
"Snort" package which serves for the detection and the prevention of Intrusions and Free Radius to authenticate users
before accessing the Internet. In short, the firewall is a solution of choice, but it still requires human intervention.
TABLE DES MATIERES
Pages
DEDICACES i
REMERCIEMENTS ii
RESUME iii
ABSTRACT iii
TABLE DES MATIERES iv
LISTE DES FIGURES ix
LISTE DES TABLEAUX xi
GLOSSAIRE xii
INTRODUCTION GENERALE 1
Chapitre 1 : 2
PRESENTATION DU CADRE D'ETUDE ET DE STAGE 2
1.1 Introduction 3
1.2 Centre Informatique et de Calcul (CIC) 3
1.2.1 Présentation 3
1.2.2 Missions 4
1.2.3 Activités 4
1.2.4 Organisation administrative 4
1.2.5 Les formations 6
1.2.5.1 Licence professionnelle 6
1.2.5.2 Master professionnel 7
1.3 C.A.F.E Informatique & Télécommunications (Centre d'Assistance de Formation et d'Etude) 7
1.3.1 Présentation 7
1.3.2 Historique 8
1.3.3 Statut 9
1.3.4 Missions 10
1.3.5 Activités 10
1.3.6 Organisation administrative 10
1.3.7 Direction technique 11
1.4 Conclusion 12
Chapitre 2 : 13
PRSENTATION DU PROJET 13
2.1 Introduction 14
2.2 Présentation générale du projet 14
2.3 Etude de l'existant 14
2.3.1 Les ressources matérielles 14
2.3.2 Patrimoine logiciel 17
2.3.3 Architecture du réseau informatique 18
2.4 Critique de l'existant 19
2.5 Problématique 20
2.6 Objectifs 20
2.7 Résultats attendus 21
2.8 Périmètre du projet 21
2.9 Méthodologie du travail 21
2.10 Conclusion 22
Chapitre 3 : 23
GENERALITES SUR LA SECURITE DES RESEAUX INFORMATIQUES 23
3.1 Introduction 24
3.2 Les réseaux informatiques 24

3.2.1 Définition 24
3.2.2 Les réseaux sans fil 24
3.2.3 Les protocoles réseaux 25
3.2.4 Faiblesses réseaux 25
3.3 Les principales attaques 26
3.3.1 Attaques des réseaux 26
3.3.1.1 Man in the middle 26
3.3.1.2 Balayage de port 26
3.3.1.3 Attaque par rebond 26
3.3.1.4 Dénis de service (DoS) 27
3.3.1.5 Usurpation d'adresse IP 27
3.3.2 Attaques des réseaux sans fil 27
3.3.2.1 Le Sniffing 27
3.3.2.2 Le brouillage radio 28
3.3.2.3 L'interception des données 28
3.3.2.4 Le war driving 28
3.3.3 Attaques du système d'exploitation 28
3.3.3.1 L'écran bleu de la mort 28
3.3.4 Attaques applicatives 29
3.3.4.1 Exploit 29
3.3.4.2 Dépassement de tampon 29
3.3.4.3 Un « shellCode » 29
3.4 Mise en place d'une politique de sécurité réseau 29
3.4.1 Définition 29
3.4.2 Objectif d'une politique de sécurité 30
3.4.3 Les différents types de politique de sécurité 30
3.5 Les stratégies de sécurité réseau 31
3.5.1 Méthodologie pour élaborer une politique de sécurité réseau 31
3.5.2 Proposition de stratégies de sécurité réseau 32
3.5.2.1 Stratégie des périmètres de sécurité 32
3.5.2.2 Stratégie des goulets d'étranglement 32
3.5.2.3 Stratégie d'authentification en profondeur 33
3.5.2.4 Stratégie du moindre privilège 33
3.5.2.5 Stratégie de confidentialité des flux réseau 33
3.5.2.6 Stratégie de contrôle régulier 33
3.6 Les techniques de parade aux attaques 34
3.6.1 La cryptographie 34
3.6.1.1 Cryptographie symétrique 34
3.6.1.2 Cryptographie asymétrique 35

3.6.2 La suite de sécurité IPsec 36
3.6.3 Serveur Proxy 36
3.6.3.1 Présentation 36
3.6.3.2 Principe de fonctionnement 37
3.6.3.3 Fonctionnement d'un serveur Proxy 37
3.6.3.4 Traduction d'adresse (NAT) 38
3.6.3.5 Reverse Proxy 39
3.6.4 Réseaux privés virtuels 40
3.6.4.1 Présentation 40
3.6.4.2 Fonctionnement d'un VPN 41
3.6.4.3 Protocole de tunneling 41
3.6.4.4 Protection des accès 42
3.6.5 Sécurité physique des équipements 42
3.6.6 IDS : Intrusion Detection System 43
3.6.6.1 Définition 43
3.6.6.2 Les différents types d'IDS 43
3.6.6.3 Mode de fonctionnement d'un IDS 45
3.6.7 IPS : Intrusion Prevention System 46
3.6.7.1 Définition 46
3.6.7.2 Mode de fonctionnement 46
3.6.7.3 Différents types d'IPS 46
3.6.8 Pare-feu 47
3.6.8.1 Les différents types de filtrage 48
3.6.8.2 Les différentes catégories de pare-feu 49
3.6.8.3 Zone démilitarisée (DMZ) 51
3.6.8.4 Limite des systèmes pare-feu 52
3.7 Recherches d'informations et synthèses 52
3.7.1 Principe de fonctionnement d'un pare-feu 52
3.7.2 Facteurs à considérer pour l'implémentation d'un pare-feu en entreprise 53
3.7.3 Proposition de solutions pare-feu 53
3.7.3.1 Quelques solutions propriétaires 54
3.7.3.2 Quelques solutions libres 54
3.7.3.3 Comparaison des solutions libres 56
3.7.4 Synthèse et choix de la solution de sécurisation pour C.A.F.E I&T 57
3.7.4.1 Présentation générale de pfsense 57
3.7.4.2 Aperçu des fonctionnalités 58
3.7.4.3 Position de pfsense 59
3.7.5 Recommandations pour un pare-feu en entreprise 60
3.8 Conclusion 61
Chapitre 4 : 62
MISE EN OEUVRE 62
4.1 Introduction 63
4.2 Nouvelle architecture 63
4.3 Préparation de l'environnement de travail 64
4.4 Les éléments de mise en oeuvre 65
4.5 Installation de Pfsense 65
4.6 Configuration de Pfsense 68
4.6.1 Configuration générale 68
4.6.2 Paramètres généraux de Pfsense 69
4.6.3 Configuration des interfaces 70
4.6.3.1 Interface WAN 70
4.6.3.2 Interface LAN 70
4.6.3.3 Configuration du serveur DHCP 71
4.6.4 Définition des règles du firewall 72
4.6.4.1 Coté WAN 72
4.6.4.2 Coté LAN 72
4.7 Portail captif de Pfsense 73
4.7.1 Présentation d'un portail captif 73
4.7.2 Paramètres généraux du portail captif de pfsense 73
4.7.3 Authentification du portail captif de Pfsense 75
4.7.3.1 Authentification par RADIUS 75
4.7.3.2 Gestion des comptes utilisateurs sous Pfsense 76
4.7.4 Sécurité du portail captif 76
4.8 Contrôle de la bande passante 78
4.8.1 Introduction à la QoS 78
4.8.2 Présentation de Ntopng 79
4.8.3 Installation de Ntopng 79
4.8.4 Configuration du service Ntopng 79
4.9 Détection d'intrusion 81
4.9.1 Présentation de Snort 81
4.9.2 Installation et configuration de Snort 81
4.9.3 Test de la solution 83
4.10 Evaluation financière 85
4.11 Conclusion 87
CONCLUSION GENERALE 2
LISTE DES REFERENCES 2
LISTE DES FIGURES
Pages
Figure 1. 1 : Image satellite du CIC par Google Earth 2
Figure 1. 2 : Organigramme du CIC 6
Figure 1. 3 : Plan de localisation de C.A.F.E Informatique & Télécommunications 8
Figure 1. 4 : Organigramme de C.A.F.E. Informatique & Télécommunications 11
Figure 2. 1 : Architecture du réseau I.P de CAFE I&T 19
Figure 3. 1 : Attaque de Man in the middle 26
Figure 3. 2 : Attaque par rebond 27
Figure 3. 3 : Architecture d'un Proxy 37
Figure 3. 4 : Traduction d'adresse (NAT) 39
Figure 3. 5 : Reverse Proxy 40
Figure 3. 6 : Réseau privé virtuel 41
Figure 3. 7 : Pare-feu 48
Figure 3.7: Exemple d'une zone démilitarisée 51
Figure 3.8: Logo de pfsense 58
Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T 60
Figure 4. 1 : Nouvelle architecture du réseau local de C.A.F.E I&T 63
Figure 4. 2 : Ecran de démarrage de l'installation de Pfsense 66
Figure 4. 3 : Début de l'installation de Pfsense 66
Figure 4. 4 : Configuration du type de clavier de Pfsense 67
Figure 4. 5 : Partitionnement de l'espace disque de Pfsense 67
Figure 4. 6 : Fin de l'installation de Pfsense 68
Figure 4. 7 : Menu de configuration de Pfsense 68
Figure 4. 8 : Portail d'administration de Pfsense 69
Figure 4. 9 : Tableau de bord de l'interface d'administration de Pfsense 69
Figure 4. 10 : Paramétrage général de Pfsense 70
Figure 4. 11 : Configuration de l'interface WAN 70
Figure 4. 12 : Configuration de l'interface LAN 71
Figure 4. 13 : Configuration du serveur DHCP 71
Figure 4. 14 : Règles sur l'interface WAN 72
Figure 4. 15 : Règles sur l'interface LAN 72
Figure 4. 16 : Activation du portail captif de Pfsense 74
Figure 4. 17 : Page d'accueil du portail captif de Pfsense (page par défaut) 74
Figure 4. 18 : Création de l'utilisateur "client1" avec authentification FreeRadius 76
Figure 4. 19 : Activation de la sécurisation par HTTPS pour l'accès au portail captif 77
Figure 4. 20 : Activation du certificat d'authentification 77
Figure 4. 21: Importation du certificat d'authentification et de sa clé privée 78
Figure 4. 22 : Installation des paquets de Ntopng 79
Figure 4. 23 : Configuration du mot de passe de Ntopng 80
Figure 4. 24 : Interface d'administration de Ntopng 80

Figure 4. 25 : Activités d'un utilisateur connecté grâce à Ntopng 81
Figure 4. 26 : Installation des paquets de SNORT 82
Figure 4. 27 : Code oinkcode délivré après enregistrement sous Snort 82
Figure 4. 28 : Activation de Snort sur l'interface WAN 83
Figure 4. 29 : Architecture virtuelle de l'environnement de test 84
Figure 4. 30 : Scan de port effectué par la machine `Attaquant' 85
Figure 4. 31 : Alertes renseignées par Snort 85
LISTE DES TABLEAUX
Pages
Tableau 1 : les postes de travail et leurs caractéristiques 2
Tableau 2 : Liste des serveurs matériels et leurs caractéristiques 16
Tableau 3 : Liste des imprimantes et quelques caractéristiques techniques 17
Tableau 4 : Equipements réseau et caractéristiques techniques 17
Tableau 5 : Applications du réseau local de C.A.F.E I&T 18
Tableau 6 : Prix des solutions commerciales 54
Tableau 7: Comparaison de quelques solutions libres 57
Tableau 8 : Achat des matériels 86
Tableau 9 : Coût de l'implémentation 86
Tableau 10 : Coût de la formation 86
Tableau 11 : Coût d'entretien du serveur 87
GLOSSAIRE
802.1x : Norme wifi, utilisée pour désigner plusieurs groupes de 802.x
AAA: Authorization Authentication Accounting
ABIDS:Application Based Intrusion Detection System
ACK : Acknowledged, un accuse de réception
ACL: Access Control List
AES: Application Environment Services
ALCASAR : Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié Réseau
API : Application Programming Interface
C.A.F.E I&T : Centre d'Assistance de Formation et d'Etude en Informatique et Télécommunications
CPU : Central Processing Unit
DES : Data Encryption Standard
DHCP: Dynamic Host Configuration Protocol
DMZ : DeMilitarized Zone
DoS: Denis of Service
EAP-MD5: Extensible Authentication Protocol- Message Digest 5
EAP-TLS: Extensible Authentication Protocol - Transport Layer Security
ECC: Error-Correcting Code
FAI : Fournisseur d'Accès Internet

FTP: File Transfer Protocol
GPL: General Public License
HDD: Hard Disk Drive
HIDS: Host-based Intrusion Detection System
HIPS: Host-based Intrusion Prevention System
HTTP: HypertText Transfer Protocol
ICANN: Internet Corporation for Assigned Names and Numbers
ICMP: Internet Control Message Protocol
IDEA: International Data Encryption Algorithm
IDS: Intrusion Detection System
IETF: Internet Engineering Task Force
INTERNIC: INTERnet Network Information Center
IP: Internet Protocol
IPNG: Internet Protocol New Generation
IPS: Intrusion Protection System
IPsec: Internet Protocol SECurity
KIPS: Kernel Intrusion Prevention System
L2FP: Layer 2 Forwarding Protocol
L2TP: Layer 2 Tunneling Protocol
LAN: Local Area Network
LDAP:Lightweight Directory Access Protocol
LMD: Licence Master Doctorat
MAC:Media Access Control
MIT: Massachussetts Institute of Technology
NAC: Network Access Control
NAP: Network Access Point
NAT: Network Address Translation
NIDS:Network Intrusion Detection System
NIPS: Network Intrusion Protection System
NNIDS:Network Node Intrusion Detection system
NTIC : Nouvelles Technologies de l'Information et de la Communication
OSI: Open System Interconnection
PPTP: Point to Point Tunneling Protocol
PSK : Pre Shared Key
RADIUS:Remote Authentication Dial-In User Service
RAM: Random Access Memory
RFC: Request For Comment
RPV: Réseau Privé Virtuel
RSA : Rivest Shamir Adleman

SNMP: Simple Network Management Protocol
SPOF: Single Point Of Failure
SSH: Secure SHell
SSL: Secure Socket Layer
SSO: Single Sign-On
TCP/IP: Transmission Control Protocol/Internet Protocol
UDP: User Datagram Protocol
URL: Unified Redirection L
VLAN: Virtual Local Area Network
VoIP: Voix sur Internet Protocol
VPN: Virtual Private Network
Chapitre 3 : INTRODUCTION GENERALE

De nos jours, le développement du réseau Internet, et de ses déclinaisons sous forme d'Intranet etd'Extranet, soulève des
questions essentielles en matière de sécurité informatique[1]. Toutes les entreprises, possédant un réseau local disposent
aussi d'un accès à Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir
communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable et dangereuse en même temps. Ouvrir
l'entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de
l'entreprise, et y accomplir des actions douteuses (les attaques de vers et virus informatiques, les chevaux de Troie
bancaires,...), de destruction, vol d'informations confidentielles, perte de périphériques mobiles, ...
Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le coeur d'une telle architecture doit
êtrebasé sur un pare-feu. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les
tentatives d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le réseau ouvert
sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l'accès interne vers l'extérieur. En plaçant un pare-
feu limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans
son enceinte. Le pare-feu propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de
sécuriser, de gérer le trafic et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu et sans l'encombrer avec des
activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. C'est dans le but
d'authentifier et de contrôler les activités des utilisateurs, d'identifier les sources de menaces et ses dégâts informationnels
au sein d'un réseau informatique, que le thème :«Etude pour la sécurisation d'un réseau par la mise en place d'un
pare-feu open source », nous a été assigné. Pfsense est l'outil qui fait l'objet de ce mémoire de fin d'étude.
Ce présent document comprend cinq chapitres : en premier lieu nous présenterons notre cadre de formation et de stage,
ensuite nous ferons une étude préalable du projet à la suite de laquelle nous entamerons les généralités sur la sécurité des
réseaux informatiques ; il s'en suivra les généralités sur les pare-feu, leur principe de fonctionnement, leurs composants et
architectures suivi d'une étude technique de Pfsense ;et en dernier chapitre, nous clôturerons par la mise en oeuvre de
Pfsense.
Chapitre 4 :
PRESENTATION DU CADRE D'ETUDE ET DE STAGE
Chapitre 5 : Introduction
Dans ce chapitre introductif, il est question de présenter dans un premier temps, le CIC qui est notre cadre d'étude, et
ensuite C.A.F.E INFORMATIQUE& TELECOMMUNICATIONS, notre cadre de stage.
5.1 Centre Informatique et de Calcul (CIC)

5.1.1 Présentation
Le Centre Informatique et de Calcul (CIC) est un établissement et un centre de ressources de l'Université de Lomé créés
par arrêté N°67/MENRS du 26 Septembre 1988 pour apporter un appui logistique en informatique aux établissements et à
l'administration de l'Université de Lomé et pour former des cadres supérieurs en informatique. Comme le montre la figure
1.1 (à la page 3), le CIC se trouve dans l'enceinte de l'Université de Lomé (UL), et est situé entre la Faculté Des Sciences
(FDS) et la Faculté des Sciences de la Santé (FSS)[2].
A ses débuts, il offrait une formation de deux ans couronnés par un diplôme de DUT (« Diplôme Universitaire de
Technologie »). Après la réforme du système pédagogique et l'adoption du système LMD (Licence-Master-Doctorat) en
2009, le CIC forme pour le parcours Licence Professionnelle. Et depuis mars 2016, il a ouvert ses portes au Master en
collaboration avec l'Institut Africain d'Informatique (IAI) et l'Université de Technologie Belfort-Montbéliard (UTBM) en France.
Le CIC, pour spécifier la formation de ses étudiants, a opté pour deux filières : Génie Logiciel (GL) et Maintenance et
Réseaux Informatiques (MRI).
Figure 1. 1 : Image satellite du CIC par Google Earth
5.1.2 Missions
Le CIC est le centre de formation en informatique de l'Université de Lomé. Parmi les objectifs du CIC on peut citer [2]:
Ø Résoudre des problèmes technologiques particulièrement dans le domaine du développement de logiciels et de la

maintenance informatique à l'Université de Lomé ;
Ø Fournir les ressources informatiques à toute la communauté universitaire de Lomé ;
Ø Former les personnes capables d'analyser et de conduire des projets informatiques ;
Ø Former des personnes pour l'installation et l'administration des réseaux informatiques ;
Ø Gérer l'accès internet de l'Université de Lomé ;
Ø Gérer le site web de l'UL.
5.1.3 Activités
Des activités sont menées par le Centre Informatique et de Calcul (CIC) pour participer à l'émergence des TIC. Ce sont
entre autres :
Ø L'académie CISCO pour la formation et la préparation du CCNA (CISCO Certified Network Associate) ;
Ø L'Association Togolaise des Utilisateurs de Logiciels Libres (ATULL) qui oeuvre pour la promotion des logiciels libres ;
Ø Le Centre Virtuel Africain (CVA) : destiné aux enseignants, il leur permet de partager leurs cours en ligne ;
Ø Le projet Pan Africain e-Network, un programme de télé-enseignement en partenariat avec quatre (4) Universités
Indiennes dont les Universités de Madras, Delhi, Amity International et Birla Institute of Technology and Science (BITS) pour
des formations en Master en informatique, des MBA, des certifications en comptabilité et en électronique[2].
5.1.4 Organisation administrative[2]
Le Centre Informatique et de Calcul (CIC) est dirigé par un directeur assisté d'un directeur adjoint. La structure
administrative du CIC est composée de :
Ø L'Assemblée d'établissement ;
Ø La Commission Scientifique et Pédagogique (CSP) ;
Ø La Commission Pédagogique ;
Ø La Direction ;
Ø Le collège des chefs de division ;
Ø Le service des examens ;
Ø La Cellule d'Information Pédagogique (CIP) ;
Ø La Commission des finances et du budget ;
Ø La Cellule Assurance Qualité.

Le Centre Informatique et de Calcul (CIC) dispose actuellement de quatre (04) divisions :
Ø Division Enseignement en charge de la formation universitaire au grade Licence et Master ;
Ø Division Système d'Information chargée de l'étude, de la conception, de la mise en oeuvre, de la gestion du système
d'information global de l'Université de Lomé ;
Ø DivisionDéveloppement chargée des études informatiques nécessaires à l'informatisation des différentes entités de
l'Université de Lomé, de la conception et du développement des applications informatiques et de la maintenance des
logiciels développés ;
Ø Division Maintenance Informatique, chargée de la maintenance des équipements informatiques de l'Université de

Lomé, de la mise en oeuvre des programmes, d'assemblage de micro-ordinateurs initiés par le CIC, de la réalisation des
différentes études nécessaires à l'informatisation de toutes les entités de l'Université de Lomé en collaboration avec les
autres divisions.
La figure qui ci-contre présente l'organigramme du Centre Informatique et de Calcul.
Division
Enseignement
Division Système
d'Information
Division
Maintenance
Division
éveloppement
Comptabilité
Secrétariat
Administrative et
pédagogique
Direction
djoint
Direction
Figure 1. 2 : Organigramme du CIC
5.1.5 Les formations

5.1.5.1 Licence professionnelle
La formation dure trois (03) ans et est couronnée par l'obtention de diplôme de Licence Professionnelle pour les deux filières
(Génie Logiciel, Maintenance et Réseaux Informatiques) après l'analyse, la conception et la réalisation d'un projet de fin de
formation et d'une soutenance orale. L'admission à cette formation se fait sur concours après l'obtention d'un baccalauréat
scientifique (séries C, D, E, et F).
Ø Licence Professionnelle en Génie Logiciel
Cette formation concerne l'ensemble des méthodes, des techniques et outils permettant la production d'un logiciel. A la fin
de cette formation, l'étudiant sera capable de :
· mettre en oeuvre des systèmes d'informations ;
· concevoir ou aider à la conception des logiciels ;
· analyser et conduire des projets informatiques ;
· donner des conseils en matière de TIC (Technologies de l'Information et de la Communication).
Ø Licence Professionnelle en Maintenance et Réseaux Informatiques
Cette filière offre une formation de base en maintenance informatique et en administration de réseau informatique. A la fin
de cette formation, l'étudiant sera capable de :
· assurer la maintenance de première et de deuxième niveaux des équipements informatiques ;
· donner des conseils en matière d'informatisation des services et des entreprises ;
· adapter le matériel et les logiciels à des contraintes particulières ;
· installer et administrer les réseaux informatiques.
5.1.5.2 Master professionnel
Le parcours Master est proposé par le CIC en collaboration avec l'IAI (Institut Africain d'Informatique) et l'Université
Technologique de Belfort-Montbéliard en France. Il offre le choix entre 02 spécialités : le "Génie Logiciel" et les "Systèmes et
Réseaux"[2].
Ø Master Professionnel en Systèmes et Réseaux
Cette filière assure la formation pour l'obtention d'un master professionnel en informatique dans le domaine des systèmes et
réseaux durant deux années d'études, suivies d'une soutenance. L'admission se fait aussi sur étude de dossier où ne sont
autorisées que des personnes disposant au minimum d'une licence en science et technologies.
Ø Master Professionnel en Génie Logiciel
Cette filière assure la formation pour l'obtention d'un master professionnel en informatique dans le domaine du
développement d'applications informatiques ; après deux années d'études, suivies d'une soutenance. L'admission se fait sur
étude de dossier où ne sont autorisées des personnes disposant au minimum d'une licence en science et technologies.
5.2 C.A.F.E Informatique & Télécommunications (Centre d'Assistance de

Formation et d'Etude)
5.2.1 Présentation
C.A.F.E Informatique & Télécommunications, créé en 1987 par M. et Mme NOAGBODJI, est le premier fournisseur privé
d'accès Internet au Togo. Il est également une société de Formation Informatique agréée par le Ministère de l'enseignement
technique et de la formation professionnelle et la FNAFPP ; le Fonds National d'Apprentissage de Formation et de
Perfectionnement Professionnels[3].
C.A.F.E Informatique & Télécommunications est une entreprise prestataire de services informatiques constituée de
techniciens informaticiens spécialisés dans : la maintenance des équipements réseaux, la création informatique web
(internet), intranet, logiciels pour entreprises, des serveurs de téléphonie sur IP, la vidéo surveillance, la programmation
Télécom et GSM. Située à Lomé, dans le quartier Avenou, sur la Route de Kpalimé Cité Maman N'danida Aflao, CAFE
Informatique & Télécommunications est joignable aux adresses suivantes :
Ø 07 BP : 12596 Lomé-Togo ;
Ø Tél : (+228) 22-25-55-55 ou 22-55-66-66 ;
Ø E-mail : cafe@cafe.tg ;
Ø Site web: www.cafe.tg.
La figure ci-contre montre la situation géographique de C.A.F.E Informatique & Télécommunications.
Figure 1. 3 : Plan de localisation de C.A.F.E Informatique & Télécommunications
5.2.2 Historique
Créé en 1987 par Mme Ayélé ATAYI épouse NOAGBODJI, administrateur des PTT et M. Jean-Marie Yawo NOAGBODJI,
Ingénieur Télécom diplômé en système Automate et électronique, la société C.A.F.E. Informatique & Télécommunications a
rapidement développé ses potentiels en connectant dix ans plus tard le Togo à Internet.
En 1996, C.A.F.E. Informatique & Télécommunications a demandé et acquis auprès de l'INTERNIC (Internet's Network
Information Center), devenu aujourd'hui l'ICANN (Internet Corporation for Assigned Names and Numbers), la gestion du
domaine virtuel «.tg»[3]
En Septembre 1997, après l'obtention de la première licence d'opérateur Télécom au Togo, C.A.F.E. Informatique &
Télécommunications a lancé sur le territoire national le premier réseau Internet, un système d'interconnexion de machines
utilisant le même protocole de communication TCP/IP (Transmission Control Protocol / Internet Protocol).
En novembre 2001, suite à un appel à concourir, C.A.F.E. Informatique & Télécommunications obtint du gouvernement une
licence d'exploitation de la VoIP (la téléphonie sur Internet). Un important investissement a été réalisé dans ce cadre,
donnant ainsi naissance au produit Yom-LA.
Depuis le 15 Avril 2012, CAFE Informatique & Télécommunications s'est encore battu pour avoir le partenariat « LEARNING
DE MICROSOFT » et est devenu un learning center MICROSOFT (centre de formation certifié MICROSOFT)[3].
Pour atteindre son objectif, C.A.F.E. Informatique & Télécommunications initie de nombreuses actions, depuis 2004, dont
les Journées Portes Ouvertes (JPO) en vue de mieux faire connaître les NTIC (Nouvelles technologies de l'information et de
la communication), et notamment l'Internet, aux jeunes, aux chefs d'entreprises et aux autorités locales et nationales du
Togo.
5.2.3 Statut
C.A.F.E Informatique & Télécommunications (Centre d'Assistance, de Formation et d'Etude), société anonyme au capital
social de 225.000.000 F CFA, a vu le jour quand le Togo était à ses débuts dans l'informatique avec quelques centres
spécialisés.
Il faut préciser que, la société soutient de nombreuses institutions togolaises en vue de leur assurer un développement par
les TIC. Parmi ces institutions figure la presse dans toute sa diversité, la jeunesse à travers les institutions scolaires, etc...
C.A.F.E. Informatique & Télécommunications est[4] :
· Le premier fournisseur privé d'accès Internet au Togo ;
· Le premier fournisseur de solution d'appel International à bas prix ;
· Le premier fournisseur d'un Autocommutateur Numérique IP Commercialisé : VISIO PBX ;
· Le premier Triple Centre de Test : Pearson Vue, Prometric et Certiport.
Bref, depuis plus de trente(30) ans, C.A.F.E. Informatique & Télécommunications ne cesse de se développer de jour en jour
avec une équipe dynamique jeune et compétente.
5.2.4 Missions
C.A.F.E. Informatique & Télécommunications s'est fixé deux objectifs : Relever le défi de la vulgarisation de l'informatique et
des télécommunications au Togo dans la sous-région Ouest-Africaine, et de « faire des NTIC la clef de voûte du
développement en Afrique », la principale mission.
Pour parvenir à la réalisation de cet objectif, C.A.F.E. Informatique & Télécommunications s'est doté de compétences
variées touchant à l'informatique et aux télécommunications dans leurs ensembles. Ainsi en partant des activités d'audits et
d'études, C.A.F.E. Informatique & Télécommunications, propose des solutions concrètes selon les cas, pour parvenir à
mettre en place des applications pour le développement économique du Togo et de l'Afrique toute entière.
Conscient de cette importante mission, C.A.F.E. Informatique & Télécommunications par la voix de son Président Directeur
Général, Mr Jean-Marie NOAGBODJI, n'a cessé de se battre pour obtenir des avancées notables au profit de l'Afrique dans
le domaine des TIC. A cet effet, il se déplace personnellement pour assister à des rencontres internationales en vue de
partager ses expériences et de défendre les intérêts communs des pays africains sur la route de la marche vers le
développement par les TIC[3].
5.2.5 Activités
Les activités de C.A.F.E. Informatique &Télécommunications sont axées sur :
Ø les solutions informatiques,
Ø les solutions bureautiques,
Ø les solutions télécoms,
Ø les solutions réseau,
Ø la formation,
Ø le câblage, etc.
Au-delà de ses activités commerciales, C.A.F.E. Informatique & Télécommunications considère qu'aucun pays ne peut se
permettre de rester en dehors de la mouvance des NTIC[5].
C.A.F.E. Informatique & Télécommunications met tout en oeuvre pour être au carrefour et rester la cheville ouvrière de ce
développement par les TIC de la sous-région ouest-africaine.
5.2.6 Organisation administrative
C.A.F.E. Informatique &Télécommunications, pour atteindre ses objectifs, est administrativement structuré comme l'indique
l'organigramme de la figure 1.4.
Les grands axes de cette organisation sont :
· La Direction Générale ;
· Le Secrétariat de la Direction Générale ;
· L'Audit et le Contrôle Interne ;
· La Direction Administrative et des Ressources Humaines ;
· La Direction Financière ;
· La Direction Technique ;
· La Direction commerciale.
Figure 1. 4 : Organigramme de C.A.F.E. Informatique & Télécommunications
5.2.7 Direction technique
La Direction Technique a pour mission de mettre en oeuvre la politique des systèmes d'information et des technologies de
l'information et de la communication définie par la Direction Générale et couvrant tous les domaines d'activité au sein de
C.A.F.E. Informatique & Télécommunications. La Direction Technique est composée de différents départements parmi ceux-
ci, on note le département de la division Transmission de données.
La division Transmission de données gère l'ensemble des activités de fourniture de connexion, de supervision des bases
radios et de dépannage réseau. Elle abrite en son sein trois services : Le service d'exploitation, le service support technique
et le service `Grands travaux'.
Chapitre 6 : Conclusion
Le Centre Informatique et de Calcul (CIC) est une institution de l'Université de Lomé ayant pour mission d'apporter un appui
logistique et technique en informatique à l'administration de l'université. C'est aussi un cadre de formation en informatique
dans les spécialités Génie Logiciel et Maintenance et Réseau Informatiques.C.A.F.E. Informatique &Télécommunications
est une entreprise informatique qui a pour but principal de promouvoir le développement local participatif. Elle accueille
aussi des stagiaires en fin de formation afin de leur faciliter l'insertion en entreprise. Dans le chapitre suivant, nous allons
faire l'étude et la critique de l'existant.
Chapitre 7 :
PRSENTATION DU PROJET
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet et celle de la solution à
implémenter. Il est alors indispensable de disposer d'un ensemble d'informations sur l'infrastructure informatique existante
afin de déceler ses points forts et ses insuffisances. Dans ce chapitre, nous aborderons d'abord l'étude et critique de
l'existant de C.A.F.E I&T pour faire ressortir la problématique et les objectifs à atteindre. Ensuite nous présenterons la
méthodologie à adopter et enfin les résultats attendus du projet.
8.1 Présentation générale du projet

Le thème intitulé « Etude pour la sécurisation d'un réseau par la mise en place d'un pare-feu Open source », s'inscrit dans
un contexte pour une mise en place d'un système de contrôle d'accès au réseau de C.A.F.E I&T.
Le réseau IP de C.A.F.E I&T abrite différents services tels que les services web, DNS, DHCP, de messagerie, etc. De ce fait,
C.A.F.E I&T souhaite ajouter à ces différentes plateformes, un service pour contrôler et sécuriser l'accès à son réseau. Le
projet consiste à faire une étude pour une mise en place d'un pare-feu pour la sécurisation du réseau LAN de l'entreprise.
8.2 Etude de l'existant

Toute révision, modification ou action visant à apporter des améliorations au système informatique de C.A.F.E I&T doit
passer par une connaissance préalable de l'ensemble des différents éléments constituant l'architecture de son système
informatique existant. L'analyse de l'existant a pour but d'évaluer le niveau de performance et de disponibilité de
l'infrastructure réseau, et de déterminer quelles améliorations peuvent être apportées afin de la rendre plus performante tout
en facilitant sa gestion.
8.2.1 Les ressources matérielles
Le matériel qui constitue le système informatique de C.A.F.E I&T peut se présenter comme suit :
Ø Des postes de travail : Ce sont les ordinateurs fixes du réseau à partir desquels les utilisateurs accèdent à leurs
sessions. Ils sont listés dans le tableau suivant :
Tableau 1 : les postes de travail et leurs caractéristiques
Type de Poste Marque Caractéristiques Matérielles

PC bureau HP HDD : 250 GB
Moyen tour RAM : 2GB
CPU : Intel Core de Duo

PC bureau Dell HDD : 250 GB
Moyen tour RAM : 4GB
CPU : Intel Core de Duo
Ø Des Serveurs : Les serveurs matériels sont également des ordinateurs de plus grandes capacités que les stations
ordinaires et disposent de mémoires importantes pour traiter simultanément les nombreuses tâches actives ou résidantes
en mémoire. Les serveurs ont également besoin d'espace disque pour stocker les fichiers partagés et pour servir
d'extension à la mémoire interne du système. En résumé, ce sont des ordinateurs qui ont une grande puissance de
traitement et qui sont très robustes afin d'assurer la disponibilité des services réseau. Le tableau 2 récapitule les serveurs
de C.A.F.E I&T.
Tableau 2 : Liste des serveurs matériels et leurs caractéristiques
Types de Caractéristiques matérielles Rôle
serveurs
Serveur rack 1U HPE Processeur : Intel Xeon Serveur de messagerie
ProLiant DL360 G9 E5-2620 v4

Mémoire : 32 Go DDR4 Serveur de Nom +
3.4 GHz Serveur Web +
Disque Dur : 4 x 1To Serveur DHCP
Contrôleur Raid : Oui Serveur Radius

Lecteur : DVD-Rom Serveur de Monitoring (Supervision)
Réseau : 4 x 1GbE
Alimentation : 2 x 500W
Ø Des imprimantes : Outils bureautiques par excellence, les imprimantes peuvent constituées ainsi des noeuds d'un
réseau. Les imprimantes sont recensées dans le tableau 3.
Ø Les équipements d'interconnexions : Ce sont les éléments qui représentent le coeur du réseau dans une architecture.
S'ils sont mal dimensionnés, ils pourront avoir des effets négatifs sur le trafic du réseau, pouvant entrainer la détérioration
de celui-ci. Dans notre cas d'étude, l'infrastructure du réseau local de C.A.F.E I&T ne comporte que deux commutateurs de
12 ports pour l'interconnexion des différents départements et un routeur permettant l'accès à Internet.Ils sont répertoriés
dans le tableau 4.
Tableau 3 : Liste des imprimantes et quelques caractéristiques techniques
Types d'imprimantes Marque Caractéristiques Nombre
matérielles
Imprimante HP Laser 500 feuilles 3
Réseau Jet 1300

Imprimante HP Imprimante, Scanner, Copieuse, Fax 2
Simple
Tableau 4 : Equipements réseau et caractéristiques techniques
Type Marque Caractéristiques matérielles Nombre
d'équipements
Switch CISCO 12 ports, 2
10/100 Fast Ethernet

Routeur CISCO 2900 Gigabits avec 8 ports 1
Séries
8.2.2 Patrimoine logiciel
Il s'agit ici de faire l'inventaire des logiciels ainsi que des différents services ou applications installées. Le principal système
d'exploitation utilisé sur les machines au sein de C.A.F.E I&T est Windows 7 pour les ordinateurs de bureau et Linux pour
les serveurs.
Avant de dresser le tableau (tableau 5) des services installés, il convient d'expliquer et d'expliciter ce que c'est qu'un service
réseau. Les serveurs matériels définis un peu plus haut sont des machines conçues pour recevoir des applications
(logiciels) appelées applications serveurs qui permettent aux autres postes du réseau (machines clientes) d'accéder à des
ressources (imprimantes, fichiers partagés,..) ou à des applications clientes. C'est donc par le terme de services qu'on
désigne les applications installées.
Tableau 5 : Applications du réseau local de C.A.F.E I&T
Applications Rôle Descriptions

SAMBA Contrôleur de domaine + Samba permet de partager des fichiers et les imprimantes dans un
serveur de fichier réseau local
Bind9 Serveur DNS Domain Name System est un service permettant de traduire un nom de
domaine en une adresse IP et inversement
Zimbra Serveur de Messagerie Zimbra un outil de Groupware complet avec agenda, taches et fonctions
Collaborative collaboratives.
Suite
8.2.3 Architecture du réseau informatique
Le réseau local de C.A.F.E I&T sur lequel la solution va être implémentée est constitué des équipements d'interconnexion
(routeur et switch) de l'équipementier Cisco, des dizaines d'ordinateurs qui sont interconnectés avec les paires torsadées de
catégories 6 avec la technologie Ethernet et une sortie vers un réseau Wi-Fi pour les utilisateurs du réseau sans fil.
Notre réseau est constitué de deux switch et un routeur Cisco. Nous disposons des connexions avec les paires torsadées
de catégorie 6 reliant le réseau des serveurs à partir d'un switch et reliant les départements de la direction technique, la
direction financière et comptabilité, la direction générale, la direction commerciale, et le service exploitation grâce au second
switch. L'illustration de cette architecture est représentée par la figure (figure 2.1) suivante :
Figure 2. 1 : Architecture du réseau I.P de CAFE I&T
8.3 Critique de l'existant

L'étude de l'existant de C.A.F.E I&T nous a permis de relever quelques imperfections. Nous pouvons citer :
Ø L'Absence d'un système d'authentification sécurisée pour l'accès à Internet :
En effet, l'accès au réseau sans fil de C.A.F.E I&T se fait actuellement grâce à une authentification par mot de passe
partagé (PSK). Bien qu'il existe sur le réseau un système d'authentification RADIUS, celui-ci ne couvre que le segment des
serveurs et ne prend pas en compte les utilisateurs finaux ayant accès à Internet. Cela reste insuffisant si l'on considère les
risques auxquels la technologie sans fil est exposée aujourd'hui, quand on sait surtout qu'il existe de nombreux logiciels qui
facilitent le contournement des mesures de sécurité basées sur un mot de passe partagé et surtout dans un contexte où
l'Homme (utilisateur) reste toujours un maillon faible. Par ailleurs, la connexion par câble autorise sans contrôle ou sans
authentification des machines externes à la structure, c'est-à-dire qu'un utilisateur qui venait brancher sa machine
personnelle au réseau à partir d'un câble, pouvait se connecter à Internet sans qu'il ne lui soit demandé de s'authentifier.
Ø L'absence des outils de traçabilité des opérations effectuées sur le réseau :
Avec l'authentification par mot de passe, il n'est pas possible de pouvoir reconstituer l'historique des activités effectuées par
les différents utilisateurs sur le système d'information. De même, le pare-feu depar sa nature est incapable de relater en
clair les trafics réseaux des utilisateurs et ne permet pas donc à lui seul de faire une analyse intelligente des activités
suspectes ;
Ø L'utilisation d'un simple pare-feu permettant d'assurer la sécurité des systèmes informatiques
Le pare-feu actuel en exploitation à C.A.F.E I&T filtre les informations en se basant uniquement sur les adresses IP et les
ports comme c'est le cas de tous les pare-feu traditionnels. Il ne prend pas en compte le comportement de l'individu et les
attaques identifiables à partir de leurs signatures, ce qui reste une faille considérable.
8.4 Problématique
Aujourd'hui l'Internet apporte une réelle valeur ajoutée aux entreprises, en permettant la communication avec de nombreux
partenaires, fournisseurs et clients. Ce qui expose les systèmes des entreprises à de nouvelles formes de menaces. Le
véritable défi est la sécurisation du réseau informatique pour conserver un haut degré de fiabilité du trafic sur le réseau. Au
cours de notre stage,suivant les remarques susmentionnées, nous avons constaté des anomalies au niveau de la
sécurisation du réseau de C.A.F.E I&T. On en déduit les risques principaux qui pèsent sur ce dernier à ce jour, notamment
ceux en lien avec l'authentification et la traçabilité. Ce dernier pose entre autres un problème de non-conformité aux
exigences légalesqui pourraient engendrer des conséquences fâcheuses suivant la loi sur la cybercriminalité du 26
Novembre 2018 [24].
Les questions importantes qui méritent une attention particulière sont les suivantes :
Ø Comment C.A.F.E Informatique & Télécommunications peut protéger son réseau des menaces et intrusions ?
Ø Qui doit être connecté au réseau (filaire ou sans fil)?
Ø Que fait-il sur le réseau ?
Ø Qui attaque le réseau et quand est-ce que l'attaque a-t-elle eut lieu ?
Dans l'optique de trouver une solution adéquate à la problématique ainsi posée, il nous a été demandé de faire une étude
en vue d'une mise en place d'un pare-feu open source qui sera associé au pare-feu existant suivant le principe de la
défense en profondeur.
8.5 Objectifs
Au regard des risques identifiés, notre projet est poursuivi dans le but de :
Ø Assurer la disponibilité des ressources réseaux : les informations et services sont accessibles lorsque nécessaire ;
Ø Assurer l'intégrité des données : l'information est authentique et exacte ;
Ø Assurer la confidentialité des données : empêcher la fuite de l'information ;
Ø Assurer la traçabilité des opérations : possibilité de tracer l'intrus et de reconstituer l'historique des opérations effectuées
sur le système d'information;
8.6 Résultats attendus

À la fin de ce projet, un pare-feu doit être mis en place. Les solutions proposées en termes de résultats attendus sont :
Ø Un portail captif pour forcer les utilisateurs à s'authentifier avant l'accès à Internet ;
Ø Un outil capable de superviser l'activité des différents utilisateurs ;
Ø Un outil de détection et de prévention d'intrusion réseau.
8.7 Périmètre du projet

Notre projet s'inscrit dans le cadre d'une étude pour une éventuelle implémentation dans le cas où les résultats obtenus lors
de l'étude sont concluants, c'est pour cela que toutes les fonctionnalités (résultats attendus) du projet doivent être
implémentées. Vue la confidentialité et la portée des données et ressources de C.A.F.E I&T, nous allons juste travailler avec
les informations qui touchent à la sécurité informatique et on essayera de garder certaines informations confidentielles pour
mieux assurer la sécurité du réseau informatique de C.A.F.E I&T. Notre projet a pour but d'assurer la sécurité du réseau
local de C.A.F.E I&T, mais peut également être implémenté dans d'autres institutions, entreprises, organisations qui désirent
sécuriser leur système informatique.
8.8 Méthodologie du travail

Après une étude et analyse poussée de notre situation, l'implémentation d'un pare-feu retiendra notre attention dans le but
de contrôler l'accès au réseau. La démarche méthodologique est la suivante :
Ø Généralités sur les réseaux sans fils et leurs failles dans la sécurité réseau ;
Ø Etude des techniques et outils d'authentification, de supervision et de traçabilité ;
Ø Comparaison des solutions propriétaires et Open Source disponibles afin de faire un choix ;
Ø Présentation de la solution pare-feu retenue ;
Ø Synthèse et choix de la solution retenue
Nous avons présenté les problèmes de sécurité auxquels fait face le réseau informatique local de C.A.F.E I&T. Pour
remédier aux problèmes posés, nous avons opté pour la mise en place d'un pare-feu. Nous avons eu à exposer les
objectifs, les résultats attendus du projet et la démarche méthodologie à suivre. Le prochain chapitre fera un bref aperçu sur
les réseaux informatiques, la sécurité informatique, les menaces et les attaques que subissent les systèmes informatiques
de nos jours ainsi que les mesures de protection.
Chapitre 10 :
GENERALITES SUR LA SECURITE DES RESEAUX

INFORMATIQUES
Chaque ordinateur connecté à Internet et d'une manière plus générale à n'importe quel réseau informatique, est susceptible
d'être victime d'une attaque d'un pirate informatique. Ainsi, il est nécessaire de se protéger de ces attaques réseaux en
installant un dispositif de protection. Dans ce chapitre, nous verrons comment protéger les systèmes efficacement face à
ces menaces. Mais avant cela, il est important, pour comprendre le rôle précis de ces systèmes, de faire un rappel sur les
réseaux informatiques, les menaces, les risques, les principales attaques et les moyens de protection.
11.1 Les réseaux informatiques
11.1.1 Définition
Le réseau informatique est l'interconnexion d'équipements informatiques en vue d'échange et du partage des ressources
(disque dur, imprimantes, données, etc.) et cet ensemble est géré par des logiciels[6].
Le terme générique réseau définit un ensemble d'entités (objet, personnes, ...) interconnectées les unes avec les autres. Un
réseau permet ainsi de faire circuler des éléments matériels ou immatériels entre chacune de ses entités selon des règles
bien définies[7]. Le « Network » ou réseau est l'ensemble des ordinateurs ou périphériques qui sont connectés les uns aux
autres.
11.1.2 Les réseaux sans fil
Un réseau sans fils (en anglais Wireless network) est, comme son nom l'indique, un réseau danslequel au moins deux
terminaux peuvent communiquer sans liaison filaire. A la base, les réseaux sansfil peuvent être vus comme un ensemble de
technologies permettant d'établir un réseau local sansl'utilisation du câblage pour les liaisons entre les ordinateurs. Grâce
aux réseaux sans fils, un utilisateur ala possibilité de rester connecter tout en se déplaçant dans un périmètre géographique
plus ou moinsétendu, c'est la raison pour laquelle on entend parfois parler de "mobilité». Les réseaux sans fils sont basés
sur une liaison utilisant des ondes radioélectriques (radio etinfrarouges) en lieu et place des câbles habituels. Il existe
plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée ainsi que le débit et la portée des
transmissions. Lesprincipales technologies permettant de développer des réseaux sans fil sont celles appartenant aux
normesIEEE 802.11.
On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre géographiqueoffrant une
connectivité (appelé zone de couverture) :
Ø Les réseaux personnels sans fils (WPAN pour Wireless Personal Area Network) : de l'ordre de quelques dizaines mètres.
Ces types de réseau servent généralement à relier des périphériques (imprimante, téléphone portable, appareils
domestiques, ...) ou un assistant personnel (PDA) à un ordinateur sans liaison filaire ou bien à permettre la liaison sans fils
entre deux machines très peu distantes. On peut citer : la technologie Bluetooth, Zigbee, HomeRF,..
Ø Les réseaux locaux sans fils (WLAN pour Wireless Local Area Network) : Ce sont des réseaux permettant de couvrir
l'équivalent d'un réseau local d'entreprise, soit une portée d'environ une centaine de mètres. Ils permettent de relier entre-
eux les terminaux présents dans la zone de couverture. On peut citer comme exemple la technologie Wi-Fi.
Ø Les réseaux métropolitains sans fils (WMAN pour Wireless Metropolitan Area Network) : Ils sontconnus sous le nom de
Boucle Locale Radio (BLR). Les WMAN sont basés sur la norme IEEE 802.16. La boucle locale radio offre un débit utile de
1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine principalement cette technologie aux opérateurs de
télécommunication.
Ø Les réseaux étendus sans fils (WWAN pour Wireless Wide Area Network) : Ils également connu sous le nom de réseau
cellulaire mobile. Il s'agit des réseaux sans fils les plus répandus puisque tous les téléphones mobiles sont connectés à un
réseau étendu sans fils. On peut citer : la technologie GSM, GPRS, ...
11.1.3 Les protocoles réseaux
Comme définition générale, un protocole réseaux est un langage utilisé pour communiquer entre les machines dans un
réseau informatique. On peut citer le protocole ICMP (Internet Control Message Protocol) qui permet de contrôler les erreurs
de transmission et aide au débogage réseau, le protocole IP (Internet Protocol) qui est le protocole de base du réseau
Internet, le protocole TCP (Transmission Control Protocol) qui permet aux applications de communiquer de façon sûre
(grâce au système d'accusés de réception ACK) indépendamment des couches inférieures, le protocole UDP (User
Datagram Protocol) qui permet l'envoi des messages appelés datagrammes en évitant la surcharge du réseau, entre autres.
Le protocole IP est le plus courant des protocoles utilisés.
11.1.4 Faiblesses réseaux

Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux n'aient pas été conçus avec une
prise en compte des problèmes sécuritaires dès le départ. A cela, se rajoute les faiblesses issues de l'erreur humaine. Ainsi,
on peut classifier les faiblesses réseaux comme suit [8]:
Ø Faiblesses des protocoles : les protocoles réseaux n'ont pas été conçus pour contrecarrer les attaques de sécurité
potentielles ; ainsi les protocoles réseaux ne s'appuient pas sur une couche "sécurité" et offrent donc plusieurs vulnérabilités
;
Ø Faiblesses d'authentification : la majorité des protocoles ne s'appuient sur aucun mécanisme d'authentification. Ceci
facilite les attaques se basant sur l'usurpation d'identité comme « IP Spoofing » ;
Ø Faiblesses d'implémentation : certains protocoles sont mal implémentés ou mal programmés ce qui offre certaines
vulnérabilités exploitables comme TCP SYN ou « Ping-of-the-death »;
Faiblesses de configuration : beaucoup d'attaques sont dues à l'erreur humaine qui se manifeste, par exemple par une
mauvaise configuration de pare-feu, des serveurs, des routeurs ou des switchs.
11.2 Les principales attaques
11.2.1 Attaques des réseaux
11.2.1.1 Man in the middle
Encore connu sous le nom de « l'attaque de l'homme du milieu », c'est une attaque qui a pour but d'intercepter les
communications entre deux parties, sans que ni l'une ni l'autre ne puisse douter que le canal de communication entre elles a
été compromis.
Figure 3. 1 : Attaque de Man in the middle[9]
11.2.1.2 Balayage de port
Lebalayage de port ou « port scanning » en anglais, est une technique qui consiste à rechercher les ports ouverts sur un
serveur de réseau. Les pirates utilisent cette technique pour tenter de trouver des failles dans les systèmes. Un balayage de
port effectué sur un système tiers est généralement considéré comme une tentative d'intrusion, car un balayage de port sert
à préparer une intrusion.
11.2.1.3 Attaque par rebond
Les attaques par rebond constituent une famille d'attaques de systèmes informatiques qui consistent à utiliser un ou des
systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché lors d'une intrusion.
Figure 3. 2 : Attaque par rebond[9]
11.2.1.4 Dénis de service (DoS)
Une « attaque par déni de service » (Denial of Service en anglais), est une attaque ayant pour but de rendre indisponible un
service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :
ï L'inondation d'un réseau afin d'empêcher son fonctionnement ;
ï La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
ï L'obstruction d'accès à un service à une personne en particulier.
11.2.1.5 Usurpation d'adresse IP
« L'usurpation d'adresse IP » (également appelé mystification ou en anglais « IP spoofing ») est une technique de piratage
informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur
qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sort
l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.
11.2.2 Attaques des réseaux sans fil
Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples :
11.2.2.1 Le Sniffing
C'est l'attaque la plus classique. Par définition, un réseau sans fil est ouvert, c'est-à-dire non sécurisé. Cette attaque
consiste à écouter les transmissions des différents utilisateurs du réseau sans fil, et de récupérer n'importe qu'elles données
transitant sur le réseau si celles-ci ne sont pas cryptées. Il s'agit d'une attaque sur la confidentialité. Pour un particulier la
menace est faible car les données sont rarement confidentielles. En revanche, dans le cas d'un réseau d'entreprise, l'enjeu
stratégique peut être très important.
11.2.2.2 Le brouillage radio
Les ondes radio sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par
une émission radio ayant une fréquence proche de celle utilisée dans le réseau sans fil. Un simple four à micro-ondes peut
ainsi rendre totalement inopérable un réseau sans fil lorsqu'il fonctionne dans le rayon d'action d'un point d'accès.
11.2.2.3 L'interception des données
Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le
rayon de portée d'un point d'accès peut potentiellement écouter toutes les communications circulant sur le réseau. Pour un
particulier la menace est faible car les données sont rarement confidentielles, si ce n'est les données à caractère personnel.
Pour une entreprise en revanche l'enjeu stratégique peut être très important.
11.2.2.4 Le war driving
Elle consiste à circuler dans des zones urbaines avec un équipement d'analyse Wi-Fi à la recherche des réseaux sans fils «
ouverts ». Il existe des logiciels spécialisés permettant de détecter des réseaux Wi-Fi et de les localiser géographiquement
en exploitant un GPS (Global Positioning System). L'ensemble des informations, relative au réseau découvert, est mis en
commun sur des sites Internet dédiés au recensement. On y trouve généralement une cartographie des réseaux à laquelle
sont associées les informations techniques nécessaires à la connexion, y compris le nom du réseau SSID et éventuellement
la clé WEP de cryptage.
A ces types d'attaques, s'ajoutent le Denis de service et l'usurpation d'adresse IP qui seront décrits dans la partie suivante.
11.2.3 Attaques du système d'exploitation
11.2.3.1 L'écran bleu de la mort
Elle se réfère à l'écran affiché par le système d'exploitation Windows lorsqu'il est au point Fork bombcritique d'une erreur
fatale. En général, la vue de cet écran signifie que l'ordinateur est devenu complètement inutilisable. Pour certains « Black
Hat », leur but est d'arriver à provoquer cet « écran bleu de la mort » sur plus d'ordinateurs possibles.
Une « fork bomb » fonctionne en créant un grand nombre de processus très rapidement afin de saturer l'espace disponible
dans la liste des processus gardés par le système d'exploitation. Si la table des processus se met à saturer, aucun nouveau
programme ne peut démarrer tant qu'aucun autre ne termine. Même si cela arrive, il est peu probable qu'un programme utile
démarre étant donné que les instances de la bombe attendent chacune d'occuper cet emplacement libre. Non seulement les
« fork-bombs » utilisent de la place dans la table des processus, mais elles utilisent chacune du temps processeur et de la
mémoire. En conséquence, le système et les programmes tournant à ce moment-là ralentissent et deviennent même
impossibles à utiliser.
11.2.4 Attaques applicatives
Les attaques applicatives se basent sur des failles dans les programmes utilisés, ou encore des erreurs de configuration.
11.2.4.1 Exploit
Un « exploit » est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de
sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance ou sur la machine sur
laquelle cet exploit est exécuté ; ceci, afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une
augmentation de privilège d'un logiciel ou d'un utilisateur, ou encore d'effectuer une attaque par déni de service.
11.2.4.2 Dépassement de tampon
Un « dépassement de tampon » est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de
l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Lorsque le bug se produit, le
comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système.
Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de sécurité d'un système. Cette
technique est couramment utilisée par les pirates.
11.2.4.3 Un « shellCode »
Un « shellCode » est une chaîne de caractères qui représente un code binaire exécutable. À l'origine destiné à lancer un «
Shell » (interface utilisateur d'un système d'exploitation), le mot a évolué pour désigner tout code malveillant qui détourne un
programme de son exécution normale. Un « shellCode » peut être utilisé par un hacker voulant avoir accès à la ligne de
commande.
11.3 Mise en place d'une politique de sécurité réseau
11.3.1 Définition
Une politique de sécurité réseau est un document générique qui définit les règles à suivre pour les accès au réseau
informatique et pour les flux autorisés ou non, détermine comment les politiques sont appliquées et présente une partie de
l'architecture de base de l'environnement de sécurité du réseau. La mise en place d'une politique de sécurité adéquate est
essentielle à la bonne sécurisation des réseaux et systèmes d'information.
11.3.2 Objectif d'une politique de sécurité
La définition d'une politique de sécurité n'est pas un exercice de style, mais une démarche de toute l'entreprise visant à
protéger son personnel et ses biens d'éventuels incidents de sécurité dommageables pour son activité. La définition d'une
politique de sécurité réseau fait intégralement partie de la démarche sécuritaire de l'entreprise. Elle s'étend à de nombreux
domaines, dont les suivants :
Ø Audit des éléments physiques, techniques et logiques constituant le système d'information de l'entreprise ;
Ø Sensibilisation des responsables de l'entreprise et du personnel aux incidents de sécurité et aux risques associés ;
Ø Formation du personnel utilisant les moyens informatiques du système d'information ;
Ø Structuration et protection des locaux abritant les systèmes informatiques et les équipements de télécommunication,
incluant le réseau et les matériels ;
Ø Ingénierie et maîtrise d'oeuvre des projets incluant les contraintes de sécurité dès la phase de conception ;
Ø Gestion du système d'information de l'entreprise lui permettant de suivre et d'appliquer les recommandations des
procédures opérationnelles en matière de sécurité ;
Ø Définition du cadre juridique et réglementaire de l'entreprise face à la politique de sécurité et aux actes de malveillance,
80% des actes malveillants provenant de l'intérieur de l'entreprise ;
Ø Classification des informations de l'entreprise selon différents niveaux de confidentialité et de criticité.
11.3.3 Les différents types de politique de sécurité
Une politique de sécurité réseau couvre les éléments suivants :
Ø Sécurité de l'infrastructure : couvre la sécurité logique et physique des équipements et des connexions réseaux, aussi
bien internes que celles fournies par des fournisseurs d'accès internet (FAI).
Ø Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux ressources de l'entreprise, ainsi que la
gestion des utilisateurs et de leurs droits d'accès au système d'informations de l'entreprise.
Ø Sécurité du réseau intranet face à Internet ou aux autresparties : couvre la sécurité logique des accès aux
ressources de l'entreprise (Intranet) et l'accès aux ressources extérieures (Extranet).
Pour résumer, la définition d'une politique de sécurité réseau vise à la fois à définir les besoins de sécurité de l'entreprise, à
élaborer des stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des contrôles de
sécurité.
11.4 Les stratégies de sécurité réseau

Après avoir défini les objectifs et les différents types de politiques de sécurité réseau, nous détaillons à présent les
stratégies de sécurité à adopter pour mettre en oeuvre une telle politique. La conception de stratégies de sécurité exige de
prendre en compte l'historique de l'entreprise, l'étendue de son réseau, le nombre d'employés, la sous-traitance avec des
tierces parties, le nombre de serveurs, l'organisation du réseau, etc. D'une manière générale, une bonne stratégie de
sécurité vise à définir et à mettre en oeuvre des mécanismes de sécurité, des procédures de surveillance des équipements
de sécurité, des procédures de réponse aux incidents de sécurité et des contrôles et audits de sécurité. Elle veille en outre à
ce que les dirigeants de l'entreprise approuvent la politique de sécurité de l'entreprise.
11.4.1 Méthodologie pour élaborer une politique de sécurité réseau
Diverses méthodes permettent d'élaborer des stratégies de sécurité. Nous décrivons ici la méthodologie générique à savoir :
Ø Prédiction des attaques potentielles et analyse de risque : La première étape consiste à déterminer les menaces qui
pèsent sur les biens de l'entreprise, ainsi que les impacts de ces menaces sur l'activité de l'entreprise si elles devaient se
concrétiser. Le rapprochement entre les ressources critiques de l'entreprise et les risques de sécurité associés, déterminés
par le triptyque menace/vulnérabilité/conséquence, permet de définir la stratégie sécurité de l'entreprise[8]. Afin de protéger
ses biens critiques des menaces identifiées, l'entreprise doit aussi analyser les techniques d'attaque utilisées pour
enfreindre les contrôles de sécurité ou tirer parti des vulnérabilités. Ce deuxième niveau d'analyse permet de définir des
stratégies de sécurité proactives, visant à diminuer les probabilités d'occurrence des menaces ;
Ø Analyse des résultats et amélioration des stratégies de sécurité : Les différentes simulations sont l'occasion
d'améliorer les contre-mesures de sécurité, voire de les remettre en question. Par exemple, si l'on constate que certains
types d'attaques ne sont pas détectés par un pare-feu, les règles de filtrage définies ou le pare-feu lui-même doivent être
remis en cause. Il faut aussi valider l'efficacité des stratégies de sécurité mises en place face aux simulations exécutées.
Enfin, dans la mesure où la stratégie existante n'a pas apporté de résolution satisfaisante, il est nécessaire de la modifier ou
d'en créer une nouvelle ;
Ø Règles élémentaires d'une stratégie de sécurité réseau : Lors de la conception d'une stratégie de sécurité, il faut
toujours garder à l'esprit quelques règles ou principes élémentaires afin de se prémunir des erreurs possibles dans le choix
de contre-mesures. Voici quelques-uns :
· Simplicité : Plus une stratégie est complexe, plus il est difficile de l'appliquer, de la maintenir dans le temps ou de la faire
évoluer. La simplicité et le pragmatisme sont des critères de réussite d'une stratégie de sécurité ;
· Le maillon le plus faible : Un réseau est composé d'un ensemble d'équipements, ayant ou non une fonction de sécurité
implémentée. Pour qu'une stratégie de sécurité recouvre le périmètre de l'entreprise, il faut s'assurer que toutes les
méthodes d'accès fournissent un même niveau de sécurité, faute de quoi le maillon le plus faible sera privilégié pour
attaquer le réseau d'entreprise ;
· Variété desprotections : La variété des solutions mises en place pour assurer la sécurité ne doit pas se fonder sur un
seul type de logiciel de pare-feu ou de détection d'intrusion ;
· L'implémentation en profondeur des mécanismes desécurité : La sécurité ne doit jamais reposer sur un seul
mécanisme de sécurité. Une imbrication de mécanismes offre une garantie de sécurité bien supérieure, pour peu que le
premier élément de sécurité vienne à faillir[8]. L'implémentation de mécanismes de sécurité en profondeur doit être
comprise et perçue comme une assurance de sécurité à plusieurs niveaux. Plus le système à protéger est critique, plus le
nombre de mécanismes de sécurité doit être important.
11.4.2 Proposition de stratégies de sécurité réseau
Pour proposer une bonne stratégie de sécurité, il faut procéder étape par étape en prenant en compte les éléments suivants
:
11.4.2.1 Stratégie des périmètres de sécurité
Le réseau d'entreprise est découpé en périmètres de sécurité logiques regroupant des entités ou fonctions afin de mettre en
place des niveaux de sécurité à la fois imbriqués et séparés. On définit un périmètre autour du réseau d'entreprise (intranet)
face au réseau Internet. Nous définissons également des périmètres de sécurité pour chacun des sous-réseaux inclus dans
le réseau intranet. L'objectif est de compartimenter le réseau et de créer une imbrication des périmètres de sécurité afin de
rendre plus difficile une pénétration éventuelle.
Cette stratégie des périmètres de sécurité doit être couplée avec celle des goulets d'étranglement, qui vise à mettre en
place un nombre limité de points de contrôle d'accès de ces périmètres.
11.4.2.2 Stratégie des goulets d'étranglement
Des contrôles d'accès différenciés et en nombre limité sont implémentés pour permettre l'accès à chaque périmètre de
sécurité du réseau de l'entreprise. Les contrôles d'accès définissent ce qui est autorisé à rentrer ou à sortir d'un périmètre
de sécurité. Nous partons du postulat que « tout ce qui n'est pas autorisé est interdit ». Les contrôles d'accès définissent par
ailleurs les conditions à respecter pour avoir le droit d'entrer dans le périmètre de sécurité.
11.4.2.3 Stratégie d'authentification en profondeur
Des contrôles d'authentification sont mis en place afin d'authentifier les accès aux périmètres de sécurité. Dans cette
stratégie, des systèmes de contrôle d'authentification sont insérés au sein d'un périmètre de sécurité. Les contrôles
d'authentification des utilisateurs s'effectuent à plusieurs passages, au niveau de la sortie Internet, où chaque utilisateur doit
s'authentifier pour avoir accès à Internet, mais aussi au niveau de chaque serveur pour accéder au réseau interne (serveurs
de fichiers, serveurs d'impression, etc.). Chaque fois qu'un utilisateur s'authentifie, un ticket est créé sur un système chargé
de stocker les traces (logs) afin que le parcours de l'utilisateur soit connu à tout moment de manière précise. Cette logique
peut être généralisée et entraîner la création d'une trace pour chaque action de l'utilisateur sur chaque serveur (création,
consultation, modification, destruction de fichier, impression de document, URL visitée par l'utilisateur, etc.). On parle dans
ce cas de modèle AAA (Authentication, Authorization, Accounting), autrement dit authentification, autorisation et comptabilité
des événements[8].
La mise en place d'une telle infrastructure est toutefois lourde et coûteuse.
11.4.2.4 Stratégie du moindre privilège
La stratégie du moindre privilège consiste à s'assurer que chacun dispose de tous les privilèges et seulement des privilèges
dont il a besoin. Par la stratégie du moindre privilège, la portée de tout acte de malveillance se trouve réduite par défaut aux
privilèges dont dispose la personne qui le commet. Un moyen de renforcer à l'infini cette technique consiste à augmenter le
nombre d'autorisations nécessaires afin qu'une opération soit possible. Le principe est que « Un utilisateur ne dispose que
des privilèges dont il a besoin ». La mise en oeuvre de ce principe simple à énoncer est assez lourde pour l'entreprise en
termes de ressources et de coûts.
11.4.2.5 Stratégie de confidentialité des flux réseau
Tout message qui doit être émis à l'extérieur ou vers d'autres réseaux doit être protégé. Pour y parvenir, le message doit
être chiffré. « Toute communication intersites transitant sur des réseaux publics est chiffrée si elle contient des données
confidentielles »[8]. Cette stratégie est généralement appliquée aux réseaux d'entreprise répartis sur plusieurs sites distants
communiquant entre eux par l'intermédiaire de réseaux publics tels qu'Internet, liaisons spécialisées, etc.
11.4.2.6 Stratégie de contrôle régulier
La stratégie de contrôle régulier consiste à simuler des tentatives de pénétration surprises afin de vérifier le bon
fonctionnement des mécanismes de sécurité. « L'application de la politique de sécurité est validée par un contrôle de
sécurité régulier. » Lorsque l'entreprise s'interconnecte à Internet, elle fait souvent appel à une tierce partie consultante,
censée maîtriser la mise en place de ce service. Comme l'entreprise ne peut juger de la pertinence de la sécurité
implémentée, elle doit faire contrôler régulièrement la sécurité par une tierce partie afin de détecter et de corriger les
faiblesses de sécurité éventuelles.
Après avoir défini les politiques et stratégies de sécurité réseau, il est important de sensibiliser les utilisateurs sur
l'importance du respect de la politique et stratégies de sécurité afin qu'ils soient conscients de leurs responsabilités. Dans la
suite nous détaillons l'ensemble des solutions techniques qu'il est possible de mettre en oeuvre afin de protéger le réseau et
ses services des attaques informatiques.
11.5 Les techniques de parade aux attaques
11.5.1 La cryptographie
La cryptographie permet l'échange sûr des renseignements privés et confidentiels. Un texte compréhensible est converti en
texte inintelligible (chiffrement), en vue de sa transmission d'un poste de travail à un autre. Sur le poste récepteur, le texte
chiffré est reconverti en format intelligible (déchiffrement). On peut également utiliser la cryptographie pour assurer
l'authentification, la non-répudiation et l'intégrité de l'information, grâce à un processus cryptographique spécial appelé
signature numérique. Celle-ci permet de garantir l'origine et l'intégrité de l'information échangée, et aussi de confirmer
l'authenticité d'un document.
11.5.1.1 Cryptographie symétrique
La cryptographie à clé symétrique a très longtemps été utilisée pour le chiffrement de messages confidentiels. Son usage a
été progressivement réduit depuis l'apparition de la cryptographie à clé publique (cryptographie asymétrique) même si les
deux techniques sont encore parfois utilisées conjointement. Dans le chiffrement à clé symétrique ou clé secrète, c'est la
même clé qui sert à la fois à chiffrer et à déchiffrer un message. C'est exactement le même principe qu'une clé de porte :
c'est la même qui sert à ouvrir et à fermer une serrure. Il existe plusieurs algorithmes de cryptographie symétrique dont les
plus utilisés sont :
· Advanced Encryption Standard (AES)ou « standard de chiffrement avancé » en français, aussi connu sous le nom de «
Rijndael ». C'est un algorithme de chiffrement actuellement le plus utilisé et le plus sûr ;
· Data Encryption Standard (DES), est un algorithme de chiffrement symétrique par bloc utilisant des clés de 56 bits. Son
emploi n'est plus recommandé aujourd'hui, du fait de sa lenteur à l'exécution et de son espace de clés trop petit permettant
une attaque systématique en un temps raisonnable ;
· Le Triple DES aussi appelé 3DES est un algorithme de chiffrement symétrique par bloc, enchaînant 3 applications
successives de l'algorithme DES sur le même bloc de données de 64 bits, avec 2 ou 3 clés DES différentes ;
· International Data Encryption Algorithm (IDEA) est un algorithme de chiffrement symétrique par blocs utilisé pour
chiffrer et déchiffrer des données. Il manipule des blocs de texte en clair de 64 bits. Une clé de chiffrement longue de 128
bits (qui doit être choisie aléatoirement) est utilisée pour le chiffrement des données. La même clé secrète est requise pour
les déchiffrer. L'algorithme consiste à appliquer huit fois une même transformation (ou ronde) suivi d'une transformation
finale (appelée demi-ronde) ;
· Blowfish est un algorithme de chiffrement par blocs conçu par Bruce Schneier en 1993. Elle est basée sur l'idée qu'une
bonne sécurité contre les attaques de cryptanalyse peut être obtenue en utilisant de très grandes clés pseudo-aléatoires.
Blowfish présente une bonne rapidité d'exécution excepté lors d'un changement de clé ; il est environ 5 fois plus rapide que
Triple DES et deux fois plus rapide que IDEA. Malgré son âge, il demeure encore solide du point de vue cryptographique
avec relativement peu d'attaques efficaces sur les versions avec moins de tours.
Le principal inconvénient de ce système est le partage de cette clé unique entre les différentes personnes qui en principe
sont les seules qui doivent connaître cette clé. Pour surmonter cette faiblesse, d'autres algorithmes de cryptographie ont été
élaborés, notamment la cryptographie asymétrique.
11.5.1.2 Cryptographie asymétrique
La cryptographie asymétrique appelée également cryptographie à clé publique est une méthode utilisée pour transmettre et
échanger des messages de façon sécurisée en s'assurant de respecter les principes suivants :
Ø Authentification de l'émetteur ;
Ø Garantie d'intégrité ;
Ø Garantie de confidentialité.
Cette technique repose sur le principe de « paire de clés » (ou bi-clés) composée d'une clé dite « privée » conservée
totalement secrète et ne doit être communiquée à personne et d'une clé dite « publique » qui, comme son nom l'indique
peut-être transmise à tous sans aucune restriction. Ces deux clés sont mathématiquement liées. Dans la pratique, la clé
publique sert à crypter les messages, et la clé privée sert à les décrypter. Une fois le message crypté, seul le destinataire
est en mesure de le décrypter. Parlant des algorithmes de la cryptographie asymétrique les plus utilisés, nous pouvons citer
:
Ø Le chiffrement RSA, est le premier système à clé publique solide à avoir été inventé, et le plus utilisé actuellement.
Publié en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman de l'Institut de technologie du Massachusetts (MIT), le RSA
est fondé sur la difficulté de factoriser des grands nombres, et la fonction à sens unique utilisée est une fonction "puissance"
;
Ø Le cryptosystème d'ElGamal, ou chiffrement El Gamal (ou encore système d'El Gamal) est l'oeuvre de Taher ElGamal
et construit à partir du problème de logarithme discret en 1985. Il est en particulier utilisé dans certains logiciels libres de
messagerie ;
Ø DSA signifie Digital Signature Algorithm (Algorithme de Signature Digitale). Il s'agit d'un algorithme inventé en 1991 aux
Etats-Unis par le « National Institute of Standards and Technology (NIST) » et adopté par le « Federal Information
Processing Standard (FIPS) » en 1993. L'algorithme DSA fut utilisé en premier lieu pour signer électroniquement des
données, mais on l'utilise désormais à la fois comme algorithme de signature et de chiffrement dans les certificats SSL[10];
Ø « Elliptic Curve Cryptography » ou ECC (Cryptographie sur les Coubes Elliptiques), est la méthode de chiffrement la
plus récente, elle offre une connexion plus rapide et plus sécurisée que les méthodes RSA et DSA. L'ECC est en effet 12
fois plus puissante que la méthode RSA : un chiffrement 3072 bits avec la méthode RSA correspond à un chiffrement 256
bits en ECC. L'ECC offre également des longueurs de clés plus courtes, qui requièrent moins de bande-passante et de
capacité de stockage. Il s'agit donc d'une méthode beaucoup plus adaptée aux connexions mobiles[11].
11.5.2 La suite de sécurité IPsec
Les différents types de cryptographies présentées dans les sections précédentes sont utilisés dans divers protocoles de
sécurité, tels que IPsec, SSH (Secure Shell), SSL (Secure Sockets Layer), etc. Pour faire face aux faiblesses de sécurité du
protocole IPv4 (faiblesse d'authentification des paquets IP, faiblesse de confidentialité des paquets IP), une suite de
protocoles de sécurité pour IP, appelée IPsec (IP Security), a été définie par l'IETF (Internet Engineering Task Force) afin
d'offrir des services de chiffrement et d'authentification. IPsec est issu d'études menées sur la future génération du protocole
IPv6, appelée IPNG (Internet Protocol Next Generation), afin de faire face, entre autres, à la pénurie future d'adresses IP et
à l'impossibilité d'allouer de la bande passante pour les applications multimédias. Cette suite de sécurité s'impose
aujourd'hui comme une solution majeure pour créer des réseaux privés virtuels, sur Internet par exemple. IPsec offre des
services de contrôle d'accès, d'intégrité des données, d'authentification de l'origine des données, de parade contre les
attaques de type paquets rejoués (replay) et de confidentialité. De plus, il encapsule nativement tous les protocoles IP (TCP,
UDP, ICMP, etc.).
11.5.3 Serveur Proxy
11.5.3.1 Présentation
Un serveur Proxy, aussi appelé serveur mandataire est à l'origine une machine faisant fonction d'intermédiaire entre les
ordinateurs d'un réseau local, utilisant parfois des protocoles autre que le protocole TCP/IP et Internet. Un proxy est donc un
ensemble de processus permettant d'éliminer la connexion directe entre les applications des clients et les serveurs. La
plupart du temps le serveur Proxy est utilisé pour le web, il s'agit alors d'un Proxy HTTP. Toutefois il peut exister des
serveurs Proxy pour chaque protocole applicatif (FTP, etc.).
Figure 3. 3 : Architecture d'un Proxy''[13]
11.5.3.2 Principe de fonctionnement
Le principe de fonctionnement d'un serveur Proxy est assez simple : il établit en lieu et place de l'utilisateur le service
invoqué par celui-ci (FTP, etc.) (Figure 3.5). Ainsi lorsqu'un utilisateur se connecte à l'aide d'une application cliente
configurée pour utiliser un serveur Proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requête.
Le serveur Proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête (le
serveur Proxy contacte le serveur externe sollicité sur internet avec sa propre adresse ou une adresse issue d'un pool
d'adresses IP libres). Le serveur va ensuite donner sa réponse au Proxy, qui va à son tour la transmettre à l'application
cliente[10]. Le Proxy cache de la sorte toute l'infrastructure du réseau local et ne dévoile en aucun cas les adresses des
machines internes (masquage d'adresse).
11.5.3.3 Fonctionnement d'un serveur Proxy
Avec l'utilisation de TCP/IP au sein des réseaux locaux, le rôle de relais du serveur proxy est directement assuré par les
passerelles et les routeurs. Les serveurs Proxys sont toujours d'actualité grâce à un certain nombre d'autres fonctionnalités.
· Cache
La plupart des Proxys assurent ainsi une fonction de cache (caching), c'est-à-dire la capacité à garder en mémoire (en «
cache ») les pages les plus souvent visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus
rapidement possible. En effet, en informatique, le terme de « cache » désigne un espace de stockage temporaire de
données (le terme de « tampon » est également parfois utilisé). Un serveur Proxy ayant la possibilité de cacher (néologisme
signifiant « mettre en mémoire cache ») les informations sont généralement appelé serveur Proxy-cache. Cette
fonctionnalité implémentée dans certains serveurs Proxys permet d'une part de réduire l'utilisation de la bande passante
vers Internet ainsi que de réduire le temps d'accès aux documents pour les utilisateurs. Toutefois, pour mener à bien cette
mission, il est nécessaire que le Proxy compare régulièrement les données qu'il stocke en mémoire cache avec les données
distantes afin de s'assurer que les données en cache sont toujours valides.
· Filtrage
D'autre part, grâce à l'utilisation d'un Proxy, il est possible d'assurer un suivi des connections via la constitution des journaux
d'activités (logs) en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à
Internet. Il est ainsi possible de filtrer les connexions à internet en analysant d'une part les requêtes des clients, d'autre
part les réponses des serveurs. Le filtrage basé sur l'adresse des ressources consultées est appelé filtrage d'URL. Lorsque
le filtrage est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste blanche,
lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. En fin l'analyse des réponses des serveurs conformément
à une liste de critères (mots-clés...) est appelée filtrage de contenu.
· Authentification
Dans la mesure où le Proxy est l'intermédiaire indispensable des utilisateurs du réseau interne pour accéder à des
ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est-à-dire de leur demander de
s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est ainsi aisé de donner l'accès aux
ressources externes aux seules personnes autorisées à le faire et de pouvoir enregistrer dans les fichiers journaux des
accès identifiés. Ce type de mécanisme lorsqu'il est mise en oeuvre pose bien évidement de nombreux problèmes relatifs
aux libertés individuelles et aux droits des personnes.
11.5.3.4 Traduction d'adresse (NAT)
Son principe consiste à modifier l'adresse IP source ou destination, dans l'en-tête d'un datagramme IP lorsque le paquet
transite dans le Pare-feu (Proxy) en fonction de l'adresse source ou destination et du port source ou destination. Lors de
cette opération, le Pare-feu garde en mémoire l'information lui permettant d'appliquer la transformation inverse sur le paquet
de retour. La traduction d'adresse permet de masquer le plan d'adressage interne (non routable) à l'entreprise par une ou
plusieurs adresses routables sur le réseau externe ou sur Internet. Cette technologie permet donc de cacher le schéma
d'adressage réseau présent dans une entreprise derrière un environnement protégé.
Figure 3. 4 : Traduction d'adresse (NAT)''[13]
· Translation statique
Le principe du NAT statique consiste à associer une adresse IP publique à une adresse IP privée interne au réseau. La
passerelle permet donc d'associer à une adresse IP privée (Par exemple 192.168.0.1) une adresse IP publique routable sur
Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation
d'adresse statique permet ainsi de connecter des machines du réseau interne à Internet de manière transparente mais ne
résout pas le problème de la pénurie d'adresse dans la mesure où n adresses IP routables sont nécessaires pour connecter
n machines du réseau interne.
· Translation dynamique
Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre
plusieurs machines en adressage privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de
l'extérieur, la même adresse IP. Afin de pouvoir « multiplexer » (partager) les différentes adresses IP sur une ou plusieurs
adresses IP routables le NAT dynamique utilise le mécanisme de translation de port (PAT, Port Address Translation), c'est-à-
dire l'affectation d'un port source différent à chaque requête de telle manière à pouvoir maintenir une correspondance entre
les requêtes provenant du réseau interne et les réponses des machines sur Internet, toutes adressées à l'adresse IP de la
passerelle.
11.5.3.5 Reverse Proxy
On appelle Reverse-Proxy (en français le terme de relais inverse est parfois employé) un serveur Proxy-cache « monté à
l'inverse », c'est-à-dire un serveur Proxy permettant non pas aux utilisateurs d'accéder au réseau Internet, mais aux
utilisateurs d'internet d'accéder indirectement à certains serveurs internes.
Figure 3. 5 : Reverse Proxy''[13]
Le Reverse-Proxy sert ainsi de relais pour les utilisateurs d'Internet souhaitant accéder à un site web interne en lui
transmettant indirectement les requêtes. Grâce au Reverse-Proxy, le serveur web est protégé des attaques directes de
l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la fonction du cache du reverse-Proxy peut permettre
de soulager la charge du serveur pour lequel il est prévu, c'est la raison pour laquelle un tel serveur est parfois appelé «
accélérateur », (server accelerator). Enfin, grâce à des algorithmes perfectionnés, le Reverse-Proxy peut servir à répartir la
charge en redirigeant les requêtes vers différents serveurs équivalents ; on parle alors de répartition de charge, (load
balancing).
11.5.4 Réseaux privés virtuels
11.5.4.1 Présentation
Il arrive ainsi souvent que les entreprises éprouvent le besoin de communiquer avec les filiales, des clients ou même du
personnel géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus
vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à
l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs.
Ainsi, il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même
détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour
l'organisation ou l'entreprise. La solution consiste à utiliser Internet comme support de transmission en utilisant un protocole
d'encapsulation (tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau
privé virtuel (noté RPV ou VPN, Virtual Private Network) pour désigner le réseau ainsi artificiellement créé. Ce réseau est
dit virtuel car il relie deux réseaux « physiques » (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les
ordinateurs des réseaux locaux de part et d'autre du VPN peuvent voir les données[6].
11.5.4.2 Fonctionnement d'un VPN
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunneling, c'est-à-dire un protocole permettant aux
données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie. L'expression
tunnel chiffré est utilisée pour symboliser le fait qu'entre l'entrée et la sortie du VPN, les données sont chiffrées (cryptées)
et donc incompréhensibles pour toute personne située entre les deux extrémités du VPN, comme si les données passaient
dans un tunnel. Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et
de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant)
l'élément chiffrant et déchiffrant les données du côté de l'organisation.
Figure 3. 6 : Réseau privé virtuel''[13]
De cette façon, lorsqu'un utilisateur a besoin d'accéder au réseau privé virtuel, sa requête va être transmise en clair au
système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va
transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau
local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront
déchiffrées, puis transmises à l'utilisateur.
11.5.4.3 Protocole de tunneling
Les principaux protocoles de tunneling sont les suivants :

Ø PPTP (point-to-point tunneling protocol) est un protocole de niveau 2 développé par Microsoft, 3 Com, Ascend, US
Robotics et ECI Telematics ;
Ø L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est
désormais quasi obsolète ;
Ø L2TP (Layer Two Tunneling Protocole) est l'aboutissement des travaux de l'IETF ( RFC 2661) pour faire converger les
fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 ;
Ø IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les
réseaux IP.
11.5.4.4 Protection des accès
Les accès distants au réseau d'entreprise offrent de nombreuses possibilités de pénétration. Les faiblesses de sécurité
classiques reposent à la fois sur des lacunes d'authentification des utilisateurs et sur des failles des protocoles utilisés pour
ces accès distants. Pour les outils de protection d'accès distant nous avons le SSH et SSL.
· SSH : « Secure Shell »
La commande SSH est une version sécurisée de RSH (« Remote Shell ») et rlogin. Elle se situe au niveau de la couche
application du modèle OSI et permet d'obtenir un interprète de commande (« shell ») distant sécurisé avec un système cible
donné. Le protocole SSH s'insère entre les couches applicatives et la couche réseau TCP afin d'offrir ses services de
sécurité.
· SSL : « Secure Sockets Layer »
Conçu et développé par Netscape, le protocole SSL a été développé au-dessus de la couche TCP afin d'offrir aux
navigateurs Internet la possibilité d'établir des sessions authentifiées et chiffrées. La première version de SSL date de 1994.
La version actuelle est la version 3. Afin de standardiser officiellement le protocole SSL, un groupe de travail TLS («
Transport Layer Security ») a été formé au sein de l'IETF afin de faire de SSL un standard d'internet. SSL s'insère entre les
couches applicatives et la couche réseau TCP afin d'offrir ses services de sécurité.
11.5.5 Sécurité physique des équipements
La sécurité physique vise à définir des périmètres de sécurité associés à des mesures de sécurité de plus en plus strictes
suivant la nature des équipements à protéger. D'une manière générale, tout équipement réseau ou lié au réseau doit être
situé dans des locaux dédiés, réservés au personnel habilité (badge, clé, les carte à puce, etc.). De plus, tous les accès
doivent être archivés à des fins d'investigation en cas d'incident de sécurité. Tout local contenant des équipements de
télécommunications doit être protégé des menaces telles que l'humidité, le feu, les inondations, la température, le
survoltage, les coupures de courant, etc. La localisation d'un tel local doit suivre des règles de sécurité précises. Il est
préférable qu'il ne soit ni au rez-de-chaussée ni au dernier étage d'un immeuble et qu'il ne se situe pas dans une zone
géographique réputée à risque (inondations, orages, etc.). D'autres règles peuvent être définies selon les critères de
sécurité de l'entreprise, telles que le marquage des matériels, un plan de maintenance pour les pièces de rechange, des
normes de sécurité centrales, etc.
La sécurité physique mérite que chaque entreprise s'y attarde, afin de définir une politique de sécurité adaptée pour
protéger ses équipements les plus critiques.
11.5.6 IDS : Intrusion Detection System
Pour présenter le concept d'IDS, nous allons tout d'abord présenter les différentes type d'IDS, chacun intervenant à un
niveau différent ensuite nous étudierons leur mode de fonctionnement, c'est à dire les modes de détection utilisés et les
réponses apportées par les IDS.
11.5.6.1 Définition
« Intrusion Detection System », signifie système de détection d'intrusion. C'est un logiciel, un matériel ou une combinaison
des deux utilisé pour détecter l'activité d'un intrus[15].
11.5.6.2 Les différents types d'IDS
La diversité des attaques utilisées par les pirates et des failles exploitées par ces attaques sur les différents niveaux des
systèmes d'informations justifie l'existence de plusieurs types d'IDS.
On distingue : NIDS, HIDS et les IDS hybrides.
· NIDS: Network Intrusion Detection System
Le rôle essentiel d'un « Network IDS » est l'analyse et l'interprétation des paquets circulant sur un réseau informatique. Ce
type d'IDS écoute tout le trafic réseau, analyse de manière passive les flux et détecte les intrusions en temps réel afin de
générer des alertes.
L'implantation d'un NIDS sur un réseau se fait de la façon suivante : des capteurs sont placés aux endroits stratégiques du
réseau et génèrent des alertes s'ils détectent une attaque. Ces alertes sont envoyées à une console sécurisée, qui les
analyse et les traite éventuellement. Cette console est généralement située sur un réseau isolé, qui relie uniquement les
capteurs et la console sur ce réseau.
Un capteur est une machine dont la carte réseau est configurée en mode « promiscuous ». Pour cela, un capteur possède
en général deux cartes réseaux, une placée en mode furtif sur le réseau, l'autre permettant de le connecter à la console de
sécurité. Du fait de leur invisibilité sur le réseau, il est beaucoup plus difficile de les attaquer et de savoir qu'un IDS est utilisé
sur ce réseau.
· HIDS: Hosted-based Intrusion Detection System
Il s'agit des systèmes de détection d'intrusion basés sur les hôtes. Les HIDS analysent le fonctionnement et l'état des
machines sur lesquelles ils sont installés afin de détecter les attaques en se basant sur des démons de services. L'intégrité
des systèmes est alors vérifiée périodiquement et des alertes peuvent être générées.
Comme ils n'ont pas à contrôler le trafic du réseau, mais "seulement" les activités d'un hôte, ils se montrent habituellement
plus précis sur les types d'attaques subies, par exemple dans le cas d'une attaque réussie par un utilisateur, les HIDS
utilisent deux types de sources pour fournir une information sur l'activité de la machine : les logs et les traces d'audit du
système d'exploitation. Les traces d'audit sont plus précises et détaillées et fournissent une meilleure information.
· Les systèmes de détection d'intrusion hybrides
Ces types d'IDS sont utilisés dans des environnements décentralisés. Ils centralisent les informations en provenance de
plusieurs emplacements (capteurs) sur le réseau. Le but de ce type d'IDS est d'avoir une vision globale sur les composants
constituant un système d'information en permettant une supervision centralisée en matière d'alertes d'intrusions remontées
par les NIDS et les HIDS présents sur l'architecture du réseau supervisé. Les IDS hybrides présentent les avantages des
NIDS et HIDS sans leurs inconvénients avec la normalisation des formats et centralisation des événements.
En dehors des IDS précédents, d'autres types de systèmes de détection d'intrusion ont vu le jour afin de contrer les
nouvelles attaques des pirates, à savoir les systèmes de détection d'intrusion basée sur une application (ABIDS), les
systèmes de détection d'intrusion de noeud réseau (NNIDS).
· ABIDS: Application Based Intrusion Detection System
Les systèmes de détection d'intrusion basés sur une application, sont des IDS sous-groupe des HIDS. Ils ont pour rôle de
contrôler l'interaction entre un utilisateur et un programme. Puisque les ABIDS opèrent entre un utilisateur et une
application, il est beaucoup plus facile de filtrer tout comportement suspect et anormal de l'application surveillée afin de
fournir des informations sur les activités du service proposé par l'application.
· NNIDS: Network Node Intrusion Detection system
Les systèmes de détection d'intrusion de noeud réseau, sont de nouveaux types d'IDS qui fonctionnent comme les NIDS
classiques, c'est-à-dire l'analyse des paquets du trafic réseau. Mais ceci ne concerne que les paquets destinés à un noeud
du réseau (d'où le nom). Une autre différence entre NNIDS et NIDS vient de ce que le NIDS fonctionne en mode «
promiscuous », ce qui n'est pas le cas du NNIDS. Celui-ci n'étudie que les paquets à destination d'une adresse ou d'une
plage d'adresses. Puisque tous les paquets ne sont pas analysés, les performances de l'ensemble sont améliorées.
De nouveaux types d'IDS sont conçus actuellement, comme les IDS basés sur la pile, qui étudient la pile d'un système. Le
secteur des IDS est en plein développement, le besoin des entreprises en sécurité réseaux étant de plus en plus pressant,
du fait de la multiplication des attaques. Actuellement, les IDS les plus employés sont les NIDS et HIDS, de plus en plus
souvent en association. Les ABIDS restent limités à une utilisation pour des applications extrêmement sensibles. Nous
allons à présent étudier le mode de fonctionnement d'un IDS.
11.5.6.3 Mode de fonctionnement d'un IDS
Il faut distinguer deux aspects dans le fonctionnement d'un IDS : le mode de détection utilisé et la réponse apportée par
l'IDS lors de la détection d'une intrusion.
Pour la détection, il existe deux modes de détection qui sont l'approche par scénario ou approchepar signature basée
sur un modèle constitué des actions interdites contrairement à l'approche comportementale qui est basé sur un modèle
constitué des actions autorisées.
De même, il existe deux types de réponses qui sont la réponse passive et la réponse active. Nous allons tout d'abord
étudier les méthodes de détection d'un IDS, avant de présenter les réponses possibles à une attaque.
· Méthode de détection
Il faut noter que la reconnaissance de signature est le mode de fonctionnement le plus implémenté par les IDS présents sur
le marché. Cependant, les nouveaux produits tendent à combiner les deux méthodes pour la détection d'intrusion.
Ø La détection d'anomalies : Les détecteurs d'intrusion comportementaux reposent sur la création d'un modèle de
référence qui représente le comportement de l'entité surveillée en situation de fonctionnement normale. Ce modèle est
ensuite utilisé durant la phase de détection afin de pouvoir mettre en évidence d'éventuelles déviations comportementales.
Pour cela, le comportement de l'entité surveillée est comparé à son modèle de référence. Le principe de cette approche est
de considérer tout comportement n'appartenant pas au modèle de comportement normal comme une anomalie
symptomatique d'une intrusion ou d'une tentative d'intrusion.
Ø Approche par signature : Dans cette approche, les détecteurs d'intrusion reposent sur la création d'une base de motifs
qui représente des scénarios d'attaque connus au préalable et qui sera utilisé par la suite, le plus souvent en temps réel, sur
les informations fournies par les sondes de détection. C'est donc un système de reconnaissance de motifs qui permet de
mettre en évidence dans ces informations la présence d'une intrusion connue par la base de signature.
Une fois une attaque détectée, un IDS a le choix entre deux types de réponses : réponse passive et réponse active.
· Réponses passive et active
Les types de réponses d'un IDS varient suivant les IDS utilisés. La réponse passive est disponible pour tous les IDS et la
réponse active est moins implémentée.
Ø Réponse passive : la réponse passive d'un IDS consiste à enregistrer les intrusions détectées dans un fichier de log qui
sera analysé par l'administrateur ;
Ø Réponse active : la réponse active, au contraire, a pour but de stopper une attaque au moment de sa détection. Pour
cela on dispose de deux techniques : la reconfiguration du « firewall » et l'interruption d'une connexion TCP.
11.5.7 IPS : Intrusion Prevention System
Pour présenter le concept d'IPS, nous allons tout d'abord présenter les différents types d'IPS, chacun intervenant à un
niveau différent ensuite nous étudierons leur mode de fonctionnement.
11.5.7.1 Définition
Les systèmes de prévention d'intrusions sont des systèmes de détection d'intrusions particuliers qui permettent, en plus de
repérer les tentatives d'intrusion à un système, d'agir pour contrer ces tentatives. En effet, les IPS constituent des IDS actifs
qui tentent de bloquer les intrusions. Pour mieux comprendre le concept d'IPS, nous étudierons le mode de fonctionnement
des IPS et présenterons les différents types d'IPS.
11.5.7.2 Mode de fonctionnement
Un système IPS est placé en ligne et examine en théorie tous les paquets entrants ou sortants. Il réalise un ensemble
d'analyses de détection, non seulement sur chaque paquet individuel, mais également sur les conversations et motifs du
réseau, en visualisant chaque transaction dans le contexte de celles qui précèdent où qui suivent. Si le système IPS
considère le paquet inoffensif, il le transmet sous forme d'un élément traditionnel de couches 2 ou 3 du réseau. Les
utilisateurs finaux ne doivent en ressentir aucun effet. Cependant, lorsque le système IPS détecte un trafic douteux il doit
pouvoir activer un mécanisme de réponse adéquat en un temps record[16].
11.5.7.3 Différents types d'IPS
Tout comme les IDS, on distingue plusieurs types d'IPS tels que :
Ø Les HIPS
« Host-based Intrusion Prevention System », sont des IPS permettant de surveiller le poste de travail à travers différentes
techniques, ils surveillent les processus, les drivers, entre autres. En cas de détection de processus suspect le HIPS peut le
tuer pour mettre fin à ses agissements.
Ø Les NIPS
« Network Intrusion Prevention System », un NIPS est un logiciel ou matériel connecté directement à un segment du
réseau. Il a comme rôle d'analyser tous les paquets circulant dans ce réseau.
Ø Les KIPS
Il s'agit de « Kernel Intrusion Prevention System » ou systèmes de prévention d'intrusions au niveau du noyau. Grâce à un
KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant ainsi toute modification dangereuse pour le
système. Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut ainsi interdire
l'exécution du code. Le KIPS peut également interdire le système d'exploitation d'exécuter un appel système qui ouvrirait un
Shell de commandes. Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution. C'est pourquoi ce sont des
solutions rarement utilisées sur des serveurs souvent sollicités.
11.5.8 Pare-feu
Un pare-feu, (appelé aussi Coupe-feu, Garde-barrière) l'anglais « firewall », est un logiciel et/ou un matériel qui inspecte les
paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles
appelées ACL (« Access Control List »). Il enregistre également les tentatives d'intrusions dans un journal transmis aux
administrateurs du réseau et permet de contrôler l'accès aux applications et d'empêcher le détournement d'usage. Un pare-
feu dans un réseau a pour but de déterminer le type de trafic qui sera acheminé ou bloqué, de limiter le trafic réseau et
accroître les performances, contrôler le flux de trafic, fournir un niveau de sécurité d'accès réseau de base, autoriser un
administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau, filtrer certains hôtes afin de leur
accorder ou de leur refuser l'accès à une section de réseau. Il s'agit ainsi d'une passerelle filtrante comportant au minimum
les interfaces réseau (cartes réseau) suivantes :
Ø Une interface pour le réseau à protéger (réseau interne) ;
Ø Une interface pour le réseau externe.[12]
Figure 3. 7 : Pare-feu''[13]
11.5.8.1 Les différents types de filtrage
· Filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (stateless packet filtring). Il analyse les en-
têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine
extérieure.
Ainsi, les paquets de données échangés entre une machine du réseau extérieur et une machine du réseau interne transitent
par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le pare-feu :
Ø Adresse IP de la machine émettrice ;
Ø Adresse IP de la machine réceptrice ;
Ø Type de paquet (TCP, UDP, etc.) ;
Ø Numéro de port (rappel : un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le
type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
· Filtrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui
correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de
session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services initient une connexion sur un
port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la
machine faisant office de serveur et la machine client.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir des ports à laisser passer ou à interdire. Pour y
remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI,
permettant d'effectuer un suivi des transactions entre le client et le serveur.
· Filtrage applicatif
Le filtrage applicatif permet comme son nom l'indique de filtrer les communications application par application. Ce filtrage
opère donc au niveau 7 (couche application) du modèle OSI. Le filtrage applicatif suppose donc, une connaissance des
applications présentes sur le réseau, et notamment de la manière dont les données sont échangées (ports, etc.).
Un pare-feu effectuant un filtrage applicatif est appelé généralement passerelle applicative (ou Proxy), car il sert de relais
entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy
représente donc un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les attaques à leur
place. De plus, le filtrage applicatif permet la destruction des en-têtes, précédant le message applicatif, ce qui permet de
fournir un niveau de sécurité supplémentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du réseau,
pour peu qu'il soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une grande
puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être
finement analysé. Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et
connaître les failles afférentes pour être efficace.
11.5.8.2 Les différentes catégories de pare-feu[12]
Depuis leur création, les pare-feu ont grandement évolué. Ils sont effectivement la première
solution technologique utilisée pour la sécurisation des réseaux. De ce fait, il existe maintenant
différentes catégories de pare-feu. Chacune d'entre-elles disposent des avantages et des inconvénients quilui sont propres.
Le choix d'un type de pare-feu plutôt qu'un autre dépendra de l'utilisationque l'on souhaite en faire, mais aussi des
différentes contraintes imposées par le réseau devant êtreprotégé.
· Pare-feu sans états (stateless)
Ce sont les pare-feu les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôlede chaque paquets
indépendamment des autres en se basant sur les règles prédéfinies parl'administrateur (généralement appelées ACL,
Access Control Lists).Ces pare-feu interviennent sur les couches réseau et transport. Les règles de filtrages
s'appliquentalors par rapport à une des adresses IP source ou destination, mais aussi par rapport à un port sourceou
destination.
· Pare-feu à états (stateful)
Les pare-feu à états sont une évolution des pare-feu sans états. La différence entre ces deux typesde pare-feu réside dans
la manière dont les paquets sont contrôlés. Ils prennent encompte la validité des paquets qui transitent par rapport aux
paquets précédemment reçus. Ilsgardent alors en mémoire les différents attributs de chaque connexion, de leur
commencementjusqu'à leur fin, c'est le mécanisme de « stateful inspection ». De ce fait, ils seront capables de traiter
lespaquets non plus uniquement suivant les règles définies par l'administrateur, mais également parrapport à l'état de la
session :
Ø NEW : Un client envoie sa première requête ;
Ø ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW ;
Ø RELATED : Peut-être une nouvelle connexion, mais elle présente un rapport direct avec uneconnexion déjà connue ;
Ø INVALID : Correspond à un paquet qui n'est pas valide.
· Pare-feu applicatif
Le pare-feu applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative) fonctionne sur la couche 7 du modèle
OSI. Cela suppose que le pare-feu connaisse l'ensemble des protocolesutilisés par chaque application. Chaque protocole
dispose d'un module spécifique à celui-ci. C'est à dire que, par exemple, le protocole HTTP sera filtré par un processus
proxy HTTP.Ce type de pare-feu permet alors d'effectuer une analyse beaucoup plus fine des informations qu'ilsfont
transiter. Ils peuvent ainsi rejeter toutes les requêtes non conformes aux spécifications duprotocole. Ils sont alors capables
de vérifier, par exemple, que seul le protocole HTTP transite àtravers le port 80. Il est également possible d'interdire
l'utilisation de tunnels TCP permettant decontourner le filtrage par ports. De ce fait, il est possible d'interdire par exemple
aux utilisateursd'utiliser certains services, même s'ils changent le numéro de port d'utilisation des services (commepar
exemple les protocoles de peer to peer).
· Pare-feu authentifiant
Les pare-feu authentifiant permettent de mettre en place des règles de filtrage suivant les utilisateurset non plus uniquement
suivant des machines à travers le filtre IP. Il est alors possible de suivrel'activité réseau par utilisateur.Pour que le filtrage
puisse être possible, il y a une association entre l'utilisateur connecté et l'adresseIP de la machine qu'il utilise. Il existe
plusieurs méthodes d'association. Par exemple authpf, quiutilise SSH, ou encore NuFW qui effectue l'authentification par
connexion.
· Pare-feu personnel
Les pare-feu personnels sont installés directement sur les postes de travail. Leur principal but est decontrer les virus
informatiques et logiciels espions (spyware).Leur principal atout est qu'ils permettent de contrôler les accès aux réseaux des
applicationsinstallées sur la machines. Ils sont capables en effet de repérer et d'empêcher l'ouverture de ports pardes
applications non autorisées à utiliser le réseau.
· Portail Captif
Les portails captifs sont des pare-feu dont le but est d'intercepter les usagers d'un réseau de consultation afin de leur
présenter une page web spéciale (par exemple : avertissement, charte d'utilisation, demande d'authentification, etc.) avant
de les laisser accéder à Internet. Ils sont utilisés pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive
des moyens d'accès. On les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires
ou Wi-Fi[12].
11.5.8.3 Zone démilitarisée (DMZ)
Les systèmes pare-feu (Firewall) permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique,
les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité différentes. C'est la raison pour
laquelle il est nécessaire de mettre en place des architectures de systèmes pare-feu permettant d'isoler les différents
réseaux de l'entreprise : on parle ainsi de cloisonnement des réseaux (le terme isolation est parfois également utilisé).
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, serveur de
messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part,
accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de
l'entreprise. On parle ainsi de Zone démilitarisée (notée DMZ, Demilitarised Zone) pour désigner cette zone isolée
hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à
protéger et le réseau hostile.
Figure 3.7: Exemple d'une zone démilitarisée''[13]
La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :
Ø trafic du réseau externe vers la DMZ autorisé ;
Ø trafic du réseau externe vers le réseau interne interdit ;
Ø trafic du réseau interne vers la DMZ autorisé ;
Ø trafic du réseau interne vers le réseau externe autorisé ;
Ø trafic de la DMZ vers le réseau interne interdit ;
Ø trafic de la DMZ vers le réseau externe interdit.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y
stocker des données critiques de l'entreprise.
11.5.8.4 Limite des systèmes pare-feu
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au
contraire. Les pare-feu n'offrent une protection que dans la mesure où l'ensemble des
communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont
correctement configurées. Ainsi, les accès au réseau extérieur par contournement du pare-feu
sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du
réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du
pare-feu.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur

sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement
préjudice à la politique de sécurité globale.Enfin, afin de garantir un niveau de protection maximal, il est nécessaire
d'administrerle pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecterles tentatives
d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer uneveille de sécurité (en s'abonnant aux alertes de
sécurité) afin de modifier le paramétrage deson dispositif en fonction de la publication des alertes[18].
11.6 Recherches d'informations et synthèses

Pour pouvoir s'approprier cette solution, il est d'une grande importance de comprendre le fonctionnement d'un pare-feu et
les autres concepts qui tournent autour de ce dernier.
11.6.1 Principe de fonctionnement d'un pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
Ø D'autoriser la connexion [ allow] ;
Ø De bloquer la connexion [ deny] ;
Ø De rejeter la demande de connexion sans avertir l'émetteur [ drop ].
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité
adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant''[13] :
Ø Soit d'autoriser uniquement les communications ayant été explicitement autorisées : « tout ce qui n'est pas explicitement
autorisé est interdit » ;
Ø Soit d'empêcher les échanges qui ont été explicitement interdites.
La première méthode est sans doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des
besoins en communication.
11.6.2 Facteurs à considérer pour l'implémentation d'un pare-feu en entreprise
La façon de configurer un pare-feu et de le gérer est tout aussi importante que les
capacités intrinsèques qu'il possède.
Toutefois, lorsque le choix s'impose, on prendra en considération les critères suivants :
Ø La nature, le nombre des applications appréhendées (FTP, messagerie, HTTP, SNMP,

vidéoconférence, etc.),
Ø Type de filtres, niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité decombiner ces niveaux),
Ø Facilités d'enregistrement des actions et des événements pour audits future,
Ø Les outils et facilités d'administration (interface graphique ou lignes de commandes,

administration distante après authentification de gestionnaire, etc.),
Ø Simplicité de configuration et de mise en oeuvre,
Ø Sa capacité à supporter un tunnel chiffré permettant éventuellement de réaliser un réseau

privé virtuel (VPN pour Virtuel Private Network),
Ø La disponibilité d'outils de surveillance, d'alarmes, d'audit actif ;
Ø L'existence dans l'entreprise de compétences en matière d'administration du système

d'exploitation du pare-feu ;
Ø Son prix.
11.6.3 Proposition de solutions pare-feu
On retrouve sur le marché comme solutions pare-feu, des « Appliances » (matériels et logicielsdéjà prêt pour l'usage) et des
logiciels (qui nécessitent une installation et configuration). Il fautégalement noter que certains pare-feu sont propriétaires
etd'autres viennent du monde des logiciels libres.Afin de déterminer la solution qui convient au mieux à notre situation, nous
présenterons danscette partie certaines solutions commerciales et Open Source.
11.6.3.1 Quelques solutions propriétaires
Les solutions propriétaires sont proposées par des éditeurs de logiciels ou des constructeurs
d'équipements informatiques. Du coté des solutions commerciales, les principaux acteurs du
marché sont :
Tableau 6 : Prix des solutions commerciales [22]
Pare-feu Type Prix en euros (par an)

Avast Internet Security Propriétaire 49.99
GlassWire Propriétaire 44.92
Kaspersky Propriétaire 46.59
Internet Security
Norton Security Standard Propriétaire 39.99
ZoneAlarm PRO Firewall Propriétaire 29.95
11.6.3.2 Quelques solutions libres
Les pare-feu du domaine libre n'ont rien à envier aux pare-feu commerciaux. Nous présenterons dans cette parie certaines
solutions open source à savoir : Smoothwall Express, IPCop, m0n0wall, PFSense et NuFW.
· Smoothwall Express
Smoothwall est un projet qui a été initié au Royaume-Uni à l'été 2000 par Lawrence Manning (principal développeur de
code) et Richard Morrell (Manager du projet). Leur idée de base était de créer une distribution Linux qui pouvait convertir un
ordinateur personnel en un équipement pare-feu Il faut noter que la distribution Smoothwall est Open Source et distribué
sous licence GPL. C'est un système d'exploitation basé sur RedHat Linux (devenu plus tard Fedora Core Project).Parmi les
acquis de la communauté Smoothwall, nous citerons surtout l'attribution en 2008 du prix du meilleur pare-feu Open Source
des BOSSIES (Best Open Source Software Awards) à Smoothwall Express.
Les fonctionnalités assurées par défaut par Smoothwall Express sont les suivantes :
· Possibilité d'administration via une interface web.
· Consultation de l'état de la machine sur laquelle est installé le pare-feu (état de la mémoire et les disques durs).
· supervision du trafic réseau en temps réel sur les différentes cartes.
· services de proxy web, SIP, POP3, NAT
· service dhcp, dns, NTP
· accès distant via SSH.
· système de détection d'intrusions.
· de trafic et QoS,.....
· IPCop
IPCop est à l'origine un fork de Smoothwall Express. Ceci signifie qu'IPCop est basé sur linux Red hat. La première version
est sortie en décembre 2001. Aujourd'hui on est à la version 1.4.21, qui a été mise à disposition du grand public en Juillet
2008. IPCop est distribué sous licence GPL. Il fonctionne aussi sur du matériel non propriétaire.
IPCop partage avec Smoothwall plusieurs fonctionnalités et s'en démarque par d'autres. Par exemple, IPCop ne propose
pas de proxy IM ou de proxy POP3. Il supporte par contre le « VLAN trunking » définit par la RFC 802.1Q, le protocole
Telnet et le protocole d'encapsulation de niveau 2 L2TP. La supervision de trafic en temps réel n'est aussi pas possible sur
IPCop. Plusieurs fonctionnalités peuvent être ajoutées au pare-feu IPCop via des add-on afin de mieux le personnaliser.
· M0n0wall
M0n0wall est un système d'exploitation pare-feu libre basée sur le noyau FreeBSD et non pas linux. La particularité de
m0n0wall est qu'il est le premier système d'exploitation de type UNIX démarrant à partir d'une séquence de boot basée
exclusivement sur des fichiers d'extension .php au lieu des scripts shell classiques. M0n0wall est aussi le premier pare-feu à
stocker l'intégralité de sa configuration dans un unique fichier (de type xml).
M0n0wall est destiné à être embarqué sur une appliance. Il existe aussi sous forme de live-CD. Les possibilités
d'exploitations sont ainsi réduites afin de pouvoir alléger le système pour qu'il soit facilement portable sur du matériel... On
ne trouve par exemple pas d'IDS ou d'IPS qui demandent des ressources mémoires plutôt élevées. On ne trouve pas aussi
de serveur FTP, proxy, serveur de temps, analyseur de log...
· PFSense
PFSense est le descendant de m0n0wall. C'est donc un système d'exploitation pare-feu basé sur le noyau FreeBSD et sur
le module de filtrage « ipfw ». La configuration de PFSense est stockée dans un seul fichier xml à l'instar de m0n0wall. La
séquence de démarrage est aussi fondée sur des fichiers php.
Néanmoins, PFSense n'est pas vraiment orienté à l'embarqué. Ceci explique la panoplie de fonctionnalités offertes par cette
distribution. Par rapport à m0n0wall (son ancêtre), Pfsense offre en plus les possibilités suivantes :
· Common Address Redundency Protocol (CARP) et PFsync (synchronisation entre machines PFSense)
· Possibilités d'alias étendue (alias pour interfaces réseau, utilisateurs...).

· Configuration XML de synchronisation entre maître et hôte de backup permettant de faire un point unique d'administration
pour un cluster pare-feu. La synchronisation est assurée via XML-RPC.
· Equilibrage de charge (load balancing) pour les trafics entrant et sortant.
· Graphes montrant les statuts des files d'attentes.
· Support du protocole SSH pour l'accès distant.
· Support de multiples interfaces réseaux WAN.
· Serveur PPPoE.
· Vyatta Community Edition
La solution pare-feu de la société Vyatta existe en deux exemplaires. Le premier est payant, le second est libre. On note
que la version commerciale est plus souvent maintenue et mise à jour que la solution libre (environ une mise à jour tous les
six mois). Le produit commercialisé est en outre toujours stable ce qui n'est pas forcément le cas pour la version libre,
dénommée Vyatta Community Edition et dont la dernière version est la version 5.0 issue en Mars 2009.
Au sujet des fonctionnalités, on peut dire que Vyatta Community Edition se distingue des autres produits libres qu'on vient
d'énumérer. En effet et comme cité ici, Vyatta Community Edition offre des services de haute disponibilité, beaucoup plus de
services de routage, possibilités de VPN SSL... Bref, toutes les fonctionnalités qu'on trouve dans les produits Cisco (ou
presque) sont présentes dans la solution Vyatta. A noter la présence d'un IPS (système de prévention d'intrusions) au lieu
d'un simple IDS (système de détection d'intrusions).
11.6.3.3 Comparaison des solutions libres
Nous présentons ci-dessous un tableau comparatif des différentes solutions pare-feu libre qu'on vient de présenter. Notez
aussi que « x » signifie que la fonctionnalité est présente et que le signe « _ » signifie qu'elle est absente :
Tableau 7: Comparaison de quelques solutions libres [23]
Services Solutions
Smoothwall Express Vyatta Community IPCop PFSense M0n0wall
Proxy X X X Ajouter Squid _
web
Proxy IM, POP3, SIP X _ _ _ _
DNS X X X X X
VPN, WebGUI via HTTP X _ X X X
Possibilité de détection d'intrusions X _ X X _
A partir du tableau 7, on constate que deux produits ressortent de cette recherche : PFSense et
Smoothwall Express. Ce sont tous les deux des outils libres. Les avantages de pfsense sont sa popularité, sadisponibilité
sur plusieurs systèmes d'exploitation et sa communauté très active. Parmi les solutions informatiques existantes pour la
mise en place d'un pare-feu, notre choix s'est porté sur pfsense.
11.6.4 Synthèse et choix de la solution de sécurisation pour C.A.F.E I&T
11.6.4.1 Présentation générale de pfsense
Développé par Chris Buechler et Scott UlIrich, Pfsense ou « Packet Filter Sense » est un
applicatif qui fait office de routeur/pare-feu open source basé sur le système d'exploitation
FreeBSD. Il est une reprise du projet Monowall auquel il rajoute ses propres fonctionnalités. Il utilise le pare-feu à
états Packet Filter, des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il peut
fonctionner sur du matériel de serveur ou domestique, sur des solutions embarquées, sans toutefois demander beaucoup
de ressources ni de matériel puissant. La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être
supportées à l'avenir. Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires. Pfsense convient pour la sécurisation d'un réseau domestique ou de petite entreprise. C'est
une distribution dédiée qui peut être installée sur un simple poste de travail, un serveur ou même sur un boîtier en version
embarquée. Ce qui séduit chez Pfsense est sa facilité d'installation et de configuration des outils d'administration réseau.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à distance depuis
l'interface web et gère nativement les VLAN (802.1q)[18].
La distribution Pfsense met ainsi à la disposition de l'administrateur réseau une multitude

d'outils open source et de services permettant d'optimiser ses tâches. Pfsense assure une compatibilité multi-plates-formes,
une personnalisation complète des pages accessibles aux utilisateurs ainsi qu'une simplicité d'utilisation grâce à une page
de connexion succincte où on ne retrouve que deux champs (utilisateur / mot de passe).
Figure 3.8: Logo de pfsense[19]
11.6.4.2 Aperçu des fonctionnalités
Pfsense, un routeur/pare-feu open source dispose plusieurs fonctionnalités. Parmi celles-ci, on peut noter [18]:
Ø Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP
· Capable de limiter les connexions simultanées sur une base de règle ;
· Pfsense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d'exploitation qui initie la connexion ;
· Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle ;
Ø Network Address Translation (NAT) :
Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour les adresses IP
individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP
WAN. Dans le cas de connexions WAN multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN
utilisée. NAT réflexion : dans certaines configurations, NAT réflexion est possible si les services sont accessibles par IP
publique à partir de réseaux internes.
Ø Basculement base sur CARP et pfsync
Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe d'hôtes sur un même segment
réseau de partager une adresse IP. Le nom CARP est en fait un sigle qui signifie « Common Address Redundancy
Protocol » (Protocole Commun De Redondance D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol »
utilisé pour faire de la répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce
protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte IPv4 et IPv6, et a le numéro
de protocole 112. Il est supporté par pfsense
Ø Pfsync :
Pfsync assure la table d'état du pare-feu qui est répliquée sur tous les pare-feu configurés de basculement. Cela signifie que
vos connexions existantes seront maintenues dans le cas d'échec, ce qui est important pour prévenir les perturbations du
réseau.
Ø Load Balancing/ Répartition de charge :
La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour assurer la répartition de charge et
des capacités de basculement. Le trafic est dirigé vers la passerelle souhaitée ou le groupe d'équilibrage local.
Ø VPN
Pfsense offre quatre options de connectivité VPN : IPSec, OpenVPN, PPTP et L2TP.
Ø Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de
fournisseurs de services DNS dynamiques.
Ø Captive Portal
Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès au réseau. Ceci est
communément utilisé sur les réseaux de points chauds (Hot Spots), mais est également largement utilisé dans les réseaux
d'entreprise pour une couche supplémentaire de sécurité sur l'accès sans fil ou Internet. Ce qui suit est une liste des
fonctionnalités du portail captif de Pfsense.
11.6.4.3 Position de pfsense
Etant donné que l'architecture réseau sera modifiée, il convient ici de montrer quelle sera la nouvelle disposition des
équipements dans le réseau. Vu que C.A.F.E I&T s'intéresse aux menaces provenant du réseau internet, on propose
d'ajouter au pare-feu existant un second pare-feu (Pfsense) de nature différente du premier mais jouant également le rôle
d'un routeur. Donc avec ces deux pare-feu, on dispose de deux couches de sécurité (de manière qu'au cas où un premier
pare-feu est compromis, que le second ne l'est pas), ce qui est recommandé en ce qui concerne une protection en
profondeur. Par ailleurs, le pare-feu initial est replacé sur le segment du réseau des serveurs (pour se protéger des
utilisateurs) et remplacé par le second pare-feu qui est à présent positionné juste derrière le routeur central.
Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T
11.6.5 Recommandations pour un pare-feu en entreprise
Sans vouloir être exhaustive, voici quelques directives contribuant à sécuriser un

environnement Internet :
Ø Un pare-feu doit être protégé et sécurisé contre des accès non autorisés (notion de systèmede confiance possédant un
système d'exploitation sécurisé) ;
Ø Tous les trafics entrants et sortants doivent passer par le pare-feu ;
Ø Seul le trafic défini par la politique de sécurité comme étant valide et autorisé peut
traverser le pare-feu ;
Ø Si les données du réseau interne sont vraiment sensibles, il faut alors accéder à Internet pardes machines détachées du
réseau interne ;
Ø Un pare-feu ne peut pas protéger l'environnement à sécuriser contre des attaques ou des
accès illicites qui ne passent pas par lui. Il n'est d'aucune efficacité en ce qui concerne desdélits perpétrés à l'intérieur de
l'entreprise ;
Ø Un pare-feu n'est pas un anti-virus, il faut donc le protéger de manière complémentaire

contre des infections virales.
Au cours de ce chapitre, nous avons pris connaissance des différents aspects liés à la sécurité des réseaux informatiques ;
nous avons découvert les attaques qui menacent cette dernière et comment se protéger afin de réduire les intrusions et
attaques des pirates ; nous avons étudié les Pare-feu en effectuant une étude comparative et une présentation de l'outil de
la mise en place qui est pfsense. La sécurité des systèmes informatiques est vitale pour le bon fonctionnement des
systèmes d'information. Il est donc nécessaire d'assurer sa protection. Dans le chapitre suivant, nous débuterons la mise en
place du pare-feu pfsense.
Chapitre 13 :
MISE EN OEUVRE
Ce chapitre constitue le corps essentiel de ce mémoire, dans lequel nous allons
clôturer la mise en place de Pfsense. Nous effectuons le paramétrage de quelques packages
qu'il présente, et ce, en effectuant les tests nécessaires à la vérification de la sécurité au
niveau des multiples échanges effectués sur le réseau.
14.1 Nouvelle architecture

Afin de remédier aux diverses lacunes du réseau de C.A.F.E I&T, il s'avèrenécessaire de penser à améliorer l'architecture
du réseau déjà existant, pour offrir un niveau desécurité bien meilleur que le précédent et de disposer d'un système de
« Backup ». Ainsi nousavons proposé une nouvelle architecture du réseau différente de l'ancienne comme le montre lafigure
5.1 :
Figure 4. 1 : Nouvelle architecture du réseau local de C.A.F.E I&T
Comme nous pouvons le remarquer, la figure 5.1 présente une différence par rapport à la figure 2.1. Nous pouvons noter la
présence du pare-feu pfsense juste derrière le routeur central qui a pour but d'analyser et de filtrer les paquets sortants et
entrants, d'authentifier les utilisateurs, de superviser les activités et de détecter les intrusions sur le réseau.
14.2 Préparation de l'environnement de travail

Vu l'importance des informations et des services fournis par les serveurs de C.A.F.E I&T, nous allons travailler dans un
environnement virtuel avec VMware. Nous allons créer quatre (04) machines virtuelles qui sont :
Ø Pfsense : C'est sur cette machine que nous allons installer Pfsense. Ses caractéristiques sont les suivantes :
· Mémoire RAM : 1.5 Go ;
· Nombre de processeurs : 2 ;
· Disque dur : 40Go ;
· Nombre de cartes réseaux : 2 (1 pour servir de passerelle par défaut d'un réseau et l'autre pour fournir l'Internet) ;
· Système d'exploitation : FreeBSD.
Ø Attaquant : Cette machine sera utilisée pour faire des tests d'attaque sur le réseau afin de tester le fonctionnement de la
partie détection d'intrusion fonctionnant sous Pfsense. Ses caractéristiques sont les suivantes :
· Mémoire RAM : 1Go ;
· Nombre de cartes réseaux : 1 (utilisées pour se connecter au réseau) ;
· Système d'exploitation : Kali Linux (pour son efficacité en matière de test d'intrusions).
Ø Client 1 : Cette machine sera utilisée pour simuler un utilisateur normal dans le réseau interne disposant des paramètres
de connexions. Ses caractéristiques sont les suivantes :
· Système d'exploitation : Windows 7
Ø Client 2 : Cette machine sera également configurée comme unsecond utilisateur normal dans le réseau interne .Ses
caractéristiques sont les suivantes :
· Disque dur : 20 Go ;
· Système d'exploitation : Ubuntu 16.04
14.3 Les éléments de mise en oeuvre

Pour arriver à la mise en oeuvre de notre solution, nous avions subdivisé le travail en cinq (5) étapes à savoir :
· Installation de l'outil Pfsense ;
· Configuration de Pfsense (configuration des interfaces, du serveur DHCP et du firewall) ;
· Configuration du portail captif avec le package Free Radius pour l'authentification ;
· Installation et configuration du package Ntopng pour la supervision et le contrôle de la bande passante ;
· Installation et configuration du package Snort et téléchargement du oinkcode pour la détection et blocage des activités
suspectes sur le réseau.
14.4 Installation de Pfsense

Pfsense peut fonctionner sur du matériel de serveur ou domestique, sur des solutions embarquées, sans toutefois
demander beaucoup de ressources ni de matériels puissants. Pfsense fonctionne sur des architectures x86 ou x64, avec au
moins un processeur 500 Mhz, 256 Mo de mémoire vive et un stockage de 1 Go avec 2 cartes réseaux comme
configuration minimale requise[18].
Pour une mise en oeuvre pratique, nous allons pas à pas étaler les différentes étapes de l'installation. En effet, on peut
utiliser le logiciel de deux façons : installer directement sur le disque dur ou utiliser le logiciel via un live CD sans l'installer.
Pour notre cas, l'installation se fera sous une machine virtuelle VMware 15. La version de Pfsense utilisée dans ce mémoire
est le 2.4.4.
Tout d'abord, il faut se rendre sur le site http://www/pfsense.org afin de récupérer l'image ISO à graver sur CD pour installer
Pfsense : pfSense-CE-2.4.4-RELEASE-amd64.iso
Puisqu'on a déjà gravé l'image, on boot sur le CD et on arrive aux menus suivant :
Figure 4. 2 : Ecran de démarrage de l'installation de Pfsense
On laisse le système démarrer de lui-même et après quelques secondes, on arrive à l'écran suivant :
Figure 4. 3 : Début de l'installation de Pfsense
On accepte le type d'installation puis en validant par la touche « Entrée ».
A présent, il est question de configurer le type de clavier pour le système. On défile le curseur vers le bas pour sélectionner
la langue française puis revenir sur « continue with default keyMap » après on valide par la touche « Entrée ».
Figure 4. 4 : Configuration du type de clavier de Pfsense
Le choix suivant porte sur le type de partitionnement du disque spécifié pour l'installation de Pfsense. On laisse le choix par
défaut en validant pour un partitionnement automatiquesur « Auto (UFS) ».
Figure 4. 5 : Partitionnement de l'espace disque de Pfsense
Après, toutes ces étapes préliminaires, on procède maintenant au redémarrage du système pour que ça prenne en compte
toutes nos manipulations.
Figure 4. 6 : Fin de l'installation de Pfsense
Si l'installation s'est bien déroulée, la machine démarre sur le nouveau système, et après configuration des différentes
interfaces on obtient l'écran suivant :
Figure 4. 7 : Menu de configuration de Pfsense
14.5 Configuration de Pfsense
14.5.1 Configuration générale
La configuration du pare-feu Pfsense peut se faire soit en console ou à partir d'une interface web. Nous avons configuré
Pfsense à partir de l'interface web pour plus de convivialité. Pour se faire, on connecte un PC à l'interface LAN de Pfsense.
Commençons par ouvrir un navigateur web et entrons l'adresse IP LAN de la machine (Pfsense) dans la barre d'adresse :
http://ip_pfsense. Dans notre cas, nous ferons http://192.168.25.1 pour accéder à l'interface de connexion (figure 5.8) où il
est demandé d'entrer un nom d'utilisateur et un mot de passe. On se connecte à l'interface de Pfsense entrant les
paramètres par défaut : le nom d'utilisateur (admin) et le mot de passe (pfsense) pour se connecter en tant
qu'administrateur[20].
Figure 4. 8 : Portail d'administration de Pfsense
On accède au menu général de Pfsense (figure 5.9) qui donne les informations globales sur le logiciel (version, date de
sortie, version du noyau, le nombre d'interfaces connectées, etc.) :
Figure 4. 9 : Tableau de bord de l'interface d'administration de Pfsense
14.5.2 Paramètres généraux de Pfsense
Pour le paramétrage général, allons dans l'onglet System, puis General Setup pour voir la configuration générale de
Pfsense. Entrons ici le nom de la machine, le domaine et l'adresse IP du serveur DNS (dans notre cas le nom : pfsense-
NAC, domaine : cafe.test, l'IP du DNS : 192.168.25.1). Ensuite modifions le nom et le mot de passe permettant de se
connecter à Pfsense.
Figure 4. 10 : Paramétrage général de Pfsense
14.5.3 Configuration des interfaces
14.5.3.1 Interface WAN
Dans l'onglet Interfaces, sélectionnons WAN puis activons l'interface en cochant « Enable Interface » ; sélectionnons
ensuite le type d'adressage Static ou DHCP. Ici, nous avons assigné une adresse dynamique. Puis laissons les autres
paramètres par défaut. Cette étape est représentée par la figure 5.11 :
Figure 4. 11 : Configuration de l'interface WAN
14.5.3.2 Interface LAN
Il faut maintenant activer l'interface LAN de la même manière qu'on l'a fait avec le WAN mais cette interface doit être
nécessairement en « Static » pour le type d'adressage car, étant celle sur laquelle sera activée le serveur DHCP, il faut que
son adresse soit fixée. Ceci est illustré par la figure suivante :
Figure 4. 12 : Configuration de l'interface LAN
14.5.3.3 Configuration du serveur DHCP
Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allons
dans l'onglet « Service », puis dans la section « DHCP server » cochons la case « Enable DHCP server on LAN
interface ». Ensuite, nous allons entrer la plage d'adresses IP qui sera attribuée aux clients. Avant d'activer le service
DHCP, on s'assure qu'aucun serveur DHCP n'est activé sur le réseau afin d'éviter les conflits d'adresse. Nous avons par la
suite entré l'adresse IP du serveur DNS, le nom de domaine qui sera attribué aux clients, la passerelle puis les autres
paramètres sont laissés par défaut (figure 5.13).
Figure 4. 13 : Configuration du serveur DHCP
14.5.4 Définition des règles du firewall
Pfsense étant un pare-feu, il faut définir certaines règles élémentaires sur les interfaces pour leur permettre de
communiquer entre elles. Par défaut, on trouvera avec Pfsense un trafic totalement bloqué sur l'interface WAN et un trafic
entièrement autorisé sur le LAN. Il ne faut cependant pas toucher aux règles sur l'interface WAN, du moins seulement pour
autoriser un accès à un trafic entrant via un VPN ou pour une DMZ par exemple.
14.5.4.1 Coté WAN
Pour l'interface WAN, il faut tout simplement ajouter les deux règles suivantes en plus des deux règles déjà créées :
Figure 4. 14 : Règles sur l'interface WAN
14.5.4.2 Coté LAN
Etant donné que tout est autorisé en terme de trafic sur le LAN, il est judicieux de mettre en place une règle qui bloque tout
le trafic puis créer des règles qui autorisent un à un les protocoles ou les ports.
Dans l'onglet Firewall/Rules/LAN, par défaut il y a 3 règles créées par Pfsense, nous allons ensuite créer une règle qui
bloque tout le trafic.
Figure 4. 15 : Règles sur l'interface LAN

14.6 Portail captif de Pfsense
14.6.1 Présentation d'un portail captif
Un portail captif est une structure permettant un accès rapide à Internet. Lorsqu'un utilisateur cherche à accéder à une page
Web pour la première fois, le portail captif capture la demande de connexion par un routage interne et propose à l'utilisateur
de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page Web stockée
localement sur le portail captif grâce à un serveur HTTP. La connexion au serveur est sécurisée par SSL grâce au protocole
HTTPS, ce qui garantit l'inviolabilité de la transaction. Les identifiants de connexion (identifiant, mot de passe) de chaque
utilisateur sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois
l'utilisateur authentifié, les règles du firewall le concernant sont modifiées et celui-ci se voit alors autorisé à utiliser son accès
pour une durée limitée par l'administrateur. A la fin de la durée définie, l'utilisateur se verra redemander ses identifiants de
connexion afin d'ouvrir une nouvelle session[18].
14.6.2 Paramètres généraux du portail captif de pfsense
Pour activer le portail captif sur l'interface LAN de Pfsense, allons à l'onglet « Service » puis dans la section « Captive
portal ». Ensuite, cochons la case « Enable Captive portal », puis choisissons l'interface sur laquelle le portail captif va
écouter. Ici, nous avons choisi LAN puisque nous voulons que les utilisateurs de notre réseau local passent par le portail
captif pour aller sur Internet. Dans les options suivantes, il faut d'abord définir le nombre de clients demandant la page
d'authentification à la fois, ensuite le temps au bout duquel le client sera automatiquement déconnecté s'il est inactif et le
temps au bout duquel, il sera déconnecté quel que soit son état puis se voir redemander les paramètres d'authentification.
Ensuite, il est également possible d'activer ou non une fenêtre popup qui va servir aux clients de se déconnecter, de
rediriger un client authentifié vers une URL spécifiée, sinon il est redirigé vers la page demandée initialement. Nous avons
choisi de rediriger le client vers l'URL suivante : http://www.cafe.tg.
Figure 4. 16 : Activation du portail captif de Pfsense
Pour configurer le portail captif nous distinguons de plusieurs options. On distingue également des paramètres (Pass-
through MAC) servant à définir les adresses MAC autorisées à traverser Pfsense sans authentification, à définir les noms
d'hôtes autorisés à traverser Pfsense sans authentification (Allowed IP address) et d'autre servant à définir des groupes
d'utilisateurs autorisés à se connecter à Pfsense. En revanche, ces paramètres ne sont pas utilisés à l'étape actuelle de
notre étude.
Nous avons à la figure suivante (figure 5.17), la représentation du portail captif de Pfsense avec l'utilisateur `testuser' qui
vient de se connecter au réseau :
Figure 4. 17 : Page d'accueil du portail captif de Pfsense (page par défaut)
Il faut noter qu'on peut aussi modifier l'apparence de la page d'authentification avec des thèmes, couleurs et images.
14.6.3 Authentification du portail captif de Pfsense
L'authentification est un point essentiel de Pfsense puisqu'elle définit l'autorisation d'accès vers l'extérieur ; une sorte de
portail physique fermée accessible par clé. Ainsi, trois méthodes d'authentification sont offertes :
Ø Sans authentification (No authentification) : les clients sont libres, ils verront le portail mais il ne leur sera pas demandé
de s'authentifier ;
Ø Authentification via un fichier local (Local User Manager) : les paramètres des comptes utilisateurs sont stockés dans
une base de données locale au format XML ;
Ø Authentification via un serveur RADIUS (RADIUS authentification) : à ce niveau, nous avons le choix entre utiliser un
serveur embarqué Free Radius et utiliser un serveur RADIUS distant du serveur Pfsense.
Pour ce projet, nous avons testé les trois types d'authentification avec succès et nous avons retenu l'authentification
RADIUS embarqué car non seulement cela permet de gérer un grand nombre d'utilisateurs, mais aussi pour des raisons de
sécurité. A ce stade, le portail est déjà accessible, c'est-à-dire que pour un utilisateur qui se connecte au réseau local à
partir de son navigateur demandant une page web, sera redirigée vers la page captive qui lui demandera de s'authentifier
avant d'avoir accès à la page demandée initialement.
14.6.3.1 Authentification par RADIUS
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données
d'authentification. Le client RADIUS appelé NAS (Network Access Server) fait office d'intermédiaire entre l'utilisateur final et
le serveur. C'est le standard utilisé aujourd'hui surtout par les fournisseurs d'accès car il est très malléable et très sécurisé.
Pfsense intègre un paquet radius libre (FreeRadius) couplé avec une base de données pour stocker les informations des
utilisateurs. Mais on peut aussi utiliser une base de données externe pour stocker les données des utilisateurs, de même
qu'on peut utiliser un serveur RADIUS distant. Dans tous les cas, le serveur d'authentification (RADIUS) sera l'intermédiaire
entre le portail captif et la base de données (locale ou distante). Pour la phase de test, nous avons exploité le second cas
c'est-à-dire installer un serveur embarqué FreeRadius sur le serveur Pfsense.
Pour installer le paquet FreeRadius sur Pfsense, allons dans l'onglet « System », puis « Package Manager », puis
« Available Package », puis « FreeRadius ». Après l'installation (ici nous avons installé FreeRadius2), la configuration se
fait en quatre étapes :
Ø D'abord configurer l'interface d'écoute (ici LAN) : pour cela allons dans l'onglet « Service », puis « FreeRadius », puis
dans le sous onglet Interfaces. Le symbole « + » permet d'ajouter de nouvelles interfaces ; puis entrons l'adresse IP de
l'interface (LAN), puis enregistrons ;
Ø Ensuite ajoutons un client NAS : alors dans l'onglet « NAS/Client » entrons l'adresse IP LAN de notre Pfsense et les
autres paramètres ;
Ø Ensuite créons un compte utilisateur pour tester la configuration : alors dans l'onglet « Users », cliquons sur le symbole
« + » pour ajouter un nouveau compte utilisateur puis entrons un nom d'utilisateur et un mot de passe.
Ø Enfin nous allons renseigner le type d'authentification dans la rubrique `System > User Manager', dans notre cas c'est le
type `Radius'.
Et pour tester la configuration, il suffit d'aller dans « Diagnostic », puis « Authentification » et de renseigner les
informations (username, password et authentification server) pour valider le test.
14.6.3.2 Gestion des comptes utilisateurs sous Pfsense
Pour ajouter un compte avec l'authentification Radius, allons dans l'onglet « Service », puis « FreeRadius », puis « Users »
pour entrer les paramètres du compte.
Figure 4. 18 : Création de l'utilisateur "client1" avec authentification FreeRadius
14.6.4 Sécurité du portail captif[18]
Dans cette partie, il est question d'une part de sécuriser l'accès à l'interface web de configuration de Pfsense par le
protocole SSL et d'autre part de permettre un cryptage des mots de passe des utilisateurs pour assurer une certaine
confidentialité des transactions après authentification. Pour se faire, l'utilisation d'un certificat est plus que nécessaire. Un
certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) est vu comme une carte d'identité
numérique. Il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrée les échanges.
Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (virtuel). Le standard le
plus utilisé pour la création des certificats numériques est le X.509.
Ainsi, le certificat va permettre de crypter les données échangées entre le navigateur et le serveur d'authentification
Pfsense. Pour la sécurisation de l'accès à l'interface Web, allons dans l'onglet System>Advanced de la figure (suivante),
puis dans la session Admin Access pour activer le service HTTPS avec son numéro de port 443 (SSL) dans TCP port.
Figure 4. 19 : Activation de la sécurisation par HTTPS pour l'accès au portail captif
De même pour crypter les mots de passe des utilisateurs et les échanges après leur authentification, il faut créer un
certificat pour pouvoir activer HTTPS. Ce qui se fait en trois étapes : choix du type de certificat, création et téléchargement
du certificat puis activation du certificat sur le portail. Pour se faire, allons dans l'onglet « System » puis « Cert Manager »
(figure 4.20)
Figure 4. 20 : Activation du certificat d'authentification
Après le téléchargement du certificat, allons dans « Service » puis « Captive Portal » pour l'insérer avec sa clé. Cochons
ensuite « Enable HTTPS login » en donnant le nom du serveur HTTPS (HTTPS server Name).
Figure 4. 21: Importation du certificat d'authentification et de sa clé privée

A présent, le portail autorisera l'accès aux pages web sécurisées et sa sécurité semble renforcée dans la mesure où la
récupération des mots sur le réseau est quasiment impossible. Cependant pour le test nous n'avons pas utilisé de certificat
car la plupart sont payants mais nous espérons que l'entreprise se dotera de certificat en cas d'une mise en place.
14.7 Contrôle de la bande passante
Chapitre 15 : Introduction à la QoS

Le QoS (acronyme de « Quality of Service», en français « Qualité de Service ») désigne la capacité à fournir un service
(notamment un support de communication) conforme à des exigences en matière de temps de réponse et de bande
passante. C'est la capacité à véhiculer dans de bonnes conditions un type de trafic donné, en termes de disponibilité, de
débit, de délai de transmission, de gigue, de taux de perte de paquet. La mise en place de la QoS peut se faire sur la base
de nombreux critères mais dans notre cas elle va se baser sur la consommation de la bande passante. La qualité de service
se réalise au niveau de la couche 3 du modèle OSI. Elle doit donc être configurée sur les routeurs ou la passerelle reliée à
Internet. Ainsi, Pfsense étant aussi doté de fonction de routeur, des paquets y sont intégrés pour la gestion de la bande
passante. Ce sont entre autres :
Ø Traffic Shapper qui permet de contrôler le volume des échanges sur le réseau ;
Ø Bandwitch qui liste les usages du réseau et construit des fichiers HTML sous forme de graphique et de résumés ;
Ø Pftop qui donne une vue en temps réel des connexions au pare-feu, et la quantité de données qui sont envoyées et
reçues. Il peut aider à identifier les adresses IP qui utilisent actuellement de la bande passante ;
Ø Ntopng qui permet aussi d'avoir vue globale sur la consommation de la bande passante, les activités des utilisateurs du
réseau.[18].
Cet outil sera exploité par la suite pour sa simplicité d'administration.
15.1.1 Présentation de Ntopng
Ntopng est un applicatif libre écrit de manière portable afin de pouvoir fonctionner sur toutes les plateformes Unix. Il permet
d'avoir une vue globale sur la consommation de la bande passante, il est capable de détecter jusqu'à ou les connexions ont
été faites par les ordinateurs locaux et combien de bandes passantes ont été utilisées sur des connexions individuelles. Il
fait partie des paquets disponibles sur Pfsense et nous l'avons à cet effet exploité.
15.1.2 Installation de Ntopng
Comme l'installation de tout autre paquet de Pfsense, se connecter sur l'interface de Pfsense à partir du LAN, le WAN étant
connecté à Internet, puis dans l'onglet System >Package Manager>Available Package (figure 4.22) pour voir les paquets
disponibles et sélectionner Ntopng pour l'installer.
Figure 4. 22 : Installation des paquets de Ntopng
15.1.3 Configuration du service Ntopng
Une fois l'installation terminée, il faut se rendre dans l'onglet Diagnostics>Ntopng Settings de la figure (suivante) pour
initialiser Ntopng et lancer le service correspondant. Les paramètres disponibles ici sont moindres, et permettent seulement
de configurer le mot de passe administrateur pour accéder à la configuration avancée de Ntopng, ainsi qu'à l'interface
d'écoute.
Figure 4. 23 : Configuration du mot de passe de Ntopng
Désormais, Ntopng est accessible à l'adresse suivante : Erreur ! Référence de lien hypertexte non valide. (mais aussi en
cliquant directement sur le bouton « Access ntop » ci-dessus, ou encore via le menu Pfsense Diagnostic > Ntopng).Voici
comment se présente l'interface d'authentification de Ntopng :
Figure 4. 24 : Interface d'administration de Ntopng
En se connectant à cette adresse, nous accédons aux statistiques générales de notre réseau comme :
Ø Des informations concernant Ntopng (interface d'écoute, le nom de domaine, etc.) ;
Ø Un apport concernant le trafic sur l'interface d'écoute (paquet, trafic ou la charge) ;
Ø La répartition totale des protocoles, etc.
Figure 4. 25 : Activités d'un utilisateur connecté grâce à Ntopng

Sur l'interface de Ntopng, se trouvent beaucoup d'autres options qui ne sont pas détaillées ici, mais restent relativement
simples et sont fonction des besoins personnels.
15.2 Détection d'intrusion
15.2.1 Présentation de Snort
Snort est un système de détection d'intrusion libre qui peut fonctionner comme IDS (NIDS ou HIDS) et IPS (NIPS ou HIPS)
crée par Martin Roesch. Il est actuellement développé par Sourcefire. Snort analyse le réseau, le trafic en temps réel, et
peut logger des paquets. Les alertes peuvent être logger sous forme de logs, elles peuvent être également stockées dans
une base de données. Snort permet une normalisation des principaux protocoles mis en oeuvre dans les réseaux IP (TCP,
UDP, ICMP), ainsi que les protocoles les plus courants (SMTP, POP, IMAP, http, SSL, etc.). Nous allons à cet effet exploité
Snort car c'est un outil qui peut être installé sur un pare-feu dans le but d'analyser en temps réel les paquets qui circulent
sur les intervalles de celui-ci.
15.2.2 Installation et configuration de Snort
Sur l'interface de Pfsense, allons dans l'onglet System>Package Manager et installons le paquet snort :
Figure 4. 26 : Installation des paquets de SNORT
Snort utilise des règles pour effectuer ses analyses. Pour utiliser ces règles, nous avons utilisé un code Oinkmaster. Pour
cela, nous avons procédé par la création d'un compte sur http://snort.org/, afin de pouvoir récupérer le code Oinkcode pour
prédéfinir ses règles en temps voulu.
Figure 4. 27 : Code oinkcode délivré après enregistrement sous Snort
Une fois l'installation de Snort terminée, allons ensuite dans l'onglet Services >Snort>Global Settings et activons Snort
VRT et collons le code Oinkmaster puis dans l'onglet « Updates », on clique sur « Update rules » pour la mise à jour des
règles. Toutes les règles ainsi téléchargées et mises à jour sont regroupées sous forme de catégories dans l'onglet « WAN
Categories ».
Pour entamer la configuration, nous avons activé Snort sur nos interfaces d'écoute. Notre cas est illustré par la figure
suivante :
Figure 4. 28 : Activation de Snort sur l'interface WAN
Une fois l'interface d'écoute activée, on poursuit toujours notre configuration par rapport aux différents types de signatures
qui protégeront notre réseau, ainsi s'achève la configuration. Ici, le choix sera fait en cause des objectifs définis par
l'entreprise.
Nous concernant, afin de tester l'efficacité de la solution, nous nous contentons de la règle « scan.rules » qui nous
permettra de détecter et bloquer un attaquant effectuant un scan de port sur un hôte distant.
15.2.3 Test de la solution
Comme décrit précédemment, nous pouvons le remarquer à la figure 4.29 que notre environnement de travail est un
environnement virtuel constitué de quatre (04) machines virtuelles et d'une machine physique sur laquelle les machines
virtuelles sont créées. Nous allons effectuer les tests d'intrusions en intranet, car nous ne disposons pas d'adresse IP public
pour assigner aux machines virtuelles afin d'effectuer des attaques depuis internet. En plus de cela, effectuer une attaque
depuis internet nécessite des compétences d'un « hacker ».
Figure 4. 29 : Architecture virtuelle de l'environnement de test
Le test va se reposer sur le schéma de la figure présenté précédemment. Un Attaquant va effectuer un scan de port Nmap
sur le routeur/pare-feu Pfsense. Pendant toute la durée, l'Attaquant effectue en parallèle du scan de port un ping vers
Pfsense, afin de vérifier en permanence la connectivité vers Pfsense et clairement mettre en avant le moment où il sera
bloqué par Snort. Une capture du scan est représentée par la figure 4.30 :
Figure 4. 30 : Scan de port effectué par la machine `Attaquant'
Une fois le scan de port lancé, Snort peut très rapidement constater des alertes. Allons à l'onglet Services>Snort >Alert ;
on a des informations sur l'origine de l'attaque comme : l'adresse IP source, Protocole utilisé, date, etc.
Figure 4. 31 : Alertes renseignées par Snort
15.3 Evaluation financière

Il est d'autant plus important d'évaluer un projet en termes de coût. Ceci permettra à l'entreprise de réserver un budget
conséquent pour le bon déploiement du projet. Dans cette session, nous allons évaluer les coûts en tenant compte des
ressources matérielles, de la main d'oeuvre (coûts liés à l'implémentation) et de la formation des utilisateurs du système.
Les coûts liés à l'implémentation ont été établis en tenant compte de la durée exacte de la mise en place du système et non
de la durée du stage. Pour les couts de la formation, ils sont liés à la formation des administrateurs réseaux de C.A.F.E
Informatique & Télécommunications sur Pfsense.
Nous proposons un Serveur HP ProLiant DL360 Gen9 avec les caractéristiques suivantes :
- 8 Go RDIMM de type DDR4 StartMemory ;
- Processeur Intel Xeon E5-2603v4 1.7GHz ;
- 15Mo de mémoire cache avec six coeurs pour des performances optimisées ;
- Un kit d'alimentation HPE 550W intégré en usine.
v Coûts liés à l'achat du matériel
Tableau 8 : Achat des matériels
Matériel Quantité Prix Unitaire (FCFA) Montant (CFA)

Serveur HPE ProLiant DL360 Gen9 01 1.500.000 1.500.000[21]
Adaptateur PCI Express vers RJ 45 01 2.500 2.500
Total (1) 1.502.500
v Coûts liés à l'implémentation
Tableau 9 : Coût de l'implémentation
Nombre de Durée d'implémentation Prix Horaire Prix Total

personnes (FCFA) (CFA)
1 Le projet sera réalisé sur une période de 20 jours ce qui fait 100 2.500 250.000
heures à raison de 5 heures par jour
Total (2) 250.000
v Coûts liés à la formation
Tableau 10 : Coût de la formation
Nombre de personnes Durée de la formation Coût de la formation (FCFA)

1 5 jours en raison de 5heures par jour 125.000
Total (3) 125.000
v Coûts lié à la maintenance

Tableau 11 : Coût d'entretien du serveur
Nombre de Durée de la maintenance préventive Coûts de la

personnes maintenance (FCFA)
1 La maintenance s'effectuera une fois en chaque 2 mois en raison de 4 300.000
heures de travail par jour sur une période de 12 mois
Total (4) 300.000
v Evaluation du cout total du projet
Le coût de la réalisation du projet est la somme des coûts liés à l'achat des matériels, coûts liés à l'implémentation, coûts
liés à la formation sur l'utilisation de Pfsense et les coûts liés à l'entretien de l'outil mis en place.
Cout Total = Total (1) + Total (2) + Total (3) + Total (4)
= 1.502.500 + 250.000 + 125.000 + 300.000
= 2.177.500
Ce qui fait que le coût du projet s'élève à 2.177.500 F.CFA
En conclusion, ce chapitre a été consacré à la mise en place de Pfsense. Cet outil se distingue particulièrement des autres
pare-feu par sa forte popularité et son efficacité. C'est un gestionnaire central d'outils réseaux. On peut ainsi faire travailler
ensemble un pare-feu, un routeur, un système de détection d'intrusion, un portail captif, etc. Nous avons utilisé dans ce
chapitre une stratégie de détection et de prévention d'intrusion en se servant de la solution libre Snort, une stratégie de
supervision réseaux à l'aide de Ntopng et une autre pour l'authentification , Free Radius.
Chapitre 17 : CONCLUSION GENERALE

Il est démontré au cours de ce travail la faisabilité de la mise en place d'un pare-feu à l'aide de l'outil Pfsense de manière à
pouvoir mettre en place une politique de sécurité efficace du réseau informatique. Le problème était de savoir s'il est
possible de surveiller les activités des différents utilisateurs en les forçant à s'authentifier, de superviser et de vérifier l'état
des utilisateurs et filtrer les paquets entrants et ou sortants, de connaitre la source et la cible d'une éventuelle attaque, ou
même d'avoir l'historique des intrusions. Pour apporter une solution à ces inquiétudes, nous avons analysé les objectifs à
atteindre qui sont de disposer d'un système capable de détecter les intrusions réseaux, d'authentifier les utilisateurs tout en
contrôlant l'accès aux différentes ressources et de filtrer les accès. Pour atteindre ces objectifs, nous avons pris
connaissance des réseaux informatiques, des différents types d'attaques, des techniques de protection des systèmes
informatiques, des différents types de pare-feu. Nous avons également étudié Pfsense qui est l'outil retenu pour la mise en
place. Pour assurer son efficacité, il a fallu installer et configurer des outils complémentaires comme le Free Radiusun
système d'authentification, Snort un outil de détection et de prévention d'intrusion et Ntopng, un outil de supervision de la
bande passante utilisateur et de leurs activités.
Cependant comme n'importe quel pare-feu, Pfsense présente également quelques insuffisances, par exemple on note la
non disponibilité en IPv6 et l'incapacité de filtrage applicatif. Pfsense étant capable de fournir plusieurs services, sa force va
dépendre des différents services qui lui sont intégrés. Comme perspective à ce travail, nous préconisons de faire une
configuration de Traffic shapper pour le partage de la bande passante, une amélioration de l'authentification à l'utilisation
du 2FA (Authentification double facteur) et de mettre en place un système dans le but de pouvoir notifier l'administrateur par
mail en cas d'intrusions sur le réseau.
Au terme de ce stage, nous avons pu acquérir des connaissances et expériences en sécurité

informatique qui pourront être directement appliquées à des choix d'intégration et de conception
en milieu professionnel.
LISTE DES REFERENCES
[1] « «?Les entreprises africaines ne réalisent toujours pas le danger des cyber-attaques?» ». [En ligne]. Disponible sur:
https://afrique.latribune.fr/africa-tech/2017-05-26/les-entreprises-africaines-ne-realisent-toujours-pas-le-danger-des-cyber-
attaques-722984.html. [Consulté le: 16-nov-2018].
[2] « Centre Informatique et de calcul | CIC ». [En ligne]. Disponible sur: https://cic.univ-lome.tg/fr/node/30. [Consulté le: 16-
nov-2018].
[3] « A PROPOS DE NOUS - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/cafe-it/. [Consulté le: 16-
nov-2018].
[4] « Formations Archives - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/cat/formation/. [Consulté le:
16-nov-2018].
[5] « Hébergement Web - CAFE INFORMATIQUE ». [En ligne]. Disponible sur: http://cafe.tg/solutions-web/hebergement-
web/. [Consulté le: 16-nov-2018].
[6] « Les Reseaux - Guy Pujolle - Eyrolles (6ème Ed) 2008.pdf ». .
[7] « Transmissions et réseaux - S. Lohier, D. Présent - 4e édition - Librairie Eyrolles ». [En ligne]. Disponible sur:
https://www.eyrolles.com/Informatique/Livre/transmissions-et-reseaux-9782100513819. [Consulté le: 16-nov-2018].
[8] « Tableaux de bord de la sécurité réseau - Denis Valois - 2e édition - Librairie Eyrolles ». [En ligne]. Disponible sur:
https://www.eyrolles.com/Informatique/Livre/tableaux-de-bord-de-la-securite-reseau-9782212119732. [Consulté le: 16-nov-
2018].
[9] A. Essaidi, V. Boistuaud, et N. Diop, « Conception d'une Zone Démilitarisée (DMZ) », p. 35, 2000.
[10] J.-F. Pillou et J.-P. Bay, Tout sur la sécurité informatique. Paris: Dunod, 2016.
[11] J. Burton, Éd., Cisco security professional's guide to secure intrusion detection systems: your complete guide to Cisco
Enterprise IDS management?; coomplete coverage of the Cisco Secure Policy Manager (CSPM)?; step-by-step instructions
for installing, configuring, and using the Cisco Intrusion Detection Sensor?; includes coverage of the Cisco Secure Instrusion
Detection Systems Exam (CSIDS 9E0-100). Rockland, Mass: Syngress, 2003.
[12] « Les systèmes pare-feu (firewall) », p. 15, 2003.
[13] « Mise en place d'un pare-feu d'entreprise open source.pdf ». .
[14] « cours_parefeux.pdf ». .
[15] « (PDF) Intrusion Detection System and Artificial Intelligent ». .
[16] N. Dagorn, « Détection et prévention d'intrusion: présentation et limites », p. 20.
[17] « 2003 - Les systèmes pare-feu (firewall).pdf ». .
[18] S. Konané, « Etude et mise en place d'un portail captif sur le réseau de l'Université Polytechnique de Bobo-Dioulasso :
Cas du Campus Numérique Francophone Partenaire », p. 83.
[19] « Résultats Google Recherche d'images correspondant à

https://upload.wikimedia.org/wikipedia/commons/b/b9/PfSense_logo.png ». [En ligne].
[20] « Konané - Etude et mise en place d'un portail captif sur le .pdf ».
[21] « IPNET Experts, Erreur ! Référence de lien hypertexte non valide..
[22] « https://lecrabeinfo.net/comparatif-quel-firewall-choisir-meilleur-pare-feu-gratuit-payant- windows-2019.html»
[23]«https://saboursecurity.wordpress.com/2010/12/30/quelques-solutions-pare-feu-open-
source/»
[24] «http://www.artp.tg/Download/Telecommunication/Loi/Loi_n2018_026_du_07_dece
mbre_2018_cybersecurite_et_cybercriminalite.pdf
Rechercher sur le site:

Recherche
© Memoire Online 2000-2023

Pour toute question contactez le webmaster
"La première panacée d'une nation mal gouvernée est l'inflation monétaire, la seconde, c'est la guerre. Tous deux
apportent une prospérité temporaire, tous deux apportent une ruine permanente. Mais tous deux sont le refuge des
opportunistes politiques et économiques" Hemingway

Etude Pour La Sécurisation D'un Réseau Par La Mise en Place D'un Pare-Feu Open Source: Cas de C.A.F.E. Informatique & Télécommunications

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Etude Pour La Sécurisation D'un Réseau Par La Mise en Place D'un Pare-Feu Open Source: Cas de C.A.F.E. Informatique & Télécommunications

Transféré par

Droits d'auteur :

Formats disponibles

WOW !! MUCH LOVE !

Home | Publier un mémoire | Une page au hasard

Memoire Online > Informatique et Télécommunications > Sécurité informatique

modeste travail que je dédie :

A mes frères SHITOU OGUNGBEMI Mansour et Nabil.

je vous remercie du fond du coeur.

Haleem SHITOU OGUNGBEMI

Ø Monsieur Kossi ATCHONOUGLO, Maitre de conférences, Directeur du CIC ;

Ø Monsieur Tchamye Tcha-Esso BOROZE, Maitre-Assistant, Directeur Adjoint du CIC ;

TABLE DES MATIERES

TABLE DES MATIERES iv

LISTE DES FIGURES ix

LISTE DES TABLEAUX xi

PRESENTATION DU CADRE D'ETUDE ET DE STAGE 2

1.2 Centre Informatique et de Calcul (CIC) 3

1.2.4 Organisation administrative 4

1.2.5 Les formations 6

1.2.5.1 Licence professionnelle 6

1.2.5.2 Master professionnel 7

1.3 C.A.F.E Informatique & Télécommunications (Centre d'Assistance de Formation et d'Etude) 7

1.3.6 Organisation administrative 10

1.3.7 Direction technique 11

2.2 Présentation générale du projet 14

2.3 Etude de l'existant 14

2.3.1 Les ressources matérielles 14

2.3.2 Patrimoine logiciel 17

2.3.3 Architecture du réseau informatique 18

2.4 Critique de l'existant 19

2.7 Résultats attendus 21

2.8 Périmètre du projet 21

2.9 Méthodologie du travail 21

GENERALITES SUR LA SECURITE DES RESEAUX INFORMATIQUES 23

3.2 Les réseaux informatiques 24

3.2.2 Les réseaux sans fil 24

3.2.3 Les protocoles réseaux 25

3.2.4 Faiblesses réseaux 25

3.3 Les principales attaques 26

3.3.1 Attaques des réseaux 26

3.3.1.1 Man in the middle 26

3.3.1.2 Balayage de port 26

3.3.1.3 Attaque par rebond 26

3.3.1.4 Dénis de service (DoS) 27

3.3.1.5 Usurpation d'adresse IP 27

3.3.2 Attaques des réseaux sans fil 27

3.3.2.2 Le brouillage radio 28

3.3.2.3 L'interception des données 28

3.3.2.4 Le war driving 28

3.3.3 Attaques du système d'exploitation 28

3.3.3.1 L'écran bleu de la mort 28

3.3.4 Attaques applicatives 29

3.3.4.2 Dépassement de tampon 29

3.4 Mise en place d'une politique de sécurité réseau 29

3.4.2 Objectif d'une politique de sécurité 30

3.4.3 Les différents types de politique de sécurité 30

3.5 Les stratégies de sécurité réseau 31

3.5.1 Méthodologie pour élaborer une politique de sécurité réseau 31

3.5.2 Proposition de stratégies de sécurité réseau 32

3.5.2.1 Stratégie des périmètres de sécurité 32

3.5.2.2 Stratégie des goulets d'étranglement 32

3.5.2.3 Stratégie d'authentification en profondeur 33

3.5.2.4 Stratégie du moindre privilège 33

3.5.2.5 Stratégie de confidentialité des flux réseau 33

3.5.2.6 Stratégie de contrôle régulier 33