CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

I. Sécurité informatique

I-1 - Historique

Les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les

données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de
l'information, reste la sécurisation de l'information stratégique et militaire. Département of
Défense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière.
De même, le principe de sécurité multi-niveau trouve ses origines dans les recherches de
résolution des problèmes de sécurité de l'information militaire. La défense en profondeur, tout
droit sorti d'une pratique militaire ancienne, et toujours d'actualité aujourd'hui. Cette pratique
consiste à sécuriser chaque sous-ensemble d'un système.
Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais
aussi la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations
confidentielles comme leurs coordonnées bancaires, leur situation patrimoniale, leurs codes
confidentiels, etc. De manière générale, la préservation des données relatives aux personnes
fait l'objet d'obligations légales régies par la Loi Informatique et Libertés.
Aujourd'hui, il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert
donc le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de
pénétration des systèmes d'information.

I-2-Objectifs
C’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système
informatique contre les menaces accidentelles ou intentionnelles auxquelles il peut être
confronté. En d’autres mots, c’est l'ensemble des techniques qui assurent que les ressources
du système d'information (matérielles ou logicielles) d'une organisation sont utilisées
uniquement dans le cadre où il est prévu qu'elles le soient. Les exigences fondamentales de la
sécurité Informatiques se résument à assurer:

La disponibilité : L'information sur le système doit être toujours disponible aux personnes
autorisées.

 La confidentialité : L'information sur le système ne doit être diffusée qu’aux personnes

autorisées.  L’Intégrité : L'information sur le système ne doit pouvoir être modifiée que par
les personnes autorisées.

 L’Intégrité : L'information sur le système ne doit pouvoir être modifiée que par les
personnes autorisées.

1
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

D’une manière générale, l’on pourrait retenir que la méthodologie de la sécurité informatique
se définit comme suit :

I-3-Effectuer une analyse des risques

Parce qu’il n’est possible de se protéger que contre les risques que l’on ne connait ! Ceci dit, il
convient pour chaque entreprise d’évaluer les risques, c’est-à-dire les mesurer en fonction de
la probabilité de leurs apparitions et de leurs effets possibles. Les entreprises ont tout intérêt à
évaluer, quoique grossièrement ces risques et les moyens à mettre en œuvre, en fonction de
leurs coûts. La notion de risque peut être appréhendée comme étant le produit d’un préjudice
par la probabilité d’occurrence de celui-ci. La notion de risques est définie par les spécialistes
selon l’équation suivante :

Risque= Préjudice x Probabilité d’occurrence

Cette formule sous-entend qu’un événement dont la probabilité est assez élevée mais dont il
est possible de prévenir le préjudice qu’il peut causer, représente un risque acceptable. Il en va
de même pour un événement à la gravité imparable (ex : effondrement d’un immeuble), mais
à probabilité d’occurrence faible. Il va de soi que dans le premier cas, le risque ne devient
acceptable que si les mesures de prévention contre le préjudice sont effectives et efficaces.

I-3-1. Etablir une politique de sécurité

Une fois l’analyse des risques effectuée, la politique de sécurité est mise en place. Celle-ci a
pour rôle de: o Définir le cadre d'utilisation des ressources du système d'information; o
Identifier les techniques de sécurisation à mettre en œuvre dans les différents services de
l'organisation ; o Sensibiliser les utilisateurs à la sécurité informatique.

I-3-2. Mettre en œuvre des techniques de sécurisation

Ces techniques sont la réponse aux exigences fondamentales de la sécurité Informatique

définies plus haut. Leur rôle est d’assurer la disponibilité, l’intégrité, la confidentialité et dans
certains cas, la pérennité de l’information dans les systèmes d’information. Les techniques de
sécurisation incluent notamment:

2
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

o L’audit de vulnérabilités et Tests de pénétration (Pen-Test)

o La sécurisation des données: chiffrement, authentification, contrôle d'accès

o La sécurité du réseau: Pare-feu, IDS

o La surveillance des informations de sécurité

o L’éducation des utilisateurs

o Le plan de reprise des activités.

I-3-3. Que se passe-t-il dans le système d'entreprise ?

La sécurité désigne en elle même une situation, un état dans lequel l’on n’est pas en danger. Il
s’agit dans une vision plus large, d’un état de tranquillité d’esprit inspirée par la confiance, le
sentiment de ne pas être menacé. Être en sécurité, c’est avoir la certitude d’être hors d’état
d’être atteint par une menace quelconque. Appliquée au monde informatique, cette définition
aurait du mal à s’appliquer, tant les menaces sont omniprésentes et multiformes. Hors mis les
menaces extérieurs, l’utilisateur d’un système d’information constitue lui-même une menace
pour l’intégrité de ce dernier.

Les problèmes de sécurité informatique peuvent de façon très générale être classés en deux
grandes catégories : - Ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur
ou poste de travail, de son système d’exploitation et des données qu’il abrite; - Ceux qui
découlent directement ou indirectement de l’essor des réseaux, ce qui multiplie la quantité et
la gravité des menaces. De plus, la résorption des vulnérabilités d’un système informatique,
demeure un enjeu crucial pour les personnes dont les données sont gérées par un STAD
Concevoir a sécurité informatique en entreprise Page 19 (système de traitement automatisé de
données)

Celle-ci repose sur un certain nombre de principes et de méthodes énumérés ci-dessous :

 Définir le périmètre de sécurité

 Définir les ressources publiques, ressources privées
 Identifier et authentifier : permettre l’accès aux personnes selon leurs importance et les
informations auxquelles ils souhaitent accéder
 Empêcher les intrusions : Installer des pare-feu, filtrer les communications réseaux,
établir des zones dématérialisées dans le réseau (DMZ), installer des systèmes de
détection d’intrusion (IDS), installer des systèmes de prévention d’intrusion (IPS)
 Etablir une politique de défense en profondeur 3: limiter les conséquences d’une
attaque réussie. L’intégration du concept de défense en profondeur dans les techniques
de sécurisation des systèmes d’informations, traduit l’acceptation de ce que la sécurité
ne peut être totalement garantie. La conception moderne de la protection des systèmes

3
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

et des réseaux s’appuie sur la notion de défense en profondeur, par opposition à la

défense rigide, où l’on mise tout sur l’efficacité absolue d’un dispositif de sécurité
unique.

Avec le développement des réseaux et d’Internet, l’information acquiert une place centrale
dans la stratégie des entreprises. En effet, l’information devient un véritable trésor, voire le
cœur de l’entreprise étant donné que tout est dématérialisé. Pour l’entreprise, la sécurité
informatique répond à deux grandes exigences : Protéger les informations publiques et
protéger les informations privées.

La multiplication des vulnérabilités, la généralisation des ordinateurs portables qui se

déplacent hors du réseau de l’entreprise, l’usage de logiciels novateurs (code mobile, Peer to
Peer (P2P), sites interactifs, téléphonie et visioconférence sur IP) et d’autres innovations, ont
anéanti la notion de « périmètre de sécurité » de l’entreprise. Ceci oblige le responsable SSI à
considérer que la menace est partout et peut se manifester n’importe où. Il faut continuer
d'essayer d’empêcher les intrusions dans le SI de l’entreprise, mais le succès de la prévention
ne peut plus être garanti, raison pour laquelle il faut se préparer à limiter les conséquences
d’une attaque réussie, qui se produira forcément un jour.

Protéger les informations publiques

Cette catégorie d’informations est librement diffusée sur Internet, car elle ne constitue pas une
ressource à protéger. Cela dépend toutefois de l’activité exercée par l’entreprise. Il s’agit par
exemple des nouvelles offres, des achats en ligne, de la mise à jour de systèmes, de logiciels,
des coordonnées du service client, du service technique, des contacts du webmaster pour le
site Internet, etc. Tout type d’information qui ne peut mettre en danger ni l’entreprise, ni ses
partenaires commerciaux, ni ses sous-traitants ou ses clients. Il s’agit de toutes informations
qui ne sont pas considérées comme sensibles pour l’entreprise, en tenant de la politique
Interne et des objectifs de l’entreprise.

Protéger les informations privées

Il s’agit des informations transmises au sein de l’entreprise par l’Intranet, les emails internes
ou par courrier interne. Elles concernent par exemple les règles, les procédures et les
organigrammes de l’entreprise, les publications d’annuaires, le nom des systèmes internes, les
versions de logiciel ou matériel utilisé, etc. Afin de renforcer la sécurité de l’entreprise, il est
plus que nécessaire que les employés aient des outils pour se défendre contre les attaques et
qu’ils sachent aussi contre-attaquer en cas d’attaque ou d’incident informatique avéré.

4
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

II. pare-feu (firewall)

II-1. Définition

Un pare-feu combine les fonctionnalités d’un pare-feu classique avec un ensemble d’autres
boucliers défensifs autrefois commercialisés séparément, à commencer par un IPS intelligent
et une protection anti-malware avancée.

, . La performance d’un pare-feu se mesure à sa bande passante, autrement dit la quantité de

données qu'il peut analyser et transférer par seconde. Celle-ci influence directement le nombre
d’utilisateurs simultanément supportés et devrait - dans tous les cas de figure - être supérieure
à la bande passante Internet de votre entreprise.

L’administration du pare-feu est en effet un souci quotidien. Un pare-feu installé une première
fois et oublié perd très rapidement toute efficacité. Il faut adapter les règles à l’évolution des
menaces, à l’évolution de votre infrastructure, à l’évolution de votre parc de machines, à
l’évolution des applications et des usages ainsi qu’aux

5
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

II-2. Les fonctionnalités des pare-feu :

Figure 1: image présente le firewall

Parmi les fonctionnalités que l’on peut croiser sur les UTM/NGFW et dont
la présence doit être vérifiée lors des choix, on retiendra :
* IPS intégré : Tous les UTM/NGFW intègrent un système de prévention et de détection
d’intrusion (IPS/IDS) s’appuyant en général sur un mécanisme de règles et de signatures
prédéfinies. Il décode les protocoles, réalise de l’inspection approfondie des paquets (deep
packet inspection) afin de surveiller les flux entrants/sortants et reconnaît les actions
potentiellement dangereuses ainsi que les attaques les plus typiques.

* Le blocage par délocalisation des IPs , par exemple pour n’autoriser le contrôle à distance
que depuis les pays que vos collaborateurs visitent, ou l’accès à votre FTP que depuis les pays
où vous avez des clients.

6
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

* Gestion par réputation : cette défense consiste généralement à bloquer l’accès aux IP et aux
URLs de sites connus comme dangereux ou potentiellement dangereux. Certains appareils
étendent la notion de « réputation » aux fichiers et même aux emails. L’idée consiste alors à
bloquer automatiquement les fichiers et emails entrants provenant de sources inconnues et
présentant des aspects douteux (réputation des liens intégrés, réputation du contenu, structure
typique d’une menace, réputation des éléments attachés). Certains appareils vous permettent
de définir vos propres règles de réputation.

* Contrôle applicatif : l’une des grandes particularités des UTM/NGFW est de comprendre la
notion d’application. L’email, mais aussi les messageries instantanées, la téléphonie IP, la
téléconférence, le multimédia en streaming, les applications P2P, les réseaux sociaux (Twitter,
Facebook, Pinterest, etc.) ou même les recherches Web sont devenus des vecteurs potentiels
de menace et des canaux d’attaque. Les NGFW aident à filtrer (et contrôler) les usages
professionnels et hors professionnels de ces applications mais aussi à parer certaines attaques
en vérifiant la légitimité d’utilisation de ces applications en fonction des utilisateurs et de leur
contexte de connexion.

* Bouclier Anti-DDOS: Les attaques par déni de service sont un grand classique. Certains
UTM/NGFW fournissent des filtres spéciaux et combinent les boucliers IPS, Réputation et
Géolocalisation des IP pour nettoyer les flux entrants, jeter les paquets provenant de sources
indésirables et réduire l’impact des attaques.

* Antivirus et détection APT : Aujourd’hui quasiment tous les UTM/NGFW embarquent un

« antivirus » intégré (de plus en plus directement relié à une intelligence Cloud pour éviter les
téléchargements de signatures) afin de détecter et bloquer les malwares et les APT. Certains
sont même capables de détecter non pas uniquement les fichiers mais aussi les activités
typiques des APT.
* Antispam : la plupart des UTM/NGFW intègrent également un antispam. Celui-ci analyse
tous les emails entrant et élimine automatiquement ceux réputés comme dangereux soit parce
qu'ils contiennent une pièce attachée vérolée, soit parce qu'ils contiennent un lien vers un site
de phishing ou d'attaques par exploits.

7
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

* Fonction DLP (Data Lear Prevention): certains UTM disposent d'une fonctionnalité qui
interdit à certains utilisateurs de transférer des informations sensibles (numéro de carte
bancaire par exemple) ou qui bloque les conversations, les recherches ou l'accès à des sites en
fonction de mots clés.

* Contrôle des accès mobile et VPN : Aujourd’hui les accès au système d’information depuis
« l’extérieur » sont indispensables et permanents. La mobilité engendre des problématiques de
sécurité nouvelles et supplémentaires. Il est essentiel de permettre un accès sécurisé à
l’entreprise et de pouvoir surveiller, contrôler et gérer efficacement ces accès.

* Contrôle des utilisateurs : Les UTM/NGFW savent aussi contrôler les utilisateurs et
permettent de définir des règles en fonction des utilisateurs. C’est évidemment essentiel pour
personnaliser les contrôles applicatifs et les contrôles d’accès mobiles en fonction des
catégories d’utilisateurs. Mais il devient ainsi possible de combiner géolocalisation,
application, trafic et utilisateurs pour mieux discerner les activités suspectes.

* Outils de visualisation temps-réel : Savoir, c’est déjà en partie se protéger. Certains

UTM/NGFW offrent des outils de visualisation en temps réel des activités douteuses et des
menaces. D’autres permettent de façon visuelle de connaître à tout moment et en temps quel
utilisateur ou quel terminal utilise quelle application (ou quelles sont ses activités). Ces outils
peuvent aussi se révéler très utiles pour aider à la configuration du pare-feu ou pour analyser
des problèmes de connectivité.

8
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

III. Pfsense

III-1. Définition

pfSense est un logiciel gratuit, open source on peut l'utiliser comme un pare-feu ou un
routeur. Il comprend une liste de fonctionnalités et un système de packages permettant de
configurer selon les besoins du réseau.

Figure 2 : l’emplacement de pfsense

9
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

III-2. Quelle le rôle de pfsense (quel que exemple)

Pfsense offre beaucoup de fonctionnalités :

Pare-feu et routeur

Pfsense est un pare-feu gratuit, open source basé sur le système d’exploitation FreeBSD, il
est utilisé en tant que routeur et pare-feu, facile à utiliser, configurable à l'aide d'une interface
graphique, cette interface web est appelée WebGUI.
Aucune connaissance préalable du système d’exploitation FreeBSD n'est nécessaire, en fait, la
plupart des utilisateurs de Pfsense n'ont pas déjà utilisé FreeBSD.

OpenVPN Site-to-Site
Un VPN Site-to-Site (ou inter site) est utilisé pour interconnecter deux réseaux distants entre
eux. Ces deux réseaux seront alors comme sur un même réseau local.

Il permet aussi de chiffrer et donc de sécuriser les données qui transitent entre les deux sites
au travers désinternait.

Portail captif

Un portail captif est une structure permettant un accès rapide à Internet. Lorsqu'un
utilisateur cherche à accéder à une page Web pour la première fois, le portail captif capture
la demande de connexion par un routage interne et propose à l'utilisateur de
s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via
une page Web stockée localement sur le portail captif grâce à un serveur HTTP. Ceci
permet à tout ordinateur équipé d'un navigateur HTML et d'un accès WiFi de se voir
proposer un accès à Internet. La connexion au serveur est sécurisée par SSL grâce au
protocole HTTPS, ce qui garanti l'inviolabilité de la transaction. Les identifiants de
connexion (identifiant, mot de passe) de chaque utilisateur sont stockés dans une base de
données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur
authentifié, les règles du Firewall le concernant sont modifiées et celui-ci se voit alors
autorisé à utiliser son accès pour une durée limitée fixée par l'administrateur. A la fin de la
durée définie, l'utilisateur se verra redemander ses identifiants de connexion afin d'ouvrir
une nouvelle session.

10
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

La différence entre un simple FireWall et un portail captif réside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page d’authentification.

Gestion des utilisateurs :

Il est plus que souhaitable que chaque utilisateur ait son propre identifiant pour utiliser les services
Internet (élèves, professeurs, équipe administrative, …), ceci afin d’assurer des journaux de
Connexion complets et exploitables.

FILTRAGE DE CONTENU

Le filtrage de contenu permet de restreindre ou d’autoriser la lecture et l’affichage de pages

Web. Le Système est basé sur l’utilisation de listes, maintenues par des personnes et mises à
jour régulièrement, triées par catégorie (porn, nude, sex, violence, …), il est sur le principe
comparable au contrôle parental, tel que proposé par la plupart des fournisseurs d’accès
internet sur leurs offres grand public. PfSense utilise des catégories prédéfinies avec mise à
jour automatique, mais intègre également la possibilité de gérer ses propres catégories
(appeler ‘’Destination’’) , permettant ainsi de bloquer une page qui ne le serai pas par les
règles par défaut, ou encore d’autoriser une page interdite sans raison évidente.

III-3. Les avantages et les inconvénients

Comme toute solution de routeur/pare-feu, pfsense possède son lot d avantage et

d inconvénients .mais sa polyvalence et le nombre conséquent de fonctionnalité font de cet
outil une solution fiable pour les entreprises, et ce quelle que soient la taille et l’activité de ces
derniers .le cout est un élément a prendre en compte .car comme vous le savez ,le PME pour
qui les système d’information ne sont pas le cœur de métier n’ont pas des budgets important
pour ce genre solution .comme nous le verrons par la suit ,il existe plusieurs façons de mettre
en place pfsense en passant par une plateforme virtuelle ( ESXi par exemple ) ou en faisant
l’acquisition d’un routeur sur lequel la distribution est déjà installer .enfin ,il est important de

11
 CHAPITRE II : Etude de la sécurité informatique firewall Pfsense

souligne que pfsense est très peu gourmand en termes de ressources .en effet ,la configuration
minimale requiert un processeur équivalent ou supérieur a 500 MHZ quant la mémoire exigée
est de 256 MO .vous n aurez donc aucune difficulté a mettre en place cette solution !
En revanche , et les nombre avantage de cette solution ,il faudra s’assurer que le personne en
charge de géré le parc informatique ail les connaissances nécessaire pour déployer cette
solution .en effet ,de nombreuses PME font confiance a des opérateur qui disposent d’un
service entreprise (comme Orange ,SFR, ou en corê Numéricâble ) pour la miss en place
d’une connexion internet dans leur locaux .les box possèdent donc des interface simplifiées
avec un support adapté a leur besoins afin de faire face aux problème de tous les jours .

La déférence entre le pfsense et pare-feu

12