Bonjour à tous

Soyez Les Bienvenus

1
 Université Abderrahmane Mira
Faculté des Sciences Exactes
Département Informatique
Mémoire De Fin de cycle

En vue d’obtention du diplôme de master professionnel en informatique

spécialité : Administration et Sécurité des Réseaux Informatiques

Thème: Proposition d'une solution VPN sur pare-feu ASA

Sous la direction de :
Mr A.BAADACHE
Réalisé par :
Membre de jury: DJEMAOUNE Hocine
Président : Mr Dj. TOUAZI TOUATI Omar
Examinateur : Mr N.SALHI
Promotion : 2017-2018

2
 1. Introduction 5. Présentation de l’entreprise

6. Problématique et Solutions proposées

2. Généralités sur les réseaux informatique
Plan de travail
3. Généralités sur la sécurité informatique 7. Réalisation

4. Généralités sur les réseaux privés virtuels 8. Conclusion et perspectives

3
 1. Introduction

L‘évolution
Un bon compromis rapide consiste
des technologies de l'information
a utiliser Internet comme support et desde
télécommunications a permisunla protocole
transmission en utilisant construction d'une infrastructure
d'encapsulation mondiale
(tunneling, de
d'ou
communication, l'Internet.
l'utilisation impropre De nosdujours,
parfois l'internet
terme assure la communication
tunnelisation), c'est-a-dire
entre les différents
encapsulant les données sites d'une même
a transmettre entreprise
de façon ou On
chiffrée. entre
parledifférentes
alors de
entreprises.
réseau privePourtant, l'utilisation
virtuel (note RPV ou de VPN,
ce réseau public
Virtual pourNetwork)
Private échangerpourdes
données
designer leconfidentielles pose problème.créé.
réseau ainsi artificiellement En conséquent, les réseaux prives
virtuels ont été conçus pour remédier a ce problème de sécurité. Les réseaux
Ce réseau est dit virtuel car il relie deux réseaux physiques (réseaux
locaux d'entreprise (LAN ou RLE) sont des réseaux internes a une
locaux) par une liaison non able (Internet), et prive car seuls les ordinateurs
organisation, c'est-a-dire que les liaisons entre machines appartiennent a
des réseaux locaux de part et d'autre du VPN peuvent voir les données. Un
l'organisation. Ces réseaux sont de plus en plus souvent relies a Internet par
réseau prive virtuel repose sur un protocole, appelé protocole de
l'intermédiaire d‘équipements d'interconnexion. Il arrive ainsi souvent que
tunnelisation (tunneling), c'est-a-dire un protocole permettant aux données
des entreprises éprouvent le besoin de communiquer avec des filiales, des
passant d'une extrémité du VPN a l'autre d'être sécurisées par des
clients ou même du personnel géographiquement éloignées via Internet.
algorithmes de cryptographie.
4
 1. Introduction 5. Présentation de l’entreprise

6. Problématique et Solutions proposées

2. Généralités sur les réseaux informatique
Plan de travail
3. Généralités sur la sécurité informatique 7. Réalisation

4. Généralités sur les réseaux privés virtuels 8. Conclusion et perspectives

5
2. Les généralités sur les réseaux informatiques

Le Réseau informatique est un ensemble d’ordinateurs et de périphériques reliés entre eux par des canaux
électroniques de communications (filaire ou sans fil), qui leur permettent d’échanger des informations

6
2. Les généralités sur les réseaux informatiques

Les types de réseau:

7
2. Les généralités sur les réseaux informatiques

Topologies:

8
2. Les généralités sur les réseaux informatiques

les couches du modèle OSI:

Application Cette couche gère les formats de données entre logiciels

Charger de la mise en forme des données pour permettre, aux

Présentation applications de le traité (chiffrement/déchiffrement)

Session Organise et synchronise les échanges et les communications

Transport Assure le bon acheminement entre les machines (contrôle d'erreur)

la couche réseau se charge de routé les paquets entre plusieurs

Réseau machines
Liaison de
transféré des données et détection des erreurs.
données

Physique Transmission physique des bits entre les différentes machine

9
 2. Les généralités sur les réseaux informatiques

Les protocoles de transmission de données :

Nous allons nous limiter aux plus importants dans le réseaux.

 désigne
On Ethernet
ainsi les protocoles associés aux couches 1 à 3 du
Protocoles couche bases
 IP OSI
modèle

 UDP
 TCP

OnRTP/RTCP
désigne ainsi les protocoles associés aux couches 4 à 7 du
Protocoles de couche hautes 
modèle
DNS OSI
 HTTP
 POP/SMTP

10
 1. Introduction 5. Présentation de l’entreprise

6. Problématique et Solutions proposées

2. Généralités sur les réseaux informatique
Plan de travail
3. Généralités sur la sécurité informatique 7. Réalisation

4. Généralités sur les réseaux privés virtuels 8. Conclusion et perspectives

11
 3. La sécurité des réseaux informatiques

Les mécanismes de sécurité:

 Firewall et proxy

 Cryptographie

 VLAN

12
 1. Introduction 5. Présentation de l’entreprise

6. Problématique et Solutions proposées

2. Généralités sur les réseaux informatique
Plan de travail
3. Généralités sur la sécurité informatique 7. Réalisation

4. Généralités sur les réseaux privés virtuels 8. Conclusion et perspectives

13
 4. Généralités sur les réseau privés virtuels

Définition d’un VPN:

Network : interconnecter des sites distants
Private : réservé à un groupe d’usagers, Les données sont masquée hors groupe
Virtual : relie deux réseaux locaux par une liaison non fiable (Internet) 

Principe de fonctionnement

14
 4. Généralités sur les réseau privés virtuels

Type de VPN:
Il existe 3 types d'utilisation des VPN:
3- Extranet
2- 1- VPNd'accès
Intranet
VPN VPN

15
 4. Généralités sur les réseau privés virtuels

 Protocoles utilisés pour réaliser une connexion VPN :

Nous pouvons classer les protocoles en trois catégories:
 Les protocoles de niveau 2 (Couche Liaison) : PPTP et L2TP
 Les protocoles de niveau 3 (Couche Réseau) : IPSec
 Les protocoles de niveau 4 (Couche Transport) : SSL

16
 4. Généralités sur les réseau privés virtuels

Protocole IPSec :
 Permet de sécuriser l'échange de données au niveau de la couche réseau.
 Basé sur 2 mécanismes de sécurités :
 AH (Authentification Header) vise à assurer l'intégrité et l'authenticité des datagrammes IP

17
 4. Généralités sur les réseau privés virtuels

Protocole IPSec:
 ESP (Encapsulating Security Payload) peut assurer au choix, un ou plusieurs des services
suivants :
Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si l'on
utilise le mode tunnel).
Intégrité des données en mode non connecté et authentification de l'origine des données, protection
contre le rejeu.

18
 4. Généralités sur les réseau privés virtuels

Protocole IPSec :
 Les 2 modes de fonctionnement d’IPSec
 Le mode transport prend un flux de niveau transport et réalise les mécanismes de
signature et de chiffrement puis transmet les données à la couche IP. Dans ce mode,
l'insertion de la couche IPSec est transparente entre TCP et IP. TCP envoie ses données
vers IPSec comme il les enverrait vers IPv4.

 Dans le mode tunnel, les données envoyées par l'application traversent la pile de
protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPSec.
L'encapsulation IPSec en mode tunnel permet le masquage d'adresses.

19
 4. Généralités sur les réseau privés virtuels

Protocole IPSec :
 Différence entre ces 2 modes :

 Dans le mode transport, l'en-tête extérieur est produite par la couche IP c'est-à-dire sans
masquage d'adresse, alors que dans le mode tunnel l'encapsulation IPSec permet le
masquage d'adresses.

 Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que
le mode transport se situe entre deux hôtes.

20
 4. Généralités sur les réseau privés virtuels

Protocole IPSec :
 Schéma de ces 2 modes :

21
 4. Généralités sur les réseau privés virtuels

Protocole IPSec :
 Schéma récapitulatif du fonctionnement d ’IPSec :

22
 1. Introduction 5. Présentation de l’entreprise

6. Problématique et Solutions proposées

2. Généralités sur les réseaux informatique
Plan de travail
3. Généralités sur la sécurité informatique 7. Réalisation

4. Généralités sur les réseaux privés virtuels 8. Conclusion et perspectives

23
 2. Présentation de l’entreprise

la direction régionale de Bejaia (DRGB) de la Sonatrach est l’une des cinq directions chargée du transport,
du stockage et de la livraison des hydrocarbures liquide et gazeux.

Missions

Objectifs o d’assurer le transport par Activités

canalisation (PIPE-LINE)
des hydrocarbures.
La DRGB est l’une des o développement,
cinq directions chargée l’exploitation, la gestion de Son activité
du transport, du la maintenance du réseau principale est le
stockage et de la pipe-line. transport des
livraison des hydrocarbures.
hydrocarbures liquide et
gazeux.

24
 2. Présentation de l’entreprise

Organigramme de la RTC (DRGB)

25
 2. Présentation de l’entreprise

Les objectifs du centre informatique

1. Amélioration de la sécurité, de la disponibilité et des performances réseau.

2. Amélioration du câblage interne.

3. Amélioration du plan d’adressage IP.

4. Mise à niveau des systèmes d’exploitation.

5. Amélioration de la qualité du matériel (serveurs, commutateurs hôtes).

6. Maitrise de l’impact des trafics générés par les serveurs d’authentification - des médias d’interconnexion.

26
 1. Introduction 5. Etude de l’existant

6. Diagnostique de l’architecture
2. Les généralités sur les réseaux informatiques
Plan de travail
3. La sécurité des réseaux informatiques 7. Solution

4. Présentation de l’entreprise 8. Mise en œuvre

9. Conclusion et perspectives

27
5. Etude de l’existant

28
 1. Introduction 5. Présentation de l’entreprise

6.
2. Les généralités sur les réseaux informatiques
Plan de travail
3. La sécurité des réseaux informatiques 7. Solution

4. Généralités sur les réseaux privés virtuels 8. Mise en œuvre

9. Conclusion et perspectives

29
6. Diagnostique de l’architecture

L’étude que nous avons menée sur l’architecture nous a permis de retirer des faiblesses
réseaux et qui sont les suivantes:

 Absence de serveurs en redondances pour assurer la tolérance aux pannes

 Pour assurer la disponibilité et la continuité des données et des
 Besoin de segmentation
ressources du réseau
dans une entreprise, un en plusieurs
serveur VLAN. est
en redondance
 Un seul et unique domaine de diffusion ce qui implique une
important.
 Un seul domaine de diffusion  surcharge
Changements et Configuration
du réseau des Switch au niveau des armoires
de l’entreprise
 pour mettre en
Le serveur à niveau le réseau
redondance VLAN
prend de l’entreprise.
en charge tous les services
défectueux du premier.
 Architecture plate

30
 1. Introduction 5. Etude de l’existant

6. Diagnostique de l’architecture
2. Les généralités sur les réseaux informatiques
Plan de travail
3. La sécurité des réseaux informatiques 7. Solution

4. Présentation de l’entreprise 8. Mise en œuvre

9. Conclusion et perspectives

31
 7. Solution

Cahier des charges :

La DSI de l’EPB lance le projet de réorganisation de son réseau afin de répondre aux
exigences d'une meilleure performance et répondre aux objectifs fixés par la direction générale.

Solution
Procédure
Objectifs

- -Mettre
La solution
• Illustrer en VLAN
le place
support est la
unedes première
Vlan
solution 802.1Q étape
pardupfSense
d’optimisation processus
de et d’amélioration
la bande mettre
passanteendureliefdes les
réseau
performances
principales par du
étapesladeréseau contre des
configuration
segmentation les: surcharges
domaines de rencontrées
broadcast par les utilisateurs
d’EPB.
d’EPB.
- Pare-feu
- -Mise en en
Mettre place(pfSense)
desune
place Vlans offre une
de solution
sur l’interface
solution filtrageLANcomplète
afin de de routage
de pfSense
limiter l'accès ,aux
filtrage et de
utilisateurs
contrôle les accès
- Configuration entrant
des VLANs et
ausortant
et contrôler niveau et
des
les accès protéger
switchsl’environnement
entrant et sortant. (vis à vis de
- Configuration d’un serveur l’extérieur
DHCP pour et dechaque
l’intérieur).
Vlan avec une plage d’adresse
différente.

32
 7. Solution

Nous pouvons regrouper les améliorations proposées dans l’architecture suivante :

33
 1. Introduction 5. Etude de l’existant

6. Diagnostique de l’architecture
2. Les généralités sur les réseaux informatiques
Plan de travail
3. La sécurité des réseaux informatiques 7 Solution

4. Présentation de l’entreprise 8. Mise en œuvre

9. Conclusion et perspectives

34
 8. Mise en œuvre

Cette partie sera réservé a la mise en œuvre de quelques points vus précédemment, qui sont
les suivants:

35
 8. Mise en œuvre
Mise en place des VLANs
 Les réseaux virtuels (Virtual LAN) sont apparus comme une nouvelle fonctionnalité dans
l’administration réseau avec le développement des commutateurs

 les VLANs permettent la segmentation et assouplissent l’organisation

Utilité : Plusieurs réseaux virtuels sur un même réseau physique

1. Matériel et équipements utilisés:

Câbles Des
RJ45 switchs 1 switch Des
fédérateur
droits et Cisco ordinateurs
optique.
croisés. 2960.

2. Attribution des adresses IP aux VLANs

36
8. Mise en œuvre

37
 8. Mise en œuvre

Configuration de base des équipements:

38
 8. Mise en œuvre

Configuration du VTP:

Mode VTP Mode VTP

Mode VTP
Transparent Client
Server

39
 8. Mise en œuvre

Création et configuration des VLANs au niveau du switch fédérateur:

Création des VLANs :

40
 8. Mise en œuvre

Configuration
Attribution
des agrégations,
des ports de implémentation
switchs aux VLANs
des trunk
: 802.1q

VTPServeur(config)#interface range fa 0/1-3

VTPServeur(config-if-range)#switchport Trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking
VTPServeur(config-if-range)#switchport trunk encapsulation dot1q
VTPServeur(config-if-range)# switchport mode trunk
VTPServeur(config-if-range)#exit

41
 8. Mise en œuvre

Teste de connectivité :

LaLa figure
figure suivante
suivante représente
représente unun teste
teste dede Ping
Ping entre
entre PCle:PE
PC:PE qui:appartient
et PC DMA qui au VLAN 10 et
appartient
aulemême
PC:DDD
VLAN qui (vlan
appartient au VLAN 20.
10: PE/DMA)

Ping
Ping échoue
réussi entre
entre PCPC vlan
:PE et 10
PCet: DMA
PC vlan
du20
VLAN PE/DMA

42
 8. Mise en œuvre

Cette partie sera réservé a la mise en œuvre de quelques points vus précédemment, qui sont
les suivants:

43
 8. Mise en œuvre

Mise en place un pare-feu (pf sense)

PfSense : est un routeur / pare-feu open source basé sur FreeBSD. pfsense peut être installé sur un simple
ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), il s'administre ensuite simplement
depuis une interface web et gère nativement les VLAN (802.1q).
Les avantages de PFSense que :

 Il est adapté pour une utilisation en tant que pare-feu et routeur

 Il peut être installé sur un simple ordinateur personnel comme sur un serveur ;
 Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise en
place d’un VPN, DHCP et bien d’autres.

44
 8. Mise en œuvre
Mise en place un pare-feu (pf sense)

Exemple de résultat obtenu :

45
 8. Mise en œuvre
Mise en place un pare-feu (pf sense)
Une fois que nous avons créé des VLANs, nous disposons de plusieurs interfaces
virtuelles :

46
 8. Mise en œuvre
Mise en place un pare-feu (pf sense)

Afin de configurer ces VLANs, nous devons maintenant associer ces interfaces virtuelles à des interfaces
logiques.

47
 8. Mise en œuvre
Mise en place un pare-feu (pf sense)
Pour modifier l'interface logique créée (et la renommer), nous cliquons sur son nom. Les éléments de
configuration sont les suivants :

48
 8. Mise en œuvre
Mise en place un pare-feu (pf sense)

Routage inter-vlan dans Pfsense :

Enfin, nous créons des règles de firewall sur notre nouvelle interfaces logique
("VLAN_DFC/VLAN_DRH/…..") afin d'autoriser le trafic.

49
 8. Mise en œuvre

Les tests (les pings) :

Après activation le routage inter-vlan entre VLAN_DFC et VLAN_DRH, en vas testez la communication
entre les deux VLAN.

En vas faire un ping d’une machine VLAN_DFC vers une machine VLAN_DRH

Ce résultat montre que les machines du VLAN_DFC communiquent avec les

machines du VLAN_DRH.

50
 8. Mise en œuvre

Les tests (les pings) :

Maintenant en vas désactiver le routage inter-vlan entre VLAN_DFC et VLAN_DRH,

Ce résultat montre que les machines du VLAN_DRH il ne peut pas communique avec les
machines du VLAN_DFC, la même chose pour tous les autres vlan qu’on a filtrés, sa montre
Et enque
vasnotre
faire configuration
un ping d’une machine
a réussie.VLAN_DRH vers une machine
VLAN_DFC

51
 1. Introduction 5. Etude de l’existant

6. Diagnostique de l’architecture
2. Les généralités sur les réseaux informatiques
Plan de travail
3. La sécurité des réseaux informatiques 7. Solution

4. Présentation de l’entreprise 8. Mise en œuvre

9. Conclusion et perspectives

52
 9. Conclusion et perspectives

Au terme de ce projet, nous avons pu exploiter nos connaissances théoriques et pratiques pour améliorer
l’architecture réseau et sécurité de l’entreprise Sonatrach. La mise en œuvre de la solution retenue, n’a pu se faire
au niveau de la Direction du centre informatique. Néanmoins, une phase de démonstration pratique a été possible
grâce à notre ordinateur personnel.
Perspectives:
 Configuration du pare-feu ASA.
 Mise en place d’un VPN site-à-site .
 Mise place d’un VPN d’accés à distance.

53
Merci pour votre attention

54