Université :Saad Dahlab Blida 1

Faculté :Technologie
Département : Electronique
Mémoire de projet de fin d’études

Thème :

Mise en place d’un pare-feu d’entreprise open source Pfsense

Réalisé par : Encadré par : Président : Examinateur :

Pr. M.BENSEBTI Dr. M.DJABBARI Dr. M.MEROUANE

MAHAMAT AMINE
Mr. Y.DJABBARI
ARDJA MAHAMAT
Promotion 2021/2022
 Plan de
travail

Introduction générale 1 6 Conclusion générale

Généralité sur la sécurité

2 5 Simulation et Réalisation
informatique

Dispositifs de sécurités 3 4 présentation de l’entreprise

 Introduction générale

De nos jours, la sécurité informatique est devenue un problème majeur dans la gestion des
réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à
Internet.
La sécurité des réseaux informatiques est un sujet essentiel qui favorise le développement
des échanges d’information dans tous les domaines. L’expansion et l’importance grandissante des
réseaux informatiques ont engendré le problème de sécurité des systèmes de communication.
Dans la plupart des organisations informatisées, partagent les données directement entre
machines est un souci majeur. Il s’avère indispensable de renforcer les mesures de sécurités, dans
le but de maintenir la confidentialité, l’intégrité et le contrôle d’accès au réseau pour réduire les
risques d’attaques.
 Généralité sur la sécurités informatique

Définitions de réseau informatique

Un réseau informatique peut servir pour plusieurs

buts distincts :
-Le partage des ressources (fichier, applications ou
matériels, connexion à internet, etc.)
-La communication entre personne (courir
électronique, discussion en direct, etc.)
 Classification des réseaux 

Plusieurs classifications des réseaux informatiques existent. Chacune se base sur un critère de classification en
particulier en général on peut distinguer deux critères de catégorisation d'un réseau : sa taille et sa topologie.

Classification des réseaux selon leurs tailles : Classification des réseaux selon leurs topologies :

Types de topologies physiques : (a) bus, (b) anneau, (c). Toile et (d) maille
 Modèles d’un réseau informatique

 Il existe principalement deux types des modèles : TCP/IP et OSI

 
 Généralités sur la sécurité informatique

Définition
Ensemble de moyens, techniques, organisationnels, juridiques et humains
nécessaires mis en place afin de protéger les informations de n’importe quel type de
système informatique (réseau, site web, bases de données etc.). Un système
informatique contient de données ; l’objectif est de protégé ces données.

Les objectifs de la sécurité 

  Sécurisé
La sécurité informatique, d’une manière afin
générale, consiste à s’assurer que les D’assurer
Ressources matérielles et logicielles d’une
organisation sont uniquement utilisées La La non-
dans le cadre prévu. Confiden répudiati
tialité on
 
disponibil
ité
L’authenti
L’intégrité fication
 Les attaques informatiques

Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une attaque
est l’action volontaire et malveillance visant à causer un dommage aux actifs. Afin de contrer ces attaques, il est
indispensable de connaître les principaux types d’attaques afin de mieux s’y préparer.

Les principaux types d’attaques  Politique sécurité  

-Accès physique Une politique de sécurité c’est le fait d’exposer les
-Interception de communications besoins de l’entreprise (son utilisation d’Internet) et d’en
-Dénis de service déduire les règles qui lui permettent son bon
-Intrusions fonctionnement, tout en sécurisant au maximum
-Ingénierie sociale l’entreprise.
C’est donc en concertation avec d’autres membres de
Le schéma suivant rappelle très sommairement les différents l’entreprise que sera créée la politique de sécurité.
niveaux pour lesquels un risque en matière de sécurité existe. L’administrateur système, réseau et cloud ne peut pas le
faire seul. Il doit se concerter avec tous les services de
l’entreprise afin d’établir les services utilisés par l’entreprise
sur le web et sur les serveurs de l’entreprise.
Il existe deux façons de procéder, tout autoriser et bloquer
les services dangereux ou tout bloquer et autoriser les
services nécessaires à l’entreprise. C’est cette dernière
stratégie qui est la plus employée (que j'emploie et vous
recommande).
 les dispositifs de sécurités informatiques

Introduction 
Dans cette partie, nous faisons un survol des notions de sécurité informatique, et nous allons montrer les moyens et
les dispositifs de sécurité utilisés pour l’assurer. Nous étudierons en particulier, les Pare-feu, les Proxys et les VPN (réseaux
privés virtuels).

Le pare-feu
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall),
est un système permettant de protéger un ordinateur, ou un réseau
d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment
Internet). Le pare-feu est un système permettant de filtrer les paquets
de données échangés avec le réseau, il s’agit ainsi d’une passerelle
filtrante comportant au minimum les interfaces réseau suivantes :

➤ une interface pour le réseau à protéger (réseau interne) ;

➤ une interface pour le réseau externe.

Un firewall peut être soit un objet matériel ou un programme

fonctionnant sur un Ordinateur.
 Fonctionnement d'un pare-feu
Pour sécuriser votre réseau, un firewall utilise
plusieurs techniques :
 
Il empêche des intrus d’entrer totalement.
Il filtre et ne laisse entrer que sous certaines
conditions (adresse IP et port).
Il empêche les utilisateurs de votre réseau de
sortir n’importe où, n’importe comment.
Pour réaliser cela, un firewall se base sur les
couches 3 (IP) et 4 (TCP/UDP les ports donc) du
modèle OSI mais aussi sur la couche 7, la couche
applicative, donc sur des protocoles comme HTTP.
Un firewall qui se base sur les couches 3 et 4 vous
permet de contrôler les adresses IP et les ports,
pour par exemple bloquer ssh ou telnet, alors
qu’un firewall qui se base sur la couche 7 vous
permet de bloquer l’utilisation d’un logiciel peer-
to-peer par exemple.
 
 
 
 
Serveurs mandataires (proxy)
Un serveur proxy (traduction française de proxy server, appelé aussi
Serveur mandataire) est à l’origine une machine faisant fonction
d’intermédiaire entre les ordinateurs d’un réseau local (utilisant parfois des
protocoles autres que le protocole TCP/IP) et Internet.
Le principe de fonctionnement d’un serveur proxy est assez simple : il s’agit
d’un serveur « mandaté » par une application pour effectuer une requête
sur Internet à sa place.
Les serveurs proxy sont toujours d’actualité grâce à un certain
nombre d’autres fonctionnalités.
-Cache
-Filtrage
-Anonymat
-Compression
-Droit d’accès
-Journalisation
 Réseaux privés virtuels

  Il arrive ainsi souvent que les entreprises éprouvent le besoin de communiquer avec les filiales, des clients ou même du
personnel géographiquement éloigné via internet.
Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu’elles circulent sur un réseau
interne à une organisation car le chemin emprunté n’est pas défini à l’avance, ce qui signifie que les données empruntent une
infrastructure réseau publique appartenant à différents opérateurs. Ainsi, il n’est pas impossible que sur le chemin parcouru,
le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n’est donc pas concevable de transmettre dans de
telles conditions des informations sensibles pour l’organisation ou l’entreprise.
La solution consiste à utiliser Internet comme support de transmission en utilisant un protocole d’encapsulation
(tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté
RPV ou VPN, Virtual Privat.
Comme l’indique la figure suivante, un réseau privé virtuel (Virtual Private Network) est un système permettant de créer un
lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le travail à distance
 Présentation de l’entreprise
Introduction
Cette partie sera réservé à la présentation du campus NTS (New Technology § Solutions) où nous effectuons notre stage.

Présentions de l’entreprise « Campus NTS »

  NTS est une jeune entreprise axée sur la recherche, la conception et la mise en œuvre de solutions, d’intégration de
systèmes de sécurité, d'importation et de la distribution d'équipements et de matériels de sécurité des réseaux et des
télécommunications, de la formation et le conseil. Elle a été créée en 2020 à Bejaia par Yassine djebbari, qui a de nombreuses
d’années d’expérience et a réalisé d’importants projets dans différents secteurs et régions du pays, comme référence :
Air Algérie.
Retelem Alger.
Poste d'Algérie.
Adèle.
RATP ALJAZAIR.
La technologie.
Géant de l'électronique BBR.
Morsi.
 Organigramme général de l’organisme d’accueil
 

PDG
Secrétaire

Service Service
Service Service
infrastructure Service Service Service technico Service de
développent formation et
réseau et télédistribution hygiéne d’engineering  commerciale financière 
web consulting
securité (marketing)

Architecture Initiale du réseau

Au début de notre projet nous avons toutes les

machine de l’entreprise relié sur un seul réseau ce qui
rend le réseau vulnérable a plusieurs attaque réseau, et
l’accessibilité a des machines contenant des informations
importantes est menacé et voilà le réseau qui a été
proposé par Campus NTS de Bejaia.
Cette figure illustre un exemple architecture initiale
  
Réalisation et la simulation
Introduction

Ce chapitre constitue le corps essentiel de ce mémoire, dans lequel nous allons présenter l’architecture
proposée et après installer et configurer des machines virtuelles, clôturer par la mise en place de PfSense

Architecture proposée du réseau

Sur cette l’architecteur

proposée nous allons
mettre en place des
matériels et les logiciels
de sécurité
d’informatique en
permettant bien protéger
les systèmes informations
de l’Enterprise Campus
NTS de Bejaia
 Installation et configuration Windows serveur sous VMware

A la fin de l’installation, les rôles et

fonctionnalités, on aura les trois rôles installés
comme le montre la figure suivante . Configuration d’active directory

 
-Les unités d’organisation sont comme des dossiers qui
vont contenir plusieurs choses (des utilisateurs,
ordinateurs, groupes etc.)
-GPO (Group Policy Object) Stratégie de groupe pour
renforcer la sécurité. Notre objectif est de centraliser la
gestion de l’environnement des utilisateurs et la
configuration des machines, avec GPO on peut bloquer
par exemple l’invite de commande, changer fond d’écran
etc.
Maintenant, après avoir créé les groupes et les
utilisateurs, on passe au GPO qui définissent les droits des
utilisateurs, et des stratégies de groupes qui sont
applicables aux Sites.  

 
 Teste de GPO
Test de GPO stratégie de groupe au niveau de PC
client si ça marche. Nous avons mis en place deux
stratégies : le panneau de configuration, le paramètre
du réseau.
Impossible d’entrer sur le panneau configuration car
c’est interdit par le serveur.
Sa marche pas le Protocoles TCP/IP est bloqué par le
serveur. Sur la stratégie de groupe on peut modifier
selon notre besoin. Comme montre la figure suivante  est réputé pour sa fiabilité. Après une installation en
Présentation de PfSense V 2.5.2
PfSense (distribution logicielle), ou ≪ Packet Filter
Sense ≫ est un routeur / pare-feu open source basé
sur FreeBSD. Il date de 2004 à partir d’un fork de
m0n0wall par Chris Buechler et Scott Ullrich. PfSense
peut être installé sur un simple ordinateur personnel
comme sur un serveur. Basé sur PF (packet filter), il
mode console, il s'administre ensuite simplement
depuis une interface web et gère nativement les
VLAN (802.1q).
Les avantages principaux de PfSense sont
les suivants :
Il est adapté pour une utilisation en tant que pare-feu
et routeur,
Il comprend toutes les fonctionnalités des pare-feu
coûteux commercialement,
 Installation et configuration Pfsense

Figure suivante montre l’interface web d’accueil de PfSense

après la configuration basique :
  Mise en place de règles de filtrage

Nous allons créer Les règles de filtrages

permettent de mettre des restrictions sur des
protocoles, Port, adresse IP. Pour mettre en place
des règles de filtrage coté WAN, LAN nous devons
désactiver une règle, car elle nous empêche
d’ajouter des règles, les différentes règles que
nous avons mis en place pour l’autorisation des
trafics sortant vers l’internet.
Le regèle du FPSENSE on autorise http pour VLAN
pour se connecter à connecter et ICMP pour LAN
net pour ping. C’est-à-dire on peut le filtrage
selon nos besoins.
On autorise le protocole DNS pour le nom de
domaine et FTP pour le téléchargement de fichier.
configuration DMZ

Test sur la règle de filtrage

Au début nous avons bloquer tous les trafics sortants et entrant

sur le réseau local.
Avant la configuration de la règle de pare-feu on va tester le
ping entre serveur et PFSENSE de BLIDA.
Donc sa marche par ce que le PFSENSE de BLIDA ne connait pas
les VLAN comme montre la figure du ping.
Vérification de connectivité après l’autorisation du trafiques
sortant du VLAN et LAN net.
Ping le routeur et l’internet sur le serveur.
Après l’autorisation de l’internet par le FPSENSE, le client
Mahamat peut se connecter à l’internet selon la figure
suivante :

configuration Proxy Squid sur le Pfsense

Le filtrage d’URL en créant des ACL

ACL (Access Control List) liste de contrôle d’accès : permet d’autoriser ou l’interdire des
paquets, que ce soit en entrée ou sortie. Une ACL est identifiable par son nom ou son numéro.
ACL fournit une base de sécurité réseau en filtrant les trafics.
Whitelist permettant d’autoriser des sites.
Blacklist permettant d’interdire des sites
Test Squid à partir du client
 configuration VPN IPsec

Un réseau privé virtuel (VPN) est une connexion cryptée entre deux ou plusieurs ordinateurs. Les connexions VPN ont
lieu sur des réseaux publics. Cependant, les données échangées sur le VPN restent privées car elles sont cryptées.
Nous avons choisi IPsec car IPSec est préférable pour les VPN de site à site.
Pour la mise en place de notre VPN on doit respecter l’architecture c’est-à-dire en configurant le VPN IPsec sur les deux
sites.

Phase première  Phase deuxieme 

 Règle de filtrage sur PFSENSE

 
On clique sur Firewall et choisir IPsec en suite
l’autoriser tous les trafics à l’intérieur du tunnel sur
deux sites.

Test à partir du Client 2 vers le serveur

Pour vérifier la connexion est-il établi
On peut même joindre à distance le serveur par :
connexion bureau à distance.
Pour accéder à notre serveur il faut les
informations suivantes :
Nom de l’utilisateur : administrateur.
Adresse du serveur :10.10.10.100
Mot de passe : xxxxxxxx

Test avec Wireshark 

 Conclusion générale

Le travail que nous avons présenté dans ce mémoire consiste en premier lieu à étudier les failles de sécurité du
réseau du centre CAMPUSNTS. Cette étude nous a permis de proposer une nouvelle architecture dont la sécurité est
basée assurée par l’utilisation d’un pare-feu open source qui est Pfsence. Afin de démontrer la fiabilité de notre solution,
nous avons simulé l’architecture réseau sécurisée en utilisant les deux outils GNS3 et VMWare. Le premier pour
schématiser l’architecture réseau et le deuxième pour simuler les différents équipements composant cette architecture.
L’architecture sécurisée est basée sur l’utilisation d’un pare-feu et la création d’une zone DMZ. Dans la configuration
du pare-feu, nous avons utilisé Pfsense afin de faire le routage et le filtrage des paquets. Nous avons créé un tunnel
sécurisé entre les deux sites en utilisant un VPN IPsec, pour que le réseau distant puise se connecter à notre réseau. Au-
delà de ça, il offre beaucoup de fonctionnalités très poussées comme : le NAT, le DHCP.
Perspectives futures :
D’autres fonctionnalités avec le rajout des packages (exp: le paquet SNORT pour la détection et la prévention d’intrusion
réseaux),
Configuration d’autres services (exp: portail captif).