Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Je dédie ce mémoire:

A mon fils: ISMAEIL BOUBACAR DJIBO.

Sourd-muet de naissance, âgé de quatre(04) ans, tu comptais déjà au bout de tes petits doigts la date de retour de stage de ton père que je suis.

1

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

REMERCIEMENTS

Avant de commencer ce travail de dur labeur, qu'il me soit permis d'adresser mes sincères remerciements :

V' A DIEU, le tout puissant, le miséricordieux et à son prophète Mohamed (paix et salut sur lui) pour m'avoir accordé sa protection divine: seule gage de toute réussite;

V' Au Dr Samuel Ouiya responsable pédagogique de notre formation pour son engagement personnel à la cause téléinformatique;

V' A mon encadreur Mme Sy Khoudiya Gueye chef de la Division Réseaux et Services Internet à l'UCAD, qui n'a ménagé, ni son temps, ni ses moyens pour l'aboutissement heureux de ce travail;

V' A mes formateurs: Mr Ibrahima N'gom et Mme Bouba Fanta pour la patience, et la qualité de l'enseignement reçue;

V' A Mr ABDOU MANI DIRECTEUR GENERAL de la SONITEL pour le soutien multiforme;

V' A Mr Sadou Soloke Directeur du Développement Internet des Systèmes d'Information

à la SONITEL NIGER mon maitre de stage pour les directives éclairées et le don de soi; V' A Mr Mahamadou Saibou Arabani Directeur Générale de l'ESMT pour l'hospitalité, le

soutien et les sages conseils;

V' A Mr Ouattara Tahirou Directeur de la formation et de la recherche et stage de l'ESMT pour le soutien et les sages conseils;

V' A tout le personnel administratif et encadreur de L'ESMT et de l'ESP de Dakar;

V' A mes collègues et camarades de la promotion mastère 2010-2011 pour l'esprit d'amitié et de solidarité agissante;

V' A toutes les personnes qui de près ou de loin, ont contribué à la réalisation de ce document.

MERCI A TOUS!

2

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Il est de tradition, pour nos deux institutions de formations de Dakar: l'Ecole Supérieure Multinationale des Télécommunications (ESMT), et l'Ecole Supérieure Polytechnique (ESP), qu'à la fin du cursus académique, les futurs lauréats au titre du mastère spécialisé en téléinformatique, entreprennent des travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil.

Il s'agit d'un stage d'imprégnation en entreprise d'environ quatre(04) mois, qui vise un triple objectifs:

- Concilier la théorie et la pratique;

- Préparer l'insertion en milieu professionnel;

- Rassurer nos écoles et leurs partenaires de la qualité de la formation dispensée.

Dans cette optique j'ai été admis la Direction du Développement de l'Internet et des Systèmes d'Information de la SONITEL au Niger du 09/06/2011 au 30/09/2011 pour un stage pratique à plein temps de quatre (04) mois.

Le thème de recherche qui m'a été confié est intitulé: "étude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL".

Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a pour but de présenter le résultat du travail effectué sur ledit thème.

3

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Table des matières

DEDICACE 1

REMERCIEMENTS 2

AVANT-PROPOS 3

Table des matières 4

Sigles & Abréviations 6

Table des Figures 9

Introduction générale 10

Chapitre1Présentation du cadre de travail 11

1.1Présentation de la Société Nigérienne des Télécommunications 11

1.1.1 Historique de la SONITEL 11

1.1.2 Mission, vision et ambition de la SONITEL 11

1.1.3 Organisation 12

1.2 Présentation du sujet 15

1.2.1 Contexte du sujet 15

1.2.2 Problématique 16

1.2.3 Objectifs de l'étude 16

1.2.4 Méthodologie 17

Chapitre2 Etude de l'existant 18

2.1 Situation des TIC au NIGER 18

2.2 L'étude du réseau IP de la SONITEL 19

2.2.1 Historique du réseau IP de la SONITEL 19

2.2.2 Description de l'infrastructure IP 20

2.2.2.1 Présentation de la plate forme IP de la SONITEL 20

2.2.2.2 Présentation du matériel implanté 21

2.2.2.3 Etude technique du réseau IP 25

2.3.3 Les projets et perspectives 31

Chapitre 3 Etat de l'art de la sécurité 32

3.1 Panorama des attaques 32

3.2 Les motivations des attaques 34

4

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

3.3 Les outils de sécurisation réseau 35

3.3.1 La normalisation 35

3.3.2 Les protocoles de sécurité 36

3.3.3 Les systèmes de protection réseau 38

3.3.4 Les outils d'analyse et de contrôle 39

3.3.5 Les systèmes de sauvegarde et de restauration des données 42

Chapitre 4 Sécurisation du réseau IP 44

4.1 Les vulnérabilités de l'infrastructure IP 44

4.1.1 Les vulnérabilités du protocole IPV4 44

4.1.2 Les vulnérabilités du potentiel technique et humain de la DDIS 48

4.1.3. Les vulnérabilités physique des installations 49

4.1.4 Les vulnérabilités de installations d'énergie 49

4.1.5 Les vulnérabilités des routeurs 50

4.1.6 Les vulnérabilités des logiciels, antivirus et systèmes d'exploitation 50

4.1.7 Les vulnérabilités des supports de transmission 50

4.2 Les vulnérabilités des services offerts 52

4.3 Conception de la solution de sécurisation réseau 53

4.4 Mise en oeuvre d'une solution de sécurisation 54

4.4.1 Mise en oeuvre d'une solution de sécurisation des locaux et des équipements 54

4.4.2. Mise en oeuvre de la solution de sécurisation des routeurs backbone 54

4.4.3. Mise en oeuvre de la solution de basculement automatique des liens backbone 56

4.4.4. Mise en oeuvre d'une solution de sécurisation du lien de transmission 57

4.4.5. Mise en oeuvre d'une solution de sécurisation du GPTO 59

4.4.6 Mise en oeuvre d'une solution SSH 60

4.4.7 Mise en oeuvre d'une solution par des outils de protection et de contrôle 61

4.4.8. Mise en oeuvre d'une solution de sauvegarde et de restauration du système 72

4.4.9. Charte des utilisateurs 73

4.4.10. Recommandations à l'endroit de la Direction Générale de la SONITEL 74

4.5 Estimation financière du coût de déploiement de notre solution 74

4.6. Rédaction d'un cahier de charge 75

Conclusion générale 82

Bibliographie || Webographie 83

ANNEXES i

5

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

6

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

7

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

8

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Table des Figures

9

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

L'émergence des réseaux, a ouvert l'informatique au coeur du métier des opérateurs de télécommunications. Elle se retrouve non seulement dans le système d'information, mais aussi dans l'infrastructure réseau des télécommunications et dans les plates-formes de services. L'information est donc désormais, au centre de tous les domaines de la pensée et de l'action humaine.

Toutefois, les solutions techniques mises en oeuvre pour déployer les infrastructures de communication ne sont toujours pas adaptées à la sensibilité des données traitées.

Avec la nouvelle jungle informatique que représentent les autoroutes de l'information, tout objet communiquant peut-être source d'un potentiel danger.

En conséquence, les sociétés et les consommateurs attendent une protection constante des informations qu'ils comptent mettre à la disposition des tiers.

Ils veulent aussi par ailleurs, pouvoir utiliser librement des technologies modernes, synonymes de confort accru, sans devoir s'encombrer de procédures de sécurité compliquées ou se préoccuper d'actes de cybercriminalité.

Devant tous ces cris de coeur, il est primordial pour les opérateurs comme la SONITEL, d'avoir la maitrise des systèmes informatiques supportant leurs applications critiques métiers.

Le but de notre travail dont le thème est: «Étude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL" sera le déclic de ce processus longtemps ignoré ou négliger à la SONITEL. Processus pourtant combien de fois vital à notre entreprise nationale face au dynamisme du secteur à forte concurrence et aux nouveaux défis.

Le travail que nous allons aborder sera structuré en quatre (04) chapitres.

Le premier chapitre présentera le lieu d'accueil de notre stage, le second chapitre traitera de l'étude de l'existant, ensuite interviendra le troisième chapitre sur l'état de l'art de la sécurité, le quatrième chapitre proposera des pistes de solutions dont leur mise en oeuvre complète débouchera par la rédaction d'un cahier.

10

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

Ce chapitre est le début introductif de notre travail. Il présente la structure où nous avons effectué notre stage ainsi que notre sujet à travers la présentation du contexte du sujet, de la problématique et des objectifs.

1.1Présentation de la Société Nigérienne des Télécommunications

1.1.1 Historique de la SONITEL

La Société Nigérienne des Télécommunications SONITEL S.A. est une société anonyme de droit Nigérien dont le capital est estimé à 22.714.700.000 FCFA.

Créée le 20 mars 1997 par la fusion de la branche des télécommunications qui assurait les communications nationales et locales de l'ex-OPT avec la Société des Télécommunications Internationales du Niger(STIN). elle est l'opérateur historique des télécommunications au Niger.

1.1.2 Mission, vision et ambition de la SONITEL

· Mission de la SONITEL

La mission de la SONITEL est d'assurer l'accès équitable à tous et à moins coût aux Technologies de l'Information et de la Communication sur l'ensemble du territoire national.

· Vision de la SONITEL

Pour suivre la marche vers l'avenir, la SONITEL développe les axes stratégiques suivants:

ü L'axe Client (Placer le Client au centre de nos préoccupations);

ü L'axe Croissance Rentable (Activer les moteurs de la croissance sous contrainte de la rentabilité et de nouveaux relais);

ü L'axe Innovation (Développer la recherche et l'innovation);

ü L'axe Ressources Humaines (Capitaliser les expériences, Professionnaliser les collaborateurs et les mobiliser vers un idéal commun: L'avenir de la SONITEL).

· L'ambition de la SONITEL

S'appuyant sur un capital d'expérience, et un matériel de pointe, la SONITEL en tant qu'opérateur historique du pays, a une vision futuriste sur l'avenir du secteur au Niger.

Elle ambitionne de DEVENIR L'OPERATEUR DES OPERATEURS AU NIGER.

11

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

1.1.3 Organisation

· Texte réglementaire et statuaire

La SONITEL est sous la tutelle du ministère de la communication.

Elle sous le contrôle de l'Autorité de Régulation Multisectorielle (ARM).

Dans le cadre d'un programme national de privatisation initié sur injonction des institutions financières de brettons Wood, la SONITEL fût privatisée le 20 décembre 2001.

Le consortium sino-libyen, connu sous le nom de DATAPORT ZTE/LAIICO, devient son repreneur stratégique.

Devant le constat de l'incapacité du repreneur à poursuivre la gestion de la SONITEL, maintes fois décriée par l'autorité de régulation à travers plusieurs mises en demeure, l'état du Niger a retiré la licence d'exploitation en février 2009 pour non respect du cahier de charge.

Elle est depuis dirigée par un Administrateur Délégué nommé par décret pris en conseil de ministre.

· Fonctionnement de la SONITEL

L'organisation administrative de la SONITEL repose sur:

· Un effectif de mille neuf (1009) agents repartis sur l'ensemble du territoire national;

· Une (01) direction générale;

· Huit (08) directions centrales;

· Huit (08) agences commerciales de proximité à Niamey;

· Six (06) agences commerciales de proximité dans les chefs lieux de région;

· Des antennes ou correspondants commerciaux un peu partout dans le pays.

Parmi les huit (08) directions centrales, celle du développement de l'Internet et des Systèmes d'Information a eu l'honneur et le privilège d'accueillir votre serviteur pour son stage pratique.

12

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

+ Présentation de la Direction du Développement de l'Internet et des Systèmes d'Information: DDIS

La Direction du Développement de l'Internet et des Systèmes d'information est chargée de la mise en place et de la gestion de la politique de système d'information en cohérence avec la stratégie générale de 1'entreprise.

Elle est responsable de l'ensemble des composants matériels et logiciels du système d'information, ainsi que du choix et de l'exploitation des services, systèmes et réseaux mis en oeuvre.

Elle a pour attributions:

y' D'assurer l'administration des systèmes et réseaux informatiques; y' D'assurer le choix des outils, matériels et logiciels, ainsi que de veiller à l'évolution des

systèmes d'information (facturation, réseau intelligent...etc.); y' D'apporter l'assistance en matière informatique;

y' De concevoir le Système d'Information de la SONITEL et en assurer le suivi de sa mise en oeuvre;

y' D'élaborer et mettre en oeuvre la stratégie informatique de la société; y' De tenir le tableau de bord de la Direction;

y' De veiller au développement de l'Internet, du multimédia et des applicatifs et services à valeur ajoutée.

Pour répondre efficacement aux orientations stratégiques de la Direction Générale, la DDIS a décliné les fonctions de départements et services sous forme d'un organigramme hiérarchique.

13

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· Organigramme de la Direction du Développement de l'Internet et des Systèmes d'Information: DDIS

La DDIS est structurée en organigramme hiérarchique.

+ Les départements de la DDIS

La DDIS compte deux (02) départements:

> Le Département Gestion des Systèmes d'Information non encore opérationnel(DGSI);

> Le Département Infrastructure Internet et Data (DIID).

Les besoins de notre étude nous invitent à nous intéresser uniquement à ce dernier.

+ Le Département Infrastructure Internet et Data DIID

Le département est subdivisé en deux services eux mêmes organisés en équipes

· Un (01) Service Supports Informatiques comprenant une seule équipe portant le nom: d'équipe supports informatiques.

· Un (01) service infrastructure comprenant les trois équipes ci-après:

-Une (01) équipe de fibre optique,

-Une (01) équipe ADSL; -Une (01) équipe ISDN.

14

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

A. Les activités de la DIID

Le département a en charge les activités et missions suivantes:

· La création des LS Internet de tous supports en toute région;

· La création et la maintenance des LS de données;

· La connexion des opérateurs Télécoms et Internet;

· Le déploiement de réseaux locaux (LAN) pour certains clients;

· L'exploitation et la maintenance des équipements de la plateforme ADSL;

· La gestion et la supervision du backbone Internet;

· La gestion des adresses IP publiques;

· La maintenance des équipements de plateforme Internet (routeurs, Switch, modems);

· La participation aux études et réalisation de concert avec le département grand compte;

· La maintenance de la Boucle Numérique Urbaine de fibre optique (BNU);

· La relève des dérangements et l'assistance aux centres distants.

Pour mener à bien les activités et missions qui lui sont confiées, la DIID, mise sur les compétences techniques des ressources humaines dont elle dispose.

B. Les ressources humaines de la DIID Le staff technique de la DIID est formé: D'un (01) Directeur du Développement Internet et des Systèmes d'Information assurant les fonctions d'administrateur du réseau;

· Trois (03) ingénieurs (le chef du département infrastructures, son chef de service et son adjoint) en appui à l'administrateur et aux techniciens;

· Deux (02) techniciens: Chargés de l'exploitation et la maintenance des équipements ainsi que du support aux clients en difficultés techniques;

· D'une (01) secrétaire de direction: Chargée de la bureautique;

· L'équipe est étoffée par des stagiaires toutes formations confondues.

Après la présentation de la DDIS, notre étape suivante sera consacrée à celle du positionnement de notre sujet.

1.2 Présentation du sujet 1.2.1 Contexte du sujet

Ce travail se positionne dans un contexte de mémoire de fin d'études pour la validation de notre formation en mastère spécialisé téléinformatique à l'ESMT/ESP de Dakar. Il vise

15

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

l'amélioration de la qualité des prestations fournies par la SONITEL, en lui garantissant un réseau qui répond aux règles minimales de sécurité.

1.2.2 Problématique

La sécurité des systèmes d'information est devenue une clef de compétition pour nos entreprises nationales soumises à une rude concurrence.

C'est pourquoi la SONITEL à travers la Direction Générale, très préoccupée par la situation sécuritaire de son réseau, a inscrit dans son programme d'investissement 2010-2011, la sécurisation de sa plateforme IP.

Plusieurs démarches infructueuses ont été menées auprès des sociétés spécialisées en la matière dans le cadre de la mise en oeuvre de cet ambitieux programme.

La Direction Générale de la SONITEL profitant de cette opportunité de projet mémoire, nous a confié de diligenter une étude à cette fin utile.

Guidés par un souci constant de mieux répondre aux objectives de ce mémoire; nous avions procédé à des nombreuses investigations.

Cela, par un travail coopératif avec les acteurs internes et externes de la sécurité des systèmes d'information. Ainsi, nous avons pu recueillir un certain nombre d'information tournant autour de l'état sécuritaire des réseaux d'une manière générale et de notre réseau cible en particulier.

1.2.3 Objectifs de l'étude

L'étude objet du présent document a pour but de mettre à profit le temps qui nous est imparti, pour produire un document à mettre disposition de la SONITEL et à tous ceux qui sont intéressés par la question cruciale de sécurité réseaux informatiques.

Nous ne prétendons pas aborder tous les aspects liés à la sécurité réseau parce que limités dans le temps et dans l'espace.

Nous nous sommes fixés cependant comme objectifs de mettre en place:

· La sécurisation physique des locaux;

· La sécurisation du trafic IP par un système de load balancing;

· La sécurisation des liens par une agrégation;

· La sécurisation des équipements critiques par un système de redondance;

· La protection du réseau avec les outils comme l'antivirus, le firewall logiciel et matériel, l'IDS, IPS et les scanneurs de failles).

16

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· La rédaction d'une charte aux utilisateurs;

· La rédaction d'un cahier de charge ;

· L'évaluation financière de notre projet.

Ce mémoire aura de plus, pour objectif d'être un véritable guide de sécurité pour une entreprise d'envergure comme la SONITEL en examinant les forces et les faiblesses du réseau

1.2.4 Méthodologie

Notre approche méthodologique est centrée sur les huit(08) phases complémentaires:

· L'ETUDE DE L'EXISTANT;

· L'ETAT DE L'ART DE LA SECURITE;

· LA SECURISATION DU RESEAU

· LA CONCEPTION DE LA SOLUTION;

· LA MISE EN OEUVRE DE LA SOLUTION;

· L'ESTIMATION FINANCIERE ;

· LE CAHIER DE CHARGE ;

· UNE CONCLUSION GENERALE.

17

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

hapitre2 Etud de l'existant

Chapitre 2 : Etude de l'existant

Dans ce chapitre il sera question de dresser en premier lieu la situation des TIC au Niger, de décrire en second lieu le réseau existant de la SONITEL, l'analyser et ressortir le bilan sécuritaire.

La méthodologie adoptée au cours de cette étude dite de préalable, sera basée sur:

L'entretien avec les responsables en charge de la gestion technique et administrative des

infrastructures réseau;

s s s s

La recherche documentaire (internet, forums, rapports d'activité, notices techniques);

Les bases théoriques acquises pendant la formation;

Les directives du maître de mémoire ainsi que celles de mes encadreurs;

L'expérience professionnelle vécue dans le secteur.

2.1 Situation des TIC au NIGER

En matière de TIC, le Niger connaît un faible taux de pénétration de 0.7%

Selon le classement l'UIT-T 2010, le pays est classé au 158° rang sur 159 pays du monde. En dépit de cette situation, les TIC jouent un rôle primordial dans le développement socio-économique du pays. A cet effet, grâce aux nouvelles technologies et à l'arrivée des nouveaux opérateurs, plusieurs domaines d'activités ont connu une croissance exponentielle.

Des cybercafés, des publiphones, des distributeurs de cartes prépayées et autres services comme le transfert de crédit ont fait leur apparition.

L'accès à ces technologies est ouvert à tous avec des disparités entre villes et compagnes. Ce fossé numérique est surtout accentué par la réticence des nouveaux arrivants qui évitent d'investir dans les zones dites non rentables. De ce fait, le service universel bien qu'étant une exigence universellement reconnue, n'est pas assuré au Niger.

Par contre, les nouveaux opérateurs, se livrent à la guerre des prix et des promotions à n'en point finir. Du coup, les tarifs de communication et de connexion internet vont crescendo à la satisfaction générale des consommateurs.

Selon l'ARM, le parc Internet du NIGER est estimé à 562.075 clients en 2010.

18

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Ce chiffre est en nette progression avec la recrudescence du déploiement des réseaux mobiles par les nouveaux entrants et la vente à bon marché des terminaux (PC de bureau, PC portables, terminaux mobiles et autres kits de connexions).

L'émergence des nouveaux services, et la création d'emplois qui s'en est suivi, constituent à n'en point douter, un facteur important de lutte contre la pauvreté pour l'atteinte des OMD: Objectifs du Millénaire pour le Développement.

S'il est vrai que ce nouveau mode de contact planétaire procure à notre jeunesse, culture éducation, information, il est aussi vrai qu'il constitue pour elle, l'outil privilégié qui l'expose à être auteur ,co-auteur ou victime de cybercriminalité, d'arnaque et autres fraudes informatiques.

2.2 L'étude du réseau IP de la SONITEL

Dans cette partie il sera question de faire une sorte d'inventaire du matériel réseau et applications (informatiques et télécommunications) qui rentrent dans le processus du fonctionnement de la plateforme IP de la SONITEL. Elle débute par la genèse de l'Internet à la SONITEL.

2.2.1

Historique du réseau IP de la SONITEL

La SONITEL est pionnière incontestée de l'Internet au Niger.

En effet, l'Internet a été introduit au Niger en 1992, par le biais de cet opérateur historique. Livrés sur un lien VSAT international de technologie obsolète dite analogique, les débits offerts étaient de l'ordre 9600 bits/seconde L'Internet était possible partout au Niger où existe le RTC.

Depuis le 02 Mai 1997, l'accès Internet du Niger était entièrement numérisé avec notamment un lien international direct à 64 kbps.

En Mai 1998, une extension du noeud d'accès Internet a été réalisée en portant le lien international à 192 kbps (kilobits par seconde).

En juin 2000, le débit total disponible sur bande satellitaire est de 24Mbits/s.

Cette capacité devrait couvrir les besoins de tout le territoire, car l'Internet, à l'exception de quelques VSAT est essentiellement géré par la SONITEL à travers sa plateforme IP.

Plus tard, les technologies telles que: l'ADSL, le CDMA, sont venus favoriser l'accès Internet en offrant du haut débit

19

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

La véritable connexion aux autoroutes de l'information du pays n'est intervenue qu'avec l'atterrissement au câble sous-marin en fibre optique (SAT3) via le Benin en 2008.

Dès lors, le pays est placé à la pointe des innovations technologiques.

Le débit qui était à 24Mbits/s (montant et descendant y compris) a connue une nette augmentation en passant à 155Mbits/s tout en gardant les 24Mbits/s comme voie de secours satellitaire.

.Enfin en juillet 2011, avec l'engouement que suscite l'Internet, la SONITEL a upgradé ses liens pour passer de 155Mbits/ à 2x155Mbits sur la SAT3 avec un backup en liaison satellite de 69Mbits (débit montant et descendant y compris).

Avec cette bande passante et les infrastructures réseaux (fibre optique, faisceau hertzien, satellite, câble en cuivre, CDMA, ADSL) le territoire national est largement couvert.

2.2.2 Description de l'infrastructure IP

2.2.2.1 Présentation de la plate forme IP de la SONITEL

A la faveur de la convergence voix-donnée -image, la SONITEL s'est dotée d'une infrastructure IP. Cette plate-forme IP, gère la connectivité aussi bien des ISP/FAI (Internet Service Providers/Fournisseurs d'accès Internet) que celle des clients professionnels et résidentiels. Elle entretient des relations avec open transit de France télécoms et Intelsat en matière d'Internet.

La plateforme IP de SONITEL est implantée à la communauté urbaine de NIAMEY au sein du complexe B de la SONITEL appelé aussi central B.

Le lien de secours est situé à un second site de la SONITEL nommé central D.

Les deux sites sont distants d'environ douze(12) km.

20

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

V' L'architecture de la plateforme IP de la SONITEL

2.2.2.2 Présentation du matériel implanté

Les équipements informatiques déployés par la SONITEL dans le cadre son réseau IP sont ainsi énumérés:

· Des serveurs locaux comprenant essentiellement:

V' Un (01) serveur DNS: Pour le service de résolution des noms;

V' Un (01) serveur FTP:Pour le service du transfert de fichier;

V' Un (01) serveur INTRANET: Pour le service de la messagerie et du courrier

électronique internes à l'entreprise ;

V' Un (01) serveur GPTO: Pour la facturation et la gestion des clients;

V' Un (01) serveur radius ZTE: Pour l'Authentification, l'Autorisation et l'Accounting

des clients ADSL;

V' Un (01) serveur web ZTE ADSL; Pour les requêtes des clients ADSL;

V' Un serveur WEB: Pour servir de vitrine de l'entreprise sur le site www.sonitel.ne.

21

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· Des routeurs en majorité de marque CISCO: et selon l'implantation suivantes:

y' Deux (02) routeurs core: Un(01) pour chaque sortie vers internet et sur deux sites distants: Central B qui donne l'accès à la SAT3 par une liaison à fibre optique et le central D qui donne l'accès à Bercenay par liaison VSAT en backup.

y' D'autres routeurs locaux pour la distribution vers les clients internet dont le détail et la répartition seront donnés en annexe I.

· Des Switch 24 et 32 ports dont:

y' Trois (03) Switch backbone:deux(02) au central B dont un(01) en réserve et un(01) au central D.

y' D'autres Switch de toutes séries, mais dont la marque Cisco est prédominante assurent le lien avec les routeurs clients. Ils sont en dispatching sur tous les sites d'accès client

· Un équipement de protection Internet y' un (01) PIX 515 E sur le réseau CDMA).

· Des équipements d'énergie et d'environnement:

y' La NIGELEC: Fournisseur d'énergie du pays assure la distribution en énergie;

y' un groupe électrogène à démarrage automatique prend la relève en cas de défaillance secteur;

y' Des onduleurs (UPS) à fortes autonomies sont en appoint pour assurer la continuité en alimentation électrique des équipements;

y' Des climatiseurs ou (split) assurent le conditionnement de la salle technique.

y' Un (01) coffret de protection d'énergie contenant des fusibles, des paratonnerres et des para surtensions) Ce sont des équipements en utilisation partagée avec les autres équipements télécoms de la SONITEL.

· Un équipement de supervision du réseau IP:

y' Le MRTG: Pour la gestion du trafic IP multi-route sous forme de graphe.

· Trois (03) types de supports de transmission constitués :

y' D'un câble de jonction inter-centraux B et D en fibre optique STM-4 configurée en anneau ;

y' D'un Faisceau-Hertzien type FH DMR3000S pour assurer les liaisons avec les sites distants. C'est un Faisceau-Hertzien Basé sur la technologie SDH en STM1, sur un backbone national. Elle est la principale artère de transmission du pays (l'épine dorsale) avec (11) onze stations relais pour la régénération du signal. Le déport abonné, se fait au moyen d'un équipement appelé FH NEC PASOLINK.

22

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Le même type de PASOLINK continu d'être employé à Niamey pour relier certaines URAD à leur coeur de chaîne.

Le maintien d'un FH à Niamey, alors que la fibre est présente est justifiée par un

problème technique survenue, lors du basculement du trafic du FH à la fibre optique. y' La VSAT nationale

Elle sert à la desserte des zones désertiques du pays très difficiles d'accès. Toutes les antennes sont orientées sur le satellite Intelsat901.

Elles ont des diamètres de 7.30 m exceptée celle d'Azelik qui a 3,7m. La topologie du réseau est en étoile et est constituée, de six(06) stations secondaires (Agadez, Arlit, Azelik, Bilma, Diffa, Tchinta) et d'une station maîtresse à Niamey site D.

· Quant aux liaisons internationales elles se font via:

y' Le câble à fibre optique en STM16:sur la partie nigérienne qui est reliée au Benin voisin en STM1 pour aboutir à la SAT3.

y' La VSAT internationale de secours: sis au central D, avec une de 7.30m pointée sur le satellite Intelsat 901 via Bercenay en France. Pour le multiplexage et de démultiplexage des équipements Sagem ADR 2500 sont installés.

Le système de supervision et de gestion des équipements de transmission est basé sur le modèle de management: TMN avec ses six(06) fonctions FCAPS.

·

Des équipements de maintenance

Le kit de maintenance informatique est composé de câbles console, d'ordinateurs PC, d'un(01) souffleur/aspirateur, d'antivirus en version d'évaluation et d'une(01) caisse à outils. Un (01) véhicule de pool, assure la navette entre les sites en cas de panne équipement. L'accès aux différents équipements, aux fins de consultation ou de diagnostics peut se faire soit en local par port console ou en remote par Telnet.

Un mot de passe et un login et sont nécessaires pour se connecter.

Le niveau d'intervention varie selon la responsabilité de l'intervenant.

· L'adressage du réseau IP

La SONITEL utilise la méthode de segmentation CIDR (Classless Inter Domain Routing) et forme un réseau à 8960 adresses IP publiques selon les quatre blocs suivants:

· Un bloc de 8192@ (X.X.X.0 /19);

· Un bloc de 256@ (X.X.X.0 /24);

· Un bloc de 256@ (X.X.X.0 /24);

· Un bloc de 256@ (X.X.X.0 /24).

23

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Le NAT (Network Address Translation) est également employé à la SONITEL pour les clients Intranet. Son principe consiste à utiliser une passerelle de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne et au moins une interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter l'ensemble des machines du réseau. Il s'agit de réaliser, au niveau de la passerelle, une translation (littéralement une « traduction ») des paquets provenant du réseau interne vers le réseau externe.

Lorsqu'une machine du réseau effectue une requête vers Internet, la passerelle effectue la requête à sa place, reçoit la réponse, puis la transmet à la machine ayant fait la demande.

Étant donné que la passerelle camoufle complètement l'adressage interne d'un réseau, le mécanisme de translation d'adresses permet d'assurer une fonction de sécurisation.

En effet, pour un observateur externe au réseau, toutes les requêtes semblent provenir de l'adresse IP de la passerelle.

24

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

2.2.2.3 Etude technique du réseau IP

Il s'agit de fournir quelques détails techniques dans le fonctionnement des équipements et services qui entrent en jeu pour la fourniture de l'Internet à la SONITEL > Les équipements HIT (High Integrated Transmission)

+ Architecture du réseau HIT

+ Description technique du réseau HIT

De technologie fibre optique, les équipements HIT, sont destinés à la desserte des clients grands compte de Niamey.

Dans le réseau HIT, les clients sont regroupés en zones, sur une boucle numérique urbaine en STM-1. Cette Boucle Numérique Urbaine(BNU) atterrit jusqu'au local client pour lui offrir les solutions suivantes:

o accès large bande à Internet;

o De raccordements de PABX et IPBX au réseau téléphonique commuté à travers des TNR;

25

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

o D'interconnexion sécurisée d'entreprises à plusieurs sites distants.

> Les équipements du réseau CDMA:(Code Division Multiple Access) + Architecture du réseau CDMA

+ Description technique du réseau CDMA

Le CDMA désigne un procédé de téléphone sans fil utilisant un large spectre de fréquences. Cette technique consiste à allouer toute la bande de fréquence à chaque utilisateur durant toute la durée de sa communication, les données sont transmises avec une fiabilité redoutable, une faible consommation de ressources et une confidentialité impressionnante.

Le réseau CDMA INTERNET de la SONITEL est disponible dans la communauté urbaine de Niamey et dans tous les chefs lieux de régions à l'exception de ceux utilisant des VSAT pour un problème d'insuffisance de la bande passante allouée à la SONITEL sur le transpondeur. Le CDMA 2000 de l'équipementier ZTE est la norme déployée à la SONITEL.

Pour sécuriser le réseau contre les menaces internet un firewall matériel PIX 515E est installé.

26

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

> Les équipements du réseau ADSL (Asymmetric Digital Subscriber Line) + Architecture du réseau ADSL

+ Description technique du réseau ADSL

Les accès ADSL de l'opérateur SONITEL sont raccordés à un DSLAM (DSL Access Multiplexer). Ce dernier est installé dans un noeud de Raccordement d'Abonné ou NRA) et permet de desservir une zone de 4 ou 5 km de rayon. Un BAS (ZTE 10600 UAS) concentrera le trafic de 16 DSLAM. Neuf(09) DSLAM sont en services à Niamey connectés au port fei 3/16 de l'UAS et un DSLAM pour chacune des huit (08) régions que compte le pays (Port 3/4 à 3/11 du même UAS.

Les différents types de DSLAM que nous avons rencontrés dans le réseau de la SONITEL sont:

· DSLAM type9210;

·

27

DSLAM type9303;

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· DSLAM type versa.

Le type varie selon la capacité de raccordements abonnés.

V' Les débits offerts vont de 128 Kbps à 2 Mbps.

V' Un routeur Cisco 5400 permet aux clients ADSL d'accéder au backbone IP de la SONITEL.

V' De même un Switch Cisco 2950 est utilisé pour connecter: un serveur radius, un serveur web, et deux (02) terminaux (AAA WEB terminal, DSL et UAS management terminal). Les clients sont en DHCP avec l'adressage IP publique dynamique et occupent le réseau X.X.X.0/20.

> Les équipements d'une Liaison Spécialisée Internet + Architecture d'une LSI

+ Description technique d'une LSI

Il s'agit des liaisons exclusives point à point entre deux (02) abonnés. Elles sont utilisables pour la téléphonie et/ou la transmission de données.

28

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

La tarification dépend uniquement de la distance.

Les LS Internet de la SONITEL sont réparties:

y' Dans les institutions académiques et de recherche (IRD, ICRISAT, ACMAD, EAMAC,

AGHRYMET, Université de Niamey) ;

y' Dans le domaine des ONG (SNV, SDSA),

y' Dans l'administration centrale (éducation, finance, santé);

y' Dans les organisations internationales (PNUD, OMS, UNICEF...etc.)

y' Dans les banques (BCEAO NIGER, ECOBANK, BIA);

y' Dans les ambassades (Allemagne, France, USA,...etc.).

La SONITEL offre deux (02) catégories de LSI:

· La LSI cuivre

Les liaisons spécialisées à paire de cuivre permettent de fournir l'Internet aux utilisateurs à des débits allant de 128 Kbps à 2 Mbps.

Ces LSI passent au niveau des centraux B et D à travers des modems de ligne.

· La LSI fibre optique

Les liaisons LSI à fibre optique utilisent le réseau HIT pour desservir les clients avec des débits allant de 256kbps à 2Mbps.

29

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

> Les équipements du réseau intranet + Architecture de la distribution intranet

+ Description technique du réseau intranet

L'intranet peut-être défini comme étant un réseau informatique utilisé à l'intérieur d'une entreprise ou de toute autre entité organisationnelle utilisant les techniques de communication d'Internet. Pour ce faire des Switch de distribution sont fixés à l'intérieur des bâtiments de toutes les directions, départements, services et centres de la SONITEL. Le serveur Intranet tourne sur l'application lotus notes dans sa version 6.5.

> Les équipements du GPTO

+ Architecture des équipements.

Mes recherches sur le terrain , ne m'ont pas permis de disposer du schéma de l'architecture et les informations recueillies sont très insuffisantes pour que je puisse le concevoir.

+ Description technique du réseau GPTO

C'est un réseau utilisé pour relier les différentes agences commerciales de la SONITEL à une application qui gère la facturation des clients.

30

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Sa gestion technique s'intègre au système d'échange de messages de la gestion commerciale.

Pour le CDMA, le GPTO assure la gestion des cartes SIM : Activation/désactivation,

limitation /suspension /rétablissement des droits d'accès, statut des cartes SIM, remplacement

des cartes SIM, destruction des cartes SIM, déblocage de code PIN (par le code PUK).

Pour le fixe (filaire ou radio), le GPTO assure la gestion des " infrastructures " : Equipements

(commutateur, répartiteur, sous-répartition, point de concentration), circuits (câbles,

faisceaux, têtes et amorces, état des paires...), " boites à numéros " par produit (numéro de

désignation, d'équipement) et la gestion des liaisons logiques : fichier technique des abonnés

(FTA), gestion des études (études automatiques, réservation de constitution et du numéro),

suivi des instances (demande non-réalisable, saturation, zone non équipée, équipement

manquant, reprise des instances lors d'une disponibilité).

2.3.3 Les projets et perspectives

La Direction du Développement de l'Internet et des Systèmes d'Information, dans sa stratégie de consolidation de l'infrastructure existante et sa quête perpétuelle de déploiement de réseau de nouvelle génération, ambitionne les projets suivants:

· Projet de sécurisation de la plate-forme IP;

· Projet de migration de la plateforme IP vers L'IP/MPLS;

· Projet de déploiement du WIMAX en tant solution alternative et complément à la boucle optique et au réseau filaire;

· Projet d'acquisition d'une bande passante internet conséquente de secours;

· Projet d'interconnexion du réseau à câble optique SONITEL pour un deuxième atterrissement à la SAT3 via le Burkina voisin.

Pour mieux nous outiller et saisir de l'opportunité pour arriver à un meilleur choix de solution pour le réseau de la SONITEL, il nous paraît essentiel de faire l'état de l'art de la sécurité en nous référant aux techniques actuelles d'attaque réseau, les motivations et les parades en vogues.

31

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Chapitre 3 : Etat de l'art de la Sécurité

Aujourd'hui plus qu'hier, les administrateurs réseau, sont confrontés aux problèmes

brulants d'insécurité qui ne cesse de prendre de l'ampleur du jour au lendemain.

Si hier, les attaques ne se limitaient qu'aux virus et aux vers et ciblaient les postes de travail,

aujourd'hui, les hackers sont des ingénieurs avec des connaissances extraordinaires.

Les cybercriminels n'agissent plus en francs-tireurs, mais s'organisent en une véritable

industrie avec ses spécialisations. Du coup, les attaques se font de plus en plus avec des

moyens très sophistiqués et une puissance de frappe jamais égalées qui inquiètent plus d'un

responsable de système d'information.

3.1

Panorama des attaques

Une "attaque" peut-être définie comme étant l'exploitation d'une faille d'un système informatique(système d'exploitation logicielle ou bien même de l'utilisateur) à des fins non connues par l'exploitant des systèmes et généralement préjudiciables.

Il existe une panoplie d'attaques réseaux dont les plus courantes sont répertoriées ainsi que suit:

· L'attaque physique

L'attaquant a accès aux locaux, éventuellement aux machines; Pour nuire à l'entreprise il peut occasionner:

o Une coupure de l'électricité;

o Une extinction manuelle du système;

o Une ouverture du boîtier de l'ordinateur et vol de disque dur;

o Une écoute du trafic sur le réseau ;

o Un acte de vandalisme.

· L'attaque par interception des communications

Par des moyens qui lui sont propres le pirate peut procéder à:

o
o
o

Un vol de session (session hijacking);

Une usurpation d'identité;

Un détournement ou une altération de messages.

32

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

L'attaque par déni de service

Le pirate vise à perturber le bon fonctionnement d'un service.

La méthode fréquemment utilisée est le dépassement de tampon qui consiste à envoyer un message au serveur plus grand que sa capacité de réception.

o
o

Pour cela nous distinguons habituellement les types de déni de service suivants: Exploitation de faiblesses des protocoles TCP/IP;

Exploitation de vulnérabilité des logiciels serveurs.

· L'attaque DDoS

La méthode de déni de service la plus répandue actuellement est le déni de service réparti (DDoS :Distributed Denial of Service). Plusieurs façons de réaliser cette attaque existent, mais globalement ce qui se passe, c'est que le pirate créé un programme qui lui permet de gérer à distance des ordinateurs et leur ordonne à un moment donné d'envoyer tous en même temps des flux de paquets à une même cible. Ceci a pour effet de rendre indisponible la cible qui ne parvient pas à gérer toutes ces demandes.

· L'attaque par spamming

Le spamming est l'envoie massifs de e-mails à caractère commercial, voire assez douteux dans le but de pirater le serveur ou la. base de données,

· L'attaque sur la base de données

L'une des attaques possibles a pour principe de modifier indirectement les ordres SQL envoyés au serveur, en y incluant des chaînes de caractères spéciales en lieu et place des paramètres attendus par l'applicatif. Cette technique permet de récupérer des informations confidentielles de la base de données ou simplement des métadonnées.

o Nous pouvons par exemple faire un appel normal et on aura dans la barre d'adresse du navigateur : http://serveur/prog?user=nom_user. On peut ensuite faire un appel falsifié du type : http://serveur/prog?user=un_autre_user. A ce moment là, soit on obtient directement des infos concernant l'autre user, soit une erreur qui peut nous donner des indications qui permettent d'apprendre, par exemple, que le nom de user est un paramètre identifiant une table et qu'il y a une table par user, contenant un numéro qui sert de filtre. On peut ainsi obtenir des informations sur la base de données.

o Nous pouvons également ajouter du SQL supplémentaire en fin de champ d'un formulaire. Si par exemple on a un champ demandant le nom d'une personne et qui fait l'ordre SQL : SELECT col FROM la_table WHERE nom = 'nom_user', et que dans le champ du

33

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

formulaire on écrit : nom_user';delete from une_autre_table#, alors on aura réussi à détruire une table de la base de données.

o Il est aussi possible en utilisant des techniques similaires de s'attribuer des niveaux de privilèges que l'on ne devrait pas avoir. On appelle ce genre de techniques d'attaques sur les bases de données des « Injections (ou inclusion) de SQL ».

· L'attaque par intrusion

o Balayage de ports ou scan : Le scan de port permet d'identifier les ports TCP ou UDP sur lesquelles une application réseau est à l'écoute (sniffing). Le sniffer le plus répandu sous UNIX est tcpdump, il fonctionne en mode texte et est extrêmement rapide car il applique un filtre de capture avec pcap.Sous Windows wireshark, capture la totalité des données puis applique un filtre de lecture ou d'affichage c'est pourquoi il est moins rapide que tcpdump.

o Elévation de privilèges: ce type d'attaque consiste à exploiter une vulnérabilité d'une application en envoyant une requête spécifique, non prévue par son concepteur, ayant pour effet un comportement anormal conduisant parfois à un accès au système avec les droits de l'application.

Les attaques par débordement de tampon (en anglais buffer over-flow) utilisent ce principe.

· L'attaque par ingénierie sociale

Dans la majeure partie des cas le maillon le plus faible est l'utilisateur lui-même. En effet c'est souvent lui qui, par méconnaissance ou par duperie, ouvre une brèche dans le système. L'ingénierie sociale ou Social Engineering) consiste à manipuler les êtres humains, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier.

· L'attaque backdoor ou trappe

Il s'agit d'une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur.

3.2 Les motivations des attaques

Les motivations des attaques du réseau peuvent être de différentes sortes:

· Obtenir un accès au système;

· Voler des informations, tels que les secrets de l'entreprise ;

· Recueillir des informations personnelles sur un utilisateur;

· Troubler le bon fonctionnement d'un service

· Utiliser le système de l'utilisateur comme «rebond» pour une attaque;

·

34

Utiliser les ressources (bande passante) du système de l'utilisateur ...etc.

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

3.3 Les outils de sécurisation réseau

3.3.1 La normalisation

La sécurité doit aujourd'hui se reposer du point de vue des recommandations des

organismes de normalisation( IETF,UIT-T,W3C) sur une bonne architecture réseau capable

de garantir les services de sécurité: d'authentification mutuelle, l'authentification de l'origine

des donnée, de confidentialité des données, confidentialité des flux de données, l'intégrité des

données ,la prévention contre le rejeu de données.

Définissons à présent ces différents concepts de la sécurité:

· L'authentification

C'est un concept qui permet de s'assurer de l'identité de l'interlocuteur.

Il existe des techniques traditionnelles d'authentification telles que: le mot de passe, la carte à puce, ou l'empreinte digitale et des techniques évoluées d'authentification parmi lesquelles:

o L'authentification par certificat X509 client;

o L'authentification évoluée avec calculette dynamique, CAPTCHA, etc.;

o L'authentification forte avec Smartcard, Token hardware ou ADN numérique;

o Les solutions de Web SSO.

· La non répudiation

C'est un ensemble de moyens et techniques permettant de prouver la participation d'une entité dans un échange de données.

La technique de parade traditionnelle employée est la signature légalisée, aujourd'hui nous sommes à la signature numérique.

· La confidentialité des données

C'est un concept permettant de s'assurer que l'information ne peut être lue que par les personnes autorisées. L'utilisation d'enveloppes scellées, de valise diplomatique étaient

des solutions du monde réel, la tendance actuelle est la technique de

chiffrement/déchiffrement.

· L'intégrité des données

C'est un ensemble de moyens et techniques permettant de vérifier ou de prouver la

non altération d'une donnée.

La technique traditionnelle de comparaison original/copie permettait de l'assurer.

La technique moderne fait appel aux fonctions de hachages.

35

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

En dehors des organismes de normalisation précités, il existe d'autres organismes chargés d'assurer des services de prévention des risques en termes de sécurité informatique, et d'assistance aux traitements d'incidents. Ce sont des centres d'alerte et de réaction aux attaques en direction des entreprises et des administrations. Parmi ces organismes nous pouvons citer entre autres: US CERT le centre d'alerte des Etats-Unis, CERT en Afrique du sud et en Tunisie, l'ANSSI l'organisme officiel français qui définit les normes sur l'évaluation et la certification des systèmes d'information.

Des versions de protocoles sécurisés existent aussi pour combler les lacunes natives des protocoles de la pile TCP/IP.

3.3.2 Les protocoles de sécurité

> IP sec

IP Sec est un protocole défini par IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit d'un protocole apportant des améliorations au niveau de la sécurité afin de garantir la confidentialité, l'intégrité et l'authentification des échanges.

Le protocole IP Sec est basé sur trois modules:

· IP Authentification Header(AH) concernant l'intégrité, l'authentification et la protection contre le rejeu. des paquets à encapsuler;

· Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejeu.

· Security Association(SA) définissant l'échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP(les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés par les protocoles, les clés utilisées,...etc.). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur le mode d'échange.

> IPV6

Le protocoleIPV6 est basé sur des adresses codées en 128 bits pour un total de 2128 possibilités.

Dans ces circonstances, le protocole IPv6 (appelé également IPng pour IP new génération) doit offrir plus de flexibilité et d'efficacité, résoudre toute une variété de problèmes nouveaux et ne devrait jamais être en rupture d'adresses.

36

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

> DNS sec

Le DNSSEC constitue une des extensions sécurisées du protocole DNS (convertir les adresses IP en noms de domaine par le biais de signatures numériques. C'est un protocole qui aide à mieux lutter contre les attaques par «empoisonnement de cache» qui visent le détournement des requêtes et la récupération des données personnelles de l'internaute.

Par exemple le logiciel Zone Check permet de vérifier la configuration technique d'un nom de domaine.

> POPS(POP over SSL) et IMAPS (IMAP over SSL):

POPS et IMAPS sont les versions sécurisées des protocoles IMAP et IMAP.

Ils permettent d'assurer la sécurité de la transmission des données en chiffrant le mot de passe par un algorithme de cryptographie difficile à intercepter par un pirate.

> SSH

Utilisé en remplacement sécurisé du protocole Telnet, Secure Shell permet la communication entre deux processus. Il permet à un poste client (PC, MAC) de se connecter ou copier des données de façon sécurisée(en empêchant des attaques de tiers («session hijacking») et «DNS spoofing» à un poste serveur distant.SSH utilise la cryptographie à clé publique pour crypter les communications entre deux hôtes, ainsi que l'authentification des utilisateurs.

Il existe plusieurs implémentations de clients Windows librement disponibles Putt pour les connexions «émulation de terminal", (SSH, Winscp pour les transferts de fichiers (sftp et scp).

> SSL OU TLS

Le protocole SSL (Secure Sockets Layer), est un protocole conçu pour assurer les fonctions de chiffrement des données et d'authentification au cours d'une connexion entre un client et un serveur de la Toile. SSL commence par un échange de présentations permettant l'authentification du serveur et au cours duquel se négocient un algorithme de chiffrement (par exemple DES) et les diverses clés qui sont utilisées pendant la session. Le client peut devoir s'authentifier auprès du serveur. Une fois l'échange de présentations achevé, toutes les données applicatives échangées sont chiffrées au moyen des clés négociées. SSL est actuellement la pierre angulaire des systèmes de sécurité du commerce électronique. SSL est à la base du protocole TLS (Transport Layer Security) et ces deux protocoles sont aussi

37

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

impliqués dans les systèmes de messagerie IMAP (Internet Mail Access Protocol), où ils assurent les fonctions d'authentification et de chiffrement de données.

Le logiciel de protection SSL (Secure Sockets Layer) se substitue progressivement au logiciel de protection IP Sec VPN Remote Access.

> HTTPS

HTTPS est un protocole qui permet de faire du http via une connexion sécurisée (cryptage + authentification) en utilisant une couche SSL (Secure Socket Layer) à ne pas confondre avec shttp (Secure http) qui est un protocole en lui-même.

En commerce électronique, un cadenas fermé apparait en bas à droite du navigateur lorsque la connexion est sécurisée, le cas échéant il est ouvert.

HTTPS appartient donc tout comme d'autres protocoles de messagerie électronique POPS et IMAPS à un procédé de sécurisation appelé SSL.

3.3.3 Les systèmes de protection réseau

+ L'antivirus

L'antivirus représente le premier rempart d'un système sécurisé.

Il permet de vérifier le contenu des fichiers et de les comparer avec des fichiers dangereux recensés dans 'la base de signature' de virus. Cette dernière contient l'ensemble des profils de fichiers dangereux ayant été identifiés contaminés.

Il existe:

y' L'antivirus système qui se charge de scanner périodiquement les fichiers présents sur le disque dur pour y découvrir les virus, et procéder à leur éradication.

Dans le monde libre, il existe de nombreux antivirus gratuits et qui concernent les OS les plus répandus.

Ainsi, pour les OS de type Windows (XP, 2K, 98 ...), tout utilisateur peut bénéficier de la solution XPantivir ( http://www.free-av.de/) mise à jour régulièrement.

Concernant les systèmes linux, il faut avouer qu'ils sont directement moins concernés par les virus, dans la mesure où les failles de conception et de développement semblent plus rares dans cet OS. Cependant, il existe bien entendu des virus qu'il convient d'éradiquer. Des solutions sont disponibles telles que "f-prot" ( www.f-prot.com) ou encore "panda"

y' L'antivirus personnel: Utilisé pour désinfecter les PC personnel.

38

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

+ Le firewall

Le firewall ou pare-feu est un système ou ensemble de systèmes qui renforce la politique de sécurité d'une entreprise. C'est un mécanisme de filtrage des entrées de l'extérieur vers le réseau.

Le firewall détermine:

· quels services internes peuvent être accédés de l'extérieur ?

· quels éléments extérieurs peuvent accéder aux services internes autorisés ?

· quels services externes peuvent être accédés par les éléments internes ?

Concrètement le firewall permet d'interdire (ou d'autoriser) une communication au sein d'un réseau en séparant deux réseaux aux règles de sécurité différentes (exemple pour séparer l'internet d'un réseau privé).

Certains firewalls permettent un contrôle strict des flux applicatifs, en fonction d'une politique de sécurité déclarée.

+ Les Virtual Private Network (VPN)

Un VPN est un réseau qui se superpose aux réseaux publics tout en conservant les avantages d'un réseau privé. Ils sont adaptés pour sécuriser l'accès des sites distants. via des tunnels.

3.3.4 Les outils d'analyse et de contrôle

L'utilisation d'outils d'analyse et de contrôle permet d'améliorer la sécurité des réseaux il s'agit entre autres:

o Du contrôle de la sécurité par la gestion des logs (L'outil RANCID permet par exemple de loguer tous les accès sur un routeur);

o De la détection de violation d'intégrité pour lutter contre le «site defacing;

o Du scannage de vulnérabilités.

Les scanneurs de failles se particularisent par la détection des failles présentes sur une machine ciblée, à un instant donné.

Généralement, les scanneurs de failles fonctionnent selon l'architecture client/serveur. Le serveur, où un daemon est lancé, est chargé de tester un système indiqué en essayant toutes les attaques que sa base contient, pendant que le client établit un rapport des résultats obtenus. En se basant sur une base de données contenant l'ensemble des failles recensées (tous logiciels confondus) le scanneur effectuera des simulations d'attaques, en s'inspirant des exploits déjà

39

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

connus. Ce dernier est installé sur le serveur et représente un agent intrusif essentiel au bon déroulement du diagnostic.

L'outil génère alors des rapports (web, PDF ...) qui rendent compte de l'état réel de la sécurité du réseau audité, le dévoilant ainsi sous un autre angle que bien des administrateurs négligent. De plus, les rapports sont souvent accompagnés d'indications et de conseils qui aiguillent l'administrateur afin qu'il sécurise au mieux son réseau.

o De la surveillance basée sur les IDS (Intrusion Detection System).

Nous distinguons trois (3) types d'IDS:

· Les HIDS (Host IDS):

Ils sont capables de remonter des informations renvoyées par la machine ou le système d'exploitation. et utilisent pour cela les journaux systèmes créés par les différents applicatifs fonctionnant sur la machine à surveiller. Le schéma suivant décrit son architecture.

40

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· Les NIDS (Network IDS):

IIs récupèrent des informations renvoyées par le réseau en capturant les paquets qui traversent les différentes interfaces à surveiller. Le schéma qui suit illustre son fonctionnement.

· Les IDS hybride: ils récupèrent les informations renvoyées par la machine ou le système d'exploitation mais aussi celles renvoyées par le réseau, cette solution combine donc les 2 solutions précédentes au sein d'un même Framework.

o De la prévention basée sur les IPS (Intrusion Prevention System)

Les systèmes de protection contre les intrusions (IPS) empêchent les attaques contre le réseau et sont dotés en plus de la détection, des mécanismes de défense suivants:

-Un mécanisme de prévention pour empêcher l'exécution de l'attaque détectée. ; -Un mécanisme de réaction pour immuniser le système contre les attaques ultérieures provenant d'une source malveillante.

41

o

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

o De l'audit de la sécurité qui va consister à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en oeuvre, au regard de la politique de sécurité.

o De la veille technologique: en se tenant informé des nouvelles failles ou vulnérabilités.

3.3.5 Les systèmes de sauvegarde et de restauration des données

Les données sont aussi décisives pour le bon fonctionnement d'une entreprise que son personnel et ses systèmes. La nécessité de protéger ces actifs stratégiques dépasse de loin les capacités de sauvegarde d'une bande magnétique.

DAS (Direct Attached Storage):La méthode traditionnelle qui consiste à raccorder localement des appareils de stockage aux serveurs, via une voie de communication directe entre le serveur et les appareils de stockage ne répond plus aux besoins en volume de stockage.

De nos jours, le développement de la technologie de réseau de stockage nous recommande deux configurations principales:(NAS) Network Attached Storage et (SAN) Storage Area Networks.

D'autres formes ou méthodes de sécurisation réseau existent comme:

L'externalisation

L'externalisation de l'informatique (ou Infogérance ou encore Business Process

Outsourcing) est une pratique commune pour les grandes entreprises qui consiste à sous-traiter tout ou partie des ressources informatiques d'une entreprise à un prestataire extérieur.

Les ressources informatiques peuvent être matérielles ou logicielles et l'externalisation peut

porter sur:

Des fonctionnalités spécifiques qui alourdissent particulièrement le système d'information de l'entreprise (fonctionnalités de mails, d'agendas partagés, anti-virus, anti spam, ...etc.). Des logiciels métiers qui demandent des compétences particulières pour leur maintenance (comptabilité, CRM, site Internet, ...etc.).

L'ensemble du système d'information pour se recentrer sur le métier de l'entreprise ou dégager les ressources de l'entreprise de la gestion administrative et technique.

Le Cloud computing

C'est aussi une autre forme d'externalisation mais cette fois-ci dans une virtualisation dans les nuages (cloud).

Les Data center:

42

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Ce sont des centres dont la création se repose sur le respect strict des normes de sécurité susceptibles de garantir notamment:

· Un système ouvert basé sur des normes;

· Une haute performance et une large bande passante, la qualité de service;

· Une prise en charge de 10 Gigabits;

· Une prise en charge de différents types de réseaux SAN/NAS et de protocoles;

· Une prise en charge des demandes cumulées de bande passante pour les applications convergées;

· Une haute fiabilité;

· Une redondance;

· Une flexibilité, une évolutivité et des mécanismes facilitant le déploiement des MAC. Dans tous les cas: confier son système d'information à un tiers c'est aussi lui donner les moyens de vous pirater c`est pourquoi des tels contrats méritent beaucoup de prudence.

43

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Pour sécuriser un réseau, il faut au moins connaître les failles et les outils de protection en vogues, c'est pourquoi, après l'état de l'art qui a mis en lumière les avancées scientifiques majeures dans ce domaine, notre quatrième chapitre, sera consacré à un examen minutieux des faiblesses sécuritaires du réseau IP de la SONITEL et entrevoir des solutions conséquentes.

4.1 Les vulnérabilités de l'infrastructure IP

4.1.1 Les vulnérabilités du protocole IPV4

Le réseau informatique de la SONITEL utilise le protocole IP dans sa version 4 ou IPV4.Non conçue dans une optique de sécurité, mais plutôt dans une optique de résilience et de performance, la famille des protocoles IP présente des failles de sécurité intrinsèques qu'il convient de préciser ici:

· Aucun chiffrement des données (les données et souvent même les mots de passe circulent en clair);

· Aucun contrôle d'intégrité (les données peuvent être modifiées par un tiers);

· Aucune authentification de l'émetteur (n'importe qui peut émettre des données en se faisant passer pour un autre).

Les protocoles les plus courants qui drainent ces insuffisances sont: o Telnet

Telnet est le protocole qu'utilise la SONITEL pour se connecter à distance sur les équipements de son réseau. Or deux caractéristiques font de Telnet un protocole dont l'utilisation entre une entreprise et Internet est à proscrire (Sur le plan interne, son usage peut être autorisé, réglementé ou interdit, selon l'architecture de réseau, les mécanismes de sécurité mis en oeuvre et la valeur des informations à protéger).

1. L'identifiant et le mot de passe Telnet circulent en clair sur le réseau,

Une fois interceptés, l'identifiant et le mot de passe pourront, être utilisés par un intrus pour se connecter à des applications dont les mots de passe sont, en ce qui les concerne, chiffrés. Pour se prémunir , il faut que les utilisateurs emploient des mots de passe différents de ceux utilisés pour se connecter à des applications utilisant des protocoles mieux sécurisés.

44

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

2. Les données sont véhiculées sous une forme non structurée, tâche qui est laissée à l'initiative de l'application. Il est donc très facile de transférer toutes sortes de données en profitant d'une session Telnet.

o FTP

Le transfert de fichier est en usage à la SONITEL à travers le serveur FTP.

Malheureusement tout comme Telnet, en FTP, l'identifiant et le mot de passe circulent en clair. Les recommandations énoncées pour Telnet restent valables pour le FTP

Le mode passif s'il est compatible à notre implémentation offre beaucoup plus de sûreté que le mode normal, car il évite d'autoriser les connexions entrantes.

o DNS

La recherche de noms et le transfert de zone utilisent généralement les ports UDP (53?53), mais si ces requêtes échouent, elles sont relancées via TCP (>1023?53

45

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

o HTTP

Les serveurs Web peuvent répondre sur des ports spécifiques, autres que 80, tels que les 8000, 8080, 8010 ou encore 81, pour ne citer que les plus courants. Ces ports non-standards ne présentent aucun intérêt en termes de sécurité, car les scanners permettent de les trouver rapidement.

En revanche, il est recommandé de séparer les données accessibles en FTP et en HTTP, soit sur deux serveurs différents, soit sur deux répertoires différents. Il est en effet facile de déposer un cheval de troie sur un répertoire FTP, puis de le faire exécuter par le serveur HTTP. Sous Unix, il est en plus recommandé d'utiliser la fonction chroot.

o NetBIOS

Le protocole NetBIOS (Network Basic Input Output System) est difficile à contrôler, car il transporte de nombreux protocoles propres à Microsoft : il s'agit de SMB (Server Message Block), de NCB (Network Control Bloc) et de toute une série de RPC (Remote Procedure Calls), qui sont utilisés par les environnements Windows.

Par exemple, les relations entre contrôleurs de domaines et entre clients et serveurs WINS emploient des relations complexes qu'il est difficile de filtrer. Pour ces raisons, l'utilisation de NetBIOS doit être interdite entre l'entreprise et Internet.

46

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

o SNMP

Pour les requêtes « get» (commande qui permet de faire un dump complet d'une configuration) et «set » (commande qui permet de modifier la configuration) le client est la plate-forme d'administration tandis que pour les messages « traps », le client est le matériel (réseau, serveur, etc.). Il est donc conseiller de cantonner ce protocole entre les stations d'administration et les équipements à surveiller. La plupart des implémentations utilisent UDP, et il faut l'autoriser dans les deux sens.

Les noms de communauté circulent en clair. On peut donc envisager de laisser passer les messages SNMP en filtrant les adresses source et destination.

La politique de filtrage peut cependant être plus souple au sein d'un même domaine de confiance ou dans le cas de réseaux entièrement commutés reposant sur des VLAN. Pour ce qui concerne Internet, le protocole SNMP doit être interdit.

o RPC (Remote Procedure Calls)

De nombreuses applications, comme les logiciels de sauvegarde, utilisent les services du Portmapper qui répond sur les ports UDP et TCP 111 et qui renvoie au client un numéro de port aléatoire indiquant que le service est disponible sur sa machine.

Ce protocole ne peut pas être efficacement filtré, car de nombreux ports doivent être laissés ouverts de par la nature aléatoire de l'allocation. De plus, les firewalls génèrent de nombreux dysfonctionnements pour les applications qui utilisent les RPC. Les RPC doivent donc être interdits pour Internet.

47

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

o NFS

Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094 indique que ce n'est pas une obligation. Certaines implémentations utilisent en fait le Portmapper. Un problème de sécurité important posé par NFS est celui lié au numéro de handle:

· Il est prédictible, car reposant sur la date création du système de fichier.

· Il est valable même lorsque le système de fichiers est démonté.

· Il est utilisable par quiconque l'ayant obtenu (par écoute réseau ou par calcul).

NFS est également vulnérable à la dissimulation d'adresse (spoofing), car le serveur se fie à l'adresse IP pour authentifier la machine cliente. Par ailleurs, les mécanismes setuid et nobody positionnés par l'administrateur du serveur demeurent des failles de sécurité, s'ils sont mal configurés.

o ICMP

De nombreux services ICMP peuvent renseigner un intrus, comme par exemple « destination unreachable », qui comporte des informations indiquant la cause du problème ou encore « echo request » et « echo reply », qui indiquent si un noeud est actif.

Les seuls paquets ICMP, qu'il est envisageable de laisser passer vers un autre domaine de confiance, sont les suivants :

· type 4 « source quench », qui permet de contrôler le flux entre un client et un serveur ;

· type 11 « time to live exceeded », qui évite le bouclage des paquets IP ;

· type 12 « parameter problem », qui indique une erreur dans un en-tête ;

· type 8 « echo request » et type 0 « echo reply », utilisés pour vérifier l'activité des noeuds pour des opérations de supervision et de diagnostic. Vis-à-vis d'Internet, tous les services ICMP doivent être interdits : ils ne sont pas nécessaires et peuvent donner trop d'informations aux intrus.

4.1.2 Les vulnérabilités du potentiel technique et humain de la DDIS

L'équipe qui a en charge l'exploitation et la maintenance du réseau informatique de la SONITEL, n'est pas nouvelle dans le monde des techniques réseaux.

En effet, elle a capitalisé beaucoup d'expériences pour avoir suivi, l'évolution du réseau depuis le X25 à travers NIGERPAC.

Elle est composée de l'administrateur réseau assisté de deux (02) IGTT sortis de l'ESMT de DAKAR faisant office d'ingénieurs supports.

48

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Nonobstant, l'immensité et la complexité des missions et attributions qui lui sont confiées, la

DDIS manque les moyens pour la mise en oeuvre de sa politique sécuritaire.Les faiblesses

dans le domaine sont criardes.

> Sur le plan technique

L'absence de moyens matériels et logistiques

L'absence de documents techniques de référence;

L'absence de veille technologique.

> Sur le plan humain:

La vacance du poste de chef de département gestion des systèmes d'informations moteur

même par essence de la mise en place d'une véritable gestion sécurisée du réseau;

Le manque de spécialiste en sécurité réseau pour accompagner les agents du terrain dans leur

lutte quotidienne contre les intrusions;

Le manque de formation et la non adéquation profil/emploi dans l'exercice des fonctions et

responsabilités.

4.1.3. Les vulnérabilités physique des installations

Les équipements informatiques de la SONITEL sont exposés aux attaques physiques et toutes les conséquences qui s'en suivent car l'accès à la salle est très perméable.

Hormis la présence d'un service de vigile à l'entrée du portail principal aucun autre dispositif de sécurité n'est placé.

A cette faille viennent s'ajouter le manque de régulateur de température pourtant nécessaire au bon fonctionnement des composants électroniques, le manque d'un système de détection d'incendie ,le manque de faux planchers pour la protection contre les infiltrations d'eau dans la salle en cas d'inondation ou autres besoins d'évacuation d' eau.et l'absence de chemin de

câbles pour faire respecter un design dans le câblage réseau.

Le seul point fort que nous avons remarqué est l'installation dans des sites différents de

certains équipements pour permettre la continuité de l'activité même en cas de sinistre

(incendie, séisme, inondation) car il est très difficile que des telles catastrophes se produisent

en même temps et dans des endroits différents.

4.1.4 Les vulnérabilités de installations d'énergie

La plateforme IP de la SONITEL est en colocation avec d'autres équipements de la même

société. A cet effet, les équipements d'énergie (Groupe électrogène, onduleurs, coffret

49

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

électrique) sont en utilisation partagée d'où un risque en cas de court-circuit ou d'erreurs de

manipulations. La réservation d'une salle et des équipements d'énergie à la seule plateforme

IP pourront résoudre le problème.

4.1.5 Les vulnérabilités des routeurs

Dans les deux sites, les routeurs backbone, ne sont pas secourus et peuvent

compromettre le fonctionnement du service si un des dysfonctionnements suivants survient:

y' Défaut de la configuration;

y' Défaut sur un port;

y' Rupture de liens avec les autres équipements;

y' Panne pour insuffisance de la climatisation des locaux;

y' Panne pour manque d'autonomie du système d'alimentation en énergie électrique

y' Panne pour défectuosité d'un châssis;

y' Panne pour défectuosité de cartes de ligne;

y' Panne pour surcharge des processeurs de calcul.

4.1.6 Les vulnérabilités des logiciels, antivirus et systèmes d'exploitation

Au cours de notre expertise, nous avons constaté que la SONITEL, utilise des versions d'évaluation d'antivirus et de logiciels et n'effectue aucune opération de mise à jour Parmi, les logiciels d'évaluation rencontrée nous avons:

La version d'évaluation (AWG du réseau HIT, Symantec du réseau Intranet,...etc.).

Sur le volet manque de mis à jour logiciel, nous avons: Windows server2000 qui tourne

encore sur plusieurs applications tandis que la version 2008 est disponible et lotus notes qui

tourne dans sa version 6.5 alors que nous en sommes à la version 8.5.

S'agissant des systèmes d'exploitation (OS), la SONITEL emploie Windows avec ses bogues

ou vulnérabilités connues de tous et UNIX qui n'est pas aussi totalement exempte de bogues.

4.1.7 Les vulnérabilités des supports de transmission

y' Vulnérabilités de la VSAT

De part sa conception la VSAT, n'est pas adaptée aux transmissions des données.

Son temps de latence comparée aux autres supports de transmissions est très élevé.

Comme l'atteste les résultats de nos commandes traceroute, effectuées en comparaison des temps de traversée de la VSAT et la FO joints en annexe II du présent document.

50

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Pour le cas typique de la SONITEL, la bande passante allouée à la VSAT (69Mbits/s est très insuffisante pour supporter tout le trafic (2x155Mbits/s IP SONITEL en cas de backup.

Le forfait mensuel versé à Intelsat pour l'utilisation de la bande satellite est très élevé.

La recherche d'un second débouché avec une bande conséquente pour atterrir au câble sous-marin pourrait être une bonne alternative.

V' Les vulnérabilités de la Fibre Optique

Le NIGER n'a pas de débouché sur la mer, le port le plus proche est celui de Cotonou au Benin, Pour atterrir au câble sous-marin, le Niger a déployé un câble à fibre optique en STM16, et s'interconnecter via le Benin au SAT3 en 2x 155Mbits/s.

de la recherche d'un second point

Les deux liens sont sur le même parcours d'un câble optique posé en rase campagne donc vulnérables aux actes de vandalisme, aux coupures parfois de longues durées et surtout en mer où l'intervention demande des moyens gigantesques. Cette situation rappelle et renforce la nécessité

d'atterrissement au câble sous-marin évoquée précédemment.

La SONITEL, dispose d'une VSAT pour secourir les liens FO, malheureusement le

backup n'est pas automatique. Il faut constater la coupure de la fibre pour basculer

manuellement et cela en suivant une procédure très complexe et fastidieuse qui prolonge le

temps de reprise du trafic surtout les nuits, les heures creuses et jours fériés.

Pour remédier à ce problème qui a tant occasionné des pertes de trafic à la SONITEL et le

mécontentement de la clientèle, il serait souhaitable de mettre en place une solution de partage

en charge du trafic

V' Les vulnérabilités du Faisceau-Hertzien Numérique(FHN)

Les liens Internet de la grande partie des régions du pays aboutissent au noeud de Niamey en empruntant le media FHN.

Elle est l'épine dorsale du pays en matière de télécommunications avec une longueur de 960 km à vol d'oiseau et treize(13) bonds hertziens ou stations relais de régénération du signal. De technologie SDH, la configuration logique des canaux est en active/standby.

Comme tout Faisceau-Hertzien, les contraintes liées à son exploitation se résument:

· Aux coûts élevés des licences à verser à l'Autorité de Régulation Multisectorielle pour l'utilisation des fréquences radioélectriques;

51

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· A la sensibilité des liaisons aux hydrométéores (orages, fortes pluies);

· A la délicate gestion des Onze(11) stations relais.

· Au dépointage fréquent des antennes;

· Au Problème récurrent d'alimentation en énergie;

· Au problème de pièces de rechanges qui rendent la maintenance très difficile;

· Au débit fournit qui est toujours en fonction de la distance.

Une solution de rechange à ces problèmes va constituer à migrer vers la fibre optique plus

sécurisée dont l'étude n'est pas encore notre objectif.

4.2 Les vulnérabilités des services offerts

V' Vulnérabilités des ISP

La SONITEL fournit de la bande passante Internet à ses clients ISP, pour un souci d'efficacité et déficience, il lui revient de mettre en place un système capable de contrôler l'utilisation qui en est faite de cette bande passante.

V' Vulnérabilités du réseau HIT

Depuis la conception, le réseau HIT de la SONITEL a hérité d'une mauvaise architecture qui rend aujourd'hui sa gestion très difficile.

Préalablement conçu pour fonctionner en boucle avec un anneau cicatrisé et auto-cicatrisant, nous avons constaté que le raccordement des clients était fait à la chaîne de telle enseigne que si cette dernière se rompt à un endroit quelconque pour un motif de coupure d'électricité par exemple tous les clients situés en amont et en aval de la boucle sont touchés. En plus l'offre est inadaptée aux besoins d'un client:(ports8 E1/par client HIT).

Pour revaloriser ce matériel chèrement acquis il serait souhaitable pour la SONITEL d'envisager la refonte de sa boucle numérique urbaine à travers une autre étude.

Pour notre part, nous préconisons, une protection du réseau HIT contre les menaces Internet et fidéliser les clients.

V' Vulnérabilité du réseau ADSL

52

L'ADSL offre un service de connexion Internet haut débit best effort aux clients se trouvant dans sa zone d'éligibilité. Avec plus de 5000 clients, le réseau ADSL de la SONITEL a besoin d'une parade contre les menaces Internet.

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

V' Vulnérabilités du réseau CDMA :

Le réseau CDMA est le seul qui dispose d'un PIX515E qui assure sa sécurité vis-à-vis des menaces Internet. Cependant avec l'avancée technologique dans le domaine, l'installation d'une appliance de dernière génération serait la bienvenue.

V' Vulnérabilités du réseau l'Intranet

C'est le réseau interne à l'entreprise, propice au travail coopératif, il est sans protection et nécessite l'installation d'un système permettant de filtrer les accès (interdire les téléchargements des fichiers lourds, la visite de sites probités, l'accès à l'Internet à une certaines heures du travail ...etc.).

V' Vulnérabilités du réseau GPTO:

Pour pouvoir faire une requête au serveur GPTO, les agents commerciaux de la SONITEL doivent disposer d'une connexion Internet par ADSL ou CDMA.

Or ces deux réseaux sont dépourvus de protection Internet, autrement dit les détails techniques de l'abonnement client) et financières (facturation client) transitent par l'Internet sans aucune sécurité et sont donc susceptibles d'être piratés. Pour éviter que survienne un grand préjudice à la SONITEL, la création d'un tunnel VPN sécurisé serait une meilleure piste de solution.

Bilan de la sécurisation

L'étude des vulnérabilités vient de prouver que le réseau de la SONITEL est dépourvu de systèmes ou dispositifs de protection matériel ou logiciel efficaces. Le réseau est fortement exposé aux menaces, pour y pallier et tendre vers le single point of failure les actions suivantes doivent être entreprises en urgence:

1. La sécurisation physique des locaux et des installations;

2. La sécurisation de l'alimentation en énergie des équipements; 3 La Sécurisation des services : GPTO, Intranet, ADSL, CDMA, ISP ;

4. La Sécurisation des équipements critiques La redondance (routeurs backbone);

5. La Sécurisation des liens de transmission par leur duplication;

6. La sécurisation du trafic par le partage en charge du trafic sur les liens.

4.3

Conception de la solution de sécurisation réseau

La conception de chacune des solutions citées ci-haut requiert une méthode et des moyens appropriés. Ainsi:

53

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

La conception d'une sécurisation physique des locaux et des installations va consister à utiliser des moyens électroniques tels que caméra IP, cartes à puce. .etc., la sécurisation de l'alimentation en énergie des équipements passe par l'installation d'UPS dédiés, la sécurisation du service GPTO par la création d'un tunnel VPN sécurisé, la sécurisation des équipements critiques par la redondance des deux routeurs backbone); la sécurisation des liens de transmission par leur duplication, la sécurisation du trafic par le partage en charge ou load balancing et enfin la sécurisation des services ADSL, CDMA, INTRANET, DNS, FTP par l'installation d'un système de protection réseau.

4.4 Mise en oeuvre d'une solution de sécurisation

4.4.1 Mise en oeuvre d'une solution de sécurisation des locaux et des équipements

La mise en oeuvre de la solution de sécurisation physique des locaux et des équipements doit se faire par

V' La réglementation de l'accès au local des équipements réseau ainsi que des
baies par un système de contrôle d'accès électroniques (cartes à puce, camera de surveillance ou autres moyens électroniques) ;

V' L'installation d'un régulateur de température pour maintenir une température
ambiante et préserver le matériel et les composants électroniques;

V' L'installation d'un onduleur avec une autonomie suffisante à même de prendre en charge uniquement les équipements de la plateforme ;

V' L'installation d'un système de détection d'incendie dédié à la salle;

V' La confection d'un faux-planchers pour éviter les dégâts d'eau (inondation,

rupture de canalisation,. .etc.) et servir de chemin de câbles pour un bon design.

4.4.2. Mise en oeuvre de la solution de sécurisation des routeurs backbone

Proposition d'architecture

Les routeurs backbone sont des équipements critiques, dont la défaillance entraine automatiquement l'arrêt du service il faut donc les sécuriser impérativement en assurant leurs redondances par ajout d'un second routeur et ce sur chacun de nos deux liens sortants.

Les deux routeurs s'intègrent facilement dans l'architecture actuelle du réseau en leurs attribuant des adresses IP dans le même sous-réseau que leurs prédécesseurs.

54

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

La SONITEL vient tout juste d'acquérir quatre(04) routeurs backbone MP7500 dans le cadre d'un projet de migration de son réseau vers L'IP/MPLS, les tests de configuration sont en cours entre la SONITEL et le fournisseur.

Le MP500 est un routeur d'agrégation de base WAN conçu et développé sur les lignes de télécommunications avancées Architecture informatique (ATCA). Il peut également servir de super grande échelle plate-forme d'accès Internet et de fournir deux emplacements de contrôle, huit emplacements MIM, et 32-ports 155M interface ou 256-port E1 interface. MP7500 intègre quatre processeurs fondés sur la technologie des double-processeurs de base.

Une fois ces routeurs disponibles, nous proposons à la SONITEL l'architecture suivante :

55

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

4.4.3. Mise en oeuvre de la solution de basculement automatique des liens backbone

Avant, la mise en oeuvre de cette solution de cette solution, le basculement de la fibre optique à la VSAT était manuel et se faisait selon les consignes suivantes rédigées par l'administrateur à l'intention des techniciens d'intervention :

1) APRES CONSTAT DE LA COUPURE ACCEDER SUR LE ROUTEUR BACKBONE N01

telnet X.X.X.X

2) VERIFICATION DE L'ETAT DES INTERFACES (POS 6/0 HSSI2/0) PAR LA COMMANDE

sit ip int brief

3) METTRE L'INTERFACE HSSI2/0 up ET SON
PROTOCCOL up ET FAIRE LE BASCULEMENT MANUEL AINSI QUI SUIT :

ip route 0.0.0.0 0.0.0.0 POS6/0 150

ip route 0.0.0.0 0.0.0.0 Hssi2/0 100

4) SI L'INTERFACE HSSI2/0 EST up ET SON PROTOCCOL down DESCENDRE AU TNE ET VERIFIER L'ETAT PHYSIQUE DES EQUIPEMENTS EN COLLABORATION AVEC L'EQUIPE DE TRANSMISION ET SI NECESSAIRE CONTACTER SERVICE CLIENTEL FRANCE TELECOM

TEL : 00 33 158 966 190

LD : 005267 AB3

LD : 007734 FO

PROCEDURE DE BASCULEMENT DU TRAFIC INTERNET

SUR LA VSAT EN CAS DE COUPURE FO 155Mbits

56

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Avec la solution de loadbalancing nous avons partagé le trafic sur les deux liens sortants et à assurer le basculement automatique d'un certain nombre de trafic client en cas de rupture d'un des deux liens backbone: SAT3/VSAT.

Cette solution a eu pour effet une valorisation, de l'image de marque de la SONITEL à l'égard de ses partenaires et clients.

La solution proposée a résolu directement les problèmes suivants: consommation inutile d'énergie électrique, perte du trafic, mécontentement des clients Internet, usure des équipements VSAT, redevance Intelsat non rentabilisée, indisposition de l'administrateur et des techniciens à chaque opération de basculement.

Les résultats de nos tests sont enregistrés en annexe III.

4.4.4. Mise en oeuvre d'une solution de sécurisation du lien de transmission

Il s'agit de saisir l'opportunité du projet de la pose d'un câble optique reliant le Niger au Burkina pour en faire un second lien d'atterrissement au câble sous-marin. L'architecture de la nouvelle liaison de transmission sera la suivante :

57

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

A cet effet, nous proposons l'architecture suivante pour implémenter les équipements informatique de la SONITEL.

L'architecture de la nouvelle liaison de transmission présente l'avantage de sécuriser la sortie internet de la sortie sur trois accès distants notamment la SAT 3 en service actuellement via le BENIN, la VSAT également en service mais en capacité insuffisante est une nouvelle liaison vers un câble sous-marin via le BURKINA objet de notre réflexion.

58

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

4.4.5. Mise en oeuvre d'une solution de sécurisation du GPTO

-La création d'un tunnel VPN sécurisés mettra notre système de gestion et de facturation à l'abri des pirates informatiques.

Architecture proposée

La mise en oeuvre de la solution nécessite l'acquisition de routeurs par la SONITEL.

Pour les besoins de notre étude, nous avons simulé un VPN site à site entre deux agences de la SONITEL avec le GNS3

59

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Les tests de la configuration sur console sont capturés en annexe V. 4.4.6 Mise en oeuvre d'une solution SSH

Pour activer le protocole SSH sur un routeur, nous devrons définir les paramètres suivants :

· Nom d'hôte ;

· Nom de domaine ;

· Clés asymétriques

· Authentification locale.

Les paramètres de configuration facultatifs comprenant :

· les délais d'attente ;

· le nombre de tentatives.

Configuration de SSH

60

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

4.4.7 Mise en oeuvre d'une solution par des outils de protection et de contrôle

Même si les accès clients se font après une autorisation (nom utilisateur+mot de passe+cryptage des données) et que les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier. En effet, dès qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine.

A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés aléatoirement ou à l'aide d'un dictionnaire.

Ceci témoigne si besoin est que les clients de la SONITEL ne sont pas à l'abri des menaces provenant de l'extérieur du réseau notamment de l'internet.

Or les clients constituent l'existence même de la SONITEL, toute politique tendant à les exclure sera vouée à l'échec.

C'est pourquoi notre démarche sécuritaire va s'appuyer sur une proposition de sécurisation des clients contre les menaces internet.

61

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

En mettant à profit, les opportunités qu'offre l'état de l'art de la sécurité actuelle, nous tenterons d'apporter des pistes solutions pour sécuriser le réseau.

Pour ce faire, nous allons examiner au cas par cas les conditions d'utilisation de chaque outil envisageable et retenir la meilleure ou faire un compromis.

V' L'installation d'antivirus efficace

Le premier rempart d'une solution de sécurisation réseau est l'installation d'un antivirus. Cependant l'antivirus utilisés à la SONITEL a perdu toute son efficacité du fait de l'obsolescence des signatures des virus dû au manque de mise à jour).

Le parc informatique est alors vérolé parce que le champ d'action de l'antivirus concernant les risques de piratage est limité à la recherche et à l'éradication de programmes dangereux. La recherche d'antivirus efficace est à inscrire dans le budget et l'utilisation de l'outil firewall complètera la tâche de protection.

V' L'installation de firewall

De nos jours, l'efficacité d'un firewall n'est plus à démontrer et son utilisation semble être une solution de sécurisation pour le réseau de la SONITEL.

De nombreux projets open source ont été mis en place, afin de mettre à disposition des solutions de firewall gratuites.

"Dans le monde libre", La solution la plus répandue est l'application "iptable", massivement documentée et tournant sous linux. Elle permet via une syntaxe simple de mettre en place des règles de sécurité sur une machine. Pour notre test, nous avons eu à utiliser IP table et mettre des règles de sécurité sur une machine dédiés. Les résultats du test sont consignés en annexe 4 du présent document.

De plus, une interface graphique complète et ergonomique est disponible grâce à l'application "fwbuilder que nous avons également installé mais non testé".

Les firewalls n'ont pas que des avantages, ils ont aussi des inconvénients.

Limites du firewall dans un réseau

Dans un réseau comme celui de la SONITEL, les firewalls à seuls sont bien loin de constituer un bastion suffisant pour éviter tout piratage.

En effet, ces derniers ne gèrent pas les couches hautes telles que la couche application.

Ainsi, les virus et failles se basant sur la manipulation des paramètres unicodes (par exemple) ne sont pas détectés par le firewall.

De plus le firewall ne peut pas gérer les attaques internes provenant des zones qu'il sécurise,

62

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

En effet, les risques d'infiltration sur un LAN sont importants (vol de portables nomades, mauvais contrôle des accès physique au machine...) et doivent être pris en compte. Ainsi, la partie importante des attaques ne peut être évitée par le firewall.

Les IDS pourront être une solution de contournement à ces faiblesses.

V' L'installation d'une sonde IDS

Avec le phénomène grandissant des trojans et spywares, il convient d'identifier et de

surveiller tous les trafics d'un réseau afin de déceler les flux clandestins et suspects.

Nous pouvons dans ce cas nous appuyer sur une base de données contenant un ensemble

d'attaques afin de déceler les flux offensifs.

Il nous revient alors de faire une détection d'intrusion.

L'utilisation d'un d'IDS (Intrusion Détection System) répond à ce souci.

L'IDS va permettre de détecter les attaques/intrusions de notre réseau.

Il sera complémentaire au firewall, et à l'antivirus prévu précédemment.

L'IDS pourrait être une solution applicable au réseau IP SONITEL comme outil de détection

d'intrusion.

Par nature, les IDS systèmes sont aussi limités et ne peuvent détecter les attaques provenant

des couches réseaux (tels que les attaques de type DDOS). Nous devons alors recourir à l'IPS

(Intrusion Prevention System).

V' L'installation d'un IPS

Plus puissant que l'IDS, notre système de prévention d'intrusion va non seulement détecter mais aussi prévenir l'administrateur quant-il sent une menace venir.

V' L'installation des scanneurs de failles

Au même titre qu'un anti virus, l'efficacité d'un scanneur de failles dépend crucialement de la fréquence de ses mises à jour. Ainsi, il convient de détenir des signatures récentes des failles recensées afin d'éviter au mieux les possibilités d'intrusion.

Notre réseau étant dépourvu de cet outil de sécurité indispensable, il convient de l'installer et de le tester.

63

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

A la suite de l'analyse de l'applicabilité de chaque solution à la SONITEL, nous constatons que toutes les solutions sont complémentaires.

Par conséquent, nous retenons en récapitulatif:

1. L'installation d'antivirus propriétaire;

2. L'installation d'un scanneur de failles ;

3. L'installation d'un firewall logiciel par IPTABLES pour nos besoins de test; 5. L'installation d'un firewall matériel pour la protection contre les menaces Internet;

4. L'installation d'un outil détection intrusion IDS;

5. L'installation d'un outil de prévention d'intrusion IPS.

Avec le développement technologique qu'ont connus les outils de protection Internet

Il est fort à croire qu'aujourd'hui des firewalls qui intègrent toutes ces fonctions existent sur le marché de l'industrie.

64

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

+ Mise en oeuvre de la solution Firewall > Le câblage physique des deux firewalls

Nous proposons l'utilisation deux firewalls de marque différente, un pour les connexions externes, dont Internet, et un autre pour le contrôle des flux internes.

Cette solution nous procure plus de sécurité.

En effet, si un pirate connaît bien un produit (et donc ses faiblesses), les chances qu'il en connaisse également un autre sont moindres. En plus, un bogue présent sur un firewall a peu de chance de se retrouver également sur un autre.

65

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

> Modèle de câblage logique de deux firewall en active/standby

66

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Le schéma ci-dessous représente la proposition d'architecture retenue.

· Principe de fonctionnement des firewalls

Dans son mécanisme de fonctionnement, un firewall intercepte un paquet, le décortique puis l'analyse. En fonction des règles de sécurité (sa configuration) il transmettra (ou détruira) le paquet afin d'assurer (ou d'éviter) l'utilisation d'un service.

Pour cela, dans un premier temps, nous allons configurer nos firewalls de la manière la moins permissive possible, c'est à dire en refusant tout trafic provenant (et de direction) de l'extérieur et de l'intérieur en détruisant tous les paquets circulant. Nous allons alors recenser l'ensemble des services nécessaires (web, ftp, DNS...etc.) et de configurer le firewall en conséquence. Nous formons ainsi une zone appelée DMZ (Demilitary Zone).

Nos firewalls peuvent aussi servir de base solide pour un audit réseau dans la mesure où ils recensent toutes les connexions de l'intérieur vers l'extérieur (et vice versa).

Les firewalls peuvent donc interdire l'utilisation de certains services inutiles et pouvant comporter des failles exploitables à distance. Il peut aussi camoufler les différents sous réseaux (ADSL, CDMA, HIT) qu'il protège, en interdisant le protocole ICMP, rendant alors inutiles les outils de piratage de récolte d'informations (nmap, hpingX, firewalker ...etc.).

67

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· Règle de police des firewalls:

D'une manière générale, il existe deux politiques de sécurité selon les sites à protéger tout ce qui n'est pas explicitement permis est interdit,

tout ce qui n'est pas explicitement interdit est autorisé.

La première méthode est la plus sécurisée, mais elle présente de grosses contraintes pour nos utilisateurs. Il n'existe pas de règle d'or quant à savoir quelle méthode appliquée, il faut donc étudier les besoins au cas par cas.

Pour notre cas, il va s'agir de deux firewalls configurés en fail-over c'est-à-dire en fonctionnement normal /secours.

Ils auront pour fonctions de:

Protéger le réseau IP SONITEL contre les attaques malveillantes venant de l'internet (DDos, sniffing... etc.);

Fournir une DMZ pour les services sollicités par l'internet et l'intranet (DNS, mail, web, ftp).

Ces différents serveurs ont des adresses IP privées donc non routables sur l'internet Par conséquent directement inaccessibles depuis l'extérieur;

Protéger le réseau SONITEL contre les éventuelles attaques pouvant provenir des clients ISP (SahelCom, GVG, Orange);

Protéger les clients LSI, qui passeront par le firewall en service qui les aiguilleront directement à la sortie internet en leur empêchant un retour vers le réseau SONITEL. Protéger les clients ADSL: comme ces derniers, ne font que de la navigation internet, pour cela nous allons configurer le pare-feu pour tout accepter en sortie, mais limiter l'entrée au strict minimum nécessaire (par exemple autoriser les téléchargements); Protéger le réseau contre les attaques virales pouvant venir des clients intranet

Ici, notre firewall jouera le rôle d'un firewall applicatif pour empêcher les téléchargements des films, des gros fichiers et la visite de certains sites prohibés.

Protéger le réseau contre les attaques virales pouvant venir des clients HIT.

La SONITEL n'ayant pas les deux firewalls, il nous a été demandé de rédiger un cahier de charge pour leur acquisition.

Pour se familiariser avec l'outil nous tenterons de les simuler avec le GNS3.

68

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

69

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

La diapositive, nous montre qu'ici no failover, donc nous ne pouvons pas configurer les firewalls sans mot de passe qui exige une licence que nous ne disposons pas.

Néanmoins, nous avons saisi la solution open IPTABLE pour mettre en place un firewall sur une machine dédiée. Les commandes exécutées pour y parvenir sont en annexe IV du document.

+ L'installation d'un IDS

Le déploiement des IDS dans notre réseau se fera selon notre politique de sécurité de la façon suivante :

· Dans la zone démilitarisée (attaques contre les systèmes publics) ;

· Dans les réseaux privés (intrusions vers ou depuis le réseau interne) ;

· Sur la patte extérieure du firewall (détection de signes d'attaques parmi tout le trafic entrant et sortant, avant que n'importe quelle protection intervienne).

Pour l'option open source nous avons installé snort, mais confronté à des problèmes (licence à acquérir), les tests nécessaires n'ont pas pu effectués.

70

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

+ L'installation de l'IPS

Pour pallier à l'insuffisance des IDS, un IPS réseau sera prévu .IL s'agit d'un système de Prévention/Protection contre les intrusions et non plus seulement de reconnaissance et de signalisation des intrusions comme l'IDS. La principale différence entre notre IDS (réseau) et un l'IPS (réseau) tient principalement en deux (0 2) caractéristiques :

· L'IPS sera positionné en coupure sur le réseau et non plus seulement comme un sniffer en écoute sur le réseau ;

· L'IPS a la possibilité de bloquer immédiatement les intrusions et ce quel que soit le type de protocole de transport utilisé et sans reconfiguration d'un équipement tierce, ce qui induit que l'IPS est constitué en natif d'une technique de filtrage de paquets et de moyens de blocages (drop connection, drop offending packets, block intruder, ...etc).

N'ayant pas d IPS sur place, la mise en oeuvre de la solution se fera après acquisition

(objet d'un cahier de charge) du matériel par la SONITEL.

+ L'installation d'un scanneur de failles

Pour l'installation d'un scanneur de vulnérabilités nous avons utilisé la solution open source de nmap pour scanner les ports de nos quatre(4) blocs d'adresses, les résultats de nos tests sont en annexe VI et découvrent que sur les 65535 ports scannés, seul le port 23/TCP est ouvert ce qui est normal car nous sommes connectés à ce port.

L'efficacité de toutes ces solutions est obtenue en instituant une politique de sauvegarde, une charte des utilisateurs une implication des dirigeants de l'entreprise et au plus haut degré de l'administrateur réseau.

+ L'installation d'un antivirus

Le choix d'un antivirus est personnel, l'antivirus le plus populaire n'est forcément le plus efficace .Selon une classification des meilleures antivirus 2011, sont considérés comme les meilleures et peuvent offrir une protection importante les antivirus ci-dessous :

1. Trend Micro Housecall : Permet d'analyser l'ensemble du système ou seulement le ou les lecteurs et dossiers sélectionnés. L'outil permet le nettoyage ou la suppression des fichiers infectés.

2. Kaspersky Online Scanner

Plus rapide et plus efficace que Trend Micro. Kaspersky Online Scanner peut être configuré pour analyser des fichiers, des dossiers et des lecteurs individuels.

Kaspersky Online Scanner met à jour beaucoup plus fréquemment que la plupart des

3.

71

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

autres fournisseurs et leur analyse heuristique (détection des virus inconnus) sont parmi les meilleurs.Kaspersky Online Scanner ne permet que la détection

4. Kaspersky File Scanner

Kaspersky File Scanner, comme son nom indique, permet seulement le contrôle des fichiers de moins de 1Mb en taille. Vous pouvez compresser plusieurs fichiers dans un seul, pour que vous puissiez les scanner, à condition que le nouveau fichier soit de 1Mb en taille. Kaspersky Online File Scanner est idéal pour la vérification des pièces jointes de messagerie instantanée et e-mail. Comme la précédente, l'outil permet la détection uniquement.

5. Virustotal

En utilisant Virustotal nous avons la possibilité de soumettre un fichier uniquement par fois. La taille du fichier ne doit pas dépasser 5MB.viustotal permet aussi la détection seulement.

4.4.8. Mise en oeuvre d'une solution de sauvegarde et de restauration du système

La sauvegarde du système est l'élément le plus important dans la mise en place d'une politique de sécurité. Elle permet de reconstruire l'installation en cas d'intrusion.

Elle doit être effectuée sur des supports variés (cartouche, cédérom, disque dur, disque amovible...etc.).

Sous Unix, la commande tar, est utilisée pour sauvegarde des fichiers sur bandes ou cassettes.

Sous Windows, plusieurs outils existent sur le marché (Arcserve, Seagate, Computer Associate, etc.) permettant une sauvegarde automatique sur des supports multiples.

Il est très important de vérifier que le produit choisi soit capable non simplement d'effectuer la sauvegarde du système mais également de le reconstruire intégralement.

-Un plan de Secours Informatique (PSI) ("Disaster Recovery Plan") doit-être mis en place et permettra de reprendre une activité avec un niveau de service satisfaisant après un incident. C'est un processus qui sera essentiellement axé sur la restauration de l'infrastructure informatique et des ensembles de données.

Ensuite suivra un processus anticipatif d'analyse des fonctions critiques de l'entreprise, d'identification des risques majeurs et d évaluation de l'impact d'un incident éventuel appelé

72

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Plan de Continuité des Activités (PCA) ("Business Continuity Plan"), Elle sera une sorte de plan de crise qui va gérer l'organisation et la communication pendant la crise,.

Après les mesures de sauvegarde et de restauration, les utilisateurs sont le maillon le plus faible de toute politique de sécurité, c'est pourquoi nous énonçons la présente charte en leur direction.

4.4.9. Charte des utilisateurs

Une société sans règle est aussi une société sans droit a-t-on coutume de dire.

La présente charte, édicte les règles de bons usages, et s'adresse aux utilisateurs du réseau SONITEL. Elle a pour but de leur permettre de pouvoir travailler dans les meilleures conditions possibles de sécurité.

ARTICLE 1 : La sécurité est une affaire de tous.

ARTICLE2 : Chaque utilisateur est responsable de l'emploi des ressources informatiques et du réseau, et a pour devoir de contribuer à la sécurité générale.

Il doit à ce titre (liste non exhaustive) :

Appliquer les recommandations de sécurité de la SONITEL et signer la présente charte devenue désormais obligatoire;

choisir des mots de passe sûrs, gardés secrets, et ne les communiquer en aucun cas à des tiers.

S'engager à ne pas mettre à la disposition d'utilisateurs non autorisés un accès aux systèmes ou aux réseaux à travers des matériels dont il a usage

Assurer la protection de ses informations pour lesquelles il est responsable des droits qu'il donne aux autres utilisateurs ;

Signaler toute tentative de violation de son compte et, de façon générale toute anomalie qu'il peut constater ;

Suivre les règles en vigueur pour l'installation des logiciels en particulier, il est interdit d'installer un logiciel pouvant mettre en péril la sécurité ou pour lequel aucun droit de licence n'a été concédé ;

Scanner les périphériques (USB, disque amovible ...etc.) avant utilisation.

73

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

4.4.10. Recommandations à l'endroit de la Direction Générale de la SONITEL

Pour faire face aux profondes mutations que connait le secteur, et booster la productivité de

l'entreprise,

Nous recommandons à la Direction Générale de la SONITEL:

D'accorder une place de choix au système d'information de l'entreprise;

De recruter un (01) administrateur système;

De recruter un (01) spécialiste en sécurité réseau;

De renforcer la capacité des agents;

D'encourager et la récompenser des agents les plus méritants.

4.5 Estimation financière du coût de déploiement de notre solution

En réalité, la sécurité n'a pas de prix, quand elle croule c'est toute l'entreprise qui croule, néanmoins pour donner une idée du coût aux dirigeants de l'entreprise dans leur prise de décision finale nous esquissons la présente estimation financière :

74

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

4.6. Rédaction d'un cahier de charge

Pour répondre à une sollicitation de la Direction Générale de la SONITEL, nous allons soumettre le présent cahier de charge. Il est relatif à l'acquisition d'un matériel firewall étant donné que nous estimons qu'avec le développement actuel de la technologie le firewall de dernière génération intègre les fonctions d'antivirus, de scanneur, d'IDS et d'IPS prévues à l'étude. S'agissant des routeurs la SONITEL a déjà passé la commande et les recettes sur site sont en cours.

I Cadre du cahier de charge.

I.1Introduction

La Société Nigérienne des Télécommunications (SONITEL) est une Société Anonyme de droit privé dont le capital est de 22 714 700 000 FCFA.

La SONITEL est l'operateur historique des télécommunications du Niger. Elle est titulaire d'une licence d'établissement et d'exploitation d'un réseau fixe et de services de télécommunications ouverts au public et d'une licence d'établissement et d'exploitation d'un réseau de télécommunications cellulaire ouvert au public, de norme GSM.

Sa mission principale est d'assurer la fourniture des services et produits des télécommunications nationales et internationales sur toute l'étendue du territoire nigérien.

75

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

I.2 Objectif du projet

Dans le cadre d'un projet de sécurisation de son réseau IP, la SONITEL a commandité une étude. Les résultats de l'étude ont relevé l'état d'insécurité très grave dans lequel le réseau est confronté.

Le présent cahier de charge tient lieu d'appel à candidature pour la sélection d'une société spécialisée dans le domaine pour accompagner la SONITEL.

II. Constitution de l'offre:

Les prestations attendues du soumissionnaire consistent en la fourniture, l'installation et la mise en service d'un système de protection : firewall matériel.

III. Spécifications techniques du firewall matériel

III.1Description matériel:

Le matériel à fournir doit répondre aux caractéristiques: physiques suivantes :

V' Un rack standard EIA de 19 pouces avec une hauteur de 1 à 3U ;

V' ports minimums Ethernet RJ45 100 BaseTx ;

V' Connexion de contrôle RS-232C par Port Série avec Emulation VT100 ;

V' Clavier - souris PS2 et sortie écran VGA (en option) ;

V' Alimentation redondante ;

V' Possibilité de redondance du matériel ;

V' Report de monitoring rapide en face avant (en option) ;

V' Fonctionnalités Applicatives du pare-feu ;

V' Fonctionnalités IDS ;

V' Fonctionnalités IPS

· Enregistrement en temps-réel, information approfondie pour chaque alerte, activant un diagnostic rapide et une résolution d'événement ;

· Vitesse de 4 Gbps pour du trafic multimédia ; 2 Gbps pour du trafic transactionnel ;

· Interface de surveillance composée de quatre 10/100/1000BASE-TX ou quatre 1000BASE-SX ;

· Interface de commande et de contrôle 10/100/1000BASE-TX ;

· Cartes réseaux (fibre et cuivre) supportant jusqu'à 16 interfaces,

76

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

· Alimentation redondante et récupération automatique en cas de panne hardware ;

· Rack montable 4RU.

III.2 Configuration logique du pare-feu

Le pare-feu « Appliance » doit être configurable selon le plan d'adressage en cours et à développer. Une plus grande importance sera attachée à l'existence des facilités de configuration des équipements.

Le soumissionnaire doit proposer un modèle de projet de sécurité maximum en fonction des dernières normes en cours, avec l'option antivirus, anti spam, antispyware, etc.

Le soumissionnaire fournira une aide au démarrage sous la forme de documents et d'explications verbales pendant l'installation.

Le soumissionnaire proposera un logiciel de gestion graphique du pare-feu« Appliance » permettant :

y' De le configurer, le mettre à jour et le superviser grâce à une interface graphique conviviale (Une interface, simple et intuitive d'utilisation sera appréciée) ;

y' Des assistants de gestion d'installation permettant la configuration du réseau, des réseaux privés virtuels, de la politique d'authentification, des règles de filtrage, de la politique de translations d'adresses ;

y' Des assistants de gestion permettant la surveillance, la mise à jour des antivirus, anti spams, antispywares inclus dans le pare-feu ;

y' Des assistants de gestion permettront la surveillance, la détection sécurité et les rapports d'incidents ;

Ce logiciel pourra être utilisé pour configurer le pare-feu « Appliance » de n'importe quel endroit (localement ou à distance), en utilisant des connexions sécurisées.

Ce logiciel de gestion pourra être utilisé pour faire des sauvegardes partielles ou complètes de notre politique de sécurité et permettra des restaurations rapides du système en cas d'échec.

77

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

III.3 Fonctionnalités Réseau du pare-feu:

· Fonctionnalités de routage

V' Mode routage, translation, bridge et hybride ;

V' Routage par interface ;

V' Support multi VLANs (802.1Q) ;

V' Translation d'adresses (NAT, 1 to 1, PAT et Split) ;

V' Gestion de la bande passante ;

V' Gestion multi adresses IP par interface ;

· Fonctionnalités Générales de Filtrage :

V' Stateful Inspection ;

V' IPV4 / IPV6 ;

V' Système de Prévention d'Intrusion :

V' Prévention d'intrusion en temps réel ;

V' Plug-ins HTTP, FTP, DNS, RIP, H323, EMule, SSL, SSH, Telnet;

V' Plug-ins SMTP, POP3, IMAP4, NNTP, Generic...);

V' Prévention des attaques dans les tunnels VPN ;

V' Analyse multi couches : (couches protocolaires, connexion, session et applicatives) ;

V' Blocage des attaques connues et inconnues avec ou sans contexte ;

V' Protection contre les attaques de saturation (ICMP, UDP et TCP). ;

V' Protection contre l'évasion des données ;

V' Chevaux de Troie / Backdoor et protection ;

V' Protection contre la découverte d'OS ;

V' Protection contre le détournement de session ;

V' Signatures contextuelles ;

V' Blacklisting dynamique ;

V' Mise en quarantaine ;

V' Fonctionnalités VPN IPSEC.

IV .Conditions de réalisations des travaux

Les travaux se dérouleront dans deux sites distincts occupés et fonctionnels, fonctionnalités

qui devront rester effectives durant toute la durée des travaux. Les travaux nécessitant, une

interruption de l'énergie électrique partielle ou totale, une coupure informatique partielle ou

totale, durant ou en dehors des horaires de travail seront réalisés obligatoirement en accord

78

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

avec la Direction de la SONITEL avec un préavis de trois (03) jours ouvrables au minimum pour une durée maximum de trois (03) heures consécutives à chaque fois.

- Le nouvel équipement devra être testé en parallèle avec l'exploitation normale du réseau existant de manière à minimiser le temps d'arrêt lors du basculement de l'ancien réseau au nouveau.

- L'entreprise devra obligatoirement se rendre sur place avant de remettre sa proposition de prix afin d'évaluer les difficultés de réalisation des travaux et en particulier sur les raccordements de l'équipement sur l'installation existante.

- Les entreprises sont censées avoir pris connaissance de tous les éléments du dossier et sont tenues de présenter une offre répondant aux spécifications du projet de base, définies dans les documents composant ce dossier.

- L'entrepreneur doit l'intégralité des travaux nécessaires au complet et parfait achèvement de l'installation.

IV1Tests de qualification

- L'acceptation du nouvel équipement sera soumise à une période de bon fonctionnement de 8

jours pendant lesquels seront effectués des tests de performances.

- Les tests de qualification seront effectués en présence du maître d'oeuvre et du maître

d'ouvrage.

IV2Cahier de recette

- Le soumissionnaire devra fournir un cahier de recettes comportant entre autre un synoptique

du nouvel équipement et les résultats des tests de qualification.

- Il sera également remis les documents techniques des produits installés (fiches techniques,

documentation, manuels papier et sur CD-ROM).

~ IV3Réception des travaux

-La réception sera prononcée après l'achèvement des travaux et la levée des réserves lorsque

l'installation aura été reconnue conformes aux conditions techniques et aux normes en

vigueur ;

- La période de garantie ne démarre qu'après la levée définitive des réserves ;

- L'approbation des documents de l'entreprise, ainsi que les réceptions ne diminuent en rien

les responsabilités de l'entreprise ;

79

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

- L'entreprise demeure seule responsable des dommages ou accidents causés à des tiers au cours ou après l'exécution des travaux et résultant de son propre fait ou de celui du personnel mis à sa disposition, elle devra prouver que son assurance peut couvrir ces risques.

IV 5 Garantie :

Les garanties portent sur :

- L'ensemble des fournitures et travaux ;

- Le fonctionnement des installations et leur conservation.

Les garanties impliquent :

- Le remplacement du matériel défectueux par du matériel neuf, les études nouvelles s'il y a

lieu, la main d'oeuvre nécessaire, les frais annexes pouvant découler de ces interventions au

titre de garanties.

Le soumissionnaire indiquera :

- La durée et les modalités de la garantie des équipements proposés ainsi que la durée et la

nature de la gratuité du service après-vente ;

- Il indiquera de même les conditions de mise à jour des logiciels pour tous les équipements ;

- Il indiquera l'option d'assistance totale sur le hardware & software ;

- La maintenance devra inclure une assistance téléphonique, doublée d'une télémaintenance.

IV 6 Formation aux nouveaux équipements :

- Le soumissionnaire fournira une formation in situ pour le trois(03) ingénieurs de la SONITEL. Les modalités pratiques de cette formation seront définies en commun entre le soumissionnaire et la SONITEL.

IV 7 Echéancier et délais des travaux :

- Un échéancier des travaux sera défini avec le soumissionnaire.

- La durée totale des travaux ne devra pas excéder deux (02) mois à partir de la date de la notification par la SONITEL ;

- Le soumissionnaire s'engage à respecter les délais prévus par l'échéancier pour l'installation des équipements.

IV 8 Relations commerciales :

- Le titulaire devra indiquer les moyens humains et techniques mis à la disposition du donneur d'ordre pour répondre aux demandes de devis et d'informations techniques.

80

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

- Il devra préciser sa localisation, en particulier des agences techniques et/ou centres de maintenance.

- Le titulaire indiquera s'il peut fournir au donneur d'ordre, des informations sur support informatique sur les matériels livrés (type matériel, date de livraison, émetteur de la commande, numéro de commande, lieu de livraison, montant HT...).

- Le titulaire devra préciser les références publiques des administrations ou

entreprises qu'il fournit, avec si possible le nom d'un contact.

-Les demandes de soumission en trois(03) exemplaires et sous enveloppes scellées à la cire doivent parvenir à la Direction Générale de la SONITEL au plus tard le ..... / ...../2011 délai de rigueur.

81

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Conclusion générale

Au terme de quatre (04) mois d'intenses travaux, nous osons espérer avoir apporté notre modeste contribution au renforcement du dispositif de sécurité de l'infrastructure IP de la SONITEL .Ce document sera un guide dont la mise en application et le suivi permettra pour la SONITEL de relever le défi face aux enjeux de la sécurisation des réseaux interconnectés. Il n'est un secret pour personne que la sécurité est un domaine vaste et qu'en la matière le risque nul n'existe pas. C'est pourquoi, nos solutions de sécurisation du réseau IP de la SONITEL ont été orientées vers l'utilisation au mieux des outils de sécurisation de la dernière génération car comme dit Napoléon. Bonaparte. "Se faire battre est excusable, mais se faire surprendre est impardonnable". En outre, la période impartie au stage, nous a été riche en enseignement, et nous a permis de découvrir que la sécurisation d'un réseau est une étape délicate qui vise à protéger le patrimoine d'une entreprise contre les menaces les plus courantes, émanant aussi bien de l'internet que de son propre réseau local. Elle a permis également de mettre en évidence, la faible réactivité de nos dirigeants d'entreprises à prendre en considération les risques encourus dans cette ère d'interconnexions réseaux alors que leur

forte dépendance au système d'information le recommande et de comprendre enfin que l'administrateur et les utilisateurs sont les clés de voûte de la solidité des solutions que nous avons envisagées. Comme toute oeuvre humaine, cette étude n'est pas parfaite. Elle n'est que le début d'un processus qui se veut continuel en amélioration. En effet les étapes qui ont conduit à la production du présent document ont été émaillées de pleins d'embûches parfois difficilement franchissables. Du sérieux problème d'encadrement, au manque de spécialiste en interne, au temps imparti en passant par le manque d'information et de documentation sur la sécurité du réseau existant. Il faut surtout souligner que bien qu'ayant téléchargé et installer plusieurs logiciels libres pour la circonstance, le matériel étant déjà en exploitation commerciale et la réticence des responsables en charge du réseau ne nous ont pas permis d'effectuer certains tests cette situation a beaucoup handicapé notre démarche. Fort heureusement, grâce à notre conviction, notre détermination ferme et à l'implication de dernières minutes de certaines personnes que je remercie au passage et dont je tairai ici les noms au risque d'oublier d'autres, nous avons pu atteindre les objectifs assignés.

82

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

Bibliographie || Webographie

Références bibliographiques :

Vincent REMAZEILLES, La sécurité des réseaux avec CISCO ISBN : 2746047144 JEAN-LUC MONTAGNIER, les réseaux d'entreprise par la pratique ISBN : 2-212-11258-0 GUY PUJOLLE, Les réseaux édition 2008 ISBN: 9782212117578

Sites web:

[W1] http://www.cisco.com/web/FR/solutions/securite/overview.html#nouvellesmenaces:
Consulté les 03 -05 -06 /07 /2011 et le 29 /08 /2011

[W2] http://www.cisco.com/web/FR/products/vpn security/index.html: Consulté les 09 -15 -30/08 /2011

[W3] http://www.entreprisetic.com//sécurité-signaureelectronique-laProtectionréseau consulté les 15 -22 -27/07 /2011 et les 26-28-29 /08 /2011

[W4] http://www.nordnet.com/vues/securitoo/antivirus firewall pro/technique.php consulté les 08 -13 -21 /07 /2011 et le 19-25 /08 /2011

[W5] http://www.cnrs.fr/aquitaine-limousin/IMG/pdf/CCTPLot3.pdf Consulté les 01-07 20 /09 /2011

[W6] http://www.commentcamarche.net/crypto/ssh.php3 Consulté les 14-15-24 /09 /2011

[W7] http://www.lifl.fr/~grimaud/download/ARS_CHAPITRE6.pdf: Consulté les 07-17-
26 -30 /07/2011

[W8] http://www.snort.org: Consulté les 08-16-21-29-30/08 /2011

[W9] http://www.authsecu.com/dos-attaque-deny-of-service/dos-attaque-deny-of-service.php Consulté les 01-11-14-19-30/2011

[W10] http://livre.g6.asso.fr/index.php/Critique_des_IPsec : consulté le 04-10-13/09/2011

[W11] http://christian.caleca.free.fr/:Consulté le 09-22-23/09 /2011 Logiciel de simulation : GNS3-0.7.2-win-all-in-one.exe

Les IOS utilisés: C7200.rar ASA IOS.rar

83

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR ANNEXES

ANNEXES I Liste des routeurs du réseau IP SONITEL

i

Nom routeur

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXES II : Commandes traceroute/temps de latence FO /VSAT SONITEL

ii

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXES III: Commandes load balancing trafic FO/VSAT

User Access Verification Password: sonitelne>en Password: sonitelne#en sonitelne#sh run Building configuration... Current configuration : 7616 bytes! upgrade fpd auto version 12.4 service timestamps debug datetime msec

service timestamps log datetime msec no service password-encryption! hostname sonitelne!

boot-start-marker boot-end-marker! no aaa new-model! resource policy! ip subnet-zero ip cef!

ip domain name sonitel.ne ip name-server X.X.X.10 ip name-server X.X.X.10!

interface GigabitEthernet0/1 description lien serveurs et routeurs locaux

ip address X.X.X.X 255.X.X.X secondary ip address address X.X.X.X 255.X.X.X Y

duplex auto speed auto media-type rj45 negotiation auto! ip address X.X.X 255.Y.Y.Y

interface FastEthernet0/2 description SNC Malbaza

rate-limit input 1000000 32000 32000 conform-action transmit exceed-action drop

rate-limit output 1000000 32000 32000 conform-action transmit exceed-action drop

duplex auto speed auto! interface GigabitEthernet0/2 description lien SahelCom ip address X.X.X.X 255.X.X.X

rate-limit input 8000000 64000 64000 conform-action transmit exceed-action drop

rate-limit output 4000000 64000 64000 conform-action transmit exceed-action drop

duplex auto speed auto media-type rj45 negotiation auto!

interface GigabitEthernet0/3 description lien Orange Niger ip address X.X.X.Z 255.X.X.X

rate-limit input 8000000 64000 64000 conform-action transmit exceed-action drop

rate-limit output 8000000 64000 64000 conform-action transmit exceed-action drop

duplex auto speed auto media-type rj45 negotiation auto!

interface FastEthernet1/0 description lien Ixcom ip address x.x.x.x z.z.z.z

rate-limit input 2000000 32000 32000 conform-action transmit exceed-action drop

rate-limit output 2000000 32000 32000 conform-action transmit exceed-action drop

shutdown duplex auto speed auto!

interface FastEthernet1/1 description ITALIA TELECOMS ip address X.X.X.X 255.Z.Z.Y

rate-limit input 4000000 64000 64000 conform-action transmit exceed-action drop

rate-limit output 4000000 64000 64000 conform-action transmit exceed-action drop duplex auto speed auto!

interface Hssi2/0 description lien backbone N02 ip address 193.251.247.126 255.255.255.252 no ip redirects no ip proxy-

arp keepalive 60 serial restart-delay 0!

interface POS6/0 description lien backbone N01 ip address 193.251.248.178 255.255.255.252

no ip redirects no ip proxy-arp pos framing sdh!

interface POS6/1 description Lien internet interieur 155Mbps ip address 192.168.3.1 255.255.255.252

no ip redirects no ip proxy-arp pos framing sdh!

ip classless ip route 0.0.0.0 0.0.0.0 POS6/0 50 ip route 0.0.0.0 0.0.0.0 Hssi2/0 100

ip route 41.138.40.0 255.255.252.0 193.251.220.12 ip route 41.138.49.0 255.255.255.248 193.251.220.9 ip route 41.138.49.16

255.255.255.240 41.138.55.10 ip route 41.138.49.32 255.255.255.248 193.251.220.2

ip route 41.138.49.40 255.255.255.248 193.251.220.2 ip route 41.138.50.16 255.255.255.248 193.251.220.18

ip route 41.138.50.24 255.255.255.248 193.251.220.2 ip route 41.138.51.128 255.255.255.128 193.251.220.2

no ip http server! logging alarm informational! gatekeeper shutdown! ! end;

iii

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXE IV: Commandes iptable

# Generated by iptables-save v1.2.7a on Mon Sep 11 15:29:09 2011

*nat :PREROUTING ACCEPT [676328:54829455] :POSTROUTING ACCEPT [85708:6409241]

:PREROUTING ACCEPT [676328:54829455] :POSTROUTING ACCEPT [85708:6409241]

:OUTPUT ACCEPT [114436:8473816]

-A PREROUTING -s 193.251.220.5 -d 193.251.220.4 -p tcp -m tcp --dport 80 -j DNAT --to-

destination X.X.X.2:80

-A PREROUTING -s 193.251.220.6 -d 193.251.220.4 -p tcp -m tcp --dport 80 -j DNAT --to-

destination X.X.X.2:80

#-A POSTROUTING -s 192.168.77.0/255.255.255.0 -o eth0 -j MASQUERADE

#-A POSTROUTING -s 199.24.77.0/255.255.255.0 -o eth0 -j MASQUERADE

-A POSTROUTING -s 192.168.31.0/255.255.255.240 -o eth0 -j MASQUERADE

-A POSTROUTING -s 199.24.31.0/255.255.255.0 -o eth0 -j MASQUERADE COMMIT

# Completed on Mon Sep 11 15:29:09 2011

# Generated by iptables-save v1.2.7a on Mon Sep 11 15:29:09 2011

*mangle :PREROUTING ACCEPT [15465406:12469671120] :INPUT ACCEPT [915023:92604532]

:FORWARD ACCEPT [14238191:12351323595] :OUTPUT ACCEPT [931358:140745226]

:POSTROUTING ACCEPT [15140763:12490000929] COMMIT

# Completed on Mon Sep 11 15:29:09 2011

# Generated by iptables-save v1.2.7a on Mon Sep 11 15:29:09 2011

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [44:2424]

:OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -s 199.24.31.251 -i eth2 -j REJECT --reject-with icmp-port-unreachable

-A INPUT -s 193.251.220.10 -i eth0 -j REJECT --reject-with icmp-port-unreachable

-A INPUT -s 192.168.31.254 -i eth1 -j REJECT --reject-with icmp-port-unreachable

#-A INPUT -s 192.168.77.254 -i eth1 -j REJECT --reject-with icmp-port-unreachable

#-A INPUT -s 199.24.77.254 -i eth1 -j REJECT --reject-with icmp-port-unreachable

-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT

-A INPUT -i eth2 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

#-A INPUT -s 193.251.220.16/255.255.255.240 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j

ACCEPT

-A INPUT -s 193.251.220.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j

ACCEPT

-A INPUT -s 41.194.41.192/255.255.255.192 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j

ACCEPT

-A INPUT -s 82.127.82.242 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

-A INPUT -s 193.251.220.5 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

iv

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXE V: Capture pour configuration VPN site à site du GPTO /SONITEL

v

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXE V(SUITE): Capture pour configuration VPN site à site du GPTO /SONITEL

vi

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXEV (SUITE): Capture pour configuration VPN site à site du GPTO /SONITEL

vii

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXEV (SUITE & FIN): Capture pour configuration VPN site à site du GPTO /SONITEL

viii

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

ANNEXE VI: Commande Nmap

nmap -sp pour scanner les ports sur nos(04) quatre blocs d'adresse

<? xml version="1.0" encoding="iso-8859-1"?>

<?xml-stylesheet href="file:///C:/Program Files/Nmap/nmap.xsl" type="text/xsl"?><nmaprun start="1316964451" profile_name="Intense scan, all TCP ports" xmloutputversion="1.03" scanner="nmap" version="5.21" startstr="Sun Sep 25 17:27:31 2011" args="nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 193.251.220.12"><scaninfo

services="1-65535" protocol="tcp" numservices="65535" type="syn"></scaninfo><verbose

level="1"></verbose><debugging level="0"></debugging><output type="interactive">Starting Nmap 5.21 ( http://nmap.org

) at 2011-09-25 17:27 Paris, Madrid (heure d'été)NSE: Loaded 36 scripts for scanning.Initiating Ping Scan at 17:27Scanning

X.X.X.12 [8 ports]

Completed Ping Scan at 17:27, 0.03s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 17:27

Completed Parallel DNS resolution of 1 host. at 17:27, 0.01s elapsedInitiating SYN Stealth Scan at 17:27

Scanning X.X.X.12 [65535 ports]

Discovered open port 23/tcp on X.X1.X.12

Completed SYN Stealth Scan at 17:27, 10.11s elapsed (65535 total ports)

Initiating Service scan at 17:27

Scanning 1 service on 193.251.220.12

Completed Service scan at 17:27, 0.01s elapsed (1 service on 1 host)

Initiating OS detection (try #1) against X.X1.X.12

Retrying OS detection (try #2) against X.X1.X.12

Retrying OS detection (try #3) against X.X1.X.12

Retrying OS detection (try #4) against X.X1.X.12

Retrying OS detection (try #5) against X.X1.X.12

Initiating Traceroute at 17:27

Completed Traceroute at 17:27, 0.02s elapsed

Initiating Parallel DNS resolution of 2 hosts. at 17:27

Completed Parallel DNS resolution of 2 hosts. at 17:27, 0.48s elapsed

NSE: Script scanning X.X1.X.12

NSE: Script Scanning completed.

Nmap scan report for X.X1.X.12

Host is up (0.0010s latency).

Not shown: 65534 closed ports

PORT STATE SERVICE VERSION

23/tcp open telnet Cisco IOS telnetd

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/).

TCP/IP fingerprint:

OS:SCAN (V=5.21%D=9/25%OT=23%CT=1%CU=35710%PV=N%DS=2%DC=T%G=Y%TM=4E7F487D%P=

OS: i686-pc-windows-windows) SEQ (SP=FD%GCD=1%ISR=10E%TI=RD%CI=RD%II=RI%TS=U) SOS: EQ

(SP=106%GCD=1%ISR=107%TI=RD%CI=RD%II=RI%TS=U) SEQ (SP=105%GCD=1%ISR=10B%COMMANDES

nmap -sp (suite et fin)

OS: TI=RD%CI=RD%II=RI%TS=U) SEQ (SP=FE%GCD=1%ISR=105%TI=RD%CI=RD%II=RI%TS=U) SEOS: Q

(SP=FD%GCD=1%ISR=106%TI=RD%CI=RD%II=RI%TS=U) OPS (O1=M5B4%O2=M578%O3=M280OS:
%O4=M218%O5=M218%O6=M109) WIN (W1=1020%W2=1020%W3=1020%W4=1020%W5=1020%W6=

OS:1020) ECN(R=Y%DF=N%T=100%W=1020%O=M5B4%CC=N%Q=) T1(R=Y%DF=N%T=100%S=O%A=S+

ix

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL

Mémoire de fin de formation en mastère spécialisé 2010 - 2011

DJIBO BOUBACAR

OS:%F=AS%RD=0%Q=) T2(R=Y%DF=N%T=100%W=0%S=A%A=S%F=AR%O=%RD=0%Q=) T3(R=N) T4(R=

OS: Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%Q=) T5(R=Y%DF=N%T=100%W=0%S=A%A=S+%F

OS:=AR%O=%RD=0%Q=) T6(R=Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%Q=) T7(R=Y%DF=N%

OS:T=100%W=0%S=A%A=S%F=AR%O=%RD=0%Q=) U1(R=Y%DF=N%T=100%IPL=38%UN=0%RIPL=G%R

OS: ID=G%RIPCK=G%RUCK=F4A0%RUD=G) IE(R=Y%DFI=S%T=100%CD=S)

Network Distance: 2 hops

TCP Sequence Prediction: Difficulty=253 (Good luck!)

IP ID Sequence Generation: Randomized

Service Info: OS: IOS; Device: switch

TRACEROUTE (using port 993/tcp)

HOP RTT ADDRESS1 0.00 ms X.X.X.254

2 0.00 ms X.X1.X.12

Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 28.23 seconds

Raw packets sent: 65649 (2.892MB) | Rcvd: 65623 (2.626MB)

</output><host comment=""><status state="up"></status><address addrtype="ipv4" vendor=""

addr="193.251.220.12"></address><hostnames></hostnames><ports><extraports count="65534"

state="closed"></extraports><port protocol="tcp" portid="23"><state reason="syn-ack" state="open"

reason_ttl="254"></state><service product="Cisco IOS telnetd" method="probed" conf="10"
name="telnet"></service></port></ports><os><portused state="open" portid="23" proto="tcp"></portused><portused

state="closed" portid="1" proto="tcp"></portused><portused state="closed" portid="35710"

proto="udp"></portused><osclass type="router" osfamily="IOS" vendor="Cisco" osgen="12.X"

accuracy="98"></osclass><osclass type="WAP" osfamily="IOS" vendor="Cisco" osgen="12.X"

accuracy="97"></osclass><osclass type="VoIP adapter" osfamily="embedded" vendor="Cisco" osgen=""

accuracy="95"></osclass><osclass type="switch" osfamily="IOS" vendor="Cisco" osgen="12.X"
accuracy="94"></osclass><osclass type="broadband router" osfamily="IOS" vendor="Cisco" osgen="12.X" accuracy="89"></osclass><osclass type="broadband router" osfamily="embedded" vendor="Cisco" osgen=""

accuracy="88"></osclass></os><uptime lastboot="" seconds=""></uptime><tcpsequence index="253"
values="6533715,4B8E07F2,A822E8E8,853ECFBD,76366000,4A8E8D94"difficulty="Good luck!"></tcpsequence><ipidsequencevalues="8D23,F869,E023,3633,821D,A38E" class="Randomized"></ipidsequence><tcptssequencevalues=""class="none returned (unsupported)"></tcptssequence><trace port="993" proto="tcp"><hop rtt="0.00" host="" ipaddr="192.168.100.254" ttl="1"></hop><hop rtt="0.00" host="" ipaddr="193.251.220.12" ttl="2"></hop></trace></host><runstats><finished timestr="Sun Sep 25 17:27:58 2011" time="1316964478"></finished><hosts down="0" total="1" up="1"></hosts></runstats></nmaprun>

x

Thème : Etude et mise en oeuvre d'une solution de sécurisation du réseau IP de la SONITEL