Chapitre 3 : Etat de l'art de la
Sécurité
Aujourd'hui plus qu'hier, les administrateurs réseau,
sont confrontés aux problèmes
brulants d'insécurité qui ne cesse de prendre de
l'ampleur du jour au lendemain.
Si hier, les attaques ne se limitaient qu'aux virus et aux vers
et ciblaient les postes de travail,
aujourd'hui, les hackers sont des ingénieurs avec des
connaissances extraordinaires.
Les cybercriminels n'agissent plus en francs-tireurs, mais
s'organisent en une véritable
industrie avec ses spécialisations. Du coup, les
attaques se font de plus en plus avec des
moyens très sophistiqués et une puissance de
frappe jamais égalées qui inquiètent plus d'un
responsable de système d'information.
3.1
Panorama des attaques
Une "attaque" peut-être définie comme étant
l'exploitation d'une faille d'un système informatique(système
d'exploitation logicielle ou bien même de l'utilisateur) à des
fins non connues par l'exploitant des systèmes et
généralement préjudiciables.
Il existe une panoplie d'attaques réseaux dont les plus
courantes sont répertoriées ainsi que suit:
· L'attaque physique
L'attaquant a accès aux locaux, éventuellement aux
machines; Pour nuire à l'entreprise il peut occasionner:
o Une coupure de l'électricité;
o Une extinction manuelle du système;
o Une ouverture du boîtier de l'ordinateur et vol de
disque dur;
o Une écoute du trafic sur le réseau ;
o Un acte de vandalisme.
· L'attaque par interception des communications
Par des moyens qui lui sont propres le pirate peut
procéder à:
o
o
o
Un vol de session (session hijacking);
Une usurpation d'identité;
Un détournement ou une altération de messages.
32
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
L'attaque par déni de service
Le pirate vise à perturber le bon fonctionnement d'un
service.
La méthode fréquemment utilisée est le
dépassement de tampon qui consiste à envoyer un message au
serveur plus grand que sa capacité de réception.
o
o
Pour cela nous distinguons habituellement les types de
déni de service suivants: Exploitation de faiblesses des protocoles
TCP/IP;
Exploitation de vulnérabilité des logiciels
serveurs.
· L'attaque DDoS
La méthode de déni de service la plus
répandue actuellement est le déni de service réparti (DDoS
:Distributed Denial of Service). Plusieurs façons de réaliser
cette attaque existent, mais globalement ce qui se passe, c'est que le pirate
créé un programme qui lui permet de gérer à
distance des ordinateurs et leur ordonne à un moment donné
d'envoyer tous en même temps des flux de paquets à une même
cible. Ceci a pour effet de rendre indisponible la cible qui ne parvient pas
à gérer toutes ces demandes.
· L'attaque par spamming
Le spamming est l'envoie massifs de e-mails à
caractère commercial, voire assez douteux dans le but de pirater le
serveur ou la. base de données,
· L'attaque sur la base de données
L'une des attaques possibles a pour principe de modifier
indirectement les ordres SQL envoyés au serveur, en y incluant des
chaînes de caractères spéciales en lieu et place des
paramètres attendus par l'applicatif. Cette technique permet de
récupérer des informations confidentielles de la base de
données ou simplement des métadonnées.
o Nous pouvons par exemple faire un appel normal et on aura
dans la barre d'adresse du navigateur :
http://serveur/prog?user=nom_user.
On peut ensuite faire un appel falsifié du type :
http://serveur/prog?user=un_autre_user.
A ce moment là, soit on obtient directement des infos concernant l'autre
user, soit une erreur qui peut nous donner des indications qui permettent
d'apprendre, par exemple, que le nom de user est un paramètre
identifiant une table et qu'il y a une table par user, contenant un
numéro qui sert de filtre. On peut ainsi obtenir des informations sur la
base de données.
o Nous pouvons également ajouter du SQL
supplémentaire en fin de champ d'un formulaire. Si par exemple on a un
champ demandant le nom d'une personne et qui fait l'ordre SQL : SELECT col FROM
la_table WHERE nom = 'nom_user', et que dans le champ du
33
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
formulaire on écrit : nom_user';delete from
une_autre_table#, alors on aura réussi à détruire une
table de la base de données.
o Il est aussi possible en utilisant des techniques
similaires de s'attribuer des niveaux de privilèges que l'on ne devrait
pas avoir. On appelle ce genre de techniques d'attaques sur les bases de
données des « Injections (ou inclusion) de SQL ».
· L'attaque par intrusion
o Balayage de ports ou scan : Le scan de port permet
d'identifier les ports TCP ou UDP sur lesquelles une application réseau
est à l'écoute (sniffing). Le sniffer le plus répandu sous
UNIX est tcpdump, il fonctionne en mode texte et est extrêmement rapide
car il applique un filtre de capture avec pcap.Sous Windows wireshark, capture
la totalité des données puis applique un filtre de lecture ou
d'affichage c'est pourquoi il est moins rapide que tcpdump.
o Elévation de privilèges: ce type d'attaque
consiste à exploiter une vulnérabilité d'une application
en envoyant une requête spécifique, non prévue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois
à un accès au système avec les droits de l'application.
Les attaques par débordement de tampon (en anglais buffer
over-flow) utilisent ce principe.
· L'attaque par ingénierie sociale
Dans la majeure partie des cas le maillon le plus faible est
l'utilisateur lui-même. En effet c'est souvent lui qui, par
méconnaissance ou par duperie, ouvre une brèche dans le
système. L'ingénierie sociale ou Social Engineering) consiste
à manipuler les êtres humains, c'est-à-dire d'utiliser la
naïveté et la gentillesse exagérée des utilisateurs
du réseau, pour obtenir des informations sur ce dernier.
· L'attaque backdoor ou trappe
Il s'agit d'une porte dérobée dissimulée
dans un logiciel, permettant un accès ultérieur à son
concepteur.
3.2 Les motivations des attaques
Les motivations des attaques du réseau peuvent
être de différentes sortes:
· Obtenir un accès au système;
· Voler des informations, tels que les secrets de
l'entreprise ;
· Recueillir des informations personnelles sur un
utilisateur;
· Troubler le bon fonctionnement d'un service
· Utiliser le système de l'utilisateur comme
«rebond» pour une attaque;
· 
34
Utiliser les ressources (bande passante) du système de
l'utilisateur ...etc.
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
3.3 Les outils de sécurisation
réseau
3.3.1 La normalisation
La sécurité doit aujourd'hui se reposer du point
de vue des recommandations des
organismes de normalisation( IETF,UIT-T,W3C) sur une bonne
architecture réseau capable
de garantir les services de sécurité:
d'authentification mutuelle, l'authentification de l'origine
des donnée, de confidentialité des
données, confidentialité des flux de données,
l'intégrité des
données ,la prévention contre le rejeu de
données.
Définissons à présent ces différents
concepts de la sécurité:
· L'authentification
C'est un concept qui permet de s'assurer de l'identité de
l'interlocuteur.
Il existe des techniques traditionnelles d'authentification
telles que: le mot de passe, la carte à puce, ou l'empreinte digitale et
des techniques évoluées d'authentification parmi lesquelles:
o L'authentification par certificat X509 client;
o L'authentification évoluée avec calculette
dynamique, CAPTCHA, etc.;
o L'authentification forte avec Smartcard, Token hardware ou ADN
numérique;
o Les solutions de Web SSO.
· La non répudiation
C'est un ensemble de moyens et techniques permettant de prouver
la participation d'une entité dans un échange de
données.
La technique de parade traditionnelle employée est la
signature légalisée, aujourd'hui nous sommes à la
signature numérique.
· La confidentialité des
données
C'est un concept permettant de s'assurer que l'information ne
peut être lue que par les personnes autorisées. L'utilisation
d'enveloppes scellées, de valise diplomatique étaient
des solutions du monde réel, la tendance actuelle est la
technique de
chiffrement/déchiffrement.
· L'intégrité des
données
C'est un ensemble de moyens et techniques permettant de
vérifier ou de prouver la
non altération d'une donnée.
La technique traditionnelle de comparaison original/copie
permettait de l'assurer.
La technique moderne fait appel aux fonctions de hachages.
35
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
En dehors des organismes de normalisation
précités, il existe d'autres organismes chargés d'assurer
des services de prévention des risques en termes de
sécurité informatique, et d'assistance aux traitements
d'incidents. Ce sont des centres d'alerte et de réaction aux attaques en
direction des entreprises et des administrations. Parmi ces organismes nous
pouvons citer entre autres: US CERT le centre d'alerte des Etats-Unis, CERT en
Afrique du sud et en Tunisie, l'ANSSI l'organisme officiel français qui
définit les normes sur l'évaluation et la certification des
systèmes d'information.
Des versions de protocoles sécurisés existent
aussi pour combler les lacunes natives des protocoles de la pile TCP/IP.
3.3.2 Les protocoles de
sécurité
> IP sec
IP Sec est un protocole défini par IETF permettant de
sécuriser les échanges au niveau de la couche réseau. Il
s'agit d'un protocole apportant des améliorations au niveau de la
sécurité afin de garantir la confidentialité,
l'intégrité et l'authentification des échanges.
Le protocole IP Sec est basé sur trois modules:
· IP Authentification Header(AH)
concernant l'intégrité, l'authentification et la protection
contre le rejeu. des paquets à encapsuler;
· Encapsulating Security Payload (ESP)
définissant le chiffrement de paquets. ESP fournit la
confidentialité, l'intégrité, l'authentification et la
protection contre le rejeu.
· Security Association(SA) définissant
l'échange des clés et des paramètres de
sécurité. Les SA rassemblent ainsi l'ensemble des informations
sur le traitement à appliquer aux paquets IP(les protocoles AH et/ou
ESP, mode tunnel ou transport, les algorithmes de sécurité
utilisés par les protocoles, les clés utilisées,...etc.).
L'échange des clés se fait soit de manière manuelle soit
avec le protocole d'échange IKE (la plupart du temps), qui permet aux
deux parties de s'entendre sur le mode d'échange.
> IPV6
Le protocoleIPV6 est basé sur des adresses
codées en 128 bits pour un total de 2128 possibilités.
Dans ces circonstances, le protocole IPv6 (appelé
également IPng pour IP new génération) doit offrir plus de
flexibilité et d'efficacité, résoudre toute une
variété de problèmes nouveaux et ne devrait jamais
être en rupture d'adresses.
36
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
> DNS sec
Le DNSSEC constitue une des extensions
sécurisées du protocole DNS (convertir les adresses IP en noms de
domaine par le biais de signatures numériques. C'est un protocole qui
aide à mieux lutter contre les attaques par «empoisonnement de
cache» qui visent le détournement des requêtes et la
récupération des données personnelles de l'internaute.
Par exemple le logiciel Zone Check permet de vérifier
la configuration technique d'un nom de domaine.
> POPS(POP over SSL) et IMAPS (IMAP over SSL):
POPS et IMAPS sont les versions sécurisées des
protocoles IMAP et IMAP.
Ils permettent d'assurer la sécurité de la
transmission des données en chiffrant le mot de passe par un algorithme
de cryptographie difficile à intercepter par un pirate.
> SSH
Utilisé en remplacement sécurisé du
protocole Telnet, Secure Shell permet la communication entre deux processus. Il
permet à un poste client (PC, MAC) de se connecter ou copier des
données de façon sécurisée(en empêchant des
attaques de tiers («session hijacking») et «DNS spoofing»
à un poste serveur distant.SSH utilise la cryptographie à
clé publique pour crypter les communications entre deux hôtes,
ainsi que l'authentification des utilisateurs.
Il existe plusieurs implémentations de clients Windows
librement disponibles Putt pour les connexions «émulation de
terminal", (SSH, Winscp pour les transferts de fichiers (sftp et scp).
> SSL OU TLS
Le protocole SSL (Secure Sockets Layer), est un protocole
conçu pour assurer les fonctions de chiffrement des données et
d'authentification au cours d'une connexion entre un client et un serveur de la
Toile. SSL commence par un échange de présentations permettant
l'authentification du serveur et au cours duquel se négocient un
algorithme de chiffrement (par exemple DES) et les diverses clés qui
sont utilisées pendant la session. Le client peut devoir s'authentifier
auprès du serveur. Une fois l'échange de présentations
achevé, toutes les données applicatives échangées
sont chiffrées au moyen des clés négociées. SSL est
actuellement la pierre angulaire des systèmes de sécurité
du commerce électronique. SSL est à la base du protocole TLS
(Transport Layer Security) et ces deux protocoles sont aussi
37
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
impliqués dans les systèmes de messagerie IMAP
(Internet Mail Access Protocol), où ils assurent les fonctions
d'authentification et de chiffrement de données.
Le logiciel de protection SSL (Secure Sockets Layer) se
substitue progressivement au logiciel de protection IP Sec VPN Remote
Access.
> HTTPS
HTTPS est un protocole qui permet de faire du http via une
connexion sécurisée (cryptage + authentification) en utilisant
une couche SSL (Secure Socket Layer) à ne pas confondre avec shttp
(Secure http) qui est un protocole en lui-même.
En commerce électronique, un cadenas fermé
apparait en bas à droite du navigateur lorsque la connexion est
sécurisée, le cas échéant il est ouvert.
HTTPS appartient donc tout comme d'autres protocoles de
messagerie électronique POPS et IMAPS à un procédé
de sécurisation appelé SSL.
3.3.3 Les systèmes de protection
réseau
+ L'antivirus
L'antivirus représente le premier rempart d'un
système sécurisé.
Il permet de vérifier le contenu des fichiers et de
les comparer avec des fichiers dangereux recensés dans 'la base de
signature' de virus. Cette dernière contient l'ensemble des profils de
fichiers dangereux ayant été identifiés
contaminés.
Il existe:
y' L'antivirus système qui se charge de scanner
périodiquement les fichiers présents sur le disque dur pour y
découvrir les virus, et procéder à leur
éradication.
Dans le monde libre, il existe de nombreux antivirus gratuits
et qui concernent les OS les plus répandus.
Ainsi, pour les OS de type Windows (XP, 2K, 98 ...), tout
utilisateur peut bénéficier de la solution XPantivir (
http://www.free-av.de/) mise
à jour régulièrement.
Concernant les systèmes linux, il faut avouer qu'ils
sont directement moins concernés par les virus, dans la mesure où
les failles de conception et de développement semblent plus rares dans
cet OS. Cependant, il existe bien entendu des virus qu'il convient
d'éradiquer. Des solutions sont disponibles telles que "f-prot" (
www.f-prot.com) ou encore "panda"
y' L'antivirus personnel: Utilisé pour désinfecter
les PC personnel.
38
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
+ Le firewall
Le firewall ou pare-feu est un système ou ensemble de
systèmes qui renforce la politique de sécurité d'une
entreprise. C'est un mécanisme de filtrage des entrées de
l'extérieur vers le réseau.
Le firewall détermine:
· quels services internes peuvent être
accédés de l'extérieur ?
· quels éléments extérieurs peuvent
accéder aux services internes autorisés ?
· quels services externes peuvent être
accédés par les éléments internes ?
Concrètement le firewall permet d'interdire (ou
d'autoriser) une communication au sein d'un réseau en séparant
deux réseaux aux règles de sécurité
différentes (exemple pour séparer l'internet d'un réseau
privé).
Certains firewalls permettent un contrôle strict des flux
applicatifs, en fonction d'une politique de sécurité
déclarée.
+ Les Virtual Private Network (VPN)
Un VPN est un réseau qui se superpose aux réseaux
publics tout en conservant les avantages d'un réseau privé. Ils
sont adaptés pour sécuriser l'accès des sites distants.
via des tunnels.
3.3.4 Les outils d'analyse et de
contrôle
L'utilisation d'outils d'analyse et de contrôle permet
d'améliorer la sécurité des réseaux il s'agit entre
autres:
o Du contrôle de la sécurité par la gestion
des logs (L'outil RANCID permet par exemple de loguer tous les accès sur
un routeur);
o De la détection de violation d'intégrité
pour lutter contre le «site defacing;
o Du scannage de vulnérabilités.
Les scanneurs de failles se particularisent par la
détection des failles présentes sur une machine ciblée,
à un instant donné.
Généralement, les scanneurs de failles fonctionnent
selon l'architecture client/serveur. Le serveur, où un daemon est
lancé, est chargé de tester un système indiqué en
essayant toutes les attaques que sa base contient, pendant que le client
établit un rapport des résultats obtenus. En se basant sur une
base de données contenant l'ensemble des failles recensées (tous
logiciels confondus) le scanneur effectuera des simulations d'attaques, en
s'inspirant des exploits déjà
39
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
connus. Ce dernier est installé sur le serveur et
représente un agent intrusif essentiel au bon déroulement du
diagnostic.
L'outil génère alors des rapports (web, PDF ...)
qui rendent compte de l'état réel de la sécurité du
réseau audité, le dévoilant ainsi sous un autre angle que
bien des administrateurs négligent. De plus, les rapports sont souvent
accompagnés d'indications et de conseils qui aiguillent l'administrateur
afin qu'il sécurise au mieux son réseau.
o De la surveillance basée sur les IDS (Intrusion
Detection System).
Nous distinguons trois (3) types d'IDS:
· Les HIDS (Host IDS):
Ils sont capables de remonter des informations
renvoyées par la machine ou le système d'exploitation. et
utilisent pour cela les journaux systèmes créés par les
différents applicatifs fonctionnant sur la machine à surveiller.
Le schéma suivant décrit son architecture.
40
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
· Les NIDS (Network IDS):
IIs récupèrent des informations
renvoyées par le réseau en capturant les paquets qui traversent
les différentes interfaces à surveiller. Le schéma qui
suit illustre son fonctionnement.
· Les IDS hybride: ils récupèrent les
informations renvoyées par la machine ou le système
d'exploitation mais aussi celles renvoyées par le réseau, cette
solution combine donc les 2 solutions précédentes au sein d'un
même Framework.
o De la prévention basée sur les IPS (Intrusion
Prevention System)
Les systèmes de protection contre les intrusions (IPS)
empêchent les attaques contre le réseau et sont dotés en
plus de la détection, des mécanismes de défense
suivants:
-Un mécanisme de prévention pour empêcher
l'exécution de l'attaque détectée. ; -Un mécanisme
de réaction pour immuniser le système contre les attaques
ultérieures provenant d'une source malveillante.
41
o
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
o De l'audit de la sécurité qui va consister
à s'appuyer sur un tiers de confiance (généralement une
société spécialisée en sécurité
informatique) afin de valider les moyens de protection mis en oeuvre, au regard
de la politique de sécurité.
o De la veille technologique: en se tenant informé des
nouvelles failles ou vulnérabilités.
3.3.5 Les systèmes de sauvegarde et de
restauration des données
Les données sont aussi décisives pour le bon
fonctionnement d'une entreprise que son personnel et ses systèmes. La
nécessité de protéger ces actifs stratégiques
dépasse de loin les capacités de sauvegarde d'une bande
magnétique.
DAS (Direct Attached Storage):La méthode traditionnelle
qui consiste à raccorder localement des appareils de stockage aux
serveurs, via une voie de communication directe entre le serveur et les
appareils de stockage ne répond plus aux besoins en volume de
stockage.
De nos jours, le développement de la technologie de
réseau de stockage nous recommande deux configurations principales:(NAS)
Network Attached Storage et (SAN) Storage Area Networks.
D'autres formes ou méthodes de sécurisation
réseau existent comme:
L'externalisation
L'externalisation de l'informatique (ou Infogérance ou
encore Business Process
Outsourcing) est une pratique commune pour les grandes
entreprises qui consiste à sous-traiter tout ou partie des ressources
informatiques d'une entreprise à un prestataire extérieur.
Les ressources informatiques peuvent être
matérielles ou logicielles et l'externalisation peut
porter sur:
Des fonctionnalités spécifiques qui alourdissent
particulièrement le système d'information de l'entreprise
(fonctionnalités de mails, d'agendas partagés, anti-virus, anti
spam, ...etc.). Des logiciels métiers qui demandent des
compétences particulières pour leur maintenance
(comptabilité, CRM, site Internet, ...etc.).
L'ensemble du système d'information pour se recentrer
sur le métier de l'entreprise ou dégager les ressources de
l'entreprise de la gestion administrative et technique.
Le Cloud computing
C'est aussi une autre forme d'externalisation mais cette
fois-ci dans une virtualisation dans les nuages (cloud).
Les Data center:
42
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Ce sont des centres dont la création se repose sur le
respect strict des normes de sécurité susceptibles de garantir
notamment:
· Un système ouvert basé sur des normes;
· Une haute performance et une large bande passante, la
qualité de service;
· Une prise en charge de 10 Gigabits;
· Une prise en charge de différents types de
réseaux SAN/NAS et de protocoles;
· Une prise en charge des demandes cumulées de bande
passante pour les applications convergées;
· Une haute fiabilité;
· Une redondance;
· Une flexibilité, une évolutivité et
des mécanismes facilitant le déploiement des MAC. Dans tous les
cas: confier son système d'information à un tiers c'est aussi lui
donner les moyens de vous pirater c`est pourquoi des tels contrats
méritent beaucoup de prudence.
43
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Cp t cut eau
Chapitre 4 : Sécurisation du réseau IP
|
|
Pour sécuriser un réseau, il faut au moins
connaître les failles et les outils de protection en vogues, c'est
pourquoi, après l'état de l'art qui a mis en lumière les
avancées scientifiques majeures dans ce domaine, notre quatrième
chapitre, sera consacré à un examen minutieux des faiblesses
sécuritaires du réseau IP de la SONITEL et entrevoir des
solutions conséquentes.
4.1 Les vulnérabilités de l'infrastructure
IP
4.1.1 Les vulnérabilités du protocole
IPV4
Le réseau informatique de la SONITEL utilise le
protocole IP dans sa version 4 ou IPV4.Non conçue dans une optique de
sécurité, mais plutôt dans une optique de résilience
et de performance, la famille des protocoles IP présente des failles de
sécurité intrinsèques qu'il convient de préciser
ici:
· Aucun chiffrement des données (les
données et souvent même les mots de passe circulent en clair);
· Aucun contrôle d'intégrité (les
données peuvent être modifiées par un tiers);
· Aucune authentification de l'émetteur
(n'importe qui peut émettre des données en se faisant passer pour
un autre).
Les protocoles les plus courants qui drainent ces insuffisances
sont: o Telnet
Telnet est le protocole qu'utilise la SONITEL pour se
connecter à distance sur les équipements de son réseau. Or
deux caractéristiques font de Telnet un protocole dont l'utilisation
entre une entreprise et Internet est à proscrire (Sur le plan interne,
son usage peut être autorisé, réglementé ou
interdit, selon l'architecture de réseau, les mécanismes de
sécurité mis en oeuvre et la valeur des informations à
protéger).
1. L'identifiant et le mot de passe Telnet circulent en clair sur
le réseau,
Une fois interceptés, l'identifiant et le mot de passe
pourront, être utilisés par un intrus pour se connecter à
des applications dont les mots de passe sont, en ce qui les concerne,
chiffrés. Pour se prémunir , il faut que les utilisateurs
emploient des mots de passe différents de ceux utilisés pour se
connecter à des applications utilisant des protocoles mieux
sécurisés.
44
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
2. Les données sont
véhiculées sous une forme non structurée, tâche qui
est laissée à l'initiative de l'application. Il est donc
très facile de transférer toutes sortes de données en
profitant d'une session Telnet.
o FTP
Le transfert de fichier est en usage à la SONITEL à
travers le serveur FTP.
Malheureusement tout comme Telnet, en FTP, l'identifiant et le
mot de passe circulent en clair. Les recommandations énoncées
pour Telnet restent valables pour le FTP
Le mode passif s'il est compatible à notre
implémentation offre beaucoup plus de sûreté que le mode
normal, car il évite d'autoriser les connexions entrantes.
o DNS
La recherche de noms et le transfert de zone utilisent
généralement les ports UDP (53?53), mais si ces
requêtes échouent, elles sont relancées via TCP
(>1023?53
45
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
o HTTP
Les serveurs Web peuvent répondre sur des ports
spécifiques, autres que 80, tels que les 8000, 8080, 8010 ou encore 81,
pour ne citer que les plus courants. Ces ports non-standards ne
présentent aucun intérêt en termes de
sécurité, car les scanners permettent de les trouver
rapidement.
En revanche, il est recommandé de séparer les
données accessibles en FTP et en HTTP, soit sur deux serveurs
différents, soit sur deux répertoires différents. Il est
en effet facile de déposer un cheval de troie sur un répertoire
FTP, puis de le faire exécuter par le serveur HTTP. Sous Unix, il est en
plus recommandé d'utiliser la fonction chroot.
o NetBIOS
Le protocole NetBIOS (Network Basic Input Output System) est
difficile à contrôler, car il transporte de nombreux protocoles
propres à Microsoft : il s'agit de SMB (Server Message Block), de NCB
(Network Control Bloc) et de toute une série de RPC (Remote Procedure
Calls), qui sont utilisés par les environnements Windows.
Par exemple, les relations entre contrôleurs de
domaines et entre clients et serveurs WINS emploient des relations complexes
qu'il est difficile de filtrer. Pour ces raisons, l'utilisation de NetBIOS doit
être interdite entre l'entreprise et Internet.
46
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
o SNMP
Pour les requêtes « get» (commande qui permet
de faire un dump complet d'une configuration) et «set » (commande qui
permet de modifier la configuration) le client est la plate-forme
d'administration tandis que pour les messages « traps », le client
est le matériel (réseau, serveur, etc.). Il est donc conseiller
de cantonner ce protocole entre les stations d'administration et les
équipements à surveiller. La plupart des implémentations
utilisent UDP, et il faut l'autoriser dans les deux sens.
Les noms de communauté circulent en clair. On peut
donc envisager de laisser passer les messages SNMP en filtrant les adresses
source et destination.
La politique de filtrage peut cependant être plus
souple au sein d'un même domaine de confiance ou dans le cas de
réseaux entièrement commutés reposant sur des VLAN. Pour
ce qui concerne Internet, le protocole SNMP doit être interdit.
o RPC (Remote Procedure Calls)
De nombreuses applications, comme les logiciels de
sauvegarde, utilisent les services du Portmapper qui répond sur les
ports UDP et TCP 111 et qui renvoie au client un numéro de port
aléatoire indiquant que le service est disponible sur sa machine.
Ce protocole ne peut pas être efficacement
filtré, car de nombreux ports doivent être laissés ouverts
de par la nature aléatoire de l'allocation. De plus, les firewalls
génèrent de nombreux dysfonctionnements pour les applications qui
utilisent les RPC. Les RPC doivent donc être interdits pour Internet.
47
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
o NFS
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC
1094 indique que ce n'est pas une obligation. Certaines implémentations
utilisent en fait le Portmapper. Un problème de sécurité
important posé par NFS est celui lié au numéro de
handle:
· Il est prédictible, car reposant sur la date
création du système de fichier.
· Il est valable même lorsque le système de
fichiers est démonté.
· Il est utilisable par quiconque l'ayant obtenu (par
écoute réseau ou par calcul).
NFS est également vulnérable à la
dissimulation d'adresse (spoofing), car le serveur se fie à l'adresse IP
pour authentifier la machine cliente. Par ailleurs, les mécanismes
setuid et nobody positionnés par l'administrateur du serveur demeurent
des failles de sécurité, s'ils sont mal configurés.
o ICMP
De nombreux services ICMP peuvent renseigner un intrus, comme
par exemple « destination unreachable », qui comporte des
informations indiquant la cause du problème ou encore « echo
request » et « echo reply », qui indiquent si un noeud est
actif.
Les seuls paquets ICMP, qu'il est envisageable de laisser
passer vers un autre domaine de confiance, sont les suivants :
· type 4 « source quench », qui permet de
contrôler le flux entre un client et un serveur ;
· type 11 « time to live exceeded », qui
évite le bouclage des paquets IP ;
· type 12 « parameter problem », qui indique une
erreur dans un en-tête ;
· type 8 « echo request » et type 0 «
echo reply », utilisés pour vérifier l'activité des
noeuds pour des opérations de supervision et de diagnostic.
Vis-à-vis d'Internet, tous les services ICMP doivent être
interdits : ils ne sont pas nécessaires et peuvent donner trop
d'informations aux intrus.
4.1.2 Les vulnérabilités du potentiel
technique et humain de la DDIS
L'équipe qui a en charge l'exploitation et la
maintenance du réseau informatique de la SONITEL, n'est pas nouvelle
dans le monde des techniques réseaux.
En effet, elle a capitalisé beaucoup
d'expériences pour avoir suivi, l'évolution du réseau
depuis le X25 à travers NIGERPAC.
Elle est composée de l'administrateur réseau
assisté de deux (02) IGTT sortis de l'ESMT de DAKAR faisant office
d'ingénieurs supports.
48
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Nonobstant, l'immensité et la complexité des
missions et attributions qui lui sont confiées, la
DDIS manque les moyens pour la mise en oeuvre de sa politique
sécuritaire.Les faiblesses
dans le domaine sont criardes.
> Sur le plan technique
L'absence de moyens matériels et logistiques
L'absence de documents techniques de référence;
L'absence de veille technologique.
> Sur le plan humain:
La vacance du poste de chef de département gestion des
systèmes d'informations moteur
même par essence de la mise en place d'une
véritable gestion sécurisée du réseau;
Le manque de spécialiste en sécurité
réseau pour accompagner les agents du terrain dans leur
lutte quotidienne contre les intrusions;
Le manque de formation et la non adéquation profil/emploi
dans l'exercice des fonctions et
responsabilités.
4.1.3. Les vulnérabilités physique des
installations
Les équipements informatiques de la SONITEL sont
exposés aux attaques physiques et toutes les conséquences qui
s'en suivent car l'accès à la salle est très
perméable.
Hormis la présence d'un service de vigile à
l'entrée du portail principal aucun autre dispositif de
sécurité n'est placé.
A cette faille viennent s'ajouter le manque de
régulateur de température pourtant nécessaire au bon
fonctionnement des composants électroniques, le manque d'un
système de détection d'incendie ,le manque de faux planchers pour
la protection contre les infiltrations d'eau dans la salle en cas d'inondation
ou autres besoins d'évacuation d'
eau.et l'absence de chemin de
câbles pour faire respecter un design dans le
câblage réseau.
Le seul point fort que nous avons remarqué est
l'installation dans des sites différents de
certains équipements pour permettre la continuité
de l'activité même en cas de sinistre
(incendie, séisme, inondation) car il est très
difficile que des telles catastrophes se produisent
en même temps et dans des endroits différents.
4.1.4 Les vulnérabilités de installations
d'énergie
La plateforme IP de la SONITEL est en colocation avec d'autres
équipements de la même
société. A cet effet, les équipements
d'énergie (Groupe électrogène, onduleurs, coffret
49
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
électrique) sont en utilisation partagée
d'où un risque en cas de court-circuit ou d'erreurs de
manipulations. La réservation d'une salle et des
équipements d'énergie à la seule plateforme
IP pourront résoudre le problème.
4.1.5 Les vulnérabilités des
routeurs
Dans les deux sites, les routeurs backbone, ne sont pas secourus
et peuvent
compromettre le fonctionnement du service si un des
dysfonctionnements suivants survient:
y' Défaut de la configuration;
y' Défaut sur un port;
y' Rupture de liens avec les autres équipements;
y' Panne pour insuffisance de la climatisation des locaux;
y' Panne pour manque d'autonomie du système d'alimentation
en énergie électrique
y' Panne pour défectuosité d'un châssis;
y' Panne pour défectuosité de cartes de ligne;
y' Panne pour surcharge des processeurs de calcul.
4.1.6 Les vulnérabilités des logiciels,
antivirus et systèmes d'exploitation
Au cours de notre expertise, nous avons constaté que la
SONITEL, utilise des versions d'évaluation d'antivirus et de logiciels
et n'effectue aucune opération de mise à jour Parmi, les
logiciels d'évaluation rencontrée nous avons:
La version d'évaluation (AWG du réseau HIT,
Symantec du réseau Intranet,...etc.).
Sur le volet manque de mis à jour logiciel, nous avons:
Windows server2000 qui tourne
encore sur plusieurs applications tandis que la version 2008
est disponible et lotus notes qui
tourne dans sa version 6.5 alors que nous en sommes à la
version 8.5.
S'agissant des systèmes d'exploitation (OS), la SONITEL
emploie Windows avec ses bogues
ou vulnérabilités connues de tous et UNIX qui
n'est pas aussi totalement exempte de bogues.
4.1.7 Les vulnérabilités des supports de
transmission
y' Vulnérabilités de la VSAT
De part sa conception la VSAT, n'est pas adaptée aux
transmissions des données.
Son temps de latence comparée aux autres supports de
transmissions est très élevé.
Comme l'atteste les résultats de nos commandes
traceroute, effectuées en comparaison des temps de traversée de
la VSAT et la FO joints en annexe II du présent document.
50
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Pour le cas typique de la SONITEL, la bande passante
allouée à la VSAT (69Mbits/s est très insuffisante pour
supporter tout le trafic (2x155Mbits/s IP SONITEL en cas de backup.
Le forfait mensuel versé à Intelsat pour
l'utilisation de la bande satellite est très élevé.
La recherche d'un second débouché avec une bande
conséquente pour atterrir au câble sous-marin pourrait être
une bonne alternative.
V' Les vulnérabilités de la Fibre
Optique
Le NIGER n'a pas de débouché sur la mer, le port
le plus proche est celui de Cotonou au Benin, Pour atterrir au câble
sous-marin, le Niger a déployé un câble à fibre
optique en STM16, et s'interconnecter via le Benin au SAT3 en 2x 155Mbits/s.
de la recherche d'un second point
Les deux liens sont sur le même parcours d'un câble
optique posé en rase campagne donc vulnérables aux actes de
vandalisme, aux coupures parfois de longues durées et surtout en mer
où l'intervention demande des moyens gigantesques. Cette situation
rappelle et renforce la nécessité
d'atterrissement au câble sous-marin évoquée
précédemment.
|
Les vulnérabilités des liens
FO/VSAT
|
|
La SONITEL, dispose d'une VSAT pour secourir les liens FO,
malheureusement le
backup n'est pas automatique. Il faut constater la coupure de
la fibre pour basculer
manuellement et cela en suivant une procédure
très complexe et fastidieuse qui prolonge le
temps de reprise du trafic surtout les nuits, les heures creuses
et jours fériés.
Pour remédier à ce problème qui a tant
occasionné des pertes de trafic à la SONITEL et le
mécontentement de la clientèle, il serait
souhaitable de mettre en place une solution de partage
en charge du trafic
V' Les vulnérabilités du Faisceau-Hertzien
Numérique(FHN)
Les liens Internet de la grande partie des régions du
pays aboutissent au noeud de Niamey en empruntant le media FHN.
Elle est l'épine dorsale du pays en matière de
télécommunications avec une longueur de 960 km à vol
d'oiseau et treize(13) bonds hertziens ou stations relais de
régénération du signal. De technologie SDH, la
configuration logique des canaux est en active/standby.
Comme tout Faisceau-Hertzien, les contraintes liées
à son exploitation se résument:
· Aux coûts élevés des licences
à verser à l'Autorité de Régulation
Multisectorielle pour l'utilisation des fréquences
radioélectriques;
51
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
· A la sensibilité des liaisons aux
hydrométéores (orages, fortes pluies);
· A la délicate gestion des Onze(11) stations
relais.
· Au dépointage fréquent des antennes;
· Au Problème récurrent d'alimentation en
énergie;
· Au problème de pièces de rechanges qui
rendent la maintenance très difficile;
· Au débit fournit qui est toujours en fonction
de la distance.
Une solution de rechange à ces problèmes va
constituer à migrer vers la fibre optique plus
sécurisée dont l'étude n'est pas encore
notre objectif.
4.2 Les vulnérabilités des services
offerts
V' Vulnérabilités des ISP
La SONITEL fournit de la bande passante Internet à ses
clients ISP, pour un souci d'efficacité et déficience, il lui
revient de mettre en place un système capable de contrôler
l'utilisation qui en est faite de cette bande passante.
V' Vulnérabilités du réseau HIT
Depuis la conception, le réseau HIT de la SONITEL a
hérité d'une mauvaise architecture qui rend aujourd'hui sa
gestion très difficile.
Préalablement conçu pour fonctionner en boucle
avec un anneau cicatrisé et auto-cicatrisant, nous avons constaté
que le raccordement des clients était fait à la chaîne de
telle enseigne que si cette dernière se rompt à un endroit
quelconque pour un motif de coupure d'électricité par exemple
tous les clients situés en amont et en aval de la boucle sont
touchés. En plus l'offre est inadaptée aux besoins d'un
client:(ports8 E1/par client HIT).
Pour revaloriser ce matériel chèrement acquis il
serait souhaitable pour la SONITEL d'envisager la refonte de sa boucle
numérique urbaine à travers une autre étude.
Pour notre part, nous préconisons, une protection du
réseau HIT contre les menaces Internet et fidéliser les
clients.
V' Vulnérabilité du réseau ADSL
52
L'ADSL offre un service de connexion Internet haut
débit best effort aux clients se trouvant dans sa zone
d'éligibilité. Avec plus de 5000 clients, le réseau ADSL
de la SONITEL a besoin d'une parade contre les menaces Internet.
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
V' Vulnérabilités du réseau CDMA :
Le réseau CDMA est le seul qui dispose d'un PIX515E qui
assure sa sécurité vis-à-vis des menaces Internet.
Cependant avec l'avancée technologique dans le domaine, l'installation
d'une appliance de dernière génération serait la
bienvenue.
V' Vulnérabilités du réseau l'Intranet
C'est le réseau interne à l'entreprise, propice
au travail coopératif, il est sans protection et nécessite
l'installation d'un système permettant de filtrer les accès
(interdire les téléchargements des fichiers lourds, la visite de
sites probités, l'accès à l'Internet à une
certaines heures du travail ...etc.).
V' Vulnérabilités du réseau GPTO:
Pour pouvoir faire une requête au serveur GPTO, les
agents commerciaux de la SONITEL doivent disposer d'une connexion Internet par
ADSL ou CDMA.
Or ces deux réseaux sont dépourvus de protection
Internet, autrement dit les détails techniques de l'abonnement client)
et financières (facturation client) transitent par l'Internet sans
aucune sécurité et sont donc susceptibles d'être
piratés. Pour éviter que survienne un grand préjudice
à la SONITEL, la création d'un tunnel VPN sécurisé
serait une meilleure piste de solution.
Bilan de la sécurisation
L'étude des vulnérabilités vient de
prouver que le réseau de la SONITEL est dépourvu de
systèmes ou dispositifs de protection matériel ou logiciel
efficaces. Le réseau est fortement exposé aux menaces, pour y
pallier et tendre vers le single point of failure les actions suivantes doivent
être entreprises en urgence:
1. La sécurisation physique des locaux et des
installations;
2. La sécurisation de l'alimentation en énergie
des équipements; 3 La Sécurisation des services
: GPTO, Intranet, ADSL, CDMA, ISP ;
4. La Sécurisation des équipements critiques La
redondance (routeurs backbone);
5. La Sécurisation des liens de transmission par leur
duplication;
6. La sécurisation du trafic par le partage en charge
du trafic sur les liens.
4.3
Conception de la solution de sécurisation
réseau
La conception de chacune des solutions citées ci-haut
requiert une méthode et des moyens appropriés. Ainsi:
53
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
La conception d'une sécurisation physique des locaux et
des installations va consister à utiliser des moyens
électroniques tels que caméra IP, cartes à puce. .etc., la
sécurisation de l'alimentation en énergie des équipements
passe par l'installation d'UPS dédiés, la sécurisation du
service GPTO par la création d'un tunnel VPN sécurisé, la
sécurisation des équipements critiques par la redondance des deux
routeurs backbone); la sécurisation des liens de transmission par leur
duplication, la sécurisation du trafic par le partage en charge ou load
balancing et enfin la sécurisation des services ADSL, CDMA, INTRANET,
DNS, FTP par l'installation d'un système de protection réseau.
4.4 Mise en oeuvre d'une solution de
sécurisation
4.4.1 Mise en oeuvre d'une solution de
sécurisation des locaux et des équipements
La mise en oeuvre de la solution de sécurisation
physique des locaux et des équipements doit se faire par
V' La réglementation de l'accès au local des
équipements réseau ainsi que des
baies par un système
de contrôle d'accès électroniques (cartes à puce,
camera de surveillance ou autres moyens électroniques) ;
V' L'installation d'un régulateur de température
pour maintenir une température
ambiante et préserver le
matériel et les composants électroniques;
V' L'installation d'un onduleur avec une autonomie suffisante
à même de prendre en charge uniquement les équipements de
la plateforme ;
V' L'installation d'un système de détection
d'incendie dédié à la salle;
V' La confection d'un faux-planchers pour éviter les
dégâts d'eau (inondation,
rupture de canalisation,. .etc.) et servir de chemin de
câbles pour un bon design.
4.4.2. Mise en oeuvre de la solution de
sécurisation des routeurs backbone
Proposition d'architecture
Les routeurs backbone sont des équipements critiques,
dont la défaillance entraine automatiquement l'arrêt du service il
faut donc les sécuriser impérativement en assurant leurs
redondances par ajout d'un second routeur et ce sur chacun de nos deux liens
sortants.
Les deux routeurs s'intègrent facilement dans
l'architecture actuelle du réseau en leurs attribuant des adresses IP
dans le même sous-réseau que leurs prédécesseurs.
54
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
La SONITEL vient tout juste d'acquérir quatre(04)
routeurs backbone MP7500 dans le cadre d'un projet de migration de son
réseau vers L'IP/MPLS, les tests de configuration sont en cours entre la
SONITEL et le fournisseur.
Le MP500 est un routeur d'agrégation de base WAN
conçu et développé sur les lignes de
télécommunications avancées Architecture informatique
(ATCA). Il peut également servir de super grande échelle
plate-forme d'accès Internet et de fournir deux emplacements de
contrôle, huit emplacements MIM, et 32-ports 155M interface ou 256-port
E1 interface. MP7500 intègre quatre processeurs fondés sur la
technologie des double-processeurs de base.
Une fois ces routeurs disponibles, nous proposons à la
SONITEL l'architecture suivante :
55
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
4.4.3. Mise en oeuvre de la solution de basculement
automatique des liens backbone
Avant, la mise en oeuvre de cette solution de cette solution,
le basculement de la fibre optique à la VSAT était manuel et se
faisait selon les consignes suivantes rédigées par
l'administrateur à l'intention des techniciens d'intervention :
1) APRES CONSTAT DE LA COUPURE ACCEDER SUR LE ROUTEUR
BACKBONE N01
telnet X.X.X.X
2) VERIFICATION DE L'ETAT DES INTERFACES (POS 6/0 HSSI2/0)
PAR LA COMMANDE
sit ip int brief
3) METTRE L'INTERFACE HSSI2/0 up ET
SON
PROTOCCOL up ET FAIRE LE BASCULEMENT MANUEL AINSI QUI
SUIT :
ip route 0.0.0.0 0.0.0.0 POS6/0
150
ip route 0.0.0.0 0.0.0.0 Hssi2/0
100
4) SI L'INTERFACE HSSI2/0 EST up ET SON
PROTOCCOL down DESCENDRE AU TNE ET VERIFIER L'ETAT PHYSIQUE
DES EQUIPEMENTS EN COLLABORATION AVEC L'EQUIPE DE TRANSMISION ET SI NECESSAIRE
CONTACTER SERVICE CLIENTEL FRANCE TELECOM
TEL : 00 33 158 966 190
LD : 005267 AB3
LD : 007734 FO
PROCEDURE DE BASCULEMENT DU TRAFIC INTERNET
SUR LA VSAT EN CAS DE COUPURE FO 155Mbits
56
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Avec la solution de loadbalancing nous avons partagé le
trafic sur les deux liens sortants et à assurer le basculement
automatique d'un certain nombre de trafic client en cas de rupture d'un des
deux liens backbone: SAT3/VSAT.
Cette solution a eu pour effet une valorisation, de l'image de
marque de la SONITEL à l'égard de ses partenaires et clients.
La solution proposée a résolu directement les
problèmes suivants: consommation inutile d'énergie
électrique, perte du trafic, mécontentement des clients Internet,
usure des équipements VSAT, redevance Intelsat non rentabilisée,
indisposition de l'administrateur et des techniciens à chaque
opération de basculement.
Les résultats de nos tests sont enregistrés en
annexe III.
4.4.4. Mise en oeuvre d'une solution de
sécurisation du lien de transmission
Il s'agit de saisir l'opportunité du projet de la pose
d'un câble optique reliant le Niger au Burkina pour en faire un second
lien d'atterrissement au câble sous-marin. L'architecture de la nouvelle
liaison de transmission sera la suivante :
57
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
A cet effet, nous proposons l'architecture suivante pour
implémenter les équipements informatique de la SONITEL.
L'architecture de la nouvelle liaison de transmission
présente l'avantage de sécuriser la sortie internet de la sortie
sur trois accès distants notamment la SAT 3 en service actuellement via
le BENIN, la VSAT également en service mais en capacité
insuffisante est une nouvelle liaison vers un câble sous-marin via le
BURKINA objet de notre réflexion.
58
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
|
Rive Droite
|
|
|
|
|
|
|
|
|
KoiraKano
|
|
|
|
|
|
Central B
SAT3
|
|
|
|
|
Vers Domsat
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
FO 155 Mbits
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BURKINA
|
ET
|
|
|
|
|
|
|
|
|
|
FO 2X1
|
|
|
|
|
BSC NY
|
|
|
|
BENIN
|
BRAS
|
|
|
|
|
|
|
|
|
FO 155 Mbits
|
|
|
|
BSC DO
|
|
|
|
|
|
|
Central
|
D
|
|
|
|
|
|
|
|
|
|
|
|
BSC KI
|
|
|
|
|
OMS
|
|
|
|
|
|
|
|
|
serveur1
|
|
|
|
|
|
P
D
|
BSC MI
|
|
|
|
serveur2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
S
N
|
BSC ZR
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PK5
|
|
|
|
BSC DA
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BSC AZ
|
|
|
|
serveur n
|
|
Talladjé
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Central C
|
|
|
Banifandou
|
|
|
|
|
|
|
|
|
|
Vers Dosso
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BSC TI
|
|
|
|
|
|
|
|
|
|
|
|
Vers Tillabéri
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Figure15: BACKBONE IP SECURISATION
|
|
|
LIENS
|
|
|
|
|
|
|
4.4.5. Mise en oeuvre d'une solution de
sécurisation du GPTO
-La création d'un tunnel VPN sécurisés
mettra notre système de gestion et de facturation à l'abri des
pirates informatiques.
Architecture proposée
La mise en oeuvre de la solution nécessite l'acquisition
de routeurs par la SONITEL.
Pour les besoins de notre étude, nous avons simulé
un VPN site à site entre deux agences de la SONITEL avec le GNS3
59
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Les tests de la configuration sur console sont capturés en
annexe V. 4.4.6 Mise en oeuvre d'une solution SSH
Pour activer le protocole SSH sur un routeur, nous devrons
définir les paramètres suivants :
· Nom d'hôte ;
· Nom de domaine ;
· Clés asymétriques
· Authentification locale.
Les paramètres de configuration facultatifs comprenant
:
· les délais d'attente ;
· le nombre de tentatives.
Configuration de SSH
60
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
4.4.7 Mise en oeuvre d'une solution par des outils de
protection et de contrôle
Même si les accès clients se font après
une autorisation (nom utilisateur+mot de passe+cryptage des données) et
que les données sur le compte de l'utilisateur n'ont pas un
caractère stratégique, l'accès au compte de l'utilisateur
peut constituer une porte ouverte vers le système tout entier. En effet,
dès qu'un pirate obtient un accès à un compte d'une
machine, il lui est possible d'élargir son champ d'action en obtenant la
liste des utilisateurs autorisés à se connecter à la
machine.
A l'aide d'outils de génération de mots de
passe, le pirate peut essayer un grand nombre de mots de passe
générés aléatoirement ou à l'aide d'un
dictionnaire.
Ceci témoigne si besoin est que les clients de la
SONITEL ne sont pas à l'abri des menaces provenant de l'extérieur
du réseau notamment de l'internet.
Or les clients constituent l'existence même de la
SONITEL, toute politique tendant à les exclure sera vouée
à l'échec.
C'est pourquoi notre démarche sécuritaire va
s'appuyer sur une proposition de sécurisation des clients contre les
menaces internet.
61
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
En mettant à profit, les opportunités qu'offre
l'état de l'art de la sécurité actuelle, nous tenterons
d'apporter des pistes solutions pour sécuriser le réseau.
Pour ce faire, nous allons examiner au cas par cas les
conditions d'utilisation de chaque outil envisageable et retenir la meilleure
ou faire un compromis.
V' L'installation d'antivirus
efficace
Le premier rempart d'une solution de sécurisation
réseau est l'installation d'un antivirus. Cependant l'antivirus
utilisés à la SONITEL a perdu toute son efficacité du fait
de l'obsolescence des signatures des virus dû au manque de mise à
jour).
Le parc informatique est alors vérolé parce que le
champ d'action de l'antivirus concernant les risques de piratage est
limité à la recherche et à l'éradication de
programmes dangereux. La recherche d'antivirus efficace est à inscrire
dans le budget et l'utilisation de l'outil firewall complètera la
tâche de protection.
V' L'installation de firewall
De nos jours, l'efficacité d'un firewall n'est plus
à démontrer et son utilisation semble être une solution de
sécurisation pour le réseau de la SONITEL.
De nombreux projets open source ont été mis en
place, afin de mettre à disposition des solutions de firewall
gratuites.
"Dans le monde libre", La solution la plus répandue est
l'application "iptable", massivement documentée et tournant sous linux.
Elle permet via une syntaxe simple de mettre en place des règles de
sécurité sur une machine. Pour notre test, nous avons eu à
utiliser IP table et mettre des règles de sécurité sur une
machine dédiés. Les résultats du test sont
consignés en annexe 4 du présent document.
De plus, une interface graphique complète et
ergonomique est disponible grâce à l'application "fwbuilder que
nous avons également installé mais non testé".
Les firewalls n'ont pas que des avantages, ils ont aussi des
inconvénients.
Limites du firewall dans un réseau
Dans un réseau comme celui de la SONITEL, les firewalls
à seuls sont bien loin de constituer un bastion suffisant pour
éviter tout piratage.
En effet, ces derniers ne gèrent pas les couches hautes
telles que la couche application.
Ainsi, les virus et failles se basant sur la manipulation des
paramètres unicodes (par exemple) ne sont pas détectés par
le firewall.
De plus le firewall ne peut pas gérer les attaques
internes provenant des zones qu'il sécurise,
62
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
En effet, les risques d'infiltration sur un LAN sont importants
(vol de portables nomades, mauvais contrôle des accès physique au
machine...) et doivent être pris en compte. Ainsi, la partie importante
des attaques ne peut être évitée par le firewall.
Les IDS pourront être une solution de contournement
à ces faiblesses.
V' L'installation d'une sonde IDS
Avec le phénomène grandissant des trojans et
spywares, il convient d'identifier et de
surveiller tous les trafics d'un réseau afin de
déceler les flux clandestins et suspects.
Nous pouvons dans ce cas nous appuyer sur une base de
données contenant un ensemble
d'attaques afin de déceler les flux offensifs.
Il nous revient alors de faire une détection
d'intrusion.
L'utilisation d'un d'IDS (Intrusion Détection System)
répond à ce souci.
L'IDS va permettre de détecter les attaques/intrusions de
notre réseau.
Il sera complémentaire au firewall, et à
l'antivirus prévu précédemment.
L'IDS pourrait être une solution applicable au
réseau IP SONITEL comme outil de détection
d'intrusion.
Par nature, les IDS systèmes sont aussi limités et
ne peuvent détecter les attaques provenant
des couches réseaux (tels que les attaques de type DDOS).
Nous devons alors recourir à l'IPS
(Intrusion Prevention System).
V' L'installation d'un IPS
Plus puissant que l'IDS, notre système de
prévention d'intrusion va non seulement détecter mais aussi
prévenir l'administrateur quant-il sent une menace venir.
V' L'installation des scanneurs
de failles
Au même titre qu'un anti virus, l'efficacité d'un
scanneur de failles dépend crucialement de la fréquence de ses
mises à jour. Ainsi, il convient de détenir des signatures
récentes des failles recensées afin d'éviter au mieux les
possibilités d'intrusion.
Notre réseau étant dépourvu de cet outil de
sécurité indispensable, il convient de l'installer et de le
tester.
63
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
A la suite de l'analyse de l'applicabilité de chaque
solution à la SONITEL, nous constatons que toutes les solutions sont
complémentaires.
Par conséquent, nous retenons en récapitulatif:
1. L'installation d'antivirus propriétaire;
2. L'installation d'un scanneur de failles ;
3. L'installation d'un firewall logiciel par IPTABLES pour nos
besoins de test; 5. L'installation d'un firewall matériel pour la
protection contre les menaces Internet;
4. L'installation d'un outil détection intrusion IDS;
5. L'installation d'un outil de prévention d'intrusion
IPS.
Avec le développement technologique qu'ont connus les
outils de protection Internet
Il est fort à croire qu'aujourd'hui des firewalls qui
intègrent toutes ces fonctions existent sur le marché de
l'industrie.
64
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
+ Mise en oeuvre de la solution Firewall >
Le câblage physique des deux firewalls
Nous proposons l'utilisation deux firewalls de marque
différente, un pour les connexions externes, dont Internet, et un autre
pour le contrôle des flux internes.
Cette solution nous procure plus de sécurité.
En effet, si un pirate connaît bien un produit (et donc ses
faiblesses), les chances qu'il en connaisse également un autre sont
moindres. En plus, un bogue présent sur un firewall a peu de chance de
se retrouver également sur un autre.
65
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
> Modèle de câblage logique de deux
firewall en active/standby
66
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Le schéma ci-dessous représente la proposition
d'architecture retenue.
· Principe de fonctionnement des
firewalls
Dans son mécanisme de fonctionnement, un firewall
intercepte un paquet, le décortique puis l'analyse. En fonction des
règles de sécurité (sa configuration) il transmettra (ou
détruira) le paquet afin d'assurer (ou d'éviter) l'utilisation
d'un service.
Pour cela, dans un premier temps, nous allons configurer nos
firewalls de la manière la moins permissive possible, c'est à
dire en refusant tout trafic provenant (et de direction) de l'extérieur
et de l'intérieur en détruisant tous les paquets circulant. Nous
allons alors recenser l'ensemble des services nécessaires (web, ftp,
DNS...etc.) et de configurer le firewall en conséquence. Nous formons
ainsi une zone appelée DMZ (Demilitary Zone).
Nos firewalls peuvent aussi servir de base solide pour un
audit réseau dans la mesure où ils recensent toutes les
connexions de l'intérieur vers l'extérieur (et vice versa).
Les firewalls peuvent donc interdire l'utilisation de
certains services inutiles et pouvant comporter des failles exploitables
à distance. Il peut aussi camoufler les différents sous
réseaux (ADSL, CDMA, HIT) qu'il protège, en interdisant le
protocole ICMP, rendant alors inutiles les outils de piratage de récolte
d'informations (nmap, hpingX, firewalker ...etc.).
67
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
· Règle de police des firewalls:
D'une manière générale, il existe deux
politiques de sécurité selon les sites à protéger
tout ce qui n'est pas explicitement permis est interdit,
tout ce qui n'est pas explicitement interdit est
autorisé.
La première méthode est la plus
sécurisée, mais elle présente de grosses contraintes pour
nos utilisateurs. Il n'existe pas de règle d'or quant à savoir
quelle méthode appliquée, il faut donc étudier les besoins
au cas par cas.
Pour notre cas, il va s'agir de deux firewalls
configurés en fail-over c'est-à-dire en fonctionnement normal
/secours.
Ils auront pour fonctions de:
Protéger le réseau IP SONITEL contre les attaques
malveillantes venant de l'internet (DDos, sniffing... etc.);
Fournir une DMZ pour les services sollicités par
l'internet et l'intranet (DNS, mail, web, ftp).
Ces différents serveurs ont des adresses IP
privées donc non routables sur l'internet Par conséquent
directement inaccessibles depuis l'extérieur;
Protéger le réseau SONITEL contre les
éventuelles attaques pouvant provenir des clients ISP (SahelCom, GVG,
Orange);
Protéger les clients LSI, qui passeront par le firewall en
service qui les aiguilleront directement à la sortie internet en leur
empêchant un retour vers le réseau SONITEL. Protéger les
clients ADSL: comme ces derniers, ne font que de la navigation internet, pour
cela nous allons configurer le pare-feu pour tout accepter en sortie, mais
limiter l'entrée au strict minimum nécessaire (par exemple
autoriser les téléchargements); Protéger le réseau
contre les attaques virales pouvant venir des clients intranet
Ici, notre firewall jouera le rôle d'un firewall
applicatif pour empêcher les téléchargements des films, des
gros fichiers et la visite de certains sites prohibés.
Protéger le réseau contre les attaques virales
pouvant venir des clients HIT.
La SONITEL n'ayant pas les deux firewalls, il nous a
été demandé de rédiger un cahier de charge pour
leur acquisition.
Pour se familiariser avec l'outil nous tenterons de les simuler
avec le GNS3.
68
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
69
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
La diapositive, nous montre qu'ici no failover, donc nous ne
pouvons pas configurer les firewalls sans mot de passe qui exige une licence
que nous ne disposons pas.
Néanmoins, nous avons saisi la solution open IPTABLE pour
mettre en place un firewall sur une machine dédiée. Les commandes
exécutées pour y parvenir sont en annexe IV du document.
+ L'installation d'un IDS
Le déploiement des IDS dans notre réseau se fera
selon notre politique de sécurité de la façon suivante
:
· Dans la zone démilitarisée (attaques contre
les systèmes publics) ;
· Dans les réseaux privés (intrusions vers ou
depuis le réseau interne) ;
· Sur la patte extérieure du firewall
(détection de signes d'attaques parmi tout le trafic entrant et sortant,
avant que n'importe quelle protection intervienne).
Pour l'option open source nous avons installé snort, mais
confronté à des problèmes (licence à
acquérir), les tests nécessaires n'ont pas pu
effectués.
70
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
+ L'installation de l'IPS
Pour pallier à l'insuffisance des IDS, un IPS
réseau sera prévu .IL s'agit d'un système de
Prévention/Protection contre les intrusions et non plus seulement de
reconnaissance et de signalisation des intrusions comme l'IDS. La principale
différence entre notre IDS (réseau) et un l'IPS (réseau)
tient principalement en deux (0 2) caractéristiques :
· L'IPS sera positionné en coupure sur le
réseau et non plus seulement comme un sniffer en écoute sur le
réseau ;
· L'IPS a la possibilité de bloquer
immédiatement les intrusions et ce quel que soit le type de protocole de
transport utilisé et sans reconfiguration d'un équipement tierce,
ce qui induit que l'IPS est constitué en natif d'une technique de
filtrage de paquets et de moyens de blocages (drop connection, drop offending
packets, block intruder, ...etc).
N'ayant pas d IPS sur place, la mise en oeuvre de la solution
se fera après acquisition
(objet d'un cahier de charge) du matériel par la
SONITEL.
+ L'installation d'un scanneur de failles
Pour l'installation d'un scanneur de
vulnérabilités nous avons utilisé la solution open source
de nmap pour scanner les ports de nos quatre(4) blocs d'adresses, les
résultats de nos tests sont en annexe VI et découvrent que sur
les 65535 ports scannés, seul le port 23/TCP est ouvert ce qui est
normal car nous sommes connectés à ce port.
L'efficacité de toutes ces solutions est obtenue en
instituant une politique de sauvegarde, une charte des utilisateurs une
implication des dirigeants de l'entreprise et au plus haut degré de
l'administrateur réseau.
+ L'installation d'un antivirus
Le choix d'un antivirus est personnel, l'antivirus le plus
populaire n'est forcément le plus efficace .Selon une classification des
meilleures antivirus 2011, sont considérés comme les meilleures
et peuvent offrir une protection importante les antivirus ci-dessous :
1. Trend Micro Housecall : Permet d'analyser l'ensemble du
système ou seulement le ou les lecteurs et dossiers
sélectionnés. L'outil permet le nettoyage ou la suppression des
fichiers infectés.
2. Kaspersky Online Scanner
Plus rapide et plus efficace que Trend Micro. Kaspersky Online
Scanner peut être configuré pour analyser des fichiers, des
dossiers et des lecteurs individuels.
Kaspersky Online Scanner met à jour beaucoup plus
fréquemment que la plupart des
3.
71
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
autres fournisseurs et leur analyse heuristique (détection
des virus inconnus) sont parmi les meilleurs.Kaspersky Online Scanner ne permet
que la détection
4. Kaspersky File Scanner
Kaspersky File Scanner, comme son nom indique, permet seulement
le contrôle des fichiers de moins de 1Mb en taille. Vous pouvez
compresser plusieurs fichiers dans un seul, pour que vous puissiez les scanner,
à condition que le nouveau fichier soit de 1Mb en taille. Kaspersky
Online File Scanner est idéal pour la vérification des
pièces jointes de messagerie instantanée et e-mail. Comme la
précédente, l'outil permet la détection uniquement.
5. Virustotal
En utilisant Virustotal nous avons la possibilité de
soumettre un fichier uniquement par fois. La taille du fichier ne doit pas
dépasser 5MB.viustotal permet aussi la détection seulement.
4.4.8. Mise en oeuvre d'une solution de sauvegarde et de
restauration du système
La sauvegarde du système est l'élément le
plus important dans la mise en place d'une politique de sécurité.
Elle permet de reconstruire l'installation en cas d'intrusion.
Elle doit être effectuée sur des supports
variés (cartouche, cédérom, disque dur, disque
amovible...etc.).
Sous Unix, la commande tar, est
utilisée pour sauvegarde des fichiers sur bandes ou cassettes.
Sous Windows, plusieurs outils existent sur le marché
(Arcserve, Seagate, Computer Associate, etc.) permettant une sauvegarde
automatique sur des supports multiples.
Il est très important de vérifier que le produit
choisi soit capable non simplement d'effectuer la sauvegarde du système
mais également de le reconstruire intégralement.
-Un plan de Secours Informatique (PSI) ("Disaster Recovery
Plan") doit-être mis en place et permettra de reprendre une
activité avec un niveau de service satisfaisant après un
incident. C'est un processus qui sera essentiellement axé sur la
restauration de l'infrastructure informatique et des ensembles de
données.
Ensuite suivra un processus anticipatif d'analyse des
fonctions critiques de l'entreprise, d'identification des risques majeurs et d
évaluation de l'impact d'un incident éventuel appelé
72
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
Plan de Continuité des Activités (PCA)
("Business Continuity Plan"), Elle sera une sorte de plan de crise qui va
gérer l'organisation et la communication pendant la crise,.
Après les mesures de sauvegarde et de restauration, les
utilisateurs sont le maillon le plus faible de toute politique de
sécurité, c'est pourquoi nous énonçons la
présente charte en leur direction.
4.4.9. Charte des utilisateurs
Une société sans règle est aussi une
société sans droit a-t-on coutume de dire.
La présente charte, édicte les règles de
bons usages, et s'adresse aux utilisateurs du réseau SONITEL. Elle a
pour but de leur permettre de pouvoir travailler dans les meilleures conditions
possibles de sécurité.
ARTICLE 1 : La sécurité
est une affaire de tous.
ARTICLE2 : Chaque utilisateur est responsable
de l'emploi des ressources informatiques et du réseau, et a pour devoir
de contribuer à la sécurité générale.
Il doit à ce titre (liste non exhaustive) :
Appliquer les recommandations de sécurité de la
SONITEL et signer la présente charte devenue désormais
obligatoire;
choisir des mots de passe sûrs, gardés secrets,
et ne les communiquer en aucun cas à des tiers.
S'engager à ne pas mettre à la disposition
d'utilisateurs non autorisés un accès aux systèmes ou aux
réseaux à travers des matériels dont il a usage
Assurer la protection de ses informations pour lesquelles il
est responsable des droits qu'il donne aux autres utilisateurs ;
Signaler toute tentative de violation de son compte et, de
façon générale toute anomalie qu'il peut constater ;
Suivre les règles en vigueur pour l'installation des
logiciels en particulier, il est interdit d'installer un logiciel pouvant
mettre en péril la sécurité ou pour lequel aucun droit de
licence n'a été concédé ;
Scanner les périphériques (USB, disque amovible
...etc.) avant utilisation.
73
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
4.4.10. Recommandations à l'endroit de la
Direction Générale de la SONITEL
Pour faire face aux profondes mutations que connait le secteur,
et booster la productivité de
l'entreprise,
Nous recommandons à la Direction Générale de
la SONITEL:
D'accorder une place de choix au système d'information de
l'entreprise;
De recruter un (01) administrateur système;
De recruter un (01) spécialiste en sécurité
réseau;
De renforcer la capacité des agents;
D'encourager et la récompenser des agents les plus
méritants.
4.5 Estimation financière du coût de
déploiement de notre solution
En réalité, la sécurité n'a pas de
prix, quand elle croule c'est toute l'entreprise qui croule, néanmoins
pour donner une idée du coût aux dirigeants de l'entreprise dans
leur prise de décision finale nous esquissons la présente
estimation financière :
74
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
|
Quantité Produit
|
PU
HTVA PT HTVA
(FCFA) (FCFA)
|
|
4
|
Etat des lieux et évaluation
|
2 .000 .000
|
8 .000 .000
|
|
1
|
Evaluation et rédaction d'un recueil des
besoins
|
2 .000.000
|
2 .000. 000
|
|
4
|
Définition et rédaction d'une topologie
adéquate et une plateforme cible
|
2 .000 .000
|
8. 000. 000
|
|
1
|
Rédaction d'un cahier des charges
|
4 .000. 000
|
4. 000. 000
|
|
Fourniture Installation & mise en service
de
|
5.000.000
|
10.000.000
|
|
2
|
firewalls
|
|
|
|
3
|
Formation du Personnel
|
500.000
|
1.500.000
|
|
Divers (1%)
|
335.000
|
335.000
|
|
MONTANT TOTAL FCFA HTVA
|
|
33 .835.000
|
|
TVA (19 %)
|
|
6.428.650
|
|
MONTANT TOTAL FCFA TTC
|
|
40.263.650
|
4.6. Rédaction d'un cahier de charge
Pour répondre à une sollicitation de la
Direction Générale de la SONITEL, nous allons soumettre le
présent cahier de charge. Il est relatif à l'acquisition d'un
matériel firewall étant donné que nous estimons qu'avec le
développement actuel de la technologie le firewall de dernière
génération intègre les fonctions d'antivirus, de scanneur,
d'IDS et d'IPS prévues à l'étude. S'agissant des routeurs
la SONITEL a déjà passé la commande et les recettes sur
site sont en cours.
I Cadre du cahier de charge.
I.1Introduction
La Société Nigérienne des
Télécommunications (SONITEL) est une Société
Anonyme de droit privé dont le capital est de 22 714 700 000 FCFA.
La SONITEL est l'operateur historique des
télécommunications du Niger. Elle est titulaire d'une licence
d'établissement et d'exploitation d'un réseau fixe et de services
de télécommunications ouverts au public et d'une licence
d'établissement et d'exploitation d'un réseau de
télécommunications cellulaire ouvert au public, de norme GSM.
Sa mission principale est d'assurer la fourniture des services
et produits des télécommunications nationales et internationales
sur toute l'étendue du territoire nigérien.
75
Thème : Etude et mise en
oeuvre d'une solution de sécurisation du réseau IP de la
SONITEL
Mémoire de fin de formation en mastère
spécialisé 2010 - 2011
DJIBO BOUBACAR
I.2 Objectif du projet
Dans le cadre d'un projet de sécurisation de son
réseau IP, la SONITEL a commandité une étude. Les
résultats de l'étude ont relevé l'état
d'insécurité très grave dans lequel le réseau est
confronté.
Le présent cahier de charge tient lieu d'appel à
candidature pour la sélection d'une société
spécialisée dans le domaine pour accompagner la SONITEL.
II. Constitution de l'offre:
Les prestations attendues du soumissionnaire consistent en la
fourniture, l'installation et la mise en service d'un système de
protection : firewall matériel.
III. Spécifications techniques du firewall
matériel
| 
