Conclusion partielle

Dans ce chapitre, nous avons présenté l'entreprise (APROBES), nous avons analysé l'existant et nous l'avons critiqué, après notre diagnostic nous avons opté pour la mise en place d'un système de sécurité permettant de minimiser le risque dans le système, enfin nous avons présenté notre planning prévisionnel de la réalisation du projet où nous avons déterminé les différentes tâches et leurs relations d'antériorités,

Le quatrième chapitre fera l'objet de déploiement de la solution maintenue.

41

Chapitre IV : DEPLOIEMENT DE LA SOLUTION

Les systèmes de contrôle d'accès contrôlent l'identité réelle des utilisateurs qui ont accès à vos systèmes, vérifient que les tâches qu'ils réalisent sont autorisées, les empêchent d'infecter vos systèmes avec des virus et autres programmes malveillants, et de voler des informations confidentielles ou d'y accéder. Les outils d'accès regroupent des systèmes pour l'authentification, la gestion des identités, les autorisations, les noms d'utilisateurs et les mots de passe.³²

Au niveau de cette dernière partie, nous nous intéressons à la réalisation de la solution retenue, les outils utilisés pour la réalisation de ce projet ainsi que quelques interfaces.

4.1. Les outils et logiciels utilisés pour la réalisation du projet

Dans l'élaboration de notre projet nous avons utilisé les matériels et logiciels ci-après :

- L'hyperviseur VirtualBox ;

- Le pare-feu et Freeeadius3 server (serveur radius) configurer via Pfsense ;

- Un ordinateur portable de 6Go Ram, 320Go capacité disque dur et 1.6Ghz la puissance du processeur ;

- Et un Pocket Wifi comme point d'accès.

4.2. L'hyperviseur VirtualBox

VirtualBox est le logiciel de virtualisation gratuit, open source et multiplateforme d'Oracle. Celui-ci permet d'héberger une ou plusieurs machines virtuelles, avec des systèmes d'exploitation différents³³.

Cet hyperviseur nous a permis à faire différents types de virtualisation

- Virtualisation des systèmes d'exploitation Ubuntu (utilisateur) ; - Virtualisation de pare-feu Pfsense avec FreeRadius3.

Un pare-feu empêche un accès non autorisé au réseau³⁴.

Aujourd'hui, les noms d'utilisateurs et les mots de passe sont les clés qui ouvrent les portes du royaume informatique. Vous avez besoin de ces deux éléments pour accéder à la machine que vous souhaitez utiliser, deux autres pour aller sur le réseau de l'entreprise.³⁵

4.3. Freeradius3

Freeradius est le logiciel par excellence pour mettre en place un serveur RADIUS et authentifier les clients avec un nom d'utilisateur, un mot de passe et un certificat numérique, afin de configurer des réseaux WiFi avec WPA2 ou WPA3-

32 J. WILEY et SONS, Sécurité informatique pour les nuls, Chichester, Ed. PME-PMI, p.33.

33 Https:// www.virtualbox.org, consulté le 20/08/2022 à 19h51

34 Idem.

35 J. WILEY et SONS, Op. Cit, p. 34.

42

Enterprise, en utilisant différents protocoles tels que PEAP, TLS, TTLS et MSCHAPv2 parmi autres.

4.4. Mise en place d'un serveur radius pour le Wifi

Lorsque nous parlons de réseaux WiFi, nous utilisons généralement WPA2 ou WPA3-Personal, où nous utilisons le même mot de passe pour chaque appareil. Cette clé est pré-partagée, c'est-à-dire que tous les clients WiFi qui souhaitent se connecter doivent la connaître. Ces types de réseaux sont généralement attaqués par la force brute ou par dictionnaire, bien que logiquement les réseaux WPA3 soient plus sécurisés et résistent mieux aux différentes attaques. Si nous montons un serveur RADIUS, nous pouvons configurer notre routeur WiFi ou point d'accès WiFi pour utiliser l'authentification WPA2 / WPA3-Enterprise, où nous n'aurons pas de clé pré-partagée pour tous les utilisateurs, mais chaque utilisateur aura son propre nom d'utilisateur et mot de passe pour accéder au réseau WiFi.

Nous allons configurer un serveur RADIUS à partir de FreeRadius3 dans pfSense pour authentifier les clients sans fil.

4.5. Présentation de Pfsense

Pfsense sécurise les systèmes d'information en contrôlant l'ensemble des échanges effectués sur le réseau, réalisée à partir d'une distribution BSD (FreeBSD) lui garantissant ainsi un niveau élevé de sécurité informatique et de fiabilité, la distribution Pfsense permet le déploiement d'un pare-feu, d'un routeur, ainsi que d'un portail captif complet et adaptés aux professionnels.³⁶

La fonction principale du pare-feu est de stopper les menaces externes en les empêchant de se propager aux PC de votre réseau d'entreprise, endommageant les données et les appareils, en analysant le trafic Web entrant sur votre réseau d'entreprise et en le bloquant quand et s'il est malveillant.

En règle générale, le service de pare-feu géré comprend :

· Contrôle des applications : bloquer ou limiter les applications ou fonctionnalités spécifiques pour maximiser la productivité des employés ;

· Filtrage du contenu Web : bloquer l'accès aux sites Web malveillants ou répréhensibles en exploitant une base de données de menaces qui classe les sites Web en fonction de leur contenu ;

· Grâce à un pare-feu, vous pouvez également filtrer le trafic sortant vers Internet, en créant de véritables règles de navigation et en bloquant l'accès aux contenus indésirables et / ou dangereux.

36 Https://www.Pfsense.org, consulté le 20/08/2022 à 19h51

43

4.6. Les possibilités de pfSense

Cette solution de sécurité réseau offre nativement de nombreuses possibilités. En voici les principaux composants :

· Pare-feu ;

· Contrôle d'accès par adresses MAC ou authentification RADIUS ;

· Routeur Lan ;

· Routeur Wan ;

· Portail captif ;

· Serveur de proxy ;

· Serveur DNS ;

· Serveur DHCP ;

· Serveur VPN ;

· Serveur DMZ ;

· IP virtuelles ;

· etc.

Dans la réalisation de notre solution nous n'allons utiliser que le serveur Radius et le portail captif dans Pfsense.

v Plan d'adressage

Afin que le serveur radius puisse communiquer avec le pare-feu et le client effectuant la vérification, il est nécessaire de fournir son adresse IP.

Notre plan d'adressage se présente de la manière suivante :

- Adresse du réseau local : 192.168.10.0/24

- Adresse de Freeradius3 (en LAN) :192.168.10.1/24 : il s'agit de l'adresse de

Pfsense comme nous n'avons pu installer Windows server.

- Adresse du pare-feu Pfsense (en LAN) :192.168.10.1/24

- Adresse du pare-feu Pfsense (en WAN) : 192.168.0.102/24

- Plage d'attribution des adresses (en LAN) : 192.168.10.150/24 à 192.168.10.200/24

4.7. Voici quelques interfaces de la configuration

Interface d'installation de Pfsense.

Figure 19 : Installation de Pfsense.

44

Fenêtre de configuration et d'attribution par défaut des adresses IP aux interfaces WAN et LAN par Pfsense.

Figure 20 : Fenêtre de configuration de Pfsense.

Fenêtre de la nouvelle configuration des interfaces réseaux de Pfsense et de la définition de la passerelle par défaut en local

Figure 21 : Nouvelle configuration des interfaces réseaux

Fenêtre d'accès à la page web de configuration graphique de Pfsense sécurisée

Figure 22 : Fenêtre d'accès à l'interface graphique de Pfsense

45

Un résumé concernant la première configuration faite entre autre le nom attribué au pare-feu, l'utilisateur connecté au pare-feu, le système utilisé, bios, la version du pare-feu, etc.

Figure 23 : Fenêtre qui résume la première configuration

Après cette étape nous passons à la modification d'autres paramètres qui sont au départ configurés par défaut, nous commençons par l'activation du protocole HTTPS(SSL/TLS) pour sécuriser le mot de passe que l'administrateur se sert pour se connecter à l'interface web de pfSense clique sur menu System >Advanced.

Figure 24 : Fenêtre d'activation du protocole HTTPS(SSL/TLS)

46

La configuration du routage (gateway) qui nous permet de configurer la passerelle par défaut qui va nous permettre d'accéder à l'internet pour le faire cliquer sur le menu System>Routing

Figure 25 : Configuration du routage Configuration de l'interface wan

Pour configurer l'interface WAN il faut cliquer sur le menu Interfaces > WAN et modifier les paramarètres déjà configurés par défauts entre autres :

Enable : Activer cette interface

Description :WAN

IPv4 configuration Type : Static IPv4

IPv6 configuration Type : None

Dans l'interface Static IPv4 Configuration saisir l'adresse IPv4 et le

masque du pare-feu en WAN dans notre cas 192.168.0.102/24

IPv4 Upstream gateway : 192.168.0.1 l'adresse de notre passerelle.

47

Figure 26 : Configuration de l'interface WAN Configuration de l'interface lan

Pour configurer l'interface WAN il faut cliquer sur le menu Interfaces > LAN et modifier les paramarètres déjà configurés par défauts entre autres :

Enable : activer cette interface

Description :LAN

IPv4 configuration Type : Static IPv4

IPv6 configuration Type : None

Dans l'interface Static IPv4 Configuration saisir l'adresse IPv4 de

pfsense en local

IPv4 Upstream gateway : none comme nous sommes en local.

Figure 27 : Configuration de l'interface LAN

Figure 28 : Fenêtre de configuration des règles du pare-feu l'interface LAN

48

Configuration des regles de pare-feu de l'interface lan

Action : Pass

Interface : LAN

Address Family : IPv4 pour la première règle en IPv4 et IPv6 pour la 2ème

règle

Protocol : TCP/UDP

Source : LANnet

Destination : HTTPS

49

Résultat de la configuration des rgèles de pare-feu

Figure 29 : Résultat après configuration

Test de la connection entre Pfsense et le point d'accès 4GPocketWifi

Figure 30 : commande Ping pour le test

Test de la connection entre l'utilisaeur possédant le système d'exploitation Ubuntu via l'invite de commande et l'internet (google).

Figure 31 : Test entre utilisateur et l'internet

50

Test de navigation internet avec un navigateur

Figure 32 : Test de la connexion avec un navigateur

Après la configuration précédente et différents tests fait nous passons au téléchargement du package freeradius3.

Figure 33 : Installation complète de FreeRadius3

Configuration du serveur radius accéder au menu Services >FreeRADIUS>Interface

Figure 34 : Configuration des interfaces Radius

51

Configuration du type d'authentification ou tunnel de sécurité par défaut c'est EAP/md5 mais dans notre travail nous utilisons EAP/TTLS et EAP/PEAP-MSCHAPv2 pour sécuriser l'échange login/mot de passe que l'utilisateur saisi entre le portail captif et le serveur radius.

Figure 35 : Type de protocole d'authentification Sélection du serveur Radius pour l'authentification des utilisateurs

Figure 36 : Serveur d'authentification

52

Création des utilisateurs menu System>User Manager

Figure 39 : Test d'authentification d'un utilisateur au serveur Radius

Figure 37 : Interface de création des utilisateurs Création d'un groupe de tous les utilisateurs

Figure 38 : Interface de création d'un groupe

Test d'un utilisateur créé pour s'authentifier via le serveur radius, menu Diagnostics> Authentication, saisir le nom de l'utilisateur et son mot de passe puis cliquer sur Test voilà le résultat du test.

53

Après la configuration du serveur Radius nous passons à la configuration du portail captif menu Services> Captive Portal

c

Figure 40 : Figure du portal captif

Connexion d'un utilisateur avec une fausse identité et non autorisé à se connecter

Figure 41 : Interface d'authentification (mot de passe correcte)

Si l'utilisateur a saisi de données correctes lors de l'authentification nous pouvons voir le nombre des utilisateurs connectés via Services > captive Portal

Figure 42 : Interface du portail captif

54

Cette interface montre l'utilisateur connecté et l'heure à laquelle il se connecté au réseau cliquer sur Status > Captive Portal

Figure 43 : Noms utilisateurs connectés et heure

Après l'installation de package Squid qui joue le rôle d'un serveur proxy qui est un serveur intermédiaire entre les postes utilisateurs et l'internet (squid qui donne le rapport de comptabilisations des utilisateurs), nous l'avons configuré pour enregistrer les requêtes effectuées par tous les postes clients, cliquer sur Services > Squid Proxy Server.

Figure 44 : Configuration de squid

55

Toujours dans la même interface nous avons bloqué les sites indésirables dans l'entreprise cliquer sur ACL>Blacklist

Figure 45 : Bloquer les sites

Lorsque l'utilisateur va essayer de se connecter au site non autoriser voilà le résultat

Figure 46 : interface d'un site bloquer

Nous pouvons ici voir le rapport d'accès utilisateur pour le mois d'octobre, cliquer sur Status > Squid Proxy Reports > Open Lightsquid, s'authentifier pour avoir accès à cette interface.

Figure 47 : Rapport d'accès utilisateur

56

En cliquant sur utilisateur nous pouvons voir les sites qu'il a eu à accéder et la consommation en octets des ressources pour l'utilisateur en question.

Figure 48 : Sites accédés par l'utilisateur 4.8. Problèmes rencontrés

Comme dans tout projet, il y a eu des moments difficiles durant plusieurs phases d'avancement.

Nous tenons ici à signaler les majeurs problèmes rencontrés :

Ø La difficulté de choisir un firewall adéquat à notre solution et efficace à cause du manque de documentation ;

Ø La mauvaise connexion lors de téléchargements de paquets manquant dans Pfsense et lors de la configuration du service (freeradius3) ;

Ø Problème d'établissement de la connexion entre les clients et l'internet en passant par le pare-feu Pfsense tout en ayant été authentifiés et autorisés par le serveur radius ;

Ø Manque des matériels pour configurer physiquement les serveurs et les clients.