Chapitre 2 : ABSTRACT

The reinforcement of computer security has become a primary necessity given the appearance of various forms of computer attacks these days. Moreover, it is the networks of companies, institutions and governments that most need this security because they are frequently targets of intrusion attacks. Firewalls are very popular as tools for effectively developing strategies for securing a computer network. A firewall offers the system protection of an internal network, against a number of intrusions from outside, thanks to fast and intelligent filtering techniques.

The objective of this work is the establishment of an open source firewall, pfsense as a solution. This firewall offers a panel of NAT, DHCP, etc., features, to which we have added the "Ntopng" package for the supervision of the bandwidth, the "Snort" package which serves for the detection and the prevention of Intrusions and Free Radius to authenticate users before accessing the Internet. In short, the firewall is a solution of choice, but it still requires human intervention.

TABLE DES MATIERES

Pages

DEDICACES i

REMERCIEMENTS ii

RESUME iii

ABSTRACT iii

TABLE DES MATIERES iv

LISTE DES FIGURES ix

LISTE DES TABLEAUX xi

GLOSSAIRE xii

INTRODUCTION GENERALE 1

Chapitre 1 : 2

PRESENTATION DU CADRE D'ETUDE ET DE STAGE 2

1.1 Introduction 3

1.2 Centre Informatique et de Calcul (CIC) 3

1.2.1 Présentation 3

1.2.2 Missions 4

1.2.3 Activités 4

1.2.4 Organisation administrative 4

1.2.5 Les formations 6

1.2.5.1 Licence professionnelle 6

1.2.5.2 Master professionnel 7

1.3 C.A.F.E Informatique & Télécommunications (Centre d'Assistance de Formation et d'Etude) 7

1.3.1 Présentation 7

1.3.2 Historique 8

1.3.3 Statut 9

1.3.4 Missions 10

1.3.5 Activités 10

1.3.6 Organisation administrative 10

1.3.7 Direction technique 11

1.4 Conclusion 12

Chapitre 2 : 13

PRSENTATION DU PROJET 13

2.1 Introduction 14

2.2 Présentation générale du projet 14

2.3 Etude de l'existant 14

2.3.1 Les ressources matérielles 14

2.3.2 Patrimoine logiciel 17

2.3.3 Architecture du réseau informatique 18

2.4 Critique de l'existant 19

2.5 Problématique 20

2.6 Objectifs 20

2.7 Résultats attendus 21

2.8 Périmètre du projet 21

2.9 Méthodologie du travail 21

2.10 Conclusion 22

Chapitre 3 : 23

GENERALITES SUR LA SECURITE DES RESEAUX INFORMATIQUES 23

3.1 Introduction 24

3.2 Les réseaux informatiques 24

3.2.1 Définition 24

3.2.2 Les réseaux sans fil 24

3.2.3 Les protocoles réseaux 25

3.2.4 Faiblesses réseaux 25

3.3 Les principales attaques 26

3.3.1 Attaques des réseaux 26

3.3.1.1 Man in the middle 26

3.3.1.2 Balayage de port 26

3.3.1.3 Attaque par rebond 26

3.3.1.4 Dénis de service (DoS) 27

3.3.1.5 Usurpation d'adresse IP 27

3.3.2 Attaques des réseaux sans fil 27

3.3.2.1 Le Sniffing 27

3.3.2.2 Le brouillage radio 28

3.3.2.3 L'interception des données 28

3.3.2.4 Le war driving 28

3.3.3 Attaques du système d'exploitation 28

3.3.3.1 L'écran bleu de la mort 28

3.3.4 Attaques applicatives 29

3.3.4.1 Exploit 29

3.3.4.2 Dépassement de tampon 29

3.3.4.3 Un « shellCode » 29

3.4 Mise en place d'une politique de sécurité réseau 29

3.4.1 Définition 29

3.4.2 Objectif d'une politique de sécurité 30

3.4.3 Les différents types de politique de sécurité 30

3.5 Les stratégies de sécurité réseau 31

3.5.1 Méthodologie pour élaborer une politique de sécurité réseau 31

3.5.2 Proposition de stratégies de sécurité réseau 32

3.5.2.1 Stratégie des périmètres de sécurité 32

3.5.2.2 Stratégie des goulets d'étranglement 32

3.5.2.3 Stratégie d'authentification en profondeur 33

3.5.2.4 Stratégie du moindre privilège 33

3.5.2.5 Stratégie de confidentialité des flux réseau 33

3.5.2.6 Stratégie de contrôle régulier 33

3.6 Les techniques de parade aux attaques 34

3.6.1 La cryptographie 34

3.6.1.1 Cryptographie symétrique 34

3.6.1.2 Cryptographie asymétrique 35

3.6.2 La suite de sécurité IPsec 36

3.6.3 Serveur Proxy 36

3.6.3.1 Présentation 36

3.6.3.2 Principe de fonctionnement 37

3.6.3.3 Fonctionnement d'un serveur Proxy 37

3.6.3.4 Traduction d'adresse (NAT) 38

3.6.3.5 Reverse Proxy 39

3.6.4 Réseaux privés virtuels 40

3.6.4.1 Présentation 40

3.6.4.2 Fonctionnement d'un VPN 41

3.6.4.3 Protocole de tunneling 41

3.6.4.4 Protection des accès 42

3.6.5 Sécurité physique des équipements 42

3.6.6 IDS : Intrusion Detection System 43

3.6.6.1 Définition 43

3.6.6.2 Les différents types d'IDS 43

3.6.6.3 Mode de fonctionnement d'un IDS 45

3.6.7 IPS : Intrusion Prevention System 46

3.6.7.1 Définition 46

3.6.7.2 Mode de fonctionnement 46

3.6.7.3 Différents types d'IPS 46

3.6.8 Pare-feu 47

3.6.8.1 Les différents types de filtrage 48

3.6.8.2 Les différentes catégories de pare-feu 49

3.6.8.3 Zone démilitarisée (DMZ) 51

3.6.8.4 Limite des systèmes pare-feu 52

3.7 Recherches d'informations et synthèses 52

3.7.1 Principe de fonctionnement d'un pare-feu 52

3.7.2 Facteurs à considérer pour l'implémentation d'un pare-feu en entreprise 53

3.7.3 Proposition de solutions pare-feu 53

3.7.3.1 Quelques solutions propriétaires 54

3.7.3.2 Quelques solutions libres 54

3.7.3.3 Comparaison des solutions libres 56

3.7.4 Synthèse et choix de la solution de sécurisation pour C.A.F.E I&T 57

3.7.4.1 Présentation générale de pfsense 57

3.7.4.2 Aperçu des fonctionnalités 58

3.7.4.3 Position de pfsense 59

3.7.5 Recommandations pour un pare-feu en entreprise 60

3.8 Conclusion 61

Chapitre 4 : 62

MISE EN OEUVRE 62

4.1 Introduction 63

4.2 Nouvelle architecture 63

4.3 Préparation de l'environnement de travail 64

4.4 Les éléments de mise en oeuvre 65

4.5 Installation de Pfsense 65

4.6 Configuration de Pfsense 68

4.6.1 Configuration générale 68

4.6.2 Paramètres généraux de Pfsense 69

4.6.3 Configuration des interfaces 70

4.6.3.1 Interface WAN 70

4.6.3.2 Interface LAN 70

4.6.3.3 Configuration du serveur DHCP 71

4.6.4 Définition des règles du firewall 72

4.6.4.1 Coté WAN 72

4.6.4.2 Coté LAN 72

4.7 Portail captif de Pfsense 73

4.7.1 Présentation d'un portail captif 73

4.7.2 Paramètres généraux du portail captif de pfsense 73

4.7.3 Authentification du portail captif de Pfsense 75

4.7.3.1 Authentification par RADIUS 75

4.7.3.2 Gestion des comptes utilisateurs sous Pfsense 76

4.7.4 Sécurité du portail captif 76

4.8 Contrôle de la bande passante 78

4.8.1 Introduction à la QoS 78

4.8.2 Présentation de Ntopng 79

4.8.3 Installation de Ntopng 79

4.8.4 Configuration du service Ntopng 79

4.9 Détection d'intrusion 81

4.9.1 Présentation de Snort 81

4.9.2 Installation et configuration de Snort 81

4.9.3 Test de la solution 83

4.10 Evaluation financière 85

4.11 Conclusion 87

CONCLUSION GENERALE 2

LISTE DES REFERENCES 2

LISTE DES FIGURES

Pages

Figure 1. 1 : Image satellite du CIC par Google Earth 2

Figure 1. 2 : Organigramme du CIC 6

Figure 1. 3 : Plan de localisation de C.A.F.E Informatique & Télécommunications 8

Figure 1. 4 : Organigramme de C.A.F.E. Informatique & Télécommunications 11

Figure 2. 1 : Architecture du réseau I.P de CAFE I&T 19

Figure 3. 1 : Attaque de Man in the middle 26

Figure 3. 2 : Attaque par rebond 27

Figure 3. 3 : Architecture d'un Proxy 37

Figure 3. 4 : Traduction d'adresse (NAT) 39

Figure 3. 5 : Reverse Proxy 40

Figure 3. 6 : Réseau privé virtuel 41

Figure 3. 7 : Pare-feu 48

Figure 3.7: Exemple d'une zone démilitarisée 51

Figure 3.8: Logo de pfsense 58

Figure 3.9 : Position de pfsense choisie dans le réseau local de C.A.F.E I&T 60

Figure 4. 1 : Nouvelle architecture du réseau local de C.A.F.E I&T 63

Figure 4. 2 : Ecran de démarrage de l'installation de Pfsense 66

Figure 4. 3 : Début de l'installation de Pfsense 66

Figure 4. 4 : Configuration du type de clavier de Pfsense 67

Figure 4. 5 : Partitionnement de l'espace disque de Pfsense 67

Figure 4. 6 : Fin de l'installation de Pfsense 68

Figure 4. 7 : Menu de configuration de Pfsense 68

Figure 4. 8 : Portail d'administration de Pfsense 69

Figure 4. 9 : Tableau de bord de l'interface d'administration de Pfsense 69

Figure 4. 10 : Paramétrage général de Pfsense 70

Figure 4. 11 : Configuration de l'interface WAN 70

Figure 4. 12 : Configuration de l'interface LAN 71

Figure 4. 13 : Configuration du serveur DHCP 71

Figure 4. 14 : Règles sur l'interface WAN 72

Figure 4. 15 : Règles sur l'interface LAN 72

Figure 4. 16 : Activation du portail captif de Pfsense 74

Figure 4. 17 : Page d'accueil du portail captif de Pfsense (page par défaut) 74

Figure 4. 18 : Création de l'utilisateur "client1" avec authentification FreeRadius 76

Figure 4. 19 : Activation de la sécurisation par HTTPS pour l'accès au portail captif 77

Figure 4. 20 : Activation du certificat d'authentification 77

Figure 4. 21: Importation du certificat d'authentification et de sa clé privée 78

Figure 4. 22 : Installation des paquets de Ntopng 79

Figure 4. 23 : Configuration du mot de passe de Ntopng 80

Figure 4. 24 : Interface d'administration de Ntopng 80

Figure 4. 25 : Activités d'un utilisateur connecté grâce à Ntopng 81

Figure 4. 26 : Installation des paquets de SNORT 82

Figure 4. 27 : Code oinkcode délivré après enregistrement sous Snort 82

Figure 4. 28 : Activation de Snort sur l'interface WAN 83

Figure 4. 29 : Architecture virtuelle de l'environnement de test 84

Figure 4. 30 : Scan de port effectué par la machine `Attaquant' 85

Figure 4. 31 : Alertes renseignées par Snort 85

LISTE DES TABLEAUX

Pages

Tableau 1 : les postes de travail et leurs caractéristiques 2

Tableau 2 : Liste des serveurs matériels et leurs caractéristiques 16

Tableau 3 : Liste des imprimantes et quelques caractéristiques techniques 17

Tableau 4 : Equipements réseau et caractéristiques techniques 17

Tableau 5 : Applications du réseau local de C.A.F.E I&T 18

Tableau 6 : Prix des solutions commerciales 54

Tableau 7: Comparaison de quelques solutions libres 57

Tableau 8 : Achat des matériels 86

Tableau 9 : Coût de l'implémentation 86

Tableau 10 : Coût de la formation 86

Tableau 11 : Coût d'entretien du serveur 87

GLOSSAIRE

802.1x : Norme wifi, utilisée pour désigner plusieurs groupes de 802.x

AAA: Authorization Authentication Accounting

ABIDS:Application Based Intrusion Detection System

ACK : Acknowledged, un accuse de réception

ACL: Access Control List

AES: Application Environment Services

ALCASAR : Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié Réseau

API : Application Programming Interface

C.A.F.E I&T : Centre d'Assistance de Formation et d'Etude en Informatique et Télécommunications

CPU : Central Processing Unit

DES : Data Encryption Standard

DHCP: Dynamic Host Configuration Protocol

DMZ : DeMilitarized Zone

DoS: Denis of Service

EAP-MD5: Extensible Authentication Protocol- Message Digest 5

EAP-TLS: Extensible Authentication Protocol - Transport Layer Security

ECC: Error-Correcting Code

FAI : Fournisseur d'Accès Internet

FTP: File Transfer Protocol

GPL: General Public License

HDD: Hard Disk Drive

HIDS: Host-based Intrusion Detection System

HIPS: Host-based Intrusion Prevention System

HTTP: HypertText Transfer Protocol

ICANN: Internet Corporation for Assigned Names and Numbers

ICMP: Internet Control Message Protocol

IDEA: International Data Encryption Algorithm

IDS: Intrusion Detection System

IETF: Internet Engineering Task Force

INTERNIC: INTERnet Network Information Center

IP: Internet Protocol

IPNG: Internet Protocol New Generation

IPS: Intrusion Protection System

IPsec: Internet Protocol SECurity

KIPS: Kernel Intrusion Prevention System

L2FP: Layer 2 Forwarding Protocol

L2TP: Layer 2 Tunneling Protocol

LAN: Local Area Network

LDAP:Lightweight Directory Access Protocol

LMD: Licence Master Doctorat

MAC:Media Access Control

MIT: Massachussetts Institute of Technology

NAC: Network Access Control

NAP: Network Access Point

NAT: Network Address Translation

NIDS:Network Intrusion Detection System

NIPS: Network Intrusion Protection System

NNIDS:Network Node Intrusion Detection system

NTIC : Nouvelles Technologies de l'Information et de la Communication

OSI: Open System Interconnection

PPTP: Point to Point Tunneling Protocol

PSK : Pre Shared Key

RADIUS:Remote Authentication Dial-In User Service

RAM: Random Access Memory

RFC: Request For Comment

RPV: Réseau Privé Virtuel

RSA : Rivest Shamir Adleman

SNMP:  Simple Network Management Protocol

SPOF: Single Point Of Failure

SSH: Secure SHell

SSL: Secure Socket Layer

SSO: Single Sign-On

TCP/IP: Transmission Control Protocol/Internet Protocol

UDP: User Datagram Protocol

URL: Unified Redirection L

VLAN: Virtual Local Area Network

VoIP: Voix sur Internet Protocol

VPN: Virtual Private Network