SlideShare ist ein Scribd-Unternehmen logo

Protection-dun-réseau-dentreprise-via-un-firewall.pdf

MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie

- Réaliser un environnement virtuel en installant tous les serveurs et postes clients nécessaires - Sécuriser le réseau en installant un pare-feu Pfsense et le mettre en épreuve par des testes d'intrusions

Software
1 von 52
Downloaden Sie, um offline zu lesen
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université des sciences et de la technologie Houari Boumédiène Faculté d’Electronique et Informatique Département Informatique Mémoire de fin de cycle En vue de l’obtention d’une licence Informatique Option : Génie des Télécommunications et Réseaux Thème Protection d’un réseau d’entreprise avec un pare-feu Présenté par : BOUKADOUM Youcef Islem MELLAH Mouloud Sous la direction de : Mr BERBAR Ahmed Année universitaire 2019/2020
Remerciements Nous souhaitons adresser nos remerciements les plus sincères aux personnes qui nous ont apporté leur aide et qui ont contribué de près ou de loin à l’élaboration de ce mémoire. Nous tenons dans un premier lieu remercié notre encadreur Mr BERBAR Ahmed pour sa patience, sa disponibilité et ces conseils durant tout le long de notre projet sans quoi la construction de ce travail n’aurait pas pu être possible. Nous adressons aussi nos remerciements aux membres du jury pour l’intérêt qu’ils ont porté à notre travail en acceptant de l’examiner. Enfin, n’oublions pas de remercier nos familles et nos amis pour leurs soutiens inconditionnels et leurs encou- ragements.
Résumé Un pare-feu permet d’isoler et de protéger plusieurs réseaux en fonction de leur degré de confiance. Dans ce projet, nous avons créé un environnement virtuel afin de simuler un réseau informatique d’entreprise fonctionnelle que nous avons sécurisé avec un pare-feu. Dans un premier temps, nous avons défini les concepts fondamentaux de la sécurité informatique en donnant un aperçu sur les différentes menaces informatiques. Puis, nous avons présenté les différents moyens et outils pour faire face à ces menaces. Ensuite, on a fait une étude approfondie sur le fonctionnement des pare-feu ce qui nous a permis de connaître comment utiliser au mieux un pare-feu, ainsi que les limites de ce dernier et les critères permettant de choisir un pare-feu. Pour choisir notre pare-feu, nous avons fait une étude afin de comparer les pare-feu open-source à notre disposition. Finalement, on a réalisé notre environnement virtuel en installant tous les serveurs et postes clients nécessaires. Puis, on a sécurisé notre réseau en installant notre pare-feu, ce qui a permis de segmenter le réseau en quatre zones. Une fois les zones mis en place, on pouvait commencer à rédiger nos règles des interfaces du pare-feu. Pour finir, afin de s’assurer que notre pare-feu est bien fonctionnel, on a mis à l’épreuve le pare-feu en effectuant un ensemble de tests.
Table des matières 1 Les risques et menaces liés à la Sécurité informatique 1 1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2.1 Sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2.2 Menace informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.3 Risque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.4 Vulnérabilité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.5 Attaque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 Les menaces informatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.1 Menace passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.2 Menace active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.3 Exemple de menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 Les Techniques, outils et moyens de sécurités 7 2.1 Le chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2 Serveur proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3 Réseaux Privés Virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.4 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.5 Pare-feu (firewall) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.6 Détection d’intrusion (IDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.7 Prévention d’intrusion (IPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 Étude des Pares-feux et comparaison des solutions existantes 12 3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.2 Principe de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.1 Fonctions de cloisonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.2 Fonction de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.2.3 Fonctions de relais et de masque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 i
TABLE DES MATIÈRES 3.3 Zone démilitarisée (DMZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.4 Les limites de système pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.5 Critères de choix d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.6 Architecture de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.6.1 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6.2 Passerelle double – le réseau bastion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6.3 Pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.6.4 Pare-feu avec sous réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.7 Etude comparative des solutions existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.7.1 OPNsense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.7.2 IPFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.7.3 pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.7.4 Caractéristiques des 3 solutions étudiées . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4 Virtualisation du réseau d’entreprise 25 4.1 La présentation de l’architecture cible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.1.1 Contrôleur de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.2 Serveur Web Interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.3 Serveur de messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.4 Poste clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.1.5 Serveur Web externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.1.6 Serveur DNS externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2 Sécurisation du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.1 Création de la machine virtuel pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.2.2 Installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.2.3 Configuration de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.2.4 Mise en place des règles des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.2.5 Mise en place des règles anti intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.6 Mise en place d’un proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2.7 Mise à l’épreuve du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Conclusion General 42 Bibliographie 44 ii
Table des figures 1.1 Illustration d’une attaque DDoS sur un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.2 Illustration d’une attaque MITM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.1 Illustration d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.2 Fonction de cloisonnement de filtre d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.3 Exemple de pare-feu applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.4 Illustration d’un réseau avec DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.5 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6 Illustration d’une passerelle double . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.7 Illustration de pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.8 Illustration d’un pare-feu avec sous-réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . 20 4.1 Représentation du réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.2 Représentation du réseau avec un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.3 Paramètres de la machine virtuelle pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.4 Copyright de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.5 Message de bienvenue pour l’installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . 29 4.6 Installation de pfSense : sélection du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.7 Choix du partitionnement du disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.8 Menue des options sur la console pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.9 Affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.10 Confirmation de l’affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.11 Les alias de ports du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.12 Les alias IP du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.13 Onglets des règles de pare-feu pour les différentes interfaces . . . . . . . . . . . . . . . . . . . . 33 4.14 Les règles de pare-feu définies sur l’interface CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 33 4.15 Les règles de pare-feu définies sur l’interface SERVEURS . . . . . . . . . . . . . . . . . . . . . 34 4.16 Les règles de pare-feu définies sur l’interface DMZ . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.17 Les règles redirection de port NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 iii
TABLE DES FIGURES 4.18 Les règles de pare-feu définies sur l’interface WAN . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.19 Les règles de pare-feu définies sur l’interface ADMINISTRATION . . . . . . . . . . . . . . . . . 35 4.20 Choix de Snort Vulnerability Research Team (VRT) Rules . . . . . . . . . . . . . . . . . . . . . . 36 4.21 Choix de Emerging Threats (ET) Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.22 Choix de la fréquence de mise a jour des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.23 Choix de l’interface dont Snort va être appliqué . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.24 Paramètre général de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.25 Paramètres de journalisation de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.26 Paramètres de mise en cache de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.27 GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine . . . . . . . . . . . . 39 4.28 Résultats du scan TCP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.29 Résultats du scan UDP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.30 Résultats du scan du serveur Web externe depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40 4.31 Résultats du scan du serveur Web externe depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 40 4.32 Résultats du scan du serveur Web externe depuis la zone SERVEURS . . . . . . . . . . . . . . . 40 4.33 Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION . . . . . . . . . . . 40 4.34 Résultats du scan d’un client depuis la zone DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.35 Résultats du scan d’un client depuis la zone CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 40 4.36 Résultats du scan d’un client depuis la zone SERVEURS . . . . . . . . . . . . . . . . . . . . . . 40 4.37 Résultats du scan d’un client depuis la zone ADMINISTRATION . . . . . . . . . . . . . . . . . 40 4.38 Résultats du scan de serveur Web Interne depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40 4.39 Résultats du scan de serveur Web Interne depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 41 4.40 Résultats du scan de serveur Web Interne depuis la zone SERVEURS . . . . . . . . . . . . . . . 41 4.41 Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION . . . . . . . . . . . 41 4.42 Résultats du scan du client de l’administration depuis la zone DMZ . . . . . . . . . . . . . . . . . 41 4.43 Résultats du scan du client de l’administration depuis la zone CLIENTS . . . . . . . . . . . . . . 41 4.44 Résultats du scan du client de l’administration depuis la zone SERVEURS . . . . . . . . . . . . . 41 4.45 Résultats du scan du client de l’administration depuis la zone ADMINISTRATION . . . . . . . . 41 iv
Liste des tableaux 3.1 Comparaison des caractéristiques des trois pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23 4.1 Résumé de la configuration des différentes interfaces . . . . . . . . . . . . . . . . . . . . . . . . 32 v
Chapitre 1 Les risques et menaces liés à la Sécurité informatique 1.1 Introduction Aujourd’hui, les systèmes d’information sont au cœur de toutes entreprises de ce fait toutes menacent peut leur être fatale. Tout appareil connecté à Internet est vulnérable aux attaques et aux menaces qui rôdent dans ce dernier, ainsi garantir la sécurité des systèmes deviens une nécessitée. La sécurité est l’ensemble des mesures permettant d’assurer la protection des biens. En informatique, on dis- tingue deux types : l’information et les données ou les systèmes permettant de traiter, véhiculer et stocker l’infor- mation. 1.2 Termes et définitions 1.2.1 Sécurité informatique La sécurité représente l’ensemble des moyen techniques, organisationnels et humains nécessaires et mis en place pour conserver, rétablir et garantir la sécurité. Elle vise cinq principales caractéristiques [1] : — La Confidentialité : l’information ne doit pas être diffusée ni divulguée à des personnes, des entités ou des processus non autorisés. — L’intégrité : l’information doit être protégée contre toute modification ou destruction accidentelle ou mal- veillante. — La disponibilité : l’information et le système doivent être accessible et utilisable a tout instant par une entité autorisée. — L’authenticité : permet d’assurer l’identification d’une personne ou d’une entité. — La non-répudiation : pouvoir prouver qu’une action a étais effectuée par une personne ou une entité et qu’elle ne peut être niée. 1
1.3. LES MENACES INFORMATIQUES 1.2.2 Menace informatique Une menace est une cause potentielle d’un incident indésirable, qui peut nuire à un système ou à un organisme. Elle peut être accidentelle ou intentionnelle et leur origine naturelle ou humaine. 1.2.3 Risque informatique Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de la perte consécutive à sa réalisation. [2] 1.2.4 Vulnérabilité informatique Les systèmes informatiques sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frau- duleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration, leur destruction ou permettre la violation des données qui s’y trouvent stockées. Ainsi, une vulnérabilité est une faiblesse d’un système se tradui- sant par une incapacité partielle de celui-ci à faire face aux menaces informatiques qui le guettent. [3] 1.2.5 Attaque informatique Une attaque est l’exploitation d’une vulnérabilité par une menace. 1.3 Les menaces informatiques Les menaces peuvent être classifiées en deux types : menace passive et menace active. 1.3.1 Menace passive Ce type de menace ne modifie pas l’état du système. 1.3.2 Menace active Ce type de menace contrairement au premier, altère ou modifie l’état du système et des données qui y transite. 1.3.3 Exemple de menaces Virus Définie généralement comme étant un programme capable de s’installer sur un ordinateur à l’insu de son utili- sateur légitime, une fois installé et lancé, il se charge en mémoire et exécute les instructions que son auteur a pro- grammé. On distingue plusieurs types de virus, on peut en citer quelques-uns : Virus mutants, Virus polymorphes, Rétrovirus, Virus de secteur d’amorçage, Virus de macros, etc. [4] 2
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE Ver Un ver est un type de menace qui peut se reproduire et se propager à travers un réseau en utilisant ses propres mécanismes, sans avoir réellement besoin de support physique ou logique (disque dur, programme hôte, fichier...). [4] Cheval de Troie Le cheval de Troie est un code nuisible caché dans un programme sain. Il permet généralement d’ouvrir une porte dérobée (backdoor) dans un système pour y faire entrer un hacker ou d’autre programmes indésirables. [4] Bombes logiques Une Bombe logique est une menace dont le déclenchement est programmé par son créateur. Ce déclenchement peut se faire suite à une séquence de commande ou après un appel au système prédéfinie par le créateur. [4] Spyware Un spyware (espiogiciel) est un programme chargé de recueillir des informations sur l’utilisateur de l’ordina- teur dans lequel il est installé afin de les envoyer à l’entité qui le diffuse. Généralement les spywares sont installés en même temps que d’autre logiciels. [4] Keylogger Un keylogger est un dispositif d’espionnage chargé d’enregistrer les frappes de touches du clavier et de les enregistrer, à l’insu de l’utilisateur. Il peut servir à des personnes mal intentionnées pour récupérer des mots de passe ou encore avec certains keylogger d’enregistrer les URL visités ou les e-mails consulté ou envoyés. [4] Déni de service Le déni de service (DoS, Denial of Service) est un type d’attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Ce type d’attaque peut toucher tout serveur d’entreprise ou tout particulier relié à Internet. [4] Un déni de service peut être provoqué par plusieurs machines qui envoient simultanément des paquets, on parle alors de déni de service distribué (DDoS, Distributed Denial of Service). 3
1.3. LES MENACES INFORMATIQUES FIGURE 1.1 – Illustration d’une attaque DDoS sur un serveur Usurpation d’adresse IP (Spoofing) L’usurpation d’adresse IP est une technique consistant à remplacer l’adresse IP de l’expéditeur d’un paquet IP par l’adresse IP d’une autre machine. Cette technique permet d’envoyer des paquets anonymement sans que ceux-ci soient interceptés par le système de filtrage de paquets (pare-feu). [4] Reniflage réseau (Sniffing) Le reniflage réseau (ou reniflage de paquets) consiste à rassembler, collecter et consigner tout ou partie des paquets qui transitent par le réseau d’un ordinateur, quelle que soit l’adresse à laquelle ces paquets sont destinés. [5] «Man in The Middle» La menace Man in the Middle (MITM) est un scénario d’attaque dans lequel un pirate écoute une communica- tion entre deux parties et falsifie les échanges en se faisant passer à chaque fois pour l’autre partie. [4] 4
CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE FIGURE 1.2 – Illustration d’une attaque MITM Injections Des failles d’injection, telles que l’injection SQL ou NoSQL, visent les sites web s’appuyant sur des bases de données relationnelles. Ces injections se produisent lorsque des données non-fiables sont envoyées à un interpréteur dans le cadre d’une requête. Ainsi, l’attaquant peut accéder à l’ensemble de la base de données ou même d’en modifier le contenu. [6] Cross-site Scripting (XSS) Des failles XSS se produisent chaque fois qu’une application inclut des données non-fiables dans une nouvelle page Web sans validation appropriée ou met à jour une page Web existante avec des données fournies par l’uti- lisateur à l’aide d’une API de navigateur qui peut créer du HTML ou du JavaScript. XSS permet aux attaquants d’exécuter des scripts dans le navigateur de la victime qui peuvent pirater des sessions utilisateur, défigurer des sites Web ou redirigé l’utilisateur vers des sites malveillants. [6] XML External Entity (XEE) De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichiers, des partages de fichiers internes, de l’analyse des ports internes, de l’exécution de code à distance et des attaques par déni de service. [6] 5
1.3. LES MENACES INFORMATIQUES Authentification brisée Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées de manière incorrecte, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autre failles d’implémentation pour assumer l’identité des autres utilisateurs de manière temporaire ou permanente. [6] Contrôle d’accès cassé (Broken ACL) Lorsque les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non autorisées, comme accéder aux comptes d’autres utilisateurs, afficher des fichiers sensibles, modifier les données d’autre utilisateurs, changer les droits d’accès, etc. [6] 6
Chapitre 2 Les Techniques, outils et moyens de sécurités De nos jours la quasi-totalité des ordinateurs sont connectés à Internet ce qui les expose à une panoplie de menaces. Néanmoins, ces ordinateurs ne sont pas sans défense contre les attaques de plus en plus nombreuses et puissantes. Afin de les protéger et garantir un niveau de sécurité acceptable, nous devons utiliser des techniques, des outils et des moyens adaptés afin de contrôler l’accès au réseau, protéger le flux d’information sensible et prévenir les menaces qui rôdes sur Internet. Dans ce chapitre, on définit les techniques et les dispositifs de protection utilisés avant de s’intéressaient plus en particulier aux pare-feu. 2.1 Le chiffrement Le chiffrement est l’opération qui consiste à transformer des données d’un format lisible à un format codé qui peut uniquement être compris ou traité après déchiffrement. Ainsi, on peut garantir la confidentialité et l’authenti- cité de l’information. [7] Les principes du chiffrement se basent sur la notion d’algorithmes de chiffrement et de « clés ». Lorsque l’in- formation est envoyée, elle est chiffrée à l’aide d’un algorithme et peut être décodée uniquement à l’aide de la clé appropriée. Une clé peut être stockée sur le système de réception, ou peut être transmise avec les données chiffrées. Les méthodes de chiffrement se développent parallèlement à l’évolution perpétuelle des logiciels informatiques et des méthodes permettant d’intercepter et de voler les informations [7]. Parmi les méthodes de chiffrement, on peut citer les plus connues : Le chiffrement symétrique C’est une méthode de décodage unique qui doit être fournie au destinataire avant que le message ne puisse être déchiffré. La clé utilisée pour encoder est la même que celle utilisée pour décoder. Autrement, la clé doit être envoyée au destinataire, ce qui augmente le risque de compromission si elle est interceptée par un tiers. L’avantage de cette méthode est qu’elle est beaucoup plus rapide que la méthode asymétrique [7]. 7
2.2. SERVEUR PROXY Le chiffrement asymétrique Le système de chiffrement asymétrique propose un mécanisme implicite de signature de message. L’émetteur chiffre un message avec sa clé privée. Une entité connaissant la clé publique de l’émetteur peut déchiffrer le message et le lire, cela signifie que le message a bien été créé à l’aide de la clé privé correspondante dont l’émetteur est censé en être le seul propriétaire. On peut ainsi s’assurer de l’origine d’un message et en authentifier l’émetteur. [8] Signer électroniquement un document est possible en utilisant un algorithme de chiffrement à clé publique. Pour cela, il suffit d’effectuer les actions suivantes [8] : — Créer un petit message de déclaration d’identité, le chiffrer avec sa clé privée pour constituer une signature que l’on attache au message à envoyer. — Chiffrer ensuite le message et sa signature avec la clé publique du destinataire puis émettre le message. — À sa réception, le destinataire déchiffre le message avec sa clé privée et détache la signature qu’il déchiffre avec la clé publique de l’émetteur. 2.2 Serveur proxy Le serveur proxy est une machine intermédiaire entre les ordinateurs d’un réseau local et Internet. Les serveurs proxy offre un certain nombre de fonctionnalités telles que [2] : Le filtrage Le proxy permet d’assurer un suivi de connexion via les journaux de logs en enregistrant les requêtes des utilisateurs lors de leurs Demandes de connexion à Internet. De ce fait, on peut filtrer les connexions à Internet en analysant d’une part les requêtes des clients, d’autre part les réponses des serveurs tels qu’on peut soit Autoriser les requêtes ou les interdire. L’authentification On peut utiliser le proxy pour l’authentification des utilisateurs ce qui nous permet de donner l’accès aux ressources externes aux seules personnes autorisées et de pouvoir enregistrer dans les fichiers journaux des accès identifiés. La mise en cache La fonction de cache permet de garder temporairement en mémoire les pages les plus fréquemment visitées par les utilisateurs du réseau local afin de les leur fournir le plus rapidement possible. Ceci permet de réduire l’utilisation de la bande passante vers Internet. 8
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS 2.3 Réseaux Privés Virtuels (VPN) Le VPN permet d’obtenir une liaison sécurisée entre deux réseaux locaux à travers Internet. Il utilise un proto- cole, appelé protocole de tunnelisation (tunneling), c’est-à-dire un protocole permettant aux données passant d’une extrémité du VPN à l’autre d’être sécurisées par des algorithmes de chiffrement. Parmi ces protocoles de tunne- lisation on peut en citer quelques-uns : PPTP (Point-to-Point Tunneling Protocol), L2F (Layer Two Forwarding), L2TP (Layer Two Tunneling Protocol) et IPSec. [4] 2.4 Antivirus Les logiciels antivirus sont une classe de programmes conçus pour prévenir, détecter et supprimer les menaces sur les différents systèmes et réseaux informatiques. Autrement dit, un antivirus permet de protéger l’ordinateur contre une grande variété de menace (Keyloggers, ransomware, etc.). L’antivirus fonctionne généralement comme un processus en arrière-plan, analysant les ordinateurs, les ser- veurs ou les appareils mobiles pour détecter et limiter la propagation des menaces [9]. Nombreux antivirus incluent une détection et une protection des menaces en temps réel en utilisant les techniques de détection suivantes [4] : Recherche de signature virale Un virus est programmé pour ne pas infecter le même fichier. Or pour distinguer les fichiers déjà infectés, il y intègre une signature virale. Les antivirus utilisent cette signature qui est propre à chaque menace pour les détecter et les identifier en utilisant sa base virale qui doit être mise à jour. Contrôle d’intégrité Certains antivirus utilisent des contrôleurs d’intégrité qui comme son nom l’indique contrôle l’intégrité des fichiers en surveillant tous les changements tels que la modification, suppression de fichier, etc. De la sorte, le contrôleur d’intégrité construit une base de données contenant des informations sur les fichiers du système (date de modification, taille). Ainsi, l’antivirus reste en courant de chaque modification de fichiers. Analyse des comportements La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité proche de celle d’une menace connue. Ainsi, l’antivirus peut détecter des virus mêmes lorsque la base n’a pas été mise à jour. 2.5 Pare-feu (firewall) Un pare-feu (firewall) est un dispositif matériel ou logiciel de protection du réseau qui surveille le trafic entrant et sortant et décide d’autoriser ou de bloquer une partie de ce trafic en fonction d’un ensemble de règles de sécurité 9
2.6. DÉTECTION D’INTRUSION (IDS) prédéfinies. Il établit une barrière entre les réseaux interne sécurisés et contrôlés qui sont digne de confiance et les réseaux externes non-fiables tels qu’Internet. [10] Le pare-feu contient un ensemble de règles prédéfinies permettant : — D’autoriser la connexion. — De bloquer la connexion. — De rejeter la demande de connexion sans avertir l’émetteur. L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité. 2.6 Détection d’intrusion (IDS) L’IDS est un logiciel écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir une action de prévention sur les risques d’intrusion. On distingue deux types d’IDS [4] : — Les HIDS (Host based Intrusion Detection System) assurent la sécurité au niveau des hôtes. — Les NIDS (Network based Intrusion Detection System) assurent la sécurité au niveau du réseau. Un IDS peut utiliser de nombreuses techniques pour reconnaître les intrusions notamment [4] : Vérification de la pile protocolaire Beaucoup d’intrusions ont recours à des violations des protocoles IP, TCP, UDP et ICMP dans le but d’attaquer une machine. Une simple vérification protocolaire peut mettre en évidence les paquets invalides. Vérification des protocoles applicatifs Nombre d’intrusions utilisent des comportements protocolaires invalides. Ainsi, un NIDS doit implémenter une grande variété de protocoles applicatifs. Reconnaissance des attaques par ‘pattern matching’ Cette méthode identifie une intrusion par le seul examen d’un paquet et la reconnaissance dans une suite d’octets du paquet d’une séquence caractéristique d’une signature précise. 2.7 Prévention d’intrusion (IPS) L’IPS est une technologie de prévention des menaces qui examine les flux du trafic réseau pour détecter et pré- venir les vulnérabilités. Il se trouve généralement directement derrière le pare-feu et fournit une couche d’analyse complémentaire [11]. À l’instar de l’IDS, qui est un système passif (analyse le trafic et signale les menace), l’IPS prend des mesures automatisées sur tout le flux qui entre dans le réseau. Il peut réaliser les actions suivantes [11] : — Envoyer une notification à l’administrateur 10
CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS — Supprimer les paquets malveillants. — Bloquer du trafic. — Réinitialiser la connexion. 2.8 Conclusion Pour sécuriser un réseau, on remarque qu’on a le choix entre plusieurs techniques et outils assez différentes les unes des autres. Or, dans le cadre de notre projet, on s’intéresse aux pare-feu. Donc, dans le chapitre suivant on décrit plus en détails le fonctionnement du pare-feu pour ensuite faire une étude comparative des pare-feu logiciels disponibles en téléchargement libre. 11
Chapitre 3 Étude des Pares-feux et comparaison des solutions existantes Le pare-feu est primordial pour protéger les données numériques et sécuriser le réseau. Sa mission : filtrer les entrées et vérifier les sorties. Il peut se présenter sous la forme d’un appareil ou d’un logiciel. Dans ce chapitre, on va voir plus en détails le fonctionnement d’un pare-feu et comparer entre les différentes solutions disponibles. 3.1 Présentation Un pare-feu (coupe-feu, garde-barrière ou firewall) est un système permettant de protéger un ordinateur, ou un réseau d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment Internet). Il détermine quel trafic peut ou ne peut pas passer en appliquant des règles définies par l’administrateur. Ces règles traduisent en terme technique les besoins de sécurité exprimés par l’organisation. [4] FIGURE 3.1 – Illustration d’un pare-feu 12
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Il est possible de mettre un système pare-feu sur n’importe quelle machine pourvue que [4] : — La machine soit suffisamment puissante pour traiter le trafic. — Le système soit sécurisé. — Aucun autre service que le service de filtrage de paquets fonctionne sur le system. 3.2 Principe de fonctionnement La configuration d’un pare-feu consiste à rédiger des règles propres et à déterminer les paquets autorisés et les paquets interdits, chaque paquet est caractérisé par quelques paramètres [12] : — L’interface réseau sur lequel le paquet est arrivé, un pare-feu a au moins deux inter-faces, l’une connectée au réseau privé et l’autre connectée au lien d’accès à Internet. — Le protocole auquel appartient le paquet, tel que mentionné dans son en-tête IP. — Les adresses d’origine et de destination, mentionnées dans l’en-tête IP. — Les numéros de port d’origine et de destination, mentionnés dans l’en-tête TCP ou UDP. — S’il s’agit d’un paquet TCP, les numéros de séquence et d’acquittement, qui permettent de reconstituer la séquence des paquets d’une connexion TCP. Pour configurer le pare-feu, deux approches sont possibles : — L’approche réactive : consiste à tout laisser passer sauf les attaques dont on connaît le fonctionnement. — L’approche proactive : consiste à tout interdire sauf ce dont vous avez besoin. L’objectif d’un réseau est d’offrir un maximum de connectivité et d’accès aux ressources, l’objectif de la sécurité est de limiter ces accès. Ces deux objectifs concurrents et contradictoires se trouvent être ceux d’un pare-feu. Pour cela, et afin de satisfaire les objectifs de sécurité attendus du pare-feu, ce dernier implémente trois fonctions basiques : cloisonnement, filtrage et relais. [8] 3.2.1 Fonctions de cloisonnement En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un pare-feu permet de cloisonner le réseau et en principe, de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de telle manière que l’on puisse en fonction d’impératifs de sécurité, séparer des systèmes afin de mieux les contrôler. [8] 13
3.2. PRINCIPE DE FONCTIONNEMENT FIGURE 3.2 – Fonction de cloisonnement de filtre d’un pare-feu Le principe de cloisonnement repose sur la segmentation du système d’information en composants de sécurité homogène (domaine de confiance mutuelle). Le contrôle d’accès des flux d’information échangés entre les divers composants du système d’information doit être rigoureux pour garantir la sécurité et la séparation totale et filtrante des entités cloisonnées. Le cloisonnement d’un réseau permet de constituer des environnements IP disjoints en rendant physiquement indépendants les accès des réseaux que l’on désire séparer. Cela permet d’interconnecter deux réseaux de niveaux de sécurité différents. Ainsi, on peut contrer les flux qui pourraient engendrer la compro- mission des systèmes et des données (modification, destruction, altération, perte, fuite d’information), l’atteinte aux critères d’intégrité, et de disponibilité. [8] 3.2.2 Fonction de filtrage Selon la nature de l’analyse et des traitements effectués par un pare-feu, différents types de pare-feu existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modèle OSI. [8] Filtrage simple de paquets (stateless packet filtring) Ce type de pare-feu analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets échangés transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le pare-feu [4] : — Adresse IP de la machine émettrice. — Adresse IP de la machine réceptrice. — Type de paquet (TCP, UDP, etc.). — Numéro de port (un port est un numéro associé à un service ou une application réseau). 14
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Les adresses IP contenues dans les paquets permettant d’identifier la machine émettrice et la machine cible que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. [4] Filtrage dynamique (stateful packet filtring) Un pare-feu dit stateful packet permet de filtrer les paquets en se basant sur la couche transport du modèle OSI (filtrage au niveau des ports de communication TCP/UDP). Il maintient une table d’état des connexions correspon- dantes aux ports logiques du niveau 4 et sur tous les ports dont le numéro est supérieur à 1024 (les ports utilisés par les applications de l’utilisateur) pour un meilleur suivi des communications. Ainsi, si une connexion est auto- risée, tous les paquets constitutifs de l’échange sont implicitement acceptés. Certains attaquants savent détourner ce mode de fonctionnement et exploiter les failles dues aux applications communicantes. [8] 3.2.3 Fonctions de relais et de masque Un pare-feu applicatif joue un rôle de filtre des flux applicatifs. Pour le paramétrer correctement, il faut connaître l’ensemble des applications qui le traverseront. Il peut aussi jouer le rôle d’une passerelle applicative ou de proxy. Il établit en lieu et place de l’utilisateur le service invoqué par celui-ci en masquant certaines infor- mations et en validant chaque contenu, ce qui nécessite des ressources et des temps de traitement. [8] L’objectif d’un système qualifié de proxy est de réaliser un masquage d’adresse par relais applicatif, et de rendre transparent l’environnement interne de l’organisation. Il est censé constituer un point de passage obligé pour toutes les applications qui nécessitent un accès internet. Cela suppose qu’une application « relais » soit installé sur le poste de travail de l’utilisateur et sur le pare-feu. [8] FIGURE 3.3 – Exemple de pare-feu applicatif Ainsi, à chaque demande de connexion internet, le fait de lancer un navigateur active ce programme relais qui demandera au proxy, en ses lieux et place, de réaliser la connexion externe sollicitée sur Internet avec sa propre adresse et non pas avec celle du système de l’utilisateur finale et effectue les échanges de données nécessaires. Le proxy cache de la sorte toute l’infrastructure du réseau interne et ne dévoile en aucun cas les adresses des systèmes. 15
3.3. ZONE DÉMILITARISÉE (DMZ) Il agit comme une passerelle applicative. Ce type de serveur est systématiquement mis en œuvre lors de l’utilisation d’un plan d’adressage privé. [8] 3.3 Zone démilitarisée (DMZ) Lorsque certaines machines du réseau interne ont besoin d’être accessible de l’extérieur (serveur web, serveur de messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part accessible aussi bien du réseau interne que de l’extérieur, sans pour autant risquer de compromettre la sécurité de l’entreprise. On parle ainsi de zone démilitarisée (Notée DMZ, demilitarized zone) pour désigner cette zone hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile. [4] FIGURE 3.4 – Illustration d’un réseau avec DMZ Les serveurs situés dans la DMZ sont appelés bastions en raison de leur position d’avant-poste dans le réseau. La politique de sécurité mis en œuvre sur la DMZ est généralement la suivante [4] : — Trafic du réseau externe vers la DMZ autorisé. — Trafic du réseau externe vers le réseau interne interdit. — Trafic du réseau interne vers la DMZ autorisé. — Trafic du réseau interne vers le réseau externe autorisé. — Trafic de la DMZ vers le réseau interne interdit. — Trafic de la DMZ vers le réseau externe interdit. 3.4 Les limites de système pare-feu Un système pare-feu n’offre pas une sécurité absolue, bien au contraire. Les pare-feu n’offrent une protection que dans la mesure où l’ensemble des communications vers l’extérieur passe systématiquement par leur intermé- diaire et qu’ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du pare-feu 16
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES sont autant des failles de sécurité. C’est notamment le cas des connexions effectuées à partir du réseau interne à l’aide d’un modem ou de tout moyen de connexion échappant au contrôle de pare-feu. De la même manière, l’in- troduction de support de stockage provenant de l’extérieur sur des machines internes au réseau ou bien d’ordinateur portable peut porter fortement préjudice à la politique de sécurité globale. [4] Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-feu et notamment de surveiller son journal d’activité afin d’être en mesure de détecter les tentatives d’intrusion et les anomalies. Par ailleurs, il est recommandé d’effectuer une veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. [4] La mise en place d’un pare-feu doit donc se faire en accord avec une véritable politique de sécurité. 3.5 Critères de choix d’un pare-feu Les façons de configurer un pare-feu et de le gérer sont tout aussi importantes que les capacités intrinsèques qu’il possède. Toutefois, lorsque le choix s’impose, on peut prendre en considération les critères suivants [8] : — La nature et le nombre des applications appréhendées (FTP, messagerie, http, SNMP, vidéoconférences, etc.). — Le type de filtre et le niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité de combiner ces niveaux). — L’existence d’outils d’analyse, d’audit actif et de détection des activités suspectes. — Facilités d’administration (interface graphique ou lignes de commandes, administration distante après au- thentification du gestionnaire, etc.). — La simplicité du système, proxy facile à comprendre et à vérifier (facilité de configuration, etc.). — La capacité à supporter un tunnel chiffré permettant de réaliser, si nécessaire un réseau privé virtuel (VPN). — La disponibilité d’outils de surveillance, d’alarmes, d’audit, actif. — La possibilité d’effectuer de l’équilibrage de charge. Le pare-feu est comme tout système sujet à des menaces telles que : — Les intrusions dans un pare-feu avec, pour conséquences, la modification de sa configuration, des accès, l’effacement ou la modification des traces de journalisation ou encore l’infection virale. — Toute opération inappropriée réalisée d’une manière accidentelle ou par négligence. 3.6 Architecture de pare-feu Plusieurs architectures et configuration de réseau intégrant des pares-feux peuvent être mises en place en fonc- tion des besoins, du type, du nombre de ressources à protéger ou de l’architecture du système d’information. 17
3.6. ARCHITECTURE DE PARE-FEU 3.6.1 Pare-feu avec routeur de filtrage La solution la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient en configurant le routeur qui assure la connexion avec Internet. FIGURE 3.5 – Pare-feu avec routeur de filtrage Cette solution permet de réaliser les différents serveurs d’un intranet sur plusieurs systèmes. Le routeur de filtrage contient les autorisations d’accès basées exclusivement sur les adresses IP et le numéro de port. [13] Pour configurer le routeur, on peut utiliser la méthode standard suivante [14] : — Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires (Par exemple : HTTP, HTTPS, FTP, SMTP, DNS). — Filtrages des connexions entrantes pour interdire les connexions directes sur les pare-feu. 3.6.2 Passerelle double – le réseau bastion Il existe une autre possibilité permettant de réaliser un pare-feu applicatif à peu de frais : la passerelle double. Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans les réseaux internet et intranet. Cette machine doit être équipée de deux cartes réseau. On l’appelle également réseau bastion, car il contrôle tous les services accessibles de l’extérieur comme de l’intérieur du réseau interne tels que les serveurs WEB, FTP, et Mail. Un serveur proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne d’accéder à Internet. Le nom « réseau bastion » découle des mesures particulières de protection qui sont prises en prévision de possibles intrusions. [13] Un serveur proxy exécuté sur un hôte bastion (un proxy http par exemple) masque à l’internet toutes les adresses IP du réseau interne. Concrètement, lorsqu’un utilisateur se procure des informations depuis Internet à partir du réseau interne, le site internet contacté ne détient que l’adresse IP du serveur proxy, et en aucun cas l’adresse IP de l’ordinateur du réseau interne. [13] Le proxy doit donc masquer l’adresse d’expéditeur des paquets de données circulant via Internet, pour empê- cher tout intrus de déchiffrer les structures internes du réseau. Les serveurs proxy ont l’inconvénient d’être orientés application, c’est-à-dire tributaires d’un protocole. Par conséquent, chaque service internet proposé aux collabo- rateurs de l’entreprise exige son propre serveur proxy, qui doit fonctionner sur le système concerné. Les serveurs proxy sont presque toujours des versions allégées des serveurs concernés, autrement dit, un proxy http est une version lite de serveur web. Il existe des serveurs proxy pour tous les protocoles courants sur Internet. [13] 18
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES FIGURE 3.6 – Illustration d’une passerelle double 3.6.3 Pare-feu avec réseau de filtrage La combinaison des deux méthodes est ici plus sure et efficace. Au niveau du réseau, un pare-feu est configuré de façon à n’autoriser les accès de l’extérieur et de l’intérieur que par l’intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs internet [13] : FIGURE 3.7 – Illustration de pare-feu avec réseau de filtrage Pour configurer le pare-feu, on peut utiliser la méthode standard suivante [14] : — Les machines internes ne sont pas autorisées à se connecter à internet, elles peuvent uniquement commu- niquer avec le proxy. — Seul le proxy est autorisé à établir une connexion à destination d’Internet. — Filtrage des connexions entrantes pour interdire les connexions directes. 3.6.4 Pare-feu avec sous réseau de filtrage Cette solution est de loin la plus sure, mais également la plus onéreuse. Un pare-feu avec sous-réseau de filtrage se compose de deux pare-feu sous-écran, l’un est connecté à Internet, et l’autre à l’intrant/LAN. Plusieurs réseaux bastion peuvent s’intercaler pour former entre ces deux pare-feu, en quelque sorte, une zone démilitarisée (DMZ). [13] 19
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES FIGURE 3.8 – Illustration d’un pare-feu avec sous-réseau de filtrage Les deux pare-feu appliquent des règles de filtrage de paquets, le bastion contient les services « publics » : Web, SMTP et DNS. Le pare-feu « interne » peut être un host avec un logiciel de filtrage et de legging, plus un proxy. Pour avoir un tel réseau, on peut utiliser la configuration suivante [14] : — Les machines internes ne sont pas autorisées à se connecter à Internet, elles peuvent uniquement commu- niquer avec le proxy dans la DMZ. — Seuls les proxys sont autorisés à établir une connexion à destination internet. — Les fonctions de routages sont désactivées sur les proxys — Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires en direction de proxy (HTTP, HTTPS, FTP, SMTP, DNS). — Filtrage des connexions entrantes pour interdire les connexions directes. 3.7 Etude comparative des solutions existantes Pour choisir le pare-feu idéal qui conviendra au mieux à notre réseau, nous devons d’abord déterminer les différents choix qui s’offrent à nous. Puis faire la comparaison en prenant en considération les caractéristiques, avantages et inconvénients de chacun. Aujourd’hui, on a la chance d’avoir plusieurs pare-feu professionnels open-source à notre disposition. Mais, parmi ces pares-feux on peut en éliminer quelques-uns. Comme par exemple : IPCop, Smoothwall et M0n0wall qui sont actuellement obsolètes, car ce sont des projets abandonnés, ils ne reçoivent plus de mises à jour, donc ils peuvent potentiellement exposer le réseau à des failles de sécurité. Ou encore : Untangle, Endian et Sophos qui ne sont pas complètement gratuits où certaines fonctionnalités requièrent une licence. Ainsi, après plusieurs recherches, on a pu déterminer les 3 meilleurs pare-feu utilisables dans le cadre de notre projet qui sont les suivants : OPNsense, pfSense et IPFire. 20
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES 3.7.1 OPNsense OPNsense est un pare-feu et une plateforme de routage basés sur HardenedBSD. OPNsense inclut la plupart des fonctionnalités disponibles dans les pares-feux commerciaux coûteux, et bien plus dans de nombreux cas. [15] Au départ, OPNsense était un spin-off de pfSense et m0n0wall. Mais, le projet a évolué très rapidement tout en conservant des aspects familiers à la fois de m0n0wall et de pfSense. Aujourd’hui, OPNsense propose des mises à jour de sécurité hebdomadaires pour réagir aux nouvelles menaces. Un cycle de publication fixe de 2 versions majeures chaque année, ce qui offre aux entreprises la possibilité de planifier les mises à niveau à venir. [15] L’ensemble de fonctionnalités d’OPNsense comprend des fonctionnalités haut de gamme telles que le forward caching proxy, la mise en forme du trafic, la détection des intrusions et la configuration facile du client OpenVPN. [15] Avantages — L’interface Web est moderne et facile d’utilisation. — Mise à jour hebdomadaire. — Prise en charge de fonctionnalités introuvables ailleurs. — Installation et configuration initiale assez facile. — Bonne solution pour les entreprises de petite a moyenne taille. — Intégrations de service automatiquement. Inconvénients — Limitation du débit maximale par connexion. — Connais des problèmes de fiabilité et de stabilité. — La documentation officielle manque de détails. 3.7.2 IPFire IPFire est une distribution Linux open source qui fonctionne principalement comme un routeur et un pare-feu. L’objectif principal d’IPFire est la sécurité. Son pare-feu facile à configurer et son système de détection d’intrusion empêchent les attaquants de s’introduire dans le réseau. Mais même le pare-feu doit se protéger. IPFire est construit à partir de zéro et ne repose sur aucune autre distribution. Cela permet aux développeurs de renforcer IPFire mieux que tout autre système d’exploitation de serveur et de construire tous les composants pour une utilisation en tant que pare-feu. Les mises à jour fréquentes permettent de garantir la sécurité d’IPFire et de minimiser les failles de sécurité. [16] Avantages — Peut-être étendu par des modules complémentaires. — IPFire ne reposant sur aucune autre distribution ce qui offre une bonne stabilité. 21
3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES — Mise à jour fréquentes. Inconvénients — Interface Web pas intuitif. — Toutes les fonctions ne peuvent pas être configurées via l’interface Web. 3.7.3 pfSense pfSense est une distribution gratuite, open source et personnalisée de FreeBSD spécialement conçue pour être utilisée comme un pare-feu et un routeur entièrement gérée via une interface Web. En plus d’être une plateforme de pare-feu et de routage puissante et flexible, elle comprend une longue liste de fonctionnalités et un système de package permettant une évolutivité supplémentaire sans ajouter de potentielles failles de sécurité à la distribution de base. [17] Avantages — La configuration initiale est très facile. — Fréquemment mis à jour. — Considéré comme une solution qui est très robuste. — Les développeurs de pfSense (Netgate) sont assez réactive contre les menaces. — Possède une documentation officielle très riche et assez détaillées. — Interface web facile à utiliser et à comprendre. — Possibilité de voir le trafic entrant et sortant sous forme de graphe. — Permet l’ajout facile de fonctionnalité avec le package manager. Inconvénients — Dans un environnement virtuel impossible de changer la valeur de la RAM attribuée. — Impossible de consulter les fichiers de logs depuis l’interface Web. 3.7.4 Caractéristiques des 3 solutions étudiées Ci-dessous un tableau comparatif des différentes caractéristiques que propose chacun des pares-feux étudiés [16] [18] [19] : 22
CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Caractéristiques OPNsense IPFire pfSense Totalement contrôlable à partir de l’interface graphique x x Proxy x x x Server et relais DHCP (IP4 et IP6) x x x DNS statique x x x DNS dynamique x x x DNS forwarder x x x Telnet x SSH x x x NTP (Serveur de temps) x x x WEB GUI via HTTP x x x WEB GUI via HTTPS x x x Protocole IPsec x x x Protocole PPTP x x Protocole L2tp x x Protocole OpenVPN x x x Chiffrement RSA x Chiffrement DES x Chiffrement AES x Load balancing x x x Multi-WAN x x Capacité de fail over x x x Priorité selon le type de trafic x x x Lissage de trafic et limitation x x x Commande Traceroute x x x Commande Ping x x x Commande Whois x Filtrage avec état x x x Filtrage de l’URL x x x Filtrage de contenu WEB x x x Temps d’accès par utilisateur x x IDS x x x IPS x x x Antivirus x x x Hotspot/portail captif x x x Routage NAT x x x Routage 1.1 NAT (SNAT) x x x Routage avec Port adresses translation x x x Politique de routage x x x Support de VLAN trunking (802.1q) x x x Mise à jour automatique x x x Possibilité de Backup x x x Possibilité d’ajouter des modules x x x Licence BSD GPL BSD TABLE 3.1 – Comparaison des caractéristiques des trois pare-feu 23
3.8. CONCLUSION 3.8 Conclusion D’après le tableau comparatif, on remarque que pfSense et OPNsense sont très similaires alors qu’IPFire est assez diffèrent. Pour choisir notre pare-feu, on commence par éliminer IPFire étant donné que son interface Web n’est pas très intuitive. Ensuite, entre pfSense et OPNsense, le choix n’est pas évidant, mais on va opter pour l’utilisation de pfSense en raison de sa grande communauté et de sa documentation excellente. 24
Chapitre 4 Virtualisation du réseau d’entreprise 4.1 La présentation de l’architecture cible Afin de mettre en œuvre notre processus de sécurisation du réseau d’entreprise, la première étape de notre travail consiste à implémenter un mini réseau d’entreprise. Ce réseau simulera les principales fonctionnalités né- cessaires au fonctionnement d’une entreprise et est modélisé dans la figure qui suit : FIGURE 4.1 – Représentation du réseau local Notre réseau est composé de : — Un contrôleur de domaine. — Un serveur de messagerie. — Un serveur web interne. — Un serveur web externe. — Des serveurs DNS. — Des postes clients. 25
4.1. LA PRÉSENTATION DE L’ARCHITECTURE CIBLE Pour des raisons évidentes de moyens et de disponibilité des serveurs et des postes clients, l’ensemble de notre environnement de travail sera virtualisé. Notre choix s’est porté sur l’environnement de virtualisation VMware. 4.1.1 Contrôleur de domaine Notre contrôleur de domaine a été déployé dans un environnement Windows 2012 serveur. Notre contrôleur de domaine possède l’adresse IP 192.168.10.1. Il a été renommé SRV-DC et on a attribué un mot de passe fort au compte administrateur. Lors du déploiement du rôle AD DS (Active Directory Domain Services), le service DNS a été déployé sur ce même serveur. Bien que les bonnes pratiques recommandent le déploiement du serveur DNS sur un autre serveur, nous avons été obligés de le déployer sur le contrôleur de domaine à cause du manque de ressources. Une fois le rôle installé, on a créé une nouvelle forêt pour pouvoir créer notre domaine qui se nomme « Entreprise.com ». 4.1.2 Serveur Web Interne À l’instar du contrôleur de domaine, la machine virtuelle est basée sur un environnement Windows Server 2012 ayant comme adresse IP 192.168.10.2. La machine renommée SRV-Web est membre du domaine. Pour créer notre serveur web, on déploie le rôle Serveur Web (IIS) avec ces fonctionnalités. Une fois le rôle installé, on attribue un alias au serveur à l’aide du gestionnaire DNS présent dans le contrôleur de domaine (l’alias aura comme nom ‘web’). Ce serveur Web hébergera le site web de notre entreprise qui sera accessible pour tous les postes clients du domaine. 4.1.3 Serveur de messagerie On crée une machine basée sur un environnement Windows Server 2012 ayant comme adresse 192.168.10.3 et nommé SRV-Mail. Pour avoir notre serveur de messagerie, on installe Exchange Server 2013. Avant de pouvoir installer Exchange Server 2013, on doit d’abord configurer le serveur avec les prérequis suivants : Installer plusieurs fonctionnalités, et ce, en exécutant les commandes suivantes dans PowerShell [20] : >INSTALL-WINDOWSFEATURE AS-HTTP-ACTIVATION, DESKTOP-EXPERIENCE, NET-FRAMEWORK-45-FEATURES, RPC-OVER-HTTP-PROXY, RSAT-CLUSTERING, RSAT-CLUSTERING-CMDINTERFACE, RSAT-CLUSTERING-MGMT, RSAT-CLUSTERING-POWERSHELL, WEB-MGMT-CONSOLE, WAS-PROCESS-MODEL, WEB-ASP-NET45, WEB-BASIC-AUTH, WEB-CLIENT-AUTH, WEB-DIGEST-AUTH, WEB-DIR-BROWSING, WEB-DYN-COMPRESSION, WEB-HTTP-ERRORS, WEB-HTTP-LOGGING, WEB-HTTP-REDIRECT, WEB-HTTP-TRACING, WEB-ISAPI-EXT, WEB-ISAPI-FILTER, WEB-LGCY-MGMT-CONSOLE, WEB-METABASE, WEB-MGMT-CONSOLE, WEB-MGMT-SERVICE, WEB-NET-EXT45, WEB-REQUEST-MONITOR, WEB-SERVER, WEB-STAT-COMPRESSION, WEB-STATIC-CONTENT, WEB-WINDOWS-AUTH, WEB-WMI, WINDOWS-IDENTITY-FOUNDATION >INSTALL-WINDOWSFEATURE RSAT-ADDS 26
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE Télécharger et installer les composant suivants [20] : — Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit. — Microsoft Office 2010 Filter Pack 64-bit. Une fois ces prérequis installés, on commence l’installation de Exchange Server 2013. Lors de l’installation on choisit d’installer les 2 rôles suivants dans notre serveur : Mailbox Role et Client Access Role. Une fois l’installa- tion terminée, on peut accéder au Centre d’administration Exchange, en entrant l’URL suivante dans le navigateur : https ://mail.entreprise.com/ecp, et commencer la configuration de notre serveur de messagerie. Premièrement, on ajoute une stratégie d’adresse de messagerie pour définir la manière dont les adresses mail sont attribuées aux membres du domaine. Ensuite, on configure les boîtes aux lettres des utilisateurs, groupes de distribution et contacts. Enfin, on configure une adresse qui fera office de Postmaster. 4.1.4 Poste clients Tous les postes clients utilisent Windows 7 comme system d’exploitation, chaque poste est évidemment membre du domaine. En plus, chaque poste doit avoir accès au site Web de l’entreprise et la boîte aux lettres Out- look en utilisant respectivement les URL suivantes : http ://web.entreprise.com/ , https ://mail.entreprise.com/owa 4.1.5 Serveur Web externe En plus des serveurs qu’on vient de citer, on ajoute un nouveau serveur web externe. L’objective de ce serveur est d’héberger le site web de l’entreprise pour permettre aux utilisateurs externes au domaine d’accéder au site web à travers Internet. 4.1.6 Serveur DNS externe Ce serveurs DNS permet de rediriger les utilisateurs externes vers le serveur web externe et ainsi avoir accès au site web de l’entreprise. 4.2 Sécurisation du réseau L’architecture présentée précédemment (voir figure 4.1) ne comporte aucun mécanisme de sécurité ou de fil- trage. Afin de remédier à ce problème, nous allons déployer un pare-feu. Au préalable, il sera nécessaire de seg- menter notre réseau en quatre zones comme le montre la figure suivante : 27
4.2. SÉCURISATION DU RÉSEAU FIGURE 4.2 – Représentation du réseau avec un pare-feu Les objectifs de ces zones sont les suivants : — Zone des postes clients : cette zone contient tous les postes clients de l’entreprise et permet de réglementer le trafic entrant et sortant de la zone en appliquant une politique de sécurité adaptée aux clients. — Zone des serveurs : cette zone contient tous les serveurs de l’entreprise et permet d’assurer la sécurité de ces serveurs en régulant le trafic entrant dans la zone. — Zone démilitarisée (DMZ) : cette zone contient le site web de l’entreprise. L’objectif est de garantir l’accès au site web pour les utilisateurs à travers Internet et de les empêcher d’accéder au reste du réseau. — Zone d’administration : cette zone permet de limiter l’administration des serveurs, du pare-feu et des postes clients sur cette zone. De la sorte, seuls les postes hébergés dans cette zone sont autorisées à effectuer les tâches d’administration. 4.2.1 Création de la machine virtuel pfSense Tout d’abord, on commence par l’installation de notre pare-feu. On doit télécharger une version ISO de pfSense version 2.4.5 (64-bits) à l’URL suivante : https ://www.pfsense.org/download/. Dans VMware, on clique sur File puis New Virtual Machine ensuite, on configure notre machine avec les paramètres suivants : 28
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.3 – Paramètres de la machine virtuelle pfSense 4.2.2 Installation de pfSense On allume la machine qu’on vient de créer et on commence l’installation : — On accepte la notice de Copyright. FIGURE 4.4 – Copyright de pfSense — Dans la page de bienvenue, on choisit Install. FIGURE 4.5 – Message de bienvenue pour l’installation de pfSense — On sélectionne la disposition de clavier de notre choix. 29
4.2. SÉCURISATION DU RÉSEAU FIGURE 4.6 – Installation de pfSense : sélection du clavier — Concernant le partitionnement, on choisit l’Auto (UFS) car le partitionnement ZFS demande énormément de RAM. Donc, dans notre cas, il serait préférable d’utiliser le partitionnement UFS. [21] FIGURE 4.7 – Choix du partitionnement du disque — Une fois l’installation terminée, on redémarre la machine. 4.2.3 Configuration de pfSense Au démarrage de pfSense on a le menu suivant : FIGURE 4.8 – Menue des options sur la console pfSense — La première chose à faire est d’assigner les interfaces. 30
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.9 – Affectation des interfaces — Dans notre cas, on n’a pas besoin de VLAN car le mieux est de segmenter le réseau physiquement en utilisant différentes interfaces chose qu’on peut facilement faire dans un environnement virtuel. FIGURE 4.10 – Confirmation de l’affectation des interfaces — Ensuite, on configure l’adresse IP de l’interface LAN, qui sera 192.168.10.200, pour pouvoir accéder à l’interface Web pfSense. — Maintenant, on se connecte à l’interface web à l’adresse : http ://192.168.10.200 avec les identifiants par défaut qui sont : • Username : admin • Password : pfSense — Une fois connecté, on configure les interfaces : • Interfaces > WAN : * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.1.44/24 • Interfaces > LAN : * Description : SERVEURS * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.10.200/24 • Interfaces > OPT1 : * Enable interface : ON * Description : CLIENTS * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.15.200/24 • Interfaces > OPT2 : * Enable interface : ON * Description : DMZ 31
4.2. SÉCURISATION DU RÉSEAU * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.20.200/24 • Interfaces > OPT3 : * Enable interface : ON * Description : ADMINISTRATION * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.5.200/24 — Pour confirmer ces changements on clique sur Apply Changes. — Ainsi, pour résumer on a la configuration suivante : Nom de la zone Adresse réseau Nom de l’interface Adresse de l’interface Internet 192.168.1.0/24 em0 -> WAN 192.168.1.44 Administration 192.168.5.0/24 em4 -> OPT3 192.168.5.200 Serveurs 192.168.10.0/24 em1 -> LAN 192.168.10.200 Clients 192.168.15.0/24 em2 -> OPT1 192.168.15.200 DMZ 192.168.20.0/24 em3 -> OPT2 192.168.20.200 TABLE 4.1 – Résumé de la configuration des différentes interfaces 4.2.4 Mise en place des règles des interfaces Avant de définir les règles, on ajoute des alias de ports et d’adresses IP pour faciliter l’ajout et la lecture des règles. Les alias sont les suivants [22] : FIGURE 4.11 – Les alias de ports du pare-feu FIGURE 4.12 – Les alias IP du pare-feu Maintenant, on peut configurer les règles requises pour chaque interface de la sorte : 32
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE — On se connecte à l’interface web pfSense, puis : Firewall > Rules. On a les onglets suivants qui servent à définir les règles pour chacune des interfaces. FIGURE 4.13 – Onglets des règles de pare-feu pour les différentes interfaces — On commence par les règles de l’interface CLIENTS : sur cette interface, on commence par autoriser le port HTTP pour permettre aux utilisateurs de consulter le site Web de l’entreprise. Puis, on autorise tous les ports nécessaires (voir figure 4.14) pour le fonctionnement du contrôleur de domaine comme : l’authentification des utilisateurs ou l’application des GPO. Ensuite, on continue à autoriser les ports requis pour l’échange des mails avec Exchange [23]. Pour finir, on bloque toutes les communications allant de la zone CLIENTS vers les autres zones (SERVEURS, DMZ, ADMINISTRATION) comme le montre la figure suivante : FIGURE 4.14 – Les règles de pare-feu définies sur l’interface CLIENTS — Ici le « CLIENTS net », « SERVEURS net », « DMZ net » et « ADMINISTRATION net » font référence à toutes les machines qui se trouvent dans le réseau des interfaces respectivement CLIENTS, SERVEURS, DMZ et ADMINISTRATION. — De la même manière, on configure les règles de l’interface SERVEURS de la sorte : 33
4.2. SÉCURISATION DU RÉSEAU FIGURE 4.15 – Les règles de pare-feu définies sur l’interface SERVEURS — Sur cette interface, la seule règle importante est la deuxième qui est indispensable pour l’échange des mails. Et on bloque les communications vers les autres zones. — Concernant la zone DMZ, les règles à appliquer sont les suivants : FIGURE 4.16 – Les règles de pare-feu définies sur l’interface DMZ — Dans la zone démilitarisée, on bloque tous trafic allant à la zone CLIENTS, SERVEURS ou ADMINIS- TRATION depuis la DMZ, mais on autorise les ports exigés le contrôleur de domaine comme l’authentifi- cation des utilisateurs ou l’application des GPO. — Pour permettre l’accès au site Web du serveur Web externe à partir de l’extérieur, on ajoute deux règles redirection de port NAT : 34
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.17 – Les règles redirection de port NAT FIGURE 4.18 – Les règles de pare-feu définies sur l’interface WAN — De la sorte, il suffit que l’utilisateur externe au domaine configure son DNS comme étant le serveur DNS de notre DMZ et en tapant « entreprise.com » sur son navigateur notre site s’affiche comme prévu. — Pour finir, on ajoute les règles de l’interface ADMINISTRATION : FIGURE 4.19 – Les règles de pare-feu définies sur l’interface ADMINISTRATION — Pour l’administration, on a besoin du port RDP (Remote Desktop Protcol) pour permettre la connexion à distance depuis la zone Administration aux différents serveurs et postes clients. Et encore une fois, on bloque le trafic vers les autres zones tout en autorisant les ports requis pour le contrôleur de domaine. 35
4.2. SÉCURISATION DU RÉSEAU 4.2.5 Mise en place des règles anti intrusion Parmi les avantages qu’offre pfSense est l’utilisation des packages. Les packages permettent d’ajouter des fonc- tionnalités a pfSense. Ils fournissent des services et des utilitaires supplémentaires introuvables dans l’installation de base. Parmi ces packages, on a le package Snort. Snort est un système open source très populaire de détection et de prévention des intrusions (IDS/IPS). Il est capable d’effectuer, une analyse trafic en temps réel et une journalisation des paquets sur les réseaux IP. Il a trois utilisations principales : il peut être utilisé comme un renifleur de paquet simple, un enregistreur de paquets ou comme un système complet de prévention des intrusions sur le réseau. [24] Pour installer et configurer Snort sur pfSense on suit les étapes suivantes : — Dans l’interface Web pfSense : System > Package Manager > Available Packages. On recherche « snort » puis on l’installe. — Une fois installé, on se dirige vers : Services > Snort > Global Settings pour commencer la configuration. — Snort offre trois ensembles de règles : Snort Vulnerability Research Team (VRT) Rules, Snort GPLv2 Com- munity Rules et Emerging Threats (ET) Rules. — La VRT Rules possède deux types de règle une pour les utilisateurs abonnés et une autre pour les utilisateurs inscrits. La différence entre les deux est que les utilisateurs inscrits ont un retard de 30 jours sur les règles par rapport aux utilisateurs abonnés [25]. — Pour un fonctionnement idéal de Snort. Ce dernier a besoin d’énormément de RAM, plus on applique de règles plus la consommation de la mémoire est conséquente. Puisque dans notre cas, la mémoire vive est une ressource précieuse, on a choisi de se limiter à deux ensembles de règles. — Les deux ensembles sont la Emerging Threats Rules et l’offre des utilisateurs inscrits de Snort VRT Rules. On a choisi ces deux règles car une fois combinées on à un nombre de règles conséquent qui permet d’avoir un assez bon IDS/IPS. Bien qu’utiliser l’ensemble Snort GPLv2 Community Rules, aiderais à avoir une meilleure sécurité. FIGURE 4.20 – Choix de Snort Vulnerability Research Team (VRT) Rules FIGURE 4.21 – Choix de Emerging Threats (ET) Rules 36
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE — Toujours dans la même page, on configure la fréquence de mise à jour des règles. FIGURE 4.22 – Choix de la fréquence de mise a jour des règles — Maintenant, on peut télécharger ces règles dans l’onglet : Services > Snort > Updates. — Une fois les règles téléchargées, on peut appliquer Snort sur une interface dans l’onglet : Services > Snort > Snort Interfaces. FIGURE 4.23 – Choix de l’interface dont Snort va être appliqué 4.2.6 Mise en place d’un proxy Pour installer un proxy dans notre pare-feu, on télécharge le package Squid. Squid est un proxy Web prenant en charge HTTP, HTTPS, FTP, etc. Il réduit la bande passante et améliore le temps de réponse en mettant en cache et en réutilisant les pages Web fréquemment demandées. Squid offre un environnement de contrôle d’accès, d’autorisation et de journalisation comme il offre aussi un riche ensemble d’options d’optimisation du trafic, dont la plupart sont activées par défaut pour une installation plus simple et de hautes performances [26]. Pour installer et configurer Squid sur pfSense on suit les étapes suivantes : — Dans : System > Package Manager > Available Packages. On recherche « Squid » et on l’Installe. 37
4.2. SÉCURISATION DU RÉSEAU — Une fois installer, on peut directement commencer la configuration dans : Services > Squid Proxy Server > General. De la sorte : FIGURE 4.24 – Paramètre général de Squid — Toujours dans la même page, on configure les paramètres de journalisation : FIGURE 4.25 – Paramètres de journalisation de Squid — Puis, les paramètres de mise en cache : FIGURE 4.26 – Paramètres de mise en cache de Squid — Enfin, pour s’assurer que tous les utilisateurs du domaine utilisent bien notre proxy, on crée une GPO : 38
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.27 – GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine 4.2.7 Mise à l’épreuve du pare-feu Après avoir défini les règles de pare-feu et configurer les packages correctement, on doit s’assurer que notre pare-feu répond à nos exigences. Afin de tester nos règles, on utilise « nmap » qui est un outil open source pour l’analyse des vulnérabilités. Dans notre cas, nmap va nous permettre de scanner les ports de nos différentes ma- chines pour trouver d’éventuelles failles dans le comportement du pare-feu. Premièrement, on test notre infrastructure. En scannant le réseau depuis Internet, on trouve les résultats sui- vants : FIGURE 4.28 – Résultats du scan TCP depuis Internet FIGURE 4.29 – Résultats du scan UDP depuis Internet On remarque que les ports ouverts sont ceux qu’on a explicitement ouverts comme le port 53 (DNS) et le port 80 (HTTP) qui sont nécessaires pour que le site Web de l’entreprise soit accessible depuis Internet. Après, on test les règles de chacune de nos zones. On commence par la DMZ, on scan le serveur web externe depuis les quatre différentes zones et on trouve les résultats suivants : — Le scan depuis la zone DMZ : 39
4.2. SÉCURISATION DU RÉSEAU FIGURE 4.30 – Résultats du scan du serveur Web externe depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.31 – Résultats du scan du serveur Web externe depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.32 – Résultats du scan du serveur Web externe depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.33 – Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION Ensuite, on continue avec le scan d’un client de la zone CLIENTS toujours depuis les quatre différentes zones et on trouve les résultats suivants : — Le scan depuis la zone DMZ : FIGURE 4.34 – Résultats du scan d’un client depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.35 – Résultats du scan d’un client depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.36 – Résultats du scan d’un client depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.37 – Résultats du scan d’un client depuis la zone ADMINISTRATION Encore une fois, on scan notre serveurs Web interne présent dans la zone SERVEUR : — Le scan depuis la zone DMZ : 40
CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.38 – Résultats du scan de serveur Web Interne depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.39 – Résultats du scan de serveur Web Interne depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.40 – Résultats du scan de serveur Web Interne depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.41 – Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION Pour finir, on scan un poste client de la zone ADMINISTRATION : — Le scan depuis la zone DMZ : FIGURE 4.42 – Résultats du scan du client de l’administration depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.43 – Résultats du scan du client de l’administration depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.44 – Résultats du scan du client de l’administration depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.45 – Résultats du scan du client de l’administration depuis la zone ADMINISTRATION Donc, en analysant les résultats des différents tests, on peut conclure que le fonctionnement du pare-feu répond à nos attentes de telle sorte que les seuls ports qu’on a trouvé ouverts correspondent aux ports qu’on a explicitement autorisé dans nos règles de pare-feu. 41
Conclusion General À travers ce mémoire, nous avons essayé de simuler au mieux un réseau d’entreprise dans un environnement virtuel et ce avec nos contraintes matérielles, surtout par rapport à la mémoire vive qui représente une ressource précieuse. Malgré ces contraintes, on est parvenue à créer un réseau qui permet de remplir notre objectif, c’est-à- dire sécurisé un réseau d’entreprise. Pour sécuriser notre réseau, on a choisi de travailler avec pfSense, un pare-feu professionnel open-source. D’abord, on a fragmenté notre réseau en quatre zones différentes tels-que chaque zone possède un objective unique. Ensuite, on a appliqué des règles de pare-feu sur chacune des zones pour permettre de contrôler le trafic entre les zones. L’un des avantages des pare-feu open-source est de pouvoir installer des packages ce qui leur offre une grande flexibilité. Or, pour améliorer notre travail, il faudrait prévoir plus de mémoire vive pour le pare-feu (au minimum un Gigaoctets). De la sorte, on peut installer plus de packages notamment « pfBlocker » qui permet de bloquer des adresses IP ou bien « darkstat » pour avoir une meilleure vue sur le trafic qui passe par le pare-feu. On peut aussi envisager la configuration d’un VPN pour pouvoir se connecter a notre réseau depuis Internet en toute sécurité. 42
Bibliographie [1] “Technologies de l’information.” https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5: v1:fr. Accès le 16 Février 2020. [2] “Définition du risque informatique.” https://www.oqlf.gouv.qc.ca/ressources/bibliotheque/ dictionnaires/terminologie_sec_informatique/risque_informatique.html. Accès le 12 Fé- vrier 2020. [3] “Définition de la vulnérabilité informatque.” https://www.oqlf.gouv.qc.ca/ressources/ bibliotheque/dictionnaires/terminologie_sec_informatique/vulnerabilite.html. Ac- cès le 12 Février 2020. [4] J.-F. P. et J.-P. BAY, Tout sur la sécurité informatique. Dunod, 2013. [5] “It explained : Le reniflage de paquets.” https://www.fr.paessler.com/it-explained/ packet-sniffing. Accès le 16 Février 2020. [6] “Owasp top ten.” https://owasp.org/www-project-top-ten/. Accès le 16 Février 2020. [7] “Qu’est-ce que le chiffrement des données?.” https://www.kaspersky.fr/resource-center/ definitions/encryption. Accès le 07 Avril 2020. [8] S. GHERNAOUTI-HÉLIE, Sécurité informatique et réseaux. Dunod, 2011. [9] “What is antivirus software (antivirus program)?.” https://searchsecurity.techtarget.com/ definition/antivirus-software. Accès le 07 Avril 2020. [10] “Qu’est-ce qu’un pare-feu?.” https://www.cisco.com/c/fr_fr/products/security/firewalls/ what-is-a-firewall.html. Accès le 26 Février 2020. [11] “What is an intrusion prevention system?.” https://www.paloaltonetworks.com/cyberpedia/ what-is-an-intrusion-prevention-system-ips. Accès le 28 Février 2020. [12] C. W. et L. BLOCH, Sécurité informatique : Principes et méthodes. Eyrolles, 2013. [13] “Chapitre 2 : le firewall, une technique de protection.” http://firewalls.chez.com/chapitre2.html. Accès le 18 Mars 2020. [14] P. J. e. P. O. G. AVOINE, Sécurité informatique. Vuibert, 2010. [15] “About opnsense.” https://opnsense.org/about/about-opnsense/. Accès le 15 Avril 2020. 43
BIBLIOGRAPHIE [16] “Ipfire features.” https://www.ipfire.org/features. Accès le 17 Avril 2020. [17] “pfsense overview.” https://www.pfsense.org/about-pfsense/. Accès le 15 Avril 2020. [18] “pfsense firewall appliance features.” https://www.netgate.com/solutions/pfsense/features. html. Accès le 17 Avril 2020. [19] “Opnsense’s documentation.” https://docs.opnsense.org/intro.html#feature-set. Accès le 17 Avril 2020. [20] D. ELFASSY, Mastering Microsoft Exchange Server 2013. Sybex, 2013. [21] “Installing and upgrading - perform the installation | pfsense documentation.” https://docs.netgate. com/pfsense/en/latest/book/install/perform-install.html. Accès le 20 Avril 2020. [22] “Active directory and active directory domain services port requirements.” https://docs.microsoft. com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ dd772723(v=ws.10)?redirectedfrom=MSDN. Accès le 18 Mai 2020. [23] “Network ports for clients and mail flow in exchange 2013.” https://docs.microsoft.com/en-us/ exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help. Accès le 18 Mai 2020. [24] “Snort faq.” https://www.snort.org/faq/what-is-snort. Accès le 16 Mai 2020. [25] “What are the differences in the rule sets?.” https://www.snort.org/faq/ what-are-the-differences-in-the-rule-sets. Accès le 16 Mai 2020. [26] “What is squid?.” http://www.squid-cache.org/Intro/. Accès le 17 Juin 2020. 44

Empfohlen

Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsbiapy
 

Empfohlen

Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsbiapy
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokAbdessamad IDRISSI
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWANMed Amine El Abed
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur ZabbixDamien Morisseau
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagiosilyassin
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationImplémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationRihab Chebbah
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
siem.pdf
siem.pdfsiem.pdf
siem.pdftomtestsecurite
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelTidiane Sylla
 

Weitere ähnliche Inhalte

Was ist angesagt?

Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokAbdessamad IDRISSI
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagiosilyassin
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationImplémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationRihab Chebbah
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 

Was ist angesagt? (20)

Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwok
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Présentation de nagios
Présentation de nagiosPrésentation de nagios
Présentation de nagios
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - PrésentationImplémentation de la QoS au sein d'un IP/MPLS - Présentation
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 

Ähnlich wie Protection-dun-réseau-dentreprise-via-un-firewall.pdf

Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelTidiane Sylla
 
anssi-guide-passerelle_internet_securisee-v3.pdf
anssi-guide-passerelle_internet_securisee-v3.pdfanssi-guide-passerelle_internet_securisee-v3.pdf
anssi-guide-passerelle_internet_securisee-v3.pdfBadr Belhajja
 
Rapport Projet Application Web De Domotique Arduino - Liotard Roulleau
Rapport Projet Application Web De Domotique Arduino - Liotard RoulleauRapport Projet Application Web De Domotique Arduino - Liotard Roulleau
Rapport Projet Application Web De Domotique Arduino - Liotard RoulleauNicolas Roulleau
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...yosra fraiji
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testahmed oumezzine
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)safwenbenfredj
 
Wifiprofessionnellanorme80211ledeploiementlasecurite
Wifiprofessionnellanorme80211ledeploiementlasecuriteWifiprofessionnellanorme80211ledeploiementlasecurite
Wifiprofessionnellanorme80211ledeploiementlasecuriteRiadh Briki
 
Projet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsProjet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsUniversité de Rennes 1
 
Lavorare con java 6
Lavorare con java 6Lavorare con java 6
Lavorare con java 6Pi Libri
 
Introduction aux réseaux informatiques
Introduction aux réseaux informatiquesIntroduction aux réseaux informatiques
Introduction aux réseaux informatiqueslmodadam
 
Manuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMManuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMGrégoire Dupont
 
Android VoIP/SIP Softphone
Android VoIP/SIP SoftphoneAndroid VoIP/SIP Softphone
Android VoIP/SIP SoftphoneHamza Lazaar
 
Bitdefender is 2014_user_guide_fr
Bitdefender is 2014_user_guide_frBitdefender is 2014_user_guide_fr
Bitdefender is 2014_user_guide_frIlo Rium
 

Ähnlich wie Protection-dun-réseau-dentreprise-via-un-firewall.pdf (20)

siem.pdf
siem.pdfsiem.pdf
siem.pdf
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM Nortel
 
anssi-guide-passerelle_internet_securisee-v3.pdf
anssi-guide-passerelle_internet_securisee-v3.pdfanssi-guide-passerelle_internet_securisee-v3.pdf
anssi-guide-passerelle_internet_securisee-v3.pdf
 
Rapport Projet Application Web De Domotique Arduino - Liotard Roulleau
Rapport Projet Application Web De Domotique Arduino - Liotard RoulleauRapport Projet Application Web De Domotique Arduino - Liotard Roulleau
Rapport Projet Application Web De Domotique Arduino - Liotard Roulleau
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de test
 
rapport_stage_TBLB.pdf
rapport_stage_TBLB.pdfrapport_stage_TBLB.pdf
rapport_stage_TBLB.pdf
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
 
Wifi pro
Wifi proWifi pro
Wifi pro
 
Guide de sécurité_réseau
Guide de sécurité_réseauGuide de sécurité_réseau
Guide de sécurité_réseau
 
Wifiprofessionnellanorme80211ledeploiementlasecurite
Wifiprofessionnellanorme80211ledeploiementlasecuriteWifiprofessionnellanorme80211ledeploiementlasecurite
Wifiprofessionnellanorme80211ledeploiementlasecurite
 
Projet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsProjet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objets
 
Report Master
Report MasterReport Master
Report Master
 
Lavorare con java 6
Lavorare con java 6Lavorare con java 6
Lavorare con java 6
 
Introduction aux réseaux informatiques
Introduction aux réseaux informatiquesIntroduction aux réseaux informatiques
Introduction aux réseaux informatiques
 
Belwafi bilel
Belwafi bilelBelwafi bilel
Belwafi bilel
 
Belwafi bilel
Belwafi bilelBelwafi bilel
Belwafi bilel
 
Manuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEMManuel du module additionnel RF-LAMINATE pour RFEM
Manuel du module additionnel RF-LAMINATE pour RFEM
 
Android VoIP/SIP Softphone
Android VoIP/SIP SoftphoneAndroid VoIP/SIP Softphone
Android VoIP/SIP Softphone
 
Bitdefender is 2014_user_guide_fr
Bitdefender is 2014_user_guide_frBitdefender is 2014_user_guide_fr
Bitdefender is 2014_user_guide_fr
 

Protection-dun-réseau-dentreprise-via-un-firewall.pdf

  • 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université des sciences et de la technologie Houari Boumédiène Faculté d’Electronique et Informatique Département Informatique Mémoire de fin de cycle En vue de l’obtention d’une licence Informatique Option : Génie des Télécommunications et Réseaux Thème Protection d’un réseau d’entreprise avec un pare-feu Présenté par : BOUKADOUM Youcef Islem MELLAH Mouloud Sous la direction de : Mr BERBAR Ahmed Année universitaire 2019/2020
  • 2. Remerciements Nous souhaitons adresser nos remerciements les plus sincères aux personnes qui nous ont apporté leur aide et qui ont contribué de près ou de loin à l’élaboration de ce mémoire. Nous tenons dans un premier lieu remercié notre encadreur Mr BERBAR Ahmed pour sa patience, sa disponibilité et ces conseils durant tout le long de notre projet sans quoi la construction de ce travail n’aurait pas pu être possible. Nous adressons aussi nos remerciements aux membres du jury pour l’intérêt qu’ils ont porté à notre travail en acceptant de l’examiner. Enfin, n’oublions pas de remercier nos familles et nos amis pour leurs soutiens inconditionnels et leurs encou- ragements.
  • 3. Résumé Un pare-feu permet d’isoler et de protéger plusieurs réseaux en fonction de leur degré de confiance. Dans ce projet, nous avons créé un environnement virtuel afin de simuler un réseau informatique d’entreprise fonctionnelle que nous avons sécurisé avec un pare-feu. Dans un premier temps, nous avons défini les concepts fondamentaux de la sécurité informatique en donnant un aperçu sur les différentes menaces informatiques. Puis, nous avons présenté les différents moyens et outils pour faire face à ces menaces. Ensuite, on a fait une étude approfondie sur le fonctionnement des pare-feu ce qui nous a permis de connaître comment utiliser au mieux un pare-feu, ainsi que les limites de ce dernier et les critères permettant de choisir un pare-feu. Pour choisir notre pare-feu, nous avons fait une étude afin de comparer les pare-feu open-source à notre disposition. Finalement, on a réalisé notre environnement virtuel en installant tous les serveurs et postes clients nécessaires. Puis, on a sécurisé notre réseau en installant notre pare-feu, ce qui a permis de segmenter le réseau en quatre zones. Une fois les zones mis en place, on pouvait commencer à rédiger nos règles des interfaces du pare-feu. Pour finir, afin de s’assurer que notre pare-feu est bien fonctionnel, on a mis à l’épreuve le pare-feu en effectuant un ensemble de tests.
  • 4. Table des matières 1 Les risques et menaces liés à la Sécurité informatique 1 1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2.1 Sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2.2 Menace informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.3 Risque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.4 Vulnérabilité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.5 Attaque informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 Les menaces informatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.1 Menace passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.2 Menace active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3.3 Exemple de menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 Les Techniques, outils et moyens de sécurités 7 2.1 Le chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2 Serveur proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3 Réseaux Privés Virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.4 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.5 Pare-feu (firewall) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.6 Détection d’intrusion (IDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.7 Prévention d’intrusion (IPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 Étude des Pares-feux et comparaison des solutions existantes 12 3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.2 Principe de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.1 Fonctions de cloisonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2.2 Fonction de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.2.3 Fonctions de relais et de masque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 i
  • 5. TABLE DES MATIÈRES 3.3 Zone démilitarisée (DMZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.4 Les limites de système pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.5 Critères de choix d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.6 Architecture de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.6.1 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6.2 Passerelle double – le réseau bastion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6.3 Pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.6.4 Pare-feu avec sous réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.7 Etude comparative des solutions existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.7.1 OPNsense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.7.2 IPFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.7.3 pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.7.4 Caractéristiques des 3 solutions étudiées . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4 Virtualisation du réseau d’entreprise 25 4.1 La présentation de l’architecture cible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.1.1 Contrôleur de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.2 Serveur Web Interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.3 Serveur de messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.1.4 Poste clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.1.5 Serveur Web externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.1.6 Serveur DNS externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2 Sécurisation du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2.1 Création de la machine virtuel pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.2.2 Installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.2.3 Configuration de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.2.4 Mise en place des règles des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.2.5 Mise en place des règles anti intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.6 Mise en place d’un proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2.7 Mise à l’épreuve du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Conclusion General 42 Bibliographie 44 ii
  • 6. Table des figures 1.1 Illustration d’une attaque DDoS sur un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.2 Illustration d’une attaque MITM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.1 Illustration d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.2 Fonction de cloisonnement de filtre d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.3 Exemple de pare-feu applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.4 Illustration d’un réseau avec DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.5 Pare-feu avec routeur de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.6 Illustration d’une passerelle double . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.7 Illustration de pare-feu avec réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.8 Illustration d’un pare-feu avec sous-réseau de filtrage . . . . . . . . . . . . . . . . . . . . . . . . 20 4.1 Représentation du réseau local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.2 Représentation du réseau avec un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.3 Paramètres de la machine virtuelle pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.4 Copyright de pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.5 Message de bienvenue pour l’installation de pfSense . . . . . . . . . . . . . . . . . . . . . . . . 29 4.6 Installation de pfSense : sélection du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.7 Choix du partitionnement du disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.8 Menue des options sur la console pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.9 Affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.10 Confirmation de l’affectation des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.11 Les alias de ports du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.12 Les alias IP du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.13 Onglets des règles de pare-feu pour les différentes interfaces . . . . . . . . . . . . . . . . . . . . 33 4.14 Les règles de pare-feu définies sur l’interface CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 33 4.15 Les règles de pare-feu définies sur l’interface SERVEURS . . . . . . . . . . . . . . . . . . . . . 34 4.16 Les règles de pare-feu définies sur l’interface DMZ . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.17 Les règles redirection de port NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 iii
  • 7. TABLE DES FIGURES 4.18 Les règles de pare-feu définies sur l’interface WAN . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.19 Les règles de pare-feu définies sur l’interface ADMINISTRATION . . . . . . . . . . . . . . . . . 35 4.20 Choix de Snort Vulnerability Research Team (VRT) Rules . . . . . . . . . . . . . . . . . . . . . . 36 4.21 Choix de Emerging Threats (ET) Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.22 Choix de la fréquence de mise a jour des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.23 Choix de l’interface dont Snort va être appliqué . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.24 Paramètre général de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.25 Paramètres de journalisation de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.26 Paramètres de mise en cache de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.27 GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine . . . . . . . . . . . . 39 4.28 Résultats du scan TCP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.29 Résultats du scan UDP depuis Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.30 Résultats du scan du serveur Web externe depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40 4.31 Résultats du scan du serveur Web externe depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 40 4.32 Résultats du scan du serveur Web externe depuis la zone SERVEURS . . . . . . . . . . . . . . . 40 4.33 Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION . . . . . . . . . . . 40 4.34 Résultats du scan d’un client depuis la zone DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.35 Résultats du scan d’un client depuis la zone CLIENTS . . . . . . . . . . . . . . . . . . . . . . . 40 4.36 Résultats du scan d’un client depuis la zone SERVEURS . . . . . . . . . . . . . . . . . . . . . . 40 4.37 Résultats du scan d’un client depuis la zone ADMINISTRATION . . . . . . . . . . . . . . . . . 40 4.38 Résultats du scan de serveur Web Interne depuis la zone DMZ . . . . . . . . . . . . . . . . . . . 40 4.39 Résultats du scan de serveur Web Interne depuis la zone CLIENTS . . . . . . . . . . . . . . . . . 41 4.40 Résultats du scan de serveur Web Interne depuis la zone SERVEURS . . . . . . . . . . . . . . . 41 4.41 Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION . . . . . . . . . . . 41 4.42 Résultats du scan du client de l’administration depuis la zone DMZ . . . . . . . . . . . . . . . . . 41 4.43 Résultats du scan du client de l’administration depuis la zone CLIENTS . . . . . . . . . . . . . . 41 4.44 Résultats du scan du client de l’administration depuis la zone SERVEURS . . . . . . . . . . . . . 41 4.45 Résultats du scan du client de l’administration depuis la zone ADMINISTRATION . . . . . . . . 41 iv
  • 8. Liste des tableaux 3.1 Comparaison des caractéristiques des trois pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23 4.1 Résumé de la configuration des différentes interfaces . . . . . . . . . . . . . . . . . . . . . . . . 32 v
  • 9. Chapitre 1 Les risques et menaces liés à la Sécurité informatique 1.1 Introduction Aujourd’hui, les systèmes d’information sont au cœur de toutes entreprises de ce fait toutes menacent peut leur être fatale. Tout appareil connecté à Internet est vulnérable aux attaques et aux menaces qui rôdent dans ce dernier, ainsi garantir la sécurité des systèmes deviens une nécessitée. La sécurité est l’ensemble des mesures permettant d’assurer la protection des biens. En informatique, on dis- tingue deux types : l’information et les données ou les systèmes permettant de traiter, véhiculer et stocker l’infor- mation. 1.2 Termes et définitions 1.2.1 Sécurité informatique La sécurité représente l’ensemble des moyen techniques, organisationnels et humains nécessaires et mis en place pour conserver, rétablir et garantir la sécurité. Elle vise cinq principales caractéristiques [1] : — La Confidentialité : l’information ne doit pas être diffusée ni divulguée à des personnes, des entités ou des processus non autorisés. — L’intégrité : l’information doit être protégée contre toute modification ou destruction accidentelle ou mal- veillante. — La disponibilité : l’information et le système doivent être accessible et utilisable a tout instant par une entité autorisée. — L’authenticité : permet d’assurer l’identification d’une personne ou d’une entité. — La non-répudiation : pouvoir prouver qu’une action a étais effectuée par une personne ou une entité et qu’elle ne peut être niée. 1
  • 10. 1.3. LES MENACES INFORMATIQUES 1.2.2 Menace informatique Une menace est une cause potentielle d’un incident indésirable, qui peut nuire à un système ou à un organisme. Elle peut être accidentelle ou intentionnelle et leur origine naturelle ou humaine. 1.2.3 Risque informatique Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de la perte consécutive à sa réalisation. [2] 1.2.4 Vulnérabilité informatique Les systèmes informatiques sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frau- duleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration, leur destruction ou permettre la violation des données qui s’y trouvent stockées. Ainsi, une vulnérabilité est une faiblesse d’un système se tradui- sant par une incapacité partielle de celui-ci à faire face aux menaces informatiques qui le guettent. [3] 1.2.5 Attaque informatique Une attaque est l’exploitation d’une vulnérabilité par une menace. 1.3 Les menaces informatiques Les menaces peuvent être classifiées en deux types : menace passive et menace active. 1.3.1 Menace passive Ce type de menace ne modifie pas l’état du système. 1.3.2 Menace active Ce type de menace contrairement au premier, altère ou modifie l’état du système et des données qui y transite. 1.3.3 Exemple de menaces Virus Définie généralement comme étant un programme capable de s’installer sur un ordinateur à l’insu de son utili- sateur légitime, une fois installé et lancé, il se charge en mémoire et exécute les instructions que son auteur a pro- grammé. On distingue plusieurs types de virus, on peut en citer quelques-uns : Virus mutants, Virus polymorphes, Rétrovirus, Virus de secteur d’amorçage, Virus de macros, etc. [4] 2
  • 11. CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE Ver Un ver est un type de menace qui peut se reproduire et se propager à travers un réseau en utilisant ses propres mécanismes, sans avoir réellement besoin de support physique ou logique (disque dur, programme hôte, fichier...). [4] Cheval de Troie Le cheval de Troie est un code nuisible caché dans un programme sain. Il permet généralement d’ouvrir une porte dérobée (backdoor) dans un système pour y faire entrer un hacker ou d’autre programmes indésirables. [4] Bombes logiques Une Bombe logique est une menace dont le déclenchement est programmé par son créateur. Ce déclenchement peut se faire suite à une séquence de commande ou après un appel au système prédéfinie par le créateur. [4] Spyware Un spyware (espiogiciel) est un programme chargé de recueillir des informations sur l’utilisateur de l’ordina- teur dans lequel il est installé afin de les envoyer à l’entité qui le diffuse. Généralement les spywares sont installés en même temps que d’autre logiciels. [4] Keylogger Un keylogger est un dispositif d’espionnage chargé d’enregistrer les frappes de touches du clavier et de les enregistrer, à l’insu de l’utilisateur. Il peut servir à des personnes mal intentionnées pour récupérer des mots de passe ou encore avec certains keylogger d’enregistrer les URL visités ou les e-mails consulté ou envoyés. [4] Déni de service Le déni de service (DoS, Denial of Service) est un type d’attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Ce type d’attaque peut toucher tout serveur d’entreprise ou tout particulier relié à Internet. [4] Un déni de service peut être provoqué par plusieurs machines qui envoient simultanément des paquets, on parle alors de déni de service distribué (DDoS, Distributed Denial of Service). 3
  • 12. 1.3. LES MENACES INFORMATIQUES FIGURE 1.1 – Illustration d’une attaque DDoS sur un serveur Usurpation d’adresse IP (Spoofing) L’usurpation d’adresse IP est une technique consistant à remplacer l’adresse IP de l’expéditeur d’un paquet IP par l’adresse IP d’une autre machine. Cette technique permet d’envoyer des paquets anonymement sans que ceux-ci soient interceptés par le système de filtrage de paquets (pare-feu). [4] Reniflage réseau (Sniffing) Le reniflage réseau (ou reniflage de paquets) consiste à rassembler, collecter et consigner tout ou partie des paquets qui transitent par le réseau d’un ordinateur, quelle que soit l’adresse à laquelle ces paquets sont destinés. [5] «Man in The Middle» La menace Man in the Middle (MITM) est un scénario d’attaque dans lequel un pirate écoute une communica- tion entre deux parties et falsifie les échanges en se faisant passer à chaque fois pour l’autre partie. [4] 4
  • 13. CHAPITRE 1. LES RISQUES ET MENACES LIÉS À LA SÉCURITÉ INFORMATIQUE FIGURE 1.2 – Illustration d’une attaque MITM Injections Des failles d’injection, telles que l’injection SQL ou NoSQL, visent les sites web s’appuyant sur des bases de données relationnelles. Ces injections se produisent lorsque des données non-fiables sont envoyées à un interpréteur dans le cadre d’une requête. Ainsi, l’attaquant peut accéder à l’ensemble de la base de données ou même d’en modifier le contenu. [6] Cross-site Scripting (XSS) Des failles XSS se produisent chaque fois qu’une application inclut des données non-fiables dans une nouvelle page Web sans validation appropriée ou met à jour une page Web existante avec des données fournies par l’uti- lisateur à l’aide d’une API de navigateur qui peut créer du HTML ou du JavaScript. XSS permet aux attaquants d’exécuter des scripts dans le navigateur de la victime qui peuvent pirater des sessions utilisateur, défigurer des sites Web ou redirigé l’utilisateur vers des sites malveillants. [6] XML External Entity (XEE) De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichiers, des partages de fichiers internes, de l’analyse des ports internes, de l’exécution de code à distance et des attaques par déni de service. [6] 5
  • 14. 1.3. LES MENACES INFORMATIQUES Authentification brisée Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées de manière incorrecte, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autre failles d’implémentation pour assumer l’identité des autres utilisateurs de manière temporaire ou permanente. [6] Contrôle d’accès cassé (Broken ACL) Lorsque les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non autorisées, comme accéder aux comptes d’autres utilisateurs, afficher des fichiers sensibles, modifier les données d’autre utilisateurs, changer les droits d’accès, etc. [6] 6
  • 15. Chapitre 2 Les Techniques, outils et moyens de sécurités De nos jours la quasi-totalité des ordinateurs sont connectés à Internet ce qui les expose à une panoplie de menaces. Néanmoins, ces ordinateurs ne sont pas sans défense contre les attaques de plus en plus nombreuses et puissantes. Afin de les protéger et garantir un niveau de sécurité acceptable, nous devons utiliser des techniques, des outils et des moyens adaptés afin de contrôler l’accès au réseau, protéger le flux d’information sensible et prévenir les menaces qui rôdes sur Internet. Dans ce chapitre, on définit les techniques et les dispositifs de protection utilisés avant de s’intéressaient plus en particulier aux pare-feu. 2.1 Le chiffrement Le chiffrement est l’opération qui consiste à transformer des données d’un format lisible à un format codé qui peut uniquement être compris ou traité après déchiffrement. Ainsi, on peut garantir la confidentialité et l’authenti- cité de l’information. [7] Les principes du chiffrement se basent sur la notion d’algorithmes de chiffrement et de « clés ». Lorsque l’in- formation est envoyée, elle est chiffrée à l’aide d’un algorithme et peut être décodée uniquement à l’aide de la clé appropriée. Une clé peut être stockée sur le système de réception, ou peut être transmise avec les données chiffrées. Les méthodes de chiffrement se développent parallèlement à l’évolution perpétuelle des logiciels informatiques et des méthodes permettant d’intercepter et de voler les informations [7]. Parmi les méthodes de chiffrement, on peut citer les plus connues : Le chiffrement symétrique C’est une méthode de décodage unique qui doit être fournie au destinataire avant que le message ne puisse être déchiffré. La clé utilisée pour encoder est la même que celle utilisée pour décoder. Autrement, la clé doit être envoyée au destinataire, ce qui augmente le risque de compromission si elle est interceptée par un tiers. L’avantage de cette méthode est qu’elle est beaucoup plus rapide que la méthode asymétrique [7]. 7
  • 16. 2.2. SERVEUR PROXY Le chiffrement asymétrique Le système de chiffrement asymétrique propose un mécanisme implicite de signature de message. L’émetteur chiffre un message avec sa clé privée. Une entité connaissant la clé publique de l’émetteur peut déchiffrer le message et le lire, cela signifie que le message a bien été créé à l’aide de la clé privé correspondante dont l’émetteur est censé en être le seul propriétaire. On peut ainsi s’assurer de l’origine d’un message et en authentifier l’émetteur. [8] Signer électroniquement un document est possible en utilisant un algorithme de chiffrement à clé publique. Pour cela, il suffit d’effectuer les actions suivantes [8] : — Créer un petit message de déclaration d’identité, le chiffrer avec sa clé privée pour constituer une signature que l’on attache au message à envoyer. — Chiffrer ensuite le message et sa signature avec la clé publique du destinataire puis émettre le message. — À sa réception, le destinataire déchiffre le message avec sa clé privée et détache la signature qu’il déchiffre avec la clé publique de l’émetteur. 2.2 Serveur proxy Le serveur proxy est une machine intermédiaire entre les ordinateurs d’un réseau local et Internet. Les serveurs proxy offre un certain nombre de fonctionnalités telles que [2] : Le filtrage Le proxy permet d’assurer un suivi de connexion via les journaux de logs en enregistrant les requêtes des utilisateurs lors de leurs Demandes de connexion à Internet. De ce fait, on peut filtrer les connexions à Internet en analysant d’une part les requêtes des clients, d’autre part les réponses des serveurs tels qu’on peut soit Autoriser les requêtes ou les interdire. L’authentification On peut utiliser le proxy pour l’authentification des utilisateurs ce qui nous permet de donner l’accès aux ressources externes aux seules personnes autorisées et de pouvoir enregistrer dans les fichiers journaux des accès identifiés. La mise en cache La fonction de cache permet de garder temporairement en mémoire les pages les plus fréquemment visitées par les utilisateurs du réseau local afin de les leur fournir le plus rapidement possible. Ceci permet de réduire l’utilisation de la bande passante vers Internet. 8
  • 17. CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS 2.3 Réseaux Privés Virtuels (VPN) Le VPN permet d’obtenir une liaison sécurisée entre deux réseaux locaux à travers Internet. Il utilise un proto- cole, appelé protocole de tunnelisation (tunneling), c’est-à-dire un protocole permettant aux données passant d’une extrémité du VPN à l’autre d’être sécurisées par des algorithmes de chiffrement. Parmi ces protocoles de tunne- lisation on peut en citer quelques-uns : PPTP (Point-to-Point Tunneling Protocol), L2F (Layer Two Forwarding), L2TP (Layer Two Tunneling Protocol) et IPSec. [4] 2.4 Antivirus Les logiciels antivirus sont une classe de programmes conçus pour prévenir, détecter et supprimer les menaces sur les différents systèmes et réseaux informatiques. Autrement dit, un antivirus permet de protéger l’ordinateur contre une grande variété de menace (Keyloggers, ransomware, etc.). L’antivirus fonctionne généralement comme un processus en arrière-plan, analysant les ordinateurs, les ser- veurs ou les appareils mobiles pour détecter et limiter la propagation des menaces [9]. Nombreux antivirus incluent une détection et une protection des menaces en temps réel en utilisant les techniques de détection suivantes [4] : Recherche de signature virale Un virus est programmé pour ne pas infecter le même fichier. Or pour distinguer les fichiers déjà infectés, il y intègre une signature virale. Les antivirus utilisent cette signature qui est propre à chaque menace pour les détecter et les identifier en utilisant sa base virale qui doit être mise à jour. Contrôle d’intégrité Certains antivirus utilisent des contrôleurs d’intégrité qui comme son nom l’indique contrôle l’intégrité des fichiers en surveillant tous les changements tels que la modification, suppression de fichier, etc. De la sorte, le contrôleur d’intégrité construit une base de données contenant des informations sur les fichiers du système (date de modification, taille). Ainsi, l’antivirus reste en courant de chaque modification de fichiers. Analyse des comportements La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité proche de celle d’une menace connue. Ainsi, l’antivirus peut détecter des virus mêmes lorsque la base n’a pas été mise à jour. 2.5 Pare-feu (firewall) Un pare-feu (firewall) est un dispositif matériel ou logiciel de protection du réseau qui surveille le trafic entrant et sortant et décide d’autoriser ou de bloquer une partie de ce trafic en fonction d’un ensemble de règles de sécurité 9
  • 18. 2.6. DÉTECTION D’INTRUSION (IDS) prédéfinies. Il établit une barrière entre les réseaux interne sécurisés et contrôlés qui sont digne de confiance et les réseaux externes non-fiables tels qu’Internet. [10] Le pare-feu contient un ensemble de règles prédéfinies permettant : — D’autoriser la connexion. — De bloquer la connexion. — De rejeter la demande de connexion sans avertir l’émetteur. L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité. 2.6 Détection d’intrusion (IDS) L’IDS est un logiciel écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir une action de prévention sur les risques d’intrusion. On distingue deux types d’IDS [4] : — Les HIDS (Host based Intrusion Detection System) assurent la sécurité au niveau des hôtes. — Les NIDS (Network based Intrusion Detection System) assurent la sécurité au niveau du réseau. Un IDS peut utiliser de nombreuses techniques pour reconnaître les intrusions notamment [4] : Vérification de la pile protocolaire Beaucoup d’intrusions ont recours à des violations des protocoles IP, TCP, UDP et ICMP dans le but d’attaquer une machine. Une simple vérification protocolaire peut mettre en évidence les paquets invalides. Vérification des protocoles applicatifs Nombre d’intrusions utilisent des comportements protocolaires invalides. Ainsi, un NIDS doit implémenter une grande variété de protocoles applicatifs. Reconnaissance des attaques par ‘pattern matching’ Cette méthode identifie une intrusion par le seul examen d’un paquet et la reconnaissance dans une suite d’octets du paquet d’une séquence caractéristique d’une signature précise. 2.7 Prévention d’intrusion (IPS) L’IPS est une technologie de prévention des menaces qui examine les flux du trafic réseau pour détecter et pré- venir les vulnérabilités. Il se trouve généralement directement derrière le pare-feu et fournit une couche d’analyse complémentaire [11]. À l’instar de l’IDS, qui est un système passif (analyse le trafic et signale les menace), l’IPS prend des mesures automatisées sur tout le flux qui entre dans le réseau. Il peut réaliser les actions suivantes [11] : — Envoyer une notification à l’administrateur 10
  • 19. CHAPITRE 2. LES TECHNIQUES, OUTILS ET MOYENS DE SÉCURITÉS — Supprimer les paquets malveillants. — Bloquer du trafic. — Réinitialiser la connexion. 2.8 Conclusion Pour sécuriser un réseau, on remarque qu’on a le choix entre plusieurs techniques et outils assez différentes les unes des autres. Or, dans le cadre de notre projet, on s’intéresse aux pare-feu. Donc, dans le chapitre suivant on décrit plus en détails le fonctionnement du pare-feu pour ensuite faire une étude comparative des pare-feu logiciels disponibles en téléchargement libre. 11
  • 20. Chapitre 3 Étude des Pares-feux et comparaison des solutions existantes Le pare-feu est primordial pour protéger les données numériques et sécuriser le réseau. Sa mission : filtrer les entrées et vérifier les sorties. Il peut se présenter sous la forme d’un appareil ou d’un logiciel. Dans ce chapitre, on va voir plus en détails le fonctionnement d’un pare-feu et comparer entre les différentes solutions disponibles. 3.1 Présentation Un pare-feu (coupe-feu, garde-barrière ou firewall) est un système permettant de protéger un ordinateur, ou un réseau d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment Internet). Il détermine quel trafic peut ou ne peut pas passer en appliquant des règles définies par l’administrateur. Ces règles traduisent en terme technique les besoins de sécurité exprimés par l’organisation. [4] FIGURE 3.1 – Illustration d’un pare-feu 12
  • 21. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Il est possible de mettre un système pare-feu sur n’importe quelle machine pourvue que [4] : — La machine soit suffisamment puissante pour traiter le trafic. — Le système soit sécurisé. — Aucun autre service que le service de filtrage de paquets fonctionne sur le system. 3.2 Principe de fonctionnement La configuration d’un pare-feu consiste à rédiger des règles propres et à déterminer les paquets autorisés et les paquets interdits, chaque paquet est caractérisé par quelques paramètres [12] : — L’interface réseau sur lequel le paquet est arrivé, un pare-feu a au moins deux inter-faces, l’une connectée au réseau privé et l’autre connectée au lien d’accès à Internet. — Le protocole auquel appartient le paquet, tel que mentionné dans son en-tête IP. — Les adresses d’origine et de destination, mentionnées dans l’en-tête IP. — Les numéros de port d’origine et de destination, mentionnés dans l’en-tête TCP ou UDP. — S’il s’agit d’un paquet TCP, les numéros de séquence et d’acquittement, qui permettent de reconstituer la séquence des paquets d’une connexion TCP. Pour configurer le pare-feu, deux approches sont possibles : — L’approche réactive : consiste à tout laisser passer sauf les attaques dont on connaît le fonctionnement. — L’approche proactive : consiste à tout interdire sauf ce dont vous avez besoin. L’objectif d’un réseau est d’offrir un maximum de connectivité et d’accès aux ressources, l’objectif de la sécurité est de limiter ces accès. Ces deux objectifs concurrents et contradictoires se trouvent être ceux d’un pare-feu. Pour cela, et afin de satisfaire les objectifs de sécurité attendus du pare-feu, ce dernier implémente trois fonctions basiques : cloisonnement, filtrage et relais. [8] 3.2.1 Fonctions de cloisonnement En s’interfaçant entre les systèmes du réseau d’une organisation et Internet, un pare-feu permet de cloisonner le réseau et en principe, de le masquer aux utilisateurs d’Internet. Cloisonner un réseau revient à le concevoir de telle manière que l’on puisse en fonction d’impératifs de sécurité, séparer des systèmes afin de mieux les contrôler. [8] 13
  • 22. 3.2. PRINCIPE DE FONCTIONNEMENT FIGURE 3.2 – Fonction de cloisonnement de filtre d’un pare-feu Le principe de cloisonnement repose sur la segmentation du système d’information en composants de sécurité homogène (domaine de confiance mutuelle). Le contrôle d’accès des flux d’information échangés entre les divers composants du système d’information doit être rigoureux pour garantir la sécurité et la séparation totale et filtrante des entités cloisonnées. Le cloisonnement d’un réseau permet de constituer des environnements IP disjoints en rendant physiquement indépendants les accès des réseaux que l’on désire séparer. Cela permet d’interconnecter deux réseaux de niveaux de sécurité différents. Ainsi, on peut contrer les flux qui pourraient engendrer la compro- mission des systèmes et des données (modification, destruction, altération, perte, fuite d’information), l’atteinte aux critères d’intégrité, et de disponibilité. [8] 3.2.2 Fonction de filtrage Selon la nature de l’analyse et des traitements effectués par un pare-feu, différents types de pare-feu existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des données auquel ils opèrent : niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modèle OSI. [8] Filtrage simple de paquets (stateless packet filtring) Ce type de pare-feu analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets échangés transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le pare-feu [4] : — Adresse IP de la machine émettrice. — Adresse IP de la machine réceptrice. — Type de paquet (TCP, UDP, etc.). — Numéro de port (un port est un numéro associé à un service ou une application réseau). 14
  • 23. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Les adresses IP contenues dans les paquets permettant d’identifier la machine émettrice et la machine cible que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. [4] Filtrage dynamique (stateful packet filtring) Un pare-feu dit stateful packet permet de filtrer les paquets en se basant sur la couche transport du modèle OSI (filtrage au niveau des ports de communication TCP/UDP). Il maintient une table d’état des connexions correspon- dantes aux ports logiques du niveau 4 et sur tous les ports dont le numéro est supérieur à 1024 (les ports utilisés par les applications de l’utilisateur) pour un meilleur suivi des communications. Ainsi, si une connexion est auto- risée, tous les paquets constitutifs de l’échange sont implicitement acceptés. Certains attaquants savent détourner ce mode de fonctionnement et exploiter les failles dues aux applications communicantes. [8] 3.2.3 Fonctions de relais et de masque Un pare-feu applicatif joue un rôle de filtre des flux applicatifs. Pour le paramétrer correctement, il faut connaître l’ensemble des applications qui le traverseront. Il peut aussi jouer le rôle d’une passerelle applicative ou de proxy. Il établit en lieu et place de l’utilisateur le service invoqué par celui-ci en masquant certaines infor- mations et en validant chaque contenu, ce qui nécessite des ressources et des temps de traitement. [8] L’objectif d’un système qualifié de proxy est de réaliser un masquage d’adresse par relais applicatif, et de rendre transparent l’environnement interne de l’organisation. Il est censé constituer un point de passage obligé pour toutes les applications qui nécessitent un accès internet. Cela suppose qu’une application « relais » soit installé sur le poste de travail de l’utilisateur et sur le pare-feu. [8] FIGURE 3.3 – Exemple de pare-feu applicatif Ainsi, à chaque demande de connexion internet, le fait de lancer un navigateur active ce programme relais qui demandera au proxy, en ses lieux et place, de réaliser la connexion externe sollicitée sur Internet avec sa propre adresse et non pas avec celle du système de l’utilisateur finale et effectue les échanges de données nécessaires. Le proxy cache de la sorte toute l’infrastructure du réseau interne et ne dévoile en aucun cas les adresses des systèmes. 15
  • 24. 3.3. ZONE DÉMILITARISÉE (DMZ) Il agit comme une passerelle applicative. Ce type de serveur est systématiquement mis en œuvre lors de l’utilisation d’un plan d’adressage privé. [8] 3.3 Zone démilitarisée (DMZ) Lorsque certaines machines du réseau interne ont besoin d’être accessible de l’extérieur (serveur web, serveur de messagerie, serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part accessible aussi bien du réseau interne que de l’extérieur, sans pour autant risquer de compromettre la sécurité de l’entreprise. On parle ainsi de zone démilitarisée (Notée DMZ, demilitarized zone) pour désigner cette zone hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile. [4] FIGURE 3.4 – Illustration d’un réseau avec DMZ Les serveurs situés dans la DMZ sont appelés bastions en raison de leur position d’avant-poste dans le réseau. La politique de sécurité mis en œuvre sur la DMZ est généralement la suivante [4] : — Trafic du réseau externe vers la DMZ autorisé. — Trafic du réseau externe vers le réseau interne interdit. — Trafic du réseau interne vers la DMZ autorisé. — Trafic du réseau interne vers le réseau externe autorisé. — Trafic de la DMZ vers le réseau interne interdit. — Trafic de la DMZ vers le réseau externe interdit. 3.4 Les limites de système pare-feu Un système pare-feu n’offre pas une sécurité absolue, bien au contraire. Les pare-feu n’offrent une protection que dans la mesure où l’ensemble des communications vers l’extérieur passe systématiquement par leur intermé- diaire et qu’ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du pare-feu 16
  • 25. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES sont autant des failles de sécurité. C’est notamment le cas des connexions effectuées à partir du réseau interne à l’aide d’un modem ou de tout moyen de connexion échappant au contrôle de pare-feu. De la même manière, l’in- troduction de support de stockage provenant de l’extérieur sur des machines internes au réseau ou bien d’ordinateur portable peut porter fortement préjudice à la politique de sécurité globale. [4] Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-feu et notamment de surveiller son journal d’activité afin d’être en mesure de détecter les tentatives d’intrusion et les anomalies. Par ailleurs, il est recommandé d’effectuer une veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. [4] La mise en place d’un pare-feu doit donc se faire en accord avec une véritable politique de sécurité. 3.5 Critères de choix d’un pare-feu Les façons de configurer un pare-feu et de le gérer sont tout aussi importantes que les capacités intrinsèques qu’il possède. Toutefois, lorsque le choix s’impose, on peut prendre en considération les critères suivants [8] : — La nature et le nombre des applications appréhendées (FTP, messagerie, http, SNMP, vidéoconférences, etc.). — Le type de filtre et le niveau de filtrage (niveau applicatif, niveau TCP, niveau IP, possibilité de combiner ces niveaux). — L’existence d’outils d’analyse, d’audit actif et de détection des activités suspectes. — Facilités d’administration (interface graphique ou lignes de commandes, administration distante après au- thentification du gestionnaire, etc.). — La simplicité du système, proxy facile à comprendre et à vérifier (facilité de configuration, etc.). — La capacité à supporter un tunnel chiffré permettant de réaliser, si nécessaire un réseau privé virtuel (VPN). — La disponibilité d’outils de surveillance, d’alarmes, d’audit, actif. — La possibilité d’effectuer de l’équilibrage de charge. Le pare-feu est comme tout système sujet à des menaces telles que : — Les intrusions dans un pare-feu avec, pour conséquences, la modification de sa configuration, des accès, l’effacement ou la modification des traces de journalisation ou encore l’infection virale. — Toute opération inappropriée réalisée d’une manière accidentelle ou par négligence. 3.6 Architecture de pare-feu Plusieurs architectures et configuration de réseau intégrant des pares-feux peuvent être mises en place en fonc- tion des besoins, du type, du nombre de ressources à protéger ou de l’architecture du système d’information. 17
  • 26. 3.6. ARCHITECTURE DE PARE-FEU 3.6.1 Pare-feu avec routeur de filtrage La solution la plus simple, mais aussi la moins sure, se borne au réseau. On l’obtient en configurant le routeur qui assure la connexion avec Internet. FIGURE 3.5 – Pare-feu avec routeur de filtrage Cette solution permet de réaliser les différents serveurs d’un intranet sur plusieurs systèmes. Le routeur de filtrage contient les autorisations d’accès basées exclusivement sur les adresses IP et le numéro de port. [13] Pour configurer le routeur, on peut utiliser la méthode standard suivante [14] : — Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires (Par exemple : HTTP, HTTPS, FTP, SMTP, DNS). — Filtrages des connexions entrantes pour interdire les connexions directes sur les pare-feu. 3.6.2 Passerelle double – le réseau bastion Il existe une autre possibilité permettant de réaliser un pare-feu applicatif à peu de frais : la passerelle double. Comme son nom l’indique, il s’agit d’un ordinateur inclus à la fois dans les réseaux internet et intranet. Cette machine doit être équipée de deux cartes réseau. On l’appelle également réseau bastion, car il contrôle tous les services accessibles de l’extérieur comme de l’intérieur du réseau interne tels que les serveurs WEB, FTP, et Mail. Un serveur proxy supplémentaire est également configuré pour permettre aux utilisateurs du réseau interne d’accéder à Internet. Le nom « réseau bastion » découle des mesures particulières de protection qui sont prises en prévision de possibles intrusions. [13] Un serveur proxy exécuté sur un hôte bastion (un proxy http par exemple) masque à l’internet toutes les adresses IP du réseau interne. Concrètement, lorsqu’un utilisateur se procure des informations depuis Internet à partir du réseau interne, le site internet contacté ne détient que l’adresse IP du serveur proxy, et en aucun cas l’adresse IP de l’ordinateur du réseau interne. [13] Le proxy doit donc masquer l’adresse d’expéditeur des paquets de données circulant via Internet, pour empê- cher tout intrus de déchiffrer les structures internes du réseau. Les serveurs proxy ont l’inconvénient d’être orientés application, c’est-à-dire tributaires d’un protocole. Par conséquent, chaque service internet proposé aux collabo- rateurs de l’entreprise exige son propre serveur proxy, qui doit fonctionner sur le système concerné. Les serveurs proxy sont presque toujours des versions allégées des serveurs concernés, autrement dit, un proxy http est une version lite de serveur web. Il existe des serveurs proxy pour tous les protocoles courants sur Internet. [13] 18
  • 27. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES FIGURE 3.6 – Illustration d’une passerelle double 3.6.3 Pare-feu avec réseau de filtrage La combinaison des deux méthodes est ici plus sure et efficace. Au niveau du réseau, un pare-feu est configuré de façon à n’autoriser les accès de l’extérieur et de l’intérieur que par l’intermédiaire du réseau bastion sur lequel fonctionnent tous les serveurs internet [13] : FIGURE 3.7 – Illustration de pare-feu avec réseau de filtrage Pour configurer le pare-feu, on peut utiliser la méthode standard suivante [14] : — Les machines internes ne sont pas autorisées à se connecter à internet, elles peuvent uniquement commu- niquer avec le proxy. — Seul le proxy est autorisé à établir une connexion à destination d’Internet. — Filtrage des connexions entrantes pour interdire les connexions directes. 3.6.4 Pare-feu avec sous réseau de filtrage Cette solution est de loin la plus sure, mais également la plus onéreuse. Un pare-feu avec sous-réseau de filtrage se compose de deux pare-feu sous-écran, l’un est connecté à Internet, et l’autre à l’intrant/LAN. Plusieurs réseaux bastion peuvent s’intercaler pour former entre ces deux pare-feu, en quelque sorte, une zone démilitarisée (DMZ). [13] 19
  • 28. 3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES FIGURE 3.8 – Illustration d’un pare-feu avec sous-réseau de filtrage Les deux pare-feu appliquent des règles de filtrage de paquets, le bastion contient les services « publics » : Web, SMTP et DNS. Le pare-feu « interne » peut être un host avec un logiciel de filtrage et de legging, plus un proxy. Pour avoir un tel réseau, on peut utiliser la configuration suivante [14] : — Les machines internes ne sont pas autorisées à se connecter à Internet, elles peuvent uniquement commu- niquer avec le proxy dans la DMZ. — Seuls les proxys sont autorisés à établir une connexion à destination internet. — Les fonctions de routages sont désactivées sur les proxys — Filtrage des connexions sortantes pour autoriser uniquement les protocoles nécessaires en direction de proxy (HTTP, HTTPS, FTP, SMTP, DNS). — Filtrage des connexions entrantes pour interdire les connexions directes. 3.7 Etude comparative des solutions existantes Pour choisir le pare-feu idéal qui conviendra au mieux à notre réseau, nous devons d’abord déterminer les différents choix qui s’offrent à nous. Puis faire la comparaison en prenant en considération les caractéristiques, avantages et inconvénients de chacun. Aujourd’hui, on a la chance d’avoir plusieurs pare-feu professionnels open-source à notre disposition. Mais, parmi ces pares-feux on peut en éliminer quelques-uns. Comme par exemple : IPCop, Smoothwall et M0n0wall qui sont actuellement obsolètes, car ce sont des projets abandonnés, ils ne reçoivent plus de mises à jour, donc ils peuvent potentiellement exposer le réseau à des failles de sécurité. Ou encore : Untangle, Endian et Sophos qui ne sont pas complètement gratuits où certaines fonctionnalités requièrent une licence. Ainsi, après plusieurs recherches, on a pu déterminer les 3 meilleurs pare-feu utilisables dans le cadre de notre projet qui sont les suivants : OPNsense, pfSense et IPFire. 20
  • 29. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES 3.7.1 OPNsense OPNsense est un pare-feu et une plateforme de routage basés sur HardenedBSD. OPNsense inclut la plupart des fonctionnalités disponibles dans les pares-feux commerciaux coûteux, et bien plus dans de nombreux cas. [15] Au départ, OPNsense était un spin-off de pfSense et m0n0wall. Mais, le projet a évolué très rapidement tout en conservant des aspects familiers à la fois de m0n0wall et de pfSense. Aujourd’hui, OPNsense propose des mises à jour de sécurité hebdomadaires pour réagir aux nouvelles menaces. Un cycle de publication fixe de 2 versions majeures chaque année, ce qui offre aux entreprises la possibilité de planifier les mises à niveau à venir. [15] L’ensemble de fonctionnalités d’OPNsense comprend des fonctionnalités haut de gamme telles que le forward caching proxy, la mise en forme du trafic, la détection des intrusions et la configuration facile du client OpenVPN. [15] Avantages — L’interface Web est moderne et facile d’utilisation. — Mise à jour hebdomadaire. — Prise en charge de fonctionnalités introuvables ailleurs. — Installation et configuration initiale assez facile. — Bonne solution pour les entreprises de petite a moyenne taille. — Intégrations de service automatiquement. Inconvénients — Limitation du débit maximale par connexion. — Connais des problèmes de fiabilité et de stabilité. — La documentation officielle manque de détails. 3.7.2 IPFire IPFire est une distribution Linux open source qui fonctionne principalement comme un routeur et un pare-feu. L’objectif principal d’IPFire est la sécurité. Son pare-feu facile à configurer et son système de détection d’intrusion empêchent les attaquants de s’introduire dans le réseau. Mais même le pare-feu doit se protéger. IPFire est construit à partir de zéro et ne repose sur aucune autre distribution. Cela permet aux développeurs de renforcer IPFire mieux que tout autre système d’exploitation de serveur et de construire tous les composants pour une utilisation en tant que pare-feu. Les mises à jour fréquentes permettent de garantir la sécurité d’IPFire et de minimiser les failles de sécurité. [16] Avantages — Peut-être étendu par des modules complémentaires. — IPFire ne reposant sur aucune autre distribution ce qui offre une bonne stabilité. 21
  • 30. 3.7. ETUDE COMPARATIVE DES SOLUTIONS EXISTANTES — Mise à jour fréquentes. Inconvénients — Interface Web pas intuitif. — Toutes les fonctions ne peuvent pas être configurées via l’interface Web. 3.7.3 pfSense pfSense est une distribution gratuite, open source et personnalisée de FreeBSD spécialement conçue pour être utilisée comme un pare-feu et un routeur entièrement gérée via une interface Web. En plus d’être une plateforme de pare-feu et de routage puissante et flexible, elle comprend une longue liste de fonctionnalités et un système de package permettant une évolutivité supplémentaire sans ajouter de potentielles failles de sécurité à la distribution de base. [17] Avantages — La configuration initiale est très facile. — Fréquemment mis à jour. — Considéré comme une solution qui est très robuste. — Les développeurs de pfSense (Netgate) sont assez réactive contre les menaces. — Possède une documentation officielle très riche et assez détaillées. — Interface web facile à utiliser et à comprendre. — Possibilité de voir le trafic entrant et sortant sous forme de graphe. — Permet l’ajout facile de fonctionnalité avec le package manager. Inconvénients — Dans un environnement virtuel impossible de changer la valeur de la RAM attribuée. — Impossible de consulter les fichiers de logs depuis l’interface Web. 3.7.4 Caractéristiques des 3 solutions étudiées Ci-dessous un tableau comparatif des différentes caractéristiques que propose chacun des pares-feux étudiés [16] [18] [19] : 22
  • 31. CHAPITRE 3. ÉTUDE DES PARES-FEUX ET COMPARAISON DES SOLUTIONS EXISTANTES Caractéristiques OPNsense IPFire pfSense Totalement contrôlable à partir de l’interface graphique x x Proxy x x x Server et relais DHCP (IP4 et IP6) x x x DNS statique x x x DNS dynamique x x x DNS forwarder x x x Telnet x SSH x x x NTP (Serveur de temps) x x x WEB GUI via HTTP x x x WEB GUI via HTTPS x x x Protocole IPsec x x x Protocole PPTP x x Protocole L2tp x x Protocole OpenVPN x x x Chiffrement RSA x Chiffrement DES x Chiffrement AES x Load balancing x x x Multi-WAN x x Capacité de fail over x x x Priorité selon le type de trafic x x x Lissage de trafic et limitation x x x Commande Traceroute x x x Commande Ping x x x Commande Whois x Filtrage avec état x x x Filtrage de l’URL x x x Filtrage de contenu WEB x x x Temps d’accès par utilisateur x x IDS x x x IPS x x x Antivirus x x x Hotspot/portail captif x x x Routage NAT x x x Routage 1.1 NAT (SNAT) x x x Routage avec Port adresses translation x x x Politique de routage x x x Support de VLAN trunking (802.1q) x x x Mise à jour automatique x x x Possibilité de Backup x x x Possibilité d’ajouter des modules x x x Licence BSD GPL BSD TABLE 3.1 – Comparaison des caractéristiques des trois pare-feu 23
  • 32. 3.8. CONCLUSION 3.8 Conclusion D’après le tableau comparatif, on remarque que pfSense et OPNsense sont très similaires alors qu’IPFire est assez diffèrent. Pour choisir notre pare-feu, on commence par éliminer IPFire étant donné que son interface Web n’est pas très intuitive. Ensuite, entre pfSense et OPNsense, le choix n’est pas évidant, mais on va opter pour l’utilisation de pfSense en raison de sa grande communauté et de sa documentation excellente. 24
  • 33. Chapitre 4 Virtualisation du réseau d’entreprise 4.1 La présentation de l’architecture cible Afin de mettre en œuvre notre processus de sécurisation du réseau d’entreprise, la première étape de notre travail consiste à implémenter un mini réseau d’entreprise. Ce réseau simulera les principales fonctionnalités né- cessaires au fonctionnement d’une entreprise et est modélisé dans la figure qui suit : FIGURE 4.1 – Représentation du réseau local Notre réseau est composé de : — Un contrôleur de domaine. — Un serveur de messagerie. — Un serveur web interne. — Un serveur web externe. — Des serveurs DNS. — Des postes clients. 25
  • 34. 4.1. LA PRÉSENTATION DE L’ARCHITECTURE CIBLE Pour des raisons évidentes de moyens et de disponibilité des serveurs et des postes clients, l’ensemble de notre environnement de travail sera virtualisé. Notre choix s’est porté sur l’environnement de virtualisation VMware. 4.1.1 Contrôleur de domaine Notre contrôleur de domaine a été déployé dans un environnement Windows 2012 serveur. Notre contrôleur de domaine possède l’adresse IP 192.168.10.1. Il a été renommé SRV-DC et on a attribué un mot de passe fort au compte administrateur. Lors du déploiement du rôle AD DS (Active Directory Domain Services), le service DNS a été déployé sur ce même serveur. Bien que les bonnes pratiques recommandent le déploiement du serveur DNS sur un autre serveur, nous avons été obligés de le déployer sur le contrôleur de domaine à cause du manque de ressources. Une fois le rôle installé, on a créé une nouvelle forêt pour pouvoir créer notre domaine qui se nomme « Entreprise.com ». 4.1.2 Serveur Web Interne À l’instar du contrôleur de domaine, la machine virtuelle est basée sur un environnement Windows Server 2012 ayant comme adresse IP 192.168.10.2. La machine renommée SRV-Web est membre du domaine. Pour créer notre serveur web, on déploie le rôle Serveur Web (IIS) avec ces fonctionnalités. Une fois le rôle installé, on attribue un alias au serveur à l’aide du gestionnaire DNS présent dans le contrôleur de domaine (l’alias aura comme nom ‘web’). Ce serveur Web hébergera le site web de notre entreprise qui sera accessible pour tous les postes clients du domaine. 4.1.3 Serveur de messagerie On crée une machine basée sur un environnement Windows Server 2012 ayant comme adresse 192.168.10.3 et nommé SRV-Mail. Pour avoir notre serveur de messagerie, on installe Exchange Server 2013. Avant de pouvoir installer Exchange Server 2013, on doit d’abord configurer le serveur avec les prérequis suivants : Installer plusieurs fonctionnalités, et ce, en exécutant les commandes suivantes dans PowerShell [20] : >INSTALL-WINDOWSFEATURE AS-HTTP-ACTIVATION, DESKTOP-EXPERIENCE, NET-FRAMEWORK-45-FEATURES, RPC-OVER-HTTP-PROXY, RSAT-CLUSTERING, RSAT-CLUSTERING-CMDINTERFACE, RSAT-CLUSTERING-MGMT, RSAT-CLUSTERING-POWERSHELL, WEB-MGMT-CONSOLE, WAS-PROCESS-MODEL, WEB-ASP-NET45, WEB-BASIC-AUTH, WEB-CLIENT-AUTH, WEB-DIGEST-AUTH, WEB-DIR-BROWSING, WEB-DYN-COMPRESSION, WEB-HTTP-ERRORS, WEB-HTTP-LOGGING, WEB-HTTP-REDIRECT, WEB-HTTP-TRACING, WEB-ISAPI-EXT, WEB-ISAPI-FILTER, WEB-LGCY-MGMT-CONSOLE, WEB-METABASE, WEB-MGMT-CONSOLE, WEB-MGMT-SERVICE, WEB-NET-EXT45, WEB-REQUEST-MONITOR, WEB-SERVER, WEB-STAT-COMPRESSION, WEB-STATIC-CONTENT, WEB-WINDOWS-AUTH, WEB-WMI, WINDOWS-IDENTITY-FOUNDATION >INSTALL-WINDOWSFEATURE RSAT-ADDS 26
  • 35. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE Télécharger et installer les composant suivants [20] : — Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit. — Microsoft Office 2010 Filter Pack 64-bit. Une fois ces prérequis installés, on commence l’installation de Exchange Server 2013. Lors de l’installation on choisit d’installer les 2 rôles suivants dans notre serveur : Mailbox Role et Client Access Role. Une fois l’installa- tion terminée, on peut accéder au Centre d’administration Exchange, en entrant l’URL suivante dans le navigateur : https ://mail.entreprise.com/ecp, et commencer la configuration de notre serveur de messagerie. Premièrement, on ajoute une stratégie d’adresse de messagerie pour définir la manière dont les adresses mail sont attribuées aux membres du domaine. Ensuite, on configure les boîtes aux lettres des utilisateurs, groupes de distribution et contacts. Enfin, on configure une adresse qui fera office de Postmaster. 4.1.4 Poste clients Tous les postes clients utilisent Windows 7 comme system d’exploitation, chaque poste est évidemment membre du domaine. En plus, chaque poste doit avoir accès au site Web de l’entreprise et la boîte aux lettres Out- look en utilisant respectivement les URL suivantes : http ://web.entreprise.com/ , https ://mail.entreprise.com/owa 4.1.5 Serveur Web externe En plus des serveurs qu’on vient de citer, on ajoute un nouveau serveur web externe. L’objective de ce serveur est d’héberger le site web de l’entreprise pour permettre aux utilisateurs externes au domaine d’accéder au site web à travers Internet. 4.1.6 Serveur DNS externe Ce serveurs DNS permet de rediriger les utilisateurs externes vers le serveur web externe et ainsi avoir accès au site web de l’entreprise. 4.2 Sécurisation du réseau L’architecture présentée précédemment (voir figure 4.1) ne comporte aucun mécanisme de sécurité ou de fil- trage. Afin de remédier à ce problème, nous allons déployer un pare-feu. Au préalable, il sera nécessaire de seg- menter notre réseau en quatre zones comme le montre la figure suivante : 27
  • 36. 4.2. SÉCURISATION DU RÉSEAU FIGURE 4.2 – Représentation du réseau avec un pare-feu Les objectifs de ces zones sont les suivants : — Zone des postes clients : cette zone contient tous les postes clients de l’entreprise et permet de réglementer le trafic entrant et sortant de la zone en appliquant une politique de sécurité adaptée aux clients. — Zone des serveurs : cette zone contient tous les serveurs de l’entreprise et permet d’assurer la sécurité de ces serveurs en régulant le trafic entrant dans la zone. — Zone démilitarisée (DMZ) : cette zone contient le site web de l’entreprise. L’objectif est de garantir l’accès au site web pour les utilisateurs à travers Internet et de les empêcher d’accéder au reste du réseau. — Zone d’administration : cette zone permet de limiter l’administration des serveurs, du pare-feu et des postes clients sur cette zone. De la sorte, seuls les postes hébergés dans cette zone sont autorisées à effectuer les tâches d’administration. 4.2.1 Création de la machine virtuel pfSense Tout d’abord, on commence par l’installation de notre pare-feu. On doit télécharger une version ISO de pfSense version 2.4.5 (64-bits) à l’URL suivante : https ://www.pfsense.org/download/. Dans VMware, on clique sur File puis New Virtual Machine ensuite, on configure notre machine avec les paramètres suivants : 28
  • 37. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.3 – Paramètres de la machine virtuelle pfSense 4.2.2 Installation de pfSense On allume la machine qu’on vient de créer et on commence l’installation : — On accepte la notice de Copyright. FIGURE 4.4 – Copyright de pfSense — Dans la page de bienvenue, on choisit Install. FIGURE 4.5 – Message de bienvenue pour l’installation de pfSense — On sélectionne la disposition de clavier de notre choix. 29
  • 38. 4.2. SÉCURISATION DU RÉSEAU FIGURE 4.6 – Installation de pfSense : sélection du clavier — Concernant le partitionnement, on choisit l’Auto (UFS) car le partitionnement ZFS demande énormément de RAM. Donc, dans notre cas, il serait préférable d’utiliser le partitionnement UFS. [21] FIGURE 4.7 – Choix du partitionnement du disque — Une fois l’installation terminée, on redémarre la machine. 4.2.3 Configuration de pfSense Au démarrage de pfSense on a le menu suivant : FIGURE 4.8 – Menue des options sur la console pfSense — La première chose à faire est d’assigner les interfaces. 30
  • 39. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.9 – Affectation des interfaces — Dans notre cas, on n’a pas besoin de VLAN car le mieux est de segmenter le réseau physiquement en utilisant différentes interfaces chose qu’on peut facilement faire dans un environnement virtuel. FIGURE 4.10 – Confirmation de l’affectation des interfaces — Ensuite, on configure l’adresse IP de l’interface LAN, qui sera 192.168.10.200, pour pouvoir accéder à l’interface Web pfSense. — Maintenant, on se connecte à l’interface web à l’adresse : http ://192.168.10.200 avec les identifiants par défaut qui sont : • Username : admin • Password : pfSense — Une fois connecté, on configure les interfaces : • Interfaces > WAN : * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.1.44/24 • Interfaces > LAN : * Description : SERVEURS * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.10.200/24 • Interfaces > OPT1 : * Enable interface : ON * Description : CLIENTS * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.15.200/24 • Interfaces > OPT2 : * Enable interface : ON * Description : DMZ 31
  • 40. 4.2. SÉCURISATION DU RÉSEAU * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.20.200/24 • Interfaces > OPT3 : * Enable interface : ON * Description : ADMINISTRATION * IPv4 Configuration : Static IPv4 * IPv4 Address : 192.168.5.200/24 — Pour confirmer ces changements on clique sur Apply Changes. — Ainsi, pour résumer on a la configuration suivante : Nom de la zone Adresse réseau Nom de l’interface Adresse de l’interface Internet 192.168.1.0/24 em0 -> WAN 192.168.1.44 Administration 192.168.5.0/24 em4 -> OPT3 192.168.5.200 Serveurs 192.168.10.0/24 em1 -> LAN 192.168.10.200 Clients 192.168.15.0/24 em2 -> OPT1 192.168.15.200 DMZ 192.168.20.0/24 em3 -> OPT2 192.168.20.200 TABLE 4.1 – Résumé de la configuration des différentes interfaces 4.2.4 Mise en place des règles des interfaces Avant de définir les règles, on ajoute des alias de ports et d’adresses IP pour faciliter l’ajout et la lecture des règles. Les alias sont les suivants [22] : FIGURE 4.11 – Les alias de ports du pare-feu FIGURE 4.12 – Les alias IP du pare-feu Maintenant, on peut configurer les règles requises pour chaque interface de la sorte : 32
  • 41. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE — On se connecte à l’interface web pfSense, puis : Firewall > Rules. On a les onglets suivants qui servent à définir les règles pour chacune des interfaces. FIGURE 4.13 – Onglets des règles de pare-feu pour les différentes interfaces — On commence par les règles de l’interface CLIENTS : sur cette interface, on commence par autoriser le port HTTP pour permettre aux utilisateurs de consulter le site Web de l’entreprise. Puis, on autorise tous les ports nécessaires (voir figure 4.14) pour le fonctionnement du contrôleur de domaine comme : l’authentification des utilisateurs ou l’application des GPO. Ensuite, on continue à autoriser les ports requis pour l’échange des mails avec Exchange [23]. Pour finir, on bloque toutes les communications allant de la zone CLIENTS vers les autres zones (SERVEURS, DMZ, ADMINISTRATION) comme le montre la figure suivante : FIGURE 4.14 – Les règles de pare-feu définies sur l’interface CLIENTS — Ici le « CLIENTS net », « SERVEURS net », « DMZ net » et « ADMINISTRATION net » font référence à toutes les machines qui se trouvent dans le réseau des interfaces respectivement CLIENTS, SERVEURS, DMZ et ADMINISTRATION. — De la même manière, on configure les règles de l’interface SERVEURS de la sorte : 33
  • 42. 4.2. SÉCURISATION DU RÉSEAU FIGURE 4.15 – Les règles de pare-feu définies sur l’interface SERVEURS — Sur cette interface, la seule règle importante est la deuxième qui est indispensable pour l’échange des mails. Et on bloque les communications vers les autres zones. — Concernant la zone DMZ, les règles à appliquer sont les suivants : FIGURE 4.16 – Les règles de pare-feu définies sur l’interface DMZ — Dans la zone démilitarisée, on bloque tous trafic allant à la zone CLIENTS, SERVEURS ou ADMINIS- TRATION depuis la DMZ, mais on autorise les ports exigés le contrôleur de domaine comme l’authentifi- cation des utilisateurs ou l’application des GPO. — Pour permettre l’accès au site Web du serveur Web externe à partir de l’extérieur, on ajoute deux règles redirection de port NAT : 34
  • 43. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.17 – Les règles redirection de port NAT FIGURE 4.18 – Les règles de pare-feu définies sur l’interface WAN — De la sorte, il suffit que l’utilisateur externe au domaine configure son DNS comme étant le serveur DNS de notre DMZ et en tapant « entreprise.com » sur son navigateur notre site s’affiche comme prévu. — Pour finir, on ajoute les règles de l’interface ADMINISTRATION : FIGURE 4.19 – Les règles de pare-feu définies sur l’interface ADMINISTRATION — Pour l’administration, on a besoin du port RDP (Remote Desktop Protcol) pour permettre la connexion à distance depuis la zone Administration aux différents serveurs et postes clients. Et encore une fois, on bloque le trafic vers les autres zones tout en autorisant les ports requis pour le contrôleur de domaine. 35
  • 44. 4.2. SÉCURISATION DU RÉSEAU 4.2.5 Mise en place des règles anti intrusion Parmi les avantages qu’offre pfSense est l’utilisation des packages. Les packages permettent d’ajouter des fonc- tionnalités a pfSense. Ils fournissent des services et des utilitaires supplémentaires introuvables dans l’installation de base. Parmi ces packages, on a le package Snort. Snort est un système open source très populaire de détection et de prévention des intrusions (IDS/IPS). Il est capable d’effectuer, une analyse trafic en temps réel et une journalisation des paquets sur les réseaux IP. Il a trois utilisations principales : il peut être utilisé comme un renifleur de paquet simple, un enregistreur de paquets ou comme un système complet de prévention des intrusions sur le réseau. [24] Pour installer et configurer Snort sur pfSense on suit les étapes suivantes : — Dans l’interface Web pfSense : System > Package Manager > Available Packages. On recherche « snort » puis on l’installe. — Une fois installé, on se dirige vers : Services > Snort > Global Settings pour commencer la configuration. — Snort offre trois ensembles de règles : Snort Vulnerability Research Team (VRT) Rules, Snort GPLv2 Com- munity Rules et Emerging Threats (ET) Rules. — La VRT Rules possède deux types de règle une pour les utilisateurs abonnés et une autre pour les utilisateurs inscrits. La différence entre les deux est que les utilisateurs inscrits ont un retard de 30 jours sur les règles par rapport aux utilisateurs abonnés [25]. — Pour un fonctionnement idéal de Snort. Ce dernier a besoin d’énormément de RAM, plus on applique de règles plus la consommation de la mémoire est conséquente. Puisque dans notre cas, la mémoire vive est une ressource précieuse, on a choisi de se limiter à deux ensembles de règles. — Les deux ensembles sont la Emerging Threats Rules et l’offre des utilisateurs inscrits de Snort VRT Rules. On a choisi ces deux règles car une fois combinées on à un nombre de règles conséquent qui permet d’avoir un assez bon IDS/IPS. Bien qu’utiliser l’ensemble Snort GPLv2 Community Rules, aiderais à avoir une meilleure sécurité. FIGURE 4.20 – Choix de Snort Vulnerability Research Team (VRT) Rules FIGURE 4.21 – Choix de Emerging Threats (ET) Rules 36
  • 45. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE — Toujours dans la même page, on configure la fréquence de mise à jour des règles. FIGURE 4.22 – Choix de la fréquence de mise a jour des règles — Maintenant, on peut télécharger ces règles dans l’onglet : Services > Snort > Updates. — Une fois les règles téléchargées, on peut appliquer Snort sur une interface dans l’onglet : Services > Snort > Snort Interfaces. FIGURE 4.23 – Choix de l’interface dont Snort va être appliqué 4.2.6 Mise en place d’un proxy Pour installer un proxy dans notre pare-feu, on télécharge le package Squid. Squid est un proxy Web prenant en charge HTTP, HTTPS, FTP, etc. Il réduit la bande passante et améliore le temps de réponse en mettant en cache et en réutilisant les pages Web fréquemment demandées. Squid offre un environnement de contrôle d’accès, d’autorisation et de journalisation comme il offre aussi un riche ensemble d’options d’optimisation du trafic, dont la plupart sont activées par défaut pour une installation plus simple et de hautes performances [26]. Pour installer et configurer Squid sur pfSense on suit les étapes suivantes : — Dans : System > Package Manager > Available Packages. On recherche « Squid » et on l’Installe. 37
  • 46. 4.2. SÉCURISATION DU RÉSEAU — Une fois installer, on peut directement commencer la configuration dans : Services > Squid Proxy Server > General. De la sorte : FIGURE 4.24 – Paramètre général de Squid — Toujours dans la même page, on configure les paramètres de journalisation : FIGURE 4.25 – Paramètres de journalisation de Squid — Puis, les paramètres de mise en cache : FIGURE 4.26 – Paramètres de mise en cache de Squid — Enfin, pour s’assurer que tous les utilisateurs du domaine utilisent bien notre proxy, on crée une GPO : 38
  • 47. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.27 – GPO pour forcer l’utilisation de Squid pour tous les utilisateurs du domaine 4.2.7 Mise à l’épreuve du pare-feu Après avoir défini les règles de pare-feu et configurer les packages correctement, on doit s’assurer que notre pare-feu répond à nos exigences. Afin de tester nos règles, on utilise « nmap » qui est un outil open source pour l’analyse des vulnérabilités. Dans notre cas, nmap va nous permettre de scanner les ports de nos différentes ma- chines pour trouver d’éventuelles failles dans le comportement du pare-feu. Premièrement, on test notre infrastructure. En scannant le réseau depuis Internet, on trouve les résultats sui- vants : FIGURE 4.28 – Résultats du scan TCP depuis Internet FIGURE 4.29 – Résultats du scan UDP depuis Internet On remarque que les ports ouverts sont ceux qu’on a explicitement ouverts comme le port 53 (DNS) et le port 80 (HTTP) qui sont nécessaires pour que le site Web de l’entreprise soit accessible depuis Internet. Après, on test les règles de chacune de nos zones. On commence par la DMZ, on scan le serveur web externe depuis les quatre différentes zones et on trouve les résultats suivants : — Le scan depuis la zone DMZ : 39
  • 48. 4.2. SÉCURISATION DU RÉSEAU FIGURE 4.30 – Résultats du scan du serveur Web externe depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.31 – Résultats du scan du serveur Web externe depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.32 – Résultats du scan du serveur Web externe depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.33 – Résultats du scan du serveur Web externe depuis la zone ADMINISTRATION Ensuite, on continue avec le scan d’un client de la zone CLIENTS toujours depuis les quatre différentes zones et on trouve les résultats suivants : — Le scan depuis la zone DMZ : FIGURE 4.34 – Résultats du scan d’un client depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.35 – Résultats du scan d’un client depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.36 – Résultats du scan d’un client depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.37 – Résultats du scan d’un client depuis la zone ADMINISTRATION Encore une fois, on scan notre serveurs Web interne présent dans la zone SERVEUR : — Le scan depuis la zone DMZ : 40
  • 49. CHAPITRE 4. VIRTUALISATION DU RÉSEAU D’ENTREPRISE FIGURE 4.38 – Résultats du scan de serveur Web Interne depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.39 – Résultats du scan de serveur Web Interne depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.40 – Résultats du scan de serveur Web Interne depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.41 – Résultats du scan de serveur Web Interne depuis la zone ADMINISTRATION Pour finir, on scan un poste client de la zone ADMINISTRATION : — Le scan depuis la zone DMZ : FIGURE 4.42 – Résultats du scan du client de l’administration depuis la zone DMZ — Le scan depuis la zone CLIENTS : FIGURE 4.43 – Résultats du scan du client de l’administration depuis la zone CLIENTS — Le scan depuis la zone SERVEURS : FIGURE 4.44 – Résultats du scan du client de l’administration depuis la zone SERVEURS — Le scan depuis la zone ADMINISTRATION : FIGURE 4.45 – Résultats du scan du client de l’administration depuis la zone ADMINISTRATION Donc, en analysant les résultats des différents tests, on peut conclure que le fonctionnement du pare-feu répond à nos attentes de telle sorte que les seuls ports qu’on a trouvé ouverts correspondent aux ports qu’on a explicitement autorisé dans nos règles de pare-feu. 41
  • 50. Conclusion General À travers ce mémoire, nous avons essayé de simuler au mieux un réseau d’entreprise dans un environnement virtuel et ce avec nos contraintes matérielles, surtout par rapport à la mémoire vive qui représente une ressource précieuse. Malgré ces contraintes, on est parvenue à créer un réseau qui permet de remplir notre objectif, c’est-à- dire sécurisé un réseau d’entreprise. Pour sécuriser notre réseau, on a choisi de travailler avec pfSense, un pare-feu professionnel open-source. D’abord, on a fragmenté notre réseau en quatre zones différentes tels-que chaque zone possède un objective unique. Ensuite, on a appliqué des règles de pare-feu sur chacune des zones pour permettre de contrôler le trafic entre les zones. L’un des avantages des pare-feu open-source est de pouvoir installer des packages ce qui leur offre une grande flexibilité. Or, pour améliorer notre travail, il faudrait prévoir plus de mémoire vive pour le pare-feu (au minimum un Gigaoctets). De la sorte, on peut installer plus de packages notamment « pfBlocker » qui permet de bloquer des adresses IP ou bien « darkstat » pour avoir une meilleure vue sur le trafic qui passe par le pare-feu. On peut aussi envisager la configuration d’un VPN pour pouvoir se connecter a notre réseau depuis Internet en toute sécurité. 42
  • 51. Bibliographie [1] “Technologies de l’information.” https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5: v1:fr. Accès le 16 Février 2020. [2] “Définition du risque informatique.” https://www.oqlf.gouv.qc.ca/ressources/bibliotheque/ dictionnaires/terminologie_sec_informatique/risque_informatique.html. Accès le 12 Fé- vrier 2020. [3] “Définition de la vulnérabilité informatque.” https://www.oqlf.gouv.qc.ca/ressources/ bibliotheque/dictionnaires/terminologie_sec_informatique/vulnerabilite.html. Ac- cès le 12 Février 2020. [4] J.-F. P. et J.-P. BAY, Tout sur la sécurité informatique. Dunod, 2013. [5] “It explained : Le reniflage de paquets.” https://www.fr.paessler.com/it-explained/ packet-sniffing. Accès le 16 Février 2020. [6] “Owasp top ten.” https://owasp.org/www-project-top-ten/. Accès le 16 Février 2020. [7] “Qu’est-ce que le chiffrement des données?.” https://www.kaspersky.fr/resource-center/ definitions/encryption. Accès le 07 Avril 2020. [8] S. GHERNAOUTI-HÉLIE, Sécurité informatique et réseaux. Dunod, 2011. [9] “What is antivirus software (antivirus program)?.” https://searchsecurity.techtarget.com/ definition/antivirus-software. Accès le 07 Avril 2020. [10] “Qu’est-ce qu’un pare-feu?.” https://www.cisco.com/c/fr_fr/products/security/firewalls/ what-is-a-firewall.html. Accès le 26 Février 2020. [11] “What is an intrusion prevention system?.” https://www.paloaltonetworks.com/cyberpedia/ what-is-an-intrusion-prevention-system-ips. Accès le 28 Février 2020. [12] C. W. et L. BLOCH, Sécurité informatique : Principes et méthodes. Eyrolles, 2013. [13] “Chapitre 2 : le firewall, une technique de protection.” http://firewalls.chez.com/chapitre2.html. Accès le 18 Mars 2020. [14] P. J. e. P. O. G. AVOINE, Sécurité informatique. Vuibert, 2010. [15] “About opnsense.” https://opnsense.org/about/about-opnsense/. Accès le 15 Avril 2020. 43
  • 52. BIBLIOGRAPHIE [16] “Ipfire features.” https://www.ipfire.org/features. Accès le 17 Avril 2020. [17] “pfsense overview.” https://www.pfsense.org/about-pfsense/. Accès le 15 Avril 2020. [18] “pfsense firewall appliance features.” https://www.netgate.com/solutions/pfsense/features. html. Accès le 17 Avril 2020. [19] “Opnsense’s documentation.” https://docs.opnsense.org/intro.html#feature-set. Accès le 17 Avril 2020. [20] D. ELFASSY, Mastering Microsoft Exchange Server 2013. Sybex, 2013. [21] “Installing and upgrading - perform the installation | pfsense documentation.” https://docs.netgate. com/pfsense/en/latest/book/install/perform-install.html. Accès le 20 Avril 2020. [22] “Active directory and active directory domain services port requirements.” https://docs.microsoft. com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ dd772723(v=ws.10)?redirectedfrom=MSDN. Accès le 18 Mai 2020. [23] “Network ports for clients and mail flow in exchange 2013.” https://docs.microsoft.com/en-us/ exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help. Accès le 18 Mai 2020. [24] “Snort faq.” https://www.snort.org/faq/what-is-snort. Accès le 16 Mai 2020. [25] “What are the differences in the rule sets?.” https://www.snort.org/faq/ what-are-the-differences-in-the-rule-sets. Accès le 16 Mai 2020. [26] “What is squid?.” http://www.squid-cache.org/Intro/. Accès le 17 Juin 2020. 44