Professional Documents
Culture Documents
TI
2013
RSI 16.13
Rapport de
Adresse : (Rue de lac dAnnecy, Immeuble STRAMICA 1053, Les Bergees du lac)
Tel : (71 861 712)
Mail : ( sofien.abidi@tradnet.com.tn)
Ddicace
Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de reconnaissance
tous ceux qui mont aid le raliser.
A tous les membres de la famille, pour leurs encouragements, soutien, affectation et confiance
ainsi que mon binme dans ce travail Hammami Khifa qui maccompagne durant toutes mes
tudes universitaires, tous mes collgues de travail qui mont donn du courage pour
continuer les tudes et pour prparer ce diplme et enfin aux Enseignant et Encadreur de
lISET qui nous ont donn confiance et espoir et qui nous ont soutenus durant tout le cursus
universitaire de cette anne.
Je ddie ce travail tous ceux qui mont aid de prs ou de loin la ralisation de mon projet
fin dtude. Mes vifs et sincres remerciements sadressent aux mes de mes chers parents,
sans oublier mon binme dans ce travail Marwen Ben Cheikh Ali et aussi mes frres pour
leur soutien et ses biens faits quil mapport tout au long de ce stage et enfin tous mes
professeurs et mes amis.
Hammami Khifa
Remerciement
Cest avec le plus grand honneur que nous avons rserv cette page en signe de gratitude et
de reconnaissance tous ceux qui nous ont aids de prs ou de loin la ralisation de ce
rapport de stage.
Nos remerciements sadressent Mr Khaled Marzouk, le directeur gnral de lEntreprise
Tunisie TradNet(TTN) qui nous a accueillies dans son tablissement.
Nos remerciements vont aussi notre encadreur Mr Abidi Sofien qui assur notre
encadrement tout au long de ce stage et par leurs conseils et leur aides prcieux, nous a guids
pendant notre projet.
Notre sincre gratitude sadresse galement tous nos enseignants du dpartement
informatique du lInstitut Suprieur des Etudes Technologies de Bizerte qui ont assur notre
formation pendant ces trois annes dtude.
De mme nous tenons remercier les membres de jury pour lhonneur qui nous ont fait en
acceptant de juger notre travail.
Sommaire
Introduction Gnral...1
Chapitre 1 : Prsentation du cadre du stage2
1. Prsentation de la socit.2
1.1. Historique2
1.2. Domaine dactivit..2
1.3. Organigramme.4
2. Etude de lexistant5
3. Description de lexistant...5
4. Critique de lexistant........7
5. Objectifs ..8
6. Solution propose.8
7. Planification du projet......9
Chapitre 2 : Etat de l'art.11
1. Dfinition Free BSD.........11
2. Portail Captif de free BSD............11
3. Etude des diffrents portails captifs free BSD..........12
3.1. WifiDog....................................13
3.2. Talweg.....................................13
3.3. NoCatSplash.............................14
3.4. Tableau comparaison de Free BSD..........................15
4. Choix de la solution pfsense...............................................15
4.1. Prsentation de pfsense ...............................................15
4.2. Objectifs.......................................................................16
4.3. Avantage ......................................................................16
5. VPN Client........................................................................17
5.1 Prsentation......17
5.2 Open VPN................................................................................18
5.3 Limitation dopen VPN................................................................................19
Chapitre 3 : Mise en place du pare feu.....................................20
1. Configuration de pfsense sous Vmware........................20
1.1. Partie WAN.....................................................................20
1.2.
1.3.
Configuration de SquidGuard.................................................................................37
1.4.
1.5.
Maquette de test................................................................................................47
3.2.
3.3.
Test de la solution.............................................................................................50
Maquette de test....................................................................................52
4.2.
5.2.
5.3.
Conclusion Gnrale.61
Netographie...62
Introduction Gnral
Vu limportance et lobligation de llaboration dun pare-feu, chaque organisme doit tablir
un pare-feu pour la scurit informatique priodiquement afin didentifier ses sources de
menace et ces dgts informationnels.
Portant de cette ide, nous avons dcid dtablir un rapport dun Pare-feu de scurit
informatique.
Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un
systme permettant de protger un ordinateur ou un rseau dordinateurs des intrusions
provenant dun rseau tiers (notamment internet).
Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le
rseau, il sagit ainsi dune passerelle filtrante comportant ou minimum les interfaces rseau
suivante :
Une interface pour le rseau protger (rseau interne) ;
Une interface pour le rseau externe.
La deuxime partie prsente une tude pratique qui dfinie la mise en place dun pare-feu.
La troisime partie comporte une tude thorique qui dfinie le thme dun pare-feu de la
scurit informatique.
1. Prsentation de la socit
1.1.
Historique
La socit Tunisie Trade Net gre, depuis sa cration en fvrier 2000, un rseau informatique
qui relie les diffrents intervenants dans les procdures du commerce extrieur en Tunisie
(Banques, Administrations, Douanes,).
Sous la tutelle du ministre des finances tunisien depuis 2002, TTN sintgre dans le projet de
ladministration en ligne. Le Projet a pour but de faciliter les procdures du commerce
extrieur, den assurer la traabilit, et de rduire les dlais de sjour des marchandises aux
ports.
Ainsi, La solution apporte par Tunisie TradeNet permet aux diffrents oprateurs: Entreprises,
Transitaires et commissionnaires en Douanes, Transporteurs et Agents maritimes de traiter les
diffrentes formalits dimportation et dexportation en mode lectronique.
Outre son rle en tant quintermdiaire dans les changes de documents relatifs aux procdures
de commerce extrieur en mode lectronique, Tunisie TradeNet se distingue en tant que
socit de services et d'ingnierie informatique SSII.
1.2.
Domaine dactivit
Rfrences dans le transport : Dveloppement interfaage Laisse Transport,
application manifeste.
Comptences
en
dveloppement
d'applications
scurises :
(solution
d'authentification forte)
1.3.
Organigramme
2. Etude de lexistant
2.1. Description de lexistant
Le rseau de l'entreprise met en uvre des donnes sensibles, les stocke, les partage en
interne et les communique parfois d'autres entreprises ou personnes.
Cette ouverture vers l'extrieur conditionne des gains de productivit et de comptitivit.
Il est impossible de renoncer aux bnfices de l'informatisation, d'isoler le rseau de
l'extrieur ou de risquer la confidentialit des donnes de lentreprise.
Les donnes sensibles du systme d'information de l'entreprise sont donc exposes aux actes
malveillants dont la nature et la mthode d'intrusion sont sans cesse changeantes.
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accs aux rseaux qui relient
l'entreprise l'extrieur.
La socit travaille dans un environnement bas sur le systme dexploitation Unix. Elle est
caractrise par un trs grand nombre de serveurs grer :
Serveur http : (HyperText Transfer Protocol) : est un logiciel servant des requtes
respectant le protocole de communication client-serveur, qui a t dvelopp pour le
World Wide Web. Un serveur HTTP utilise alors par dfaut le port 80.
serveur SMTP : (Simple Mail Transfer Protocol) Il permet d'envoyer des messages
texte ASCII vers des htes disposant de services de courrier, Il utilise le port TCP 25.
Lentreprise prsente aussi une absence de contrle de trafic entre le rseau interne et
externe.
Le but de notre projet est de trouver une solution pour remdier tous ces problmes et ce
en permettant de :
Pouvoir dtecter et interprter les causes et origines des problmes rencontrs afin de
les traiter le plus rapidement possible.
Scuriser et contrler les accs externes aux donnes ainsi que le partage et transfert
interne des donnes, vu le nombre important des utilisateurs internes et externes de
systme rseaux.
2.3. Objectifs
Lobjectif de notre stage est dimplmenter une architecture rseau scurise, dans un
environnement Linux, comprendre les problmatiques lies aux attaques rseau intgrer des
outils de scurit et de surveillance rseau, dployer des solutions sous Linux :
3. Planification du projet
Pendant ces quatre mois de travail nous avons fait de notre mieux pour senchaner au plan
suivant :
9
Premier Mois : Cest la priode que nous avons consacr la prparation des outils
de travails et la documentation et la formation sur le logiciel PfSense.
Conclusion
Nous avons prsent, au niveau de ce premier chapitre, lentreprise daccueil ainsi que les
dfaillances de larchitecture rseau actuelle, et nous avons fini par proposer une nouvelle
architecture qui mettra fin aux failles de scurit du rseau de Tunisie Trade Net.
Suite ltude et la critique de lexistant, les problmes que rencontre la socit ont t
soulevs ce qui nous a permis de cerner la problmatique de notre projet. Nous avons par la
suite propos des solutions : cest une seule solution que vous avez propos et finalement
nous avons fix notre choix des outils que nous avons jug convenables pour la socit.
Le chapitre suivant sera consacr une tude de ltat de lart qui comprend une tude
comparative de diffrents produits du march afin de justifier nos choix et de clarifier les
aspects techniques de notre solution.
10
12
3.2.
Talweg[4]
Le logiciel talweg est un portail captif s'excutant sur une plate-forme Linux. Il utilise un
serveur DNS, DHCP, Apache ainsi quAsp.Net et Iptables*.
Talweg prsente de nombreux points intressants :
Du multifentrage.
Des traces trs dtailles (de type proxy web : date, utilisateur, URL complte) ;
La possibilit dutiliser ses liens favoris (en lecture) ou des liens par
copier/coller.
13
3.3. NoCatSplash
Le logiciel NoCatSplash est un portail web captif destin scuriser le partage dune
connexion sans-fil en redirigeant les utilisateurs vers une page web sur laquelle ils doivent
sauthentifier via https avec un login/mot de passe. Pour cela, NoCat modifie dynamiquement
les rgles Iptables* du firewall pour ouvrir certains ports pour lutilisateur (uniquement TCP
avec NoCatAuth-0.82). NoCatAuth ncessite les droits root pour manipuler les rgles
Iptables*.
NoCatSplash est une solution idale pour les petites structures ou personnes souhaitant
partager facilement une partie de leur bande passante en offrant notamment un contrle sur les
ports autoriss.
Talweg
Wifidog
PfSense
Simplicit
d'installation
Plus important
Nom
Disponible
Important
Important
Infrastructure
ncessaire
Plus important
Nom
Disponible
important
Important
Performances
rseau
Plus important
Plus important
Plus important
Plus important
Gestion utilisateurs
Nom
Disponible
Plus important
important
Important
Scurit
authentification
Nom
Disponible
Plus important
Plus important
Plus important
Scurit
communications
Nom
Disponible
Plus important
Nom
Disponible
Plus important
15
Le firewall est bas sur Paquet Filter. Toute la configuration du systme est stocke
dans un fichier xml (/cf/conf/config.xml).
4.2. Objectifs
Passer en revue les principales fonctionnalits de pfSense travers une analyse dtaille de
son interface.
Procder aux rglages de base de pfSense (hte, domaine, serveurs DNS, NTP).
4.3.
Avantage
Solution riche et performante moindre cot (bas sur des logiciels libres).
16
Prsentation
Le VPN client consiste connecter un nomade informatique a son entreprise via un tunnel
scurise. Ce tunnel est vu comme un tuyau hermtique de bout en bout ferme a ses extrmits
par deux portes verrouilles avec une mme clef. A lintrieur de ce tunnel, il y a de
linformation qui transite de faon scurise puisque personne ne peut accder ce quil y a
dans le tuyau. Les personnes pouvant voir le contenu du tuyau se trouvent donc a lextrmit
de ce dernier et possdent tous deux la mme clef.
17
1. OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL
supportant une large gamme de systmes dexploitation client. Elle peut tre mise en
uvre en PfSense partir du package http://openvpn.net/
2. IPSec: permet la connectivit avec tout dispositif de support standard IPsec. Ceci est le
plus gnralement utilis pour la connectivit du site aux installations PfSense. IPSEc
peut tre mise en uvre en PfSense partir du package
http://tools.ietf.org/html/rfc4301
3. L2TP: Cette option va grer le Layer 2 Tunneling Protocol (L2TP) qui signifie
protocole de tunnellisation de niveau 2. Il sagit dun protocole rseau utilis pour
crer des rseaux privs virtuels (VPN). Cette technologie peut tre mise en place
partir du package http://tools.ietf.org/html/rfc7546
4. PPTP: est une option populaire VPN, car presque tous les OS sont dots dun client
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le
serveur Pfsense PPTP peut utiliser une base de donnes dutilisateur local, ou dun
serveur RADIUS pour lauthentification. PPTP peut tre utilis en pfSense partir du
package : http://www.ietf.org/rfc/rfc2637.txt
5.2.
OpenVPN
18
5.3.
Limitations dOpenVPN :
Clients mobiles
Utiliser IP statiques ou
dynamiques
Filtrage de traffic VPN
Type dauthentification
Fonctionnalits du
mcanisme non encore
implmentes dans
PfSense
OpenVPN
Oui
Static IP : Oui
Dynamic IP :
V2.0
Prvu dans la
V2.0
Shared Key,
Certificat
Celles
manquantes dans
la V2.0
IPSec
Ne support pas NATT ce qui empche
lutilisation de client
mobiles derrire du
NAT
Static IP : Oui
Dynamic IP : Un seul
point final autoris
Oui
Pre Shared Key,
Certificat
PPTP
Oui
Static IP : Oui
Dynamic IP : Oui
Oui
Local user database,
RADIUS server
(Authentification,
Accounting)
Conclusion
Les diffrents modles prsents dans ce chapitre expliquent bien le fonctionnement
global du projet. Cette dfinition nous donne une ide claire sur les principes et les objectifs
de lapplication et on peut facilement par la suite atteindre la phase de ralisation.
Nos travaux nous ont conduits tudier plus particulirement le projet pfSense. Cette solution
offre des avantages important en termes de filtrage des flux Internet et peut permettre de
rpondre efficacement la plupart des problmes de scurit et de filtrage des flux Internet.
19
Partie WAN
20
1.2.
1.2.1.
Pour
WAN
Figure 11: Configuration de carte rseau Administrateur sous Virtual Network Editor
RseauLAN , Nous activons tous les services sauf le service WAN (Vmware Bridge
Protocol).
23
Figure 15: Configuration de carte rseau RseauLAN sous Virtual Network Editor
1.3.
24
2. Portail Captif :
La diffrence entre un simple Firewall et un portail captif rside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page dauthentification.
Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stocks dans
une base de donnes qui est hberge localement ou sur un serveur distant. Une fois
l'utilisateur authentifi, les rgles de firewall le concernant sont modifies et celui-ci ce voir
autoris utiliser son accs Internet pour une dure fixe par l'administrateur. A la fin de la
dure fixe, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session.
26
27
Activer le DHCP sur linterface : Dans ce cas, nous avons la main pour rgler la plage
dadresses IP.
28
30
Le domaine : localdomain
Nous avons dcoch loption se trouvent dessous (Allow DNS server liste to be overridden by
DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des
clients ne sont plus les DNS de PfSense, mais des DNS du WAN qui est inaccessible par le
LAN.
Ensuite, nous avons modifi le nom et le mot de passe du compte permettent de se connecter
sur PfSense.
Nous pouvons ensuite activer laccs ses pages, via une connexion scurise SSL. Pour cela,
nous avons activ le protocole HTTPS pour plus de scurit.
31
32
Conclusion :
Dans ce chapitre nous avons dcrit la mise en place de firewall PfSense dans notre
environnement de travail. Nous avons configur les interfaces rseaux existantes dans le
firewall.
Dans le chapitre suivant, nous allons implmenter et raliser notre application et prsenter une
description complte de lapplication.
34
Pour pouvoir utiliser les fonctionnalits du proxy, il faut ajouter les packages
SquidGuard
Squid
et
1.1.1 Squid :
Squid est un serveur proxy/cache libre trs connu de monde Open Source. Ce serveur est
trs complet et propose une mulitude doptions et de services qui lui ont permis dtre trs
largement adopt par les professionnels, mais aussi dans un grand nombre dcole ou
administrations travailliant avec les systmes de type Unix
Squid est capable de manipuler les protocoles HTTP,FTP,SSL...
1.1.2 SquidGuard :
SquidGuard est un redirecteur URL utilis pour utiliser les listes noires avec le logiciel
proxy Squid . SquidGuard possde deux grands avantages: Il est rapide et il est aussi
gratuit. SquidGuard est publi sous GNU Public License, licence gratuite.
SquidGuard peut etre utilis pour :
Limiter laccs Internet pour certains utilisateurs une liste de serveurs Web et /ou
des URLs qui sont accepts et bien connus.
35
1.2.
Configuration de Squid
Allow user on interface :Nous avons choisi de valider cette option pour linterface
choisie.
Language : French.
Au niveau du menu longlet Access Control Blacklist , Il est possible dindiquer des
sites non autoris en complement des Blacklist de SquidGuard.
36
1.3.
Configuration de SquidGuard
1.4.
Lorsque le tlchargement est termin, Il faut ensuite cliquer sur longle Default puis sur
le triangle vert pour afficher la blacklist dans la page Common ACL .
Sur chaque lment quenous voulons autoriser, nous choisissons allow , et pour ceux que
vous voulez interdire, nous choisissons deny .
Au niveau de longlet Common ACL, nous configuron les options suivantes:
Not to allow IP adresses in URL :nous cochons cette option si nous voulons
interdire les adresses IP tapes directement dans lURL.
Redirect mode : laisser loption par dfaut int error page : Pour garder les messages
derreur par dfaut
Redirect info : pour entrer un message derreur personnalis, par exemple Accs
interdit,cantacter votre administrateur
Enable log : nous cochons cette case pour enregistrer lactivit du service
Aprs avoir install les packages au niveau de longlet Services proxy filtre , on
active le paquet SquidGuard comme il se trouve dans la figure
37
1.5.
Nous avons activ le paquet SquidGuard, nous allons ensuite ajouter les autres sites filtrer.
Nous alonns tester par exemple les sites:
www.facebook.com
www.gmail.fr
www.tunisa sat.com
Pour cela, nous nous sommes dirigs longlet Target catgories (nous travaillons encore
sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous activons le
log et enfin, nous pouvons ajouter une description.
38
39
40
41
44
[9]
SNORT est outil open source de dtection dintrusion rseaux (NIDS). SNORT est capable
dcouter sur une interface afin deffectuer une analyse du trafic en temps rel, de logger les
paquets IP et de rechercher des correspondances de contenu ; le but tant de dtecter une
grande varit dattaques connues.
SNORT peut fonctionner en quatre modes diffrents :
46
Maquette de test :
Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de
NIDS et dIPS :
47
performance
Oinkmastre code
Code rcupr via notre compte sur SNORT.org qui nous permettrons
de tlcharger les rgles SNORT pr tablies.
Snort.org subscriber
Block offenders
Update rules
Mise jour automatique des rgles SNORT.
authomatically
Whitelists VPNs uris to Ajouter automatiquement les VPN pr configurs dans pfSense la
clickable links
whitelist, afin dviter tout refus de connexion ou blacklistage.
48
49
Test de la solution :
Un attaquant va effectuer un scan de port Nmap sur un hte distant. Pendant toute la dure du
test, lattaquant effectue, en parallle du scan du port, un Ping vers la victime, afin de vrifier
en permanence la connectivit vers lhte et fixer le moment o il sera blacklist par
SNORT : attaque dtect ET contre.
50
4.1.
MAQUETTE DE TEST
52
4.2.
Il y a deux tapes de base la mise en place dun limiteur de contrle la bande passante.
A partir de ce moment, nous le vrifions la bande passante dune manire trs simple,via le
speedtest.net qui nous permet de calculer le dbit descendant depuis une station.
54
55
5.1.
Maquette de test :
Ntop sera raccord au cur de notre rseau via un port miroir. Ce port miroir, aussi appel
port monitoring, effectue une rplication de lensemble du trafic transitant via llment actif
sur lequel il est configur (gnralement un commutateur ou un chssis de cur de rseau).
Ainsi, lensemble des paquets entrants et sortants sera redirig vers notre PfSense avec Ntop
en coute.
56
5.2.
Installation et configuration :
57
5.3.
NTOP est trs fournit en termes de menus et de donnes affichables. Nous allons donc
imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons notre
rseau/bande passante.
Consomment de bande passante
59
60
Conclusion Gnrale
Ladministration rseau est un travail complique. Le mtier veut que lon doive souvent
matriser diffrentes technologies et les faire travailler ensembles. La tche se complique
encore si ladministration et la configuration de tout cela se fait manuellement.
En ce sens nous avons vrifie travers ce rapport que PfSense rpond ces interrogations.
Cet Outil est en effet un gestionnaire central doutils rseaux. On peut ainsi faire travailler
ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de dtection dattaque
rseau etc. Le tout sur un seul et mme Serveur. On peut par exemple crer trs facilement des
Backups pour ne pas se retrouver avec un seul point nvralgique dans notre rseau Bref
nous pensons que PfSense est voue exister et se dvelopper.
Nous avons mis en place et test certains services (les principaux pour tre prcis) de
PfSense.
Netographie
[1] http://fr.wikipedia.org/wiki/FreeBSD: Systme dexploitation FreeBSD: le 2 mai 2013
consult le17 mai 2013
[2] http://fr.wikipedia.org/wiki/Pfsense : Portail captif : le 21 Dcembre 2012 consult le 17
fvrier 2013
[3] http://www.memoireonline.com/02/10/3156/m_Implementation-dune-infrastructure-securiseedacces-internet-portail-captif2.html : Dfinition et infrastructure portail captif le 03 fvrier 2010
consult le28 mars 2013
[4] http://www.crium.univ-metz.fr/reseau/talweg/ : information Talweg: le 21 juin2011consult
le 22 avril 2013
[5] http://bzhmarmit.wordpress.com/2012/09/11/pfsense : configuration PFSense: le 11
septembre 2012 consult le 20 fvrier 2013
Rsum :
La scurit permet la protection du rseau informatique cest pour cela nous avons utiliss un
Firewall PFSense qui peut servir enregistr lutilisation de laccs Internet et bloquer
laccs des sites web pour avoir une ide sur ltat du trafic et les menaces on provenance
dInternet pour offre les utilisateurs un accs distant rapide et scuris travers de package
installer Squid/SquidGuard, SNORT, TRAFFIC SHAPPER, NTOP et Open VPN.
Abstract:
Security enables the protection of computer network that is why we used a PFSense Firewall
that can serve recorded using the Internet and block access to web sites to get an idea on the
traffic conditions and threats from the Internet is to offer users fast and secure remote access
through the install package: Squid / Squid Guard, SNORT, TRAFFIC Shapper, NTOP and
Open VPN.
" esnPSFP"
/ndiuq
. OPPS eeR RSOe ,SNFssS nFFeRN ,nRONS ,ndiuq diuqq