Professional Documents
Culture Documents
INTRODUCTION
1
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
2
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
PROBLEMATIQUE
3
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
4
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
PREMIERE PARTIE :
ENVIRONNEMENT ET
CONTEXTE DEXECUTION
5
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Depuis donc cette date le Ministre est connu sous le nom Ministre de
lEducation Nationale et ce jusquen 1981 .A partir de 1983, la dnomination
va changer et devenir Ministre de lEducation Nationale et de la Recherche
Scientifique. En 1986, il devient Ministre de lEducation Nationale charg de
lenseignement secondaire et suprieur. Il faut signaler que le Ministre avait
en charge la gestion de trois entits de lenseignement savoir :
- lenseignement primaire ;
- lenseignement secondaire ;
- lenseignement suprieur ;
6
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
7
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
< Notre thme tudier intitul mise en place dune solution de scurisation
du rseau du Ministre de lEducation Nationale prsente trois (3) grands
termes qui sont :
- Solution de scurisation
- Rseau informatique
8
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
9
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
consigne dans une fiche d'intervention (voir annexe) remplie et signe par
l'utilisateur et lintervenant.
Service Systme et Dveloppement Applicatif (SSDA)
Dfinir une politique de gestion optimale et de scurisation des donnes.
Gre les serveurs d'application et de Base de donnes en mettant en place
diffrentes politiques en matire de sauvegarde, de planification et de la
gestion des incidents. Ce service est assur par un administrateur de base de
donnes.
Service Gestion du Changement et Planification Stratgique (SGCPS)
Ce service assure la formation des utilisateurs lutilisation des logiciels
dvelopps et la confection de guide utilisateur. Faire la promotion de
lIntranet, assure la mise jour des connaissances des utilisateurs de la
nouvelle technologie et la veille technologique.
Il procde linitiation des utilisateurs aux matriels informatiques et
lutilisation du systme install au sein du Ministre.
Service de gestion administrative (SGA)
Ce service est charg de ladministration du CRIMEN. Il sassure du bon
fonctionnement des diffrents ples. Il dfinit la politique de la gestion
globale du rseau informatique en fonction des besoins exprims par toutes
les structures centrales ; manage tous les quipements du rseau (routeurs,
Switch, serveurs) pour s'assurer de leur disponibilit. Cette mission est
accomplie par le chef de service et lun de ses collaborateurs.
11
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
<
12
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Web Server
Backbone APC
Switch
14
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Routeur
Web server
Mail Server
3
5
4
Test Server
Back up Server
DB Server
15
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
N SERVEUR CARACTERISTIQUE OS
1 2IIS, SQL server IBM System x3650 2008
Biprocesseur 6Gb (RAM) 32-bit Operating Server
System
Bat F
AP AP
Bat H
Switch L3
Bat C
Switch L2
AP
AP
AP
AP
AP Bat B
Bat A
16
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
AP
Switch L3
AP Switch L2
La Tour A
AP
AP
AP
SWITCH L3 AP
AP
SWITCH AP
AP L2
SWITCH AP
AP L2
AP
SWITCH AP
AP
L2
AP
SWITCH
AP L2
AP
AP SWITCH
L2
AP
AP
AP
La Tour B
SWITCH L3 AP
SWITCH L2
AP AP
18
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
19
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
20
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
22
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
a) Telnet
L'identifiant et le mot de passe Telnet circulant en clair sur le rseau, il faut
demander aux utilisateurs d'employer des mots de passe diffrents de ceux
utiliss pour se connecter des applications utilisant des protocoles mieux
scuriss intercepts, l'identifiant et le mot de passe pourront, en effet, tre
utiliss par un intrus pour se connecter des applications dont les mots de
passe sont, en ce qui les concerne, chiffrs.
De plus, les donnes sont vhicules sous une forme non structure, tche
qui est laisse l'initiative de l'application. II est donc trs facile de transfrer
toutes sortes de donnes en profitant d'une session Telnet.
Client Serveur
TCP
>1023 23
>1023 23
23
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
b) FTP
L'identifiant et le mot de passe circulant en clair, les recommandations
nonces pour Telnet s'appliquent galement FTP.
Le mode passif est beaucoup plus sr que le mode normal, car il vite
d'autoriser les connexions entrantes. Cependant, toutes les implmentations ne
sont pas compatibles avec ce mode. Si tous vos clients et serveurs FTP
supportent le mode PASV, il est recommand d'interdire le mode normal.
c) DNS
La recherche de noms et le transfert de zone utilisent gnralement les
ports UDP (53 53), mais si ces requtes chouent, elles sont relances via
TCP (>1023 53). Certaines implmentations, ce qui est le cas avec les
machines AIX, utilisent exclusivement TCP.
TCP/UDP
>1023 53 UDP
TCP/UDP 53 53
>1023 53 UDP Requte (ex : SOA)
33333 333 53
ask 53
33
33
33333 TCP 53
333 33 >1023 Transfert de zone
2
33 3 TCP 53 ou requte (ex :
>1023
33333
ask 33 SOA)
33333 33
33
kkkk
33
3
kkkk
3 ou
333 24
33
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Aucun mot de passe nest requis pour ces changes automatiquement entre
machines et ce, de manire transparente pour l'utilisateur. Par ailleurs, la
commande nslookup permet tout utilisateur de consulter la base de donnes.
La base de donnes du DNS est particulirement sensible, car elle contient
l'ensemble des adresses IP de nos serveurs et quipements rseaux, voire plus
puisque nous utilisons Active Directory de Microsoft. Elle doit donc tre
protge et en particulier tre inaccessible depuis l'extrieur.
d) HTTP
Les serveurs Web peuvent rpondre sur des ports spcifiques, autres que
80, tels les 8000, 8080, 8010 ou encore 81, pour ne citer que les plus courants.
Ces ports non-standards ne prsentent aucun intrt en termes de scurit, car
les scanners permettent de les trouver rapidement.
e) NetBIOS
Le protocole NetBIOS (Network Basic Input Output System) est difficile
contrler, car il transporte de nombreux protocoles propres Microsoft: il
s'agit de SMB (Server Message Block) de NCB (Network Control bloc) et de
25
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
toute une srie de RPC (Remote Procdure Calls), qui sont utiliss par les
environnements Windows.
Client
Serveur Client Serveur Client Serveur
UDP UDP
>1023 137 >1023 138 >1023 TCP 139
UDP UDP TCP
>1023 137 >1023 138 >1023 139
f) SNMP
Pour les requtes get et set le client est la plate-forme
d'administration tandis que pour les messages traps , le client est le
matriel (rseau, serveur, etc.). Il est donc recommande de cantonner ce
protocole entre les stations d'administration et les quipements surveiller :
La plupart des implmentations utilisent UDP, et il faut l'autoriser dans
les deux sens.
Les noms de communaut circulent en clair
Les possibilits d'action offertes sont importantes (la commande get
permet de faire un dump complet d'une configuration et la commande set
permet de modifier la configuration).
Get / Set Traps
26
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
On peut donc envisager de laisser passer les messages SNMP en filtrant les
adresses sources et destinations. La politique de filtrage peut cependant tre
plus souple au sein d'un mme domaine de confiance ou dans le cas de
rseaux entirement commuts reposant sur des VLAN, pour ce qui concerne
Internet, le protocole SNMP doit tre interdit.
h) NSF
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094
indique que ce n'est pas une obligation. Certaines implmentations utilisent en
fait le Portmapper.
Un problme de scurit important pos par NFS est celui li au numro de
handle :
27
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
i) ICMP
De nombreux services ICMP peuvent renseigner un intrus, comme par
exemple destination unreachable , qui comporte des informations indiquant
la cause du problme ou encore cho request et cho reply , qui
indiquent si un nud est actif.
Les seuls paquets ICMP, qu'il est envisageable de laisser passer vers un
autre domaine de confiance, sont les suivants :
type 4 source quench , qui permet de contrler le flux entre un client et
un serveur :
Type 11 time to live exceeded , qui vite le bouclage des paquets IP ;
Type 12 parameter problem , qui indique une erreur dans un en-tte ;
Type 8 cho request et type 0 cho reply, utiliss pour vrifier
l'activit des nuds pour des oprations de supervision et de diagnostic.
Vis--vis d'Internet, tous les services ICMP doivent tre interdits : ils ne
sont pas ncessaires et peuvent donner trop d'informations aux intrus.
Aprs lecture de tous ces protocoles il revient de nous interroger aussi sur
les diffrents types dattaques que pourraient rencontrer un rseau
informatique.
28
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
29
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
SYN
Client Serveur
ACK, SYN
ACK
30
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
e) Le rebond
Cette technique est la plus simple puisqu'elle consiste profiter d'une faille
de scurit pour investir un serveur, puis, partir de l, se connecter
d'autres machines en utilisant les droits accords ce serveur.
La protection contre ce type d'attaque relve de la scurisation des serveurs
(mots de passe et correctifs) et de l'architecture (voir plus loin). En
positionnant les serveurs les plus exposs sur un segment ddi, diffrent de
celui hbergeant les machines les plus sensibles, un firewall peut contrler les
flux.
f) Les chevaux de Troie
Un cheval de Troie est un programme, import sur une machine linsu de
ses utilisateurs, qui se substitue un programme normal, par exemple, au
client FTP. Quand l'utilisateur lancera la commande FTP, au lieu d'utiliser son
programme habituel, il lancera le faux FTP, dont l'interface utilisateur
ressemble au vrai programme, la diffrence qu'il ouvrira une session
parallle sur un serveur appartenant au pirate.
32
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
33
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
(type browser, logiciel de mail, etc...) pour excuter un code arbitraire qui
compromettra la cible (acquisition des droits administrateur, etc...).
Le fonctionnement gnral d'un buffer overflow est de faire crasher un
programme en crivant dans un buffer plus de donnes qu'il ne peut en
contenir (un buffer est un zone mmoire temporaire utilise par une
application), dans le but d'craser des parties du code de l'application et
d'injecter des donnes utiles pour exploiter le crash de l'application. Le
problme rside dans le fait que l'application crashe plutt que de grer l'accs
illgal la mmoire qui a t fait. Elle essaye en fait d'accder des donnes
qui ne lui appartiennent pas puisque le buffer overflow a dcal la portion de
mmoire utile l'application, ce qui a pour effet (trs rapidement) de la faire
planter. Une attaque par buffer overflow signifie en gnral que l'on a affaire
des attaquants dous plutt qu' des "script kiddies".
35
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Il est noter qu' cette fonction de cache, vient s'ajouter celle dj gre au
niveau de chaque navigateur Web.
36
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
37
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Cette technique est souvent utilise en complment des relais applicatifs, plus
particulirement pour les protocoles non supports par les relais, mais n'est
jamais employe seule.
38
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
39
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Dans les grandes entreprises aussi bien que les petites, le rseau permet
l'change de donnes de natures trs diverses entre des populations aussi
diverses que gographiquement disperses. Dans tous les cas, la
problmatique reste la mme ainsi que les moyens mis en uvre pour la
rsoudre. En effet, la scurit est un vaste sujet, qui dpasse le cadre du rseau
tant sur les plans technique que mthodologique. Car ds lors qu'il permet
des centaines, voire des milliers d'utilisateurs de communiquer et d'changer
des informations, le rseau pose invitablement le problme de la scurit :
les informations qu'il vhicule possdent de la valeur et ne doivent pas tre
accessibles tout le monde. Vu que, dans un rseau wifi, notre cadre dtude,
les ondes radios ne pouvant tre confines dans un espace dlimite,
n'importe quelle personne se trouvant porte de ces ondes peut s'y connecter
et utiliser le rseau des fins pas toujours catholiques (voir annexe 4). Alors,
tant donn que notre rseau sinscrit dans ce cadre douverture sur le monde
extrieur, voyons quelle est la solution apporter pour le protger contre les
attaques.
V.2 La confidentialit
La scurit, exprime en termes de confidentialit, recouvre plusieurs
fonctionnalits :
- Lauthentification forte permettant de s'assurer de l'identit de
l'utilisateur ;
- Le chiffrement des donnes afin dassure la confidentialit face aux
rseaux externes traverss (rseau tlphonique, ADSL, etc.) ;
- Lintgrit des donnes, qui consiste vrifier que les donnes
reues sont bien celles qui ont t originellement mises ;
- La signature, qui consiste s'assurer qu'un objet a bien t mis par
celui qui prtend l'avoir fait ;
- Le certificat, qui consiste s'assurer que la cl publique du
destinataire est bien la sienne.
40
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Les mcanismes mis en uvre pour ces fonctionnalits reposent sur les
algorithmes de chiffrement. Des protocoles intgrent ensuite ces algorithmes
dans des applications telles que les changes rseau au sens large, les cartes
bancaires, le paiement lectronique, etc.
Ltude faite de ce deuxime point nous ont permis daboutir la phase
pratique de notre travail.
41
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Notre rseau d'entreprise tant reli l'Internet, il est donc plus vulnrable
aux attaques venant de l'extrieur. Dans ce cas, pour surveiller et contrler les
donnes qui entrent et qui sortent de notre rseau, il est primordial d'utiliser
un pare-feu.
Il existe 2 types de pare-feu: le pare-feu logiciel et le pare-feu matriel.
Pour une scurit accrue, nous avons choisir de combiner les 2 types.
noter quil est la fois propritaire et libre car il prsente trois (3) systmes de
management que sont :
- Le DOS ;
- Linterface web ;
- le systme dexploitation watchguard System Manager (WSM)
linterface utilisateur graphique qui install sur une machine
gre cent (100) firewalls au moins.
Cest pour ce faire que nous le proposons dans sa version : firebox X1250e
UTM BUNDULE. En effet, cette version prsente plusieurs avantages qui
sont les suivants :
Scurit complte du rseau en une seule application (paramtrage) qui
inclut tout ce dont on a besoin pour grer et administrer le rseau de faon
efficiente. Il sagit :
Du firewall lui-mme ;
De son systme de gestion qui contient :
Une Application de bloqueur de spam ;
Une Application de bloqueur web ;
Une application VPN
Gateway AV/IPS : lanti-virus de passerelle et le service prvention
dintrusion
Une application anti-virus dont LiveSecurity qui demeure la meilleure
solution en termes de scurit sur les firewalls.
Le support en ligne gratuit.
Une telle architecture se prsente comme suit :
43
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
44
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
45
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Filtrage des paquets IP sur la base des adresses et des ports source et
destination ;
Translation d'adresses IP (NAT) et des ports TCP/UDP (PAT) ;
Filtrage des commandes applicatives (HTTP, FTP, DNS, etc.) ;
Authentification des utilisateurs, permettant ainsi de filtrer les sessions par
utilisateur et non plus sur la base des adresses IP sources.
Chiffrement et intgrit des donnes l'aide du protocole IP sec ;
Dcontamination anti-virus, le plus souvent en liaison avec un serveur ddi
cette tche ;
Filtrage des URL, soit directement, soit en liaison avec un serveur ddi ;
Filtrage des composants actifs (ActiveX, applet Java, Java scripts, etc.).
Il appartient l'tude d'architecture de dterminer si toutes ces fonctions
doivent tre ou non remplies par un seul quipement et quel endroit du
rseau.
VI.4 Architecture
46
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Le module de filtrage IP, qui rside au niveau du noyau Unix, est intercal
entre le driver de la carte et les couches IP. Tous les paquets entrants et
sortants passent obligatoirement par le module de filtrage IP et, en fonction du
protocole, sont ensuite transmis au relais applicatif correspondant. La partie
rlayage applicatif de watchguard est constitue de plusieurs relais (dmon
Unix ou service NT), un par type d'application relayer (Telnet, SMTP, etc.)
drivs des sources du kit TIS (Trusted Information Systems) et de Netscape
Proxy Server pour le relais HTTP.
Les relais sont lancs dans un environnement restreint (chroot) et sans
les privilges superviseur (root) ils ne reoivent jamais les flux directement.
VI.4.1 Fonctionnement
Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont
obligatoirement traits par le relais applicatif correspondant. Si un relais
47
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
48
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
49
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
VI.4.4 Authentification
<<
50
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
51
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
52
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
53
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
54
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
55
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
56
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
accident dutilisation -
li lenvironnement :
57
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
58
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Hormis ces lments terminaux qui composent le local technique, nous avons aussi les liaisons quil faut scuriser. Elles
servent vhiculer les lments actifs du rseau contenus soit dans le rseau local technique, soit dans le poste de travail de
lutilisateur (exemple : carte modem). Elles peuvent aussi tre des lments internes (cbles, fibre optiques, ondes, laser,
infrarouge, etc.) prsent dans tous les locaux de lentreprise qui les rend facile daccs et donc scuriser. Voici prsent le
tableau ci- dessous :
59
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
60
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Tableau5 : Liaisons
61
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Un rseau Wifi porte toujours un nom d'identification afin que les ordinateurs
puissent le dtecter et se connecter dessus. Ce nom, SSID (Service Set IDentifier)
est dfini par dfaut. Ainsi donc, il convient de le modifier, afin de le cacher aux
ventuels pirates pour les empcher didentifier facilement notre rseau.
Le SSID est une information importante pour se connecter au rseau sans fil.
Le point d'accs diffuse continuellement cette information pour permettre aux
ordinateurs de le dtecter. Le SSID n'est pas une fonction de scurisation mais
permet de rendre "cach" son point d'accs la vue de tout le monde. Il va suffire
configurer le rseau avec les ordinateurs, et activer la fonction "cacher le SSID",
62
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
63
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
DNS
Rseau
MEN HTTP,FTP HTTP,FTP
Rseau
Partenaires
Segment
Groupe
(1)
Case vide = aucun service accessible. Pour la population des exploitants
uniquement.
La mise en place de relais ne se justifie pas sur un rseau interne, car d'une
part nous exerons un contrle sur les acteurs avec qui nous sommes en relation
(nos utilisateurs, les partenaires), et d'autre part la diversit et la complexit des
64
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
65
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
partir du DOS
Si la station est dporte, les sessions avec Watchguard sont authentifies via
DES et l'intgrit des donnes est contrle par une signature DES. Les paquets
en eux-mmes ne sont pas chiffrs. Les accs au firewall peuvent tre contrls
via les mcanismes propres ISM/Access Master. Les statistiques affiches en
temps rel comprennent le nombre de paquets traits et rejets ainsi que les
ressources systme utilises. L'administrateur peut, travers l'interface graphique,
modifier des paramtres systme tels que la taille des caches, les files d'attente et
les tampons utiliss pour la fragmentation.
VIII.2 Remarques sur l'administration des firewalls
Il faut souligner que, dans tous les cas de figure, la scurit rclame une
administration continue. Une quipe d'exploitation doit tre forme
spcifiquement aux techniques lies la scurisation des rseaux IP et au firewall
lui-mme. Les tches sont notamment les suivantes :
positionnement des rgles de filtrage ;
analyse de toutes les rgles de filtrage (une rgle peut en effet mettre en
dfaut toutes les autres) ;
gestion des autorisations d'accs ;
analyse et purge des logs.
VIII.3 Log et audit
L'audit de scurit s'entend tout d'abord comme une valuation des procdures
mises en place pour assurer la scurit du systme. Il va tre effectu l'aide
d'outils informatiques permettant de dtecter les failles du systme en gnrant
automatiquement des tentatives de pntration selon diverses mthodes
prprogrammes et reprenant en gnral les techniques utilises par les hackers.
66
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Comme pour les autres fonctionnalits, les vnements sont gnrs deux
niveaux : relais applicatifs et module de filtrage IP. Ils sont enregistrs dans deux
types de fichiers : audit et alertes.
Le module de filtrage IP enregistre dans le fichier d'audit les adresses IP
source et destination, les ports, l'en-tte du paquet (mode dtaill), le contenu du
paquet (mode trace) et la date de l'interception. Le fichier des alertes contient les
adresses IP source et destination, les ports, les protocoles et la date de
l'vnement.
Les relais enregistrent des informations propres leur application (FTP,
Telnet, HTPP, etc.) : heure de dbut et dure de la session, nombre d'octets
changs, adresses source et destination, nom de l'utilisateur et informations sur
les sessions dauthentification. En mode trace, le contenu du paquet est galement
enregistr. Les alertes peuvent tre dclenches partir d'un vnement simple
(rejet d'un paquet, refus d'authentification) ou sur des conditions spcifiques
fondes sur le nombre d'occurrences d'un vnement ou sa frquence (nombre
d'occurrences de l'vnement pendant une priode donne).
67
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Le firewall est compatible avec les VPN (Virtual Privat Network) IP sec. Pour
des dbits suprieurs quelques Mbit/s, mieux vaut utiliser un botier ddi
appel SecureWarc.
68
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
69
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
et 2612
70
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
BUDGET MATERIEL
TEMPS MIS POUR TROUVER LA CLE DES
EN $ UTILISE
40 BITS 56 BITS
Tableau 8 : Calcul de cl
71
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Tout organisme priv ou public peut investir dans la production d'un ASIC
spcialis. La hauteur de son investissement dpend simplement du gain qu'il peut
en tirer, d'o l'intrt de bien valuer la valeur commerciale de l'information
protger.
En conclusion, les cls 40 bits sont aujourd'hui considres comme non sres
et l'algorithme DES comme obsolte.
IX.3 Les protocoles de scurit
72
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Ces protocoles dfinissent les changes, le format des donnes, les interfaces
de programmation et l'intgration dans un produit. Par exemple, SSL (Secure
Socket Layer) et SHTTP sont destins aux navigateurs Web alors que S/Mime et
PGP/mime s'intgrent la messagerie Internet.
L'intgration de ces algorithmes est dcrite par le standard PKCS sous la forme
de profils dcrits dans le tableau suivant :
<
(a) Profil
PKCS #
Syntaxe
indpendante des
algorithmes
Signature X X
numrique des
messages
Enveloppe X
numrique des
messages
Demande de X
certificat X
Certificats tendus
X X
Liste de certificats
rvoqus
Chiffrement par cl X X
prive
73
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
change de cls
Syntaxe dpendant
des algorithmes
RSA cl publique
X
RSA cl prive
X
Algorithmes
Message digest :
MD2, MD5 RFC 1319, 1321
Chiffrement cl
prive DES RFC 1423
Chiffrement cl
publique RSA X
Signature: MD2,
MD4. MD5 w/RSA X
Chiffrement des
mots de passe
X
change de cls
Diffie-Hellman X
74
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
75
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
metteur A Destinataire B
77
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
ECDSA (Elliptic Curve de DSA) qui est analogue DSA mais se base sur un
algorithme ECC
Rabin Digital Signature qui repose sur la racine carre des nombres modulo
Zn o n est le produit de 2 grands nombres premiers : la racine carre de Zn est
difficile trouver (la racine carre de X modulo Zn est trs difficile trouver
quand on ne connat pas n).
<
oprateur, mais sur le chiffrement des donnes. Il est d'ailleurs possible d'utiliser
IP sec au-dessus d'un VPN de niveau 2 ou de niveau 3 et de toute liaison WAN
ou LAN en gnral. La notion de VPN applique IP sec ne vient qu'avec le
chiffrement des donnes ; il est donc possible de crer un rseau priv au-dessus
d'Internet, qui est un rseau public rsultant de la concatnation de rseaux
oprateur.
D'une manire gnrale, le chiffrement permet de renforcer la scurit pour les
donnes sensibles circulant dans un domaine de non-confiance. Si le niveau de
scurit l'exige, il peut s'appliquer :
aux accs distants qui empruntent le rseau tlphonique d'un boitier VPN
(mode pc-to-Lan) ;
Serveur daccs
VPN IPsec distants
RTC
Botier VPN
Chiffrement /dchiffrement oprs
Par le botier et le logiciel sur le PC
Firewall
ou entre deux sites interconnects par un rseau oprateur, que ce soit une LS,
un VPN de niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN).
79
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
VPN IPsec
Chiffrement / dchiffrement
Oprs par les botiers
80
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Ce type de protection peut aussi bien s'appliquer des utilisateurs qu' des
protocoles rseau tels qu'OSPF, afin de s'assurer que seuls les routeurs dment
identifis soient habilits changer des informations de routage.
XI.1 Les mcanismes d'authentification
La connexion d'un utilisateur sur un ordinateur implique la saisie d'un nom de
compte et d'un mot de passe. Deux mcanismes de protection sont mis en uvre
cette occasion :
Le chiffrement du mot de passe l'aide d'un algorithme quelconque ;
La gnration d'un mot de passe diffrent chaque tentative de
connexion.
Le premier mcanisme utilise les algorithmes classiques symtriques et
asymtriques. Le deuxime mcanisme, appel One Time Password, peut tre
ralis de deux manires :
- Par dfi/rponse (challenge/ response) ;
Les mots de passe usage unique (one time password ou OTP en anglais) sont un
systme d'authentification forte bass sur le principe de challenge/rponse. Le
concept est simple : Utiliser un mot de passe pour une et une seule session. De
plus, le mot de passe n'est plus choisi par l'utilisateur mais gnr
automatiquement par une mthode de prcalcul (c'est dire que l'on prcalcule
un certain nombre de mot de passe qui seront utiliss ultrieurement). Cela
supprime les contraintes de :
- Longvit du mot de passe. Le mot de passe est utilis une seule fois
- Simplicit du mot de passe. Le mot de passe est calcul par l'ordinateur et
non pas choisi par un utilisateur
- Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker
un mot de passe obsolte ?
81
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
84
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
85
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
86
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
PC client
Serveur daccs
distants 1 Authentification CHAP
(mot de pas du client)
Firewall
Segment accs distants
2 Authentification par
Serveur dauthentification calculette
Radius
Rseau interne
88
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Nous avons voulu en premier lieu mettre laccent sur la ncessit quil ya
prserver les quipements physiques. Dans notre cas ici, nous utiliserons quelques
exemples cits des tableaux, car nous signalons quune partie de notre travail a
dj t labor par nos prdcesseurs qui ds le dpart ont eu pour souci la
scurit de ces quipements.
Cest pourquoi, nous garderons toujours en ligne ces mmes prcautions
adoptes pour en ajouter que quelques uns que nous jugeons aussi capitale.
Compte tenu de ce que nous avons devoir de maintenir la scurit de notre rseau
un niveau lev, nous avons prvu un systme de dtection et de protection
contre lincendie avec un retour dalarme vers un poste permanent (voir Annexe5)
afin dvit lindisponibilit partielle ou totale du rseau. Pour la nuisance lie
lenvironnement et au vieillissement, nous avons prvu une tude
dimplmentation et en cas de perturbation de celle-ci de lenvironnement nous
envisageons une implmentation dans un autre site. Ceci pourra freiner le
dysfonctionnement des quipements d la poussire, la temprature,
lhygromtrie et les vibrations. Notons quil nous a suffit dapporter ces deux
solutions vu que tout le reste se trouvant dans les tableaux est correctement
respect (suivi).
89
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
90
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Nous prcisons que les dtails dinstallation ne seront pas abords ici ; vu que
notre travail en lui-mme ne porte pas exclusivement sur la mise en uvre
dActive Directory (AD).
Conu afin dorganiser les ressources informatiques de lentreprise, Active
Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des
ressources et de la scurit de faon centralise, dans le cadre dun domaine. La
cration du domaine va permettre de faciliter ladministration du rseau, sa
supervision, une meilleure exploitation des ressources et des donnes, mais aussi
la maintenance distance. En dautre terme, avec Active Directory, nous avons
une gestion centralise des ressources de notre entreprise.
Nous allons essentiellement nous attacher la scurit lie lAD dans notre
rseau.
En effet, les diffrents outils prsents sur le contrleur de domaine vont nous
permettre de pouvoir administrer de nombreux paramtres concernant les
informations dauthentification, les droits daccs, et la scurit. Ce quil faut
comprendre par la scurit de faon centralise, cest le faite quavec lAD, nous
91
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
avons une prise de contrle distance des postes clients qui permet davoir accs
toutes les ressources de ces postes. Contrairement ce qu'on pourrait croire,
nous avons une meilleure garantie de la scurit interne.
Cette solution complte a t ajoute eu gard sa gratuit et les nombreuses
solutions quelle propose. LAD est administrable via une interface web ou
encore travers les fichiers de configuration de lapplication. Il se prsente sous
cette forme :
92
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
Configuration Ordinateur
Paramtres Windows
Scripts
Dmarrage (STARTUP)
Arrter le systme (SHUTDOWN)
Configuration Utilisateur
Paramtres Windows
Scripts
Ouverture de session (LOGON)
Fermeture de session (LOGOFF)
XI.3 RECOMMANDATION
> Il est utile de former les agents du MEN car ils n'ont pas conscience que
certaines attitudes habituelles de leur part peuvent tre au dtriment de la qualit
de notre rseau. D'o la ncessit de la sensibilisation. Voici les points sur
lesquels il faudra insister :
- Scanner les disques amovibles avant de les ouvrir. Car mme si l'antivirus
n'arrive pas dtruire le virus, il arrive parfois qu'il dtecte et avertit d'une
possible infection virale ;
Il faut viter laccs la salle serveur au risque dendommager les quipements
qui sont sensible au toucher ;
>Il serait bon dutiliser le second firewall au rseau interne vu tout ce quil
renferme comme atouts. Sachant que le Men se verra dsormais souvrir
dautre rseau tel quinternet ; par consquent, ouvert toutes sortes dagression.
>Il est aussi bon de pendant le recrutement des employs chargs
dadministrer le systme et sa scurit dexiger une procdure, en plus du support
technique qui sera labor.
>Il est souhaitable quen plus de Active Directory, de disposer dautre logiciel
tel quun proxy pour assurer la maintenance distance.
93
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
XI.4 EVALUATION
Pour les caractristiques du firewall nonces plus hauts, nous pouvons
quantifier financirement ce matriel de la manire suivante :
Licence pour 1an :5.499,00$
Licence pour 2ans :6.820,00$
Licence pour 3ans :7.730,00$
Notons que la dure de ces licences dtermine le temps dutilisation gratuit du
support en ligne. Au- del de cette dure de vie la mise jour sobtient contre
rtribution hauteur de 600$ quivalent 300.000 FCFA.
Cot du firewall en FCFA
94
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
200 2 400
95
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
CONCLUSION
Ce stage, nous a permis d'apprcier le travail dans une socit tourne vers
l'informatique. Vers la fin de la prsentation de notre travail de session, il
conviendrait daffirmer que lessentiel du travail confin par le cahier des
charges qui nous a t confi est ralis.
En effet, les tudes que nous avons menes nous ont permis de dfinir tout
dabord une politique de scurit qui est avant tout un gage de cohrence et donc,
d'une relle protection. Toutefois, ces rflexes scuritaires nous ont conduits
lanalyse des vulnrabilits du protocole IP, et ensuite aux diffrents types
dattaques, qui nous ont orients dans notre choix.
Aprs apprciation de notre analyse, nous avons opt pour le choix dun
deuxime firewall afin de garantir au mieux la libre circulation des donnes sur
le rseau. En vu dassurer pleinement son fonctionnement, le firewall a besoin
dautres protocoles tels que : le protocole dauthentification, le chiffrement des
donnes afin de maintenir un niveau lev la scurit de notre rseau
informatique.
Cependant, dautres sont encore en phase dtude. Par consquent, il ne sera
pas surprenant si l'on se retrouve confront certains problmes dinscurit que
nous auront pas prvu, vu que la scurit en elle-mme (est relative) nest jamais
totale. Il faudra alors dployer des utilitaires de scurit (journalisation) qui
seront ncessaires. Mais cela ne change rien la crdibilit des rsultats que nous
avons fournis.
Il faut noter tout de mme que ce stage nous a t dun apport considrable,
en dautres termes, nous avons touch des domaines assez varis comme les
bases de donnes, le modle client/serveur trs enrichissant. Ainsi donc, cette
exprience nous a permis d'avoir une bonne matrise d'un grand nombre de
96
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
technologies dont nous ignorions certaines vertus. Aussi, nous avons dcouvert le
travail d'entreprise avec toute la pression, la rigueur et l'organisation qu'il exige.
Bref, ce stage nous a permis de parfaire notre formation et a aussi fait office de
premire exprience professionnelle dans le monde de l'informatique. Cette
premire exprience s'est bien passe, ce qui est positif pour un bel avenir.
97
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
BIBLOGRAPHIE
Ouvrages de Jean-Luc MONTAGNIER, solution rseaux, Rseaux dentreprise par
la pratique. Edition EYROLLES, Juillet 2004 pages 470-513.
98
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
WEBOGRAPHIE
Http/ www.mmoire online.com (par Ludovic Blin Universit Paris Dauphine DESS
226) (26 / 11 /09 ; 15 :38).
Http/www.memoireonline.com/07/09/2372/m_Amelioration-des-performances-dun-
reseau-informatique.htm (28 / 01 /10; 14:32)
Http/www.memoireonline.com/07/09/2367/m_Gestion-du-spectre-de-frequence-et-
implementation-des-reseaux-de-telecommunications-cas-dun-res16.html#toc44
(10/ 02 / 10; 18:27)
file:///C:/Documents%20and%20Settings/Administrateur/Bureau/securite-
informatique-ibm.html (09/02/10 ; 16 :25).
http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fi-
avec-authentification-basee-sur-des-certificats5.html#toc65 (09/04/10 ; 17 :52).
99
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
GLOSSAIRE
Listes des Sigles et Abrviation
AP Access Point
IP Internet Protocol
100
Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
ANNEXES
101