Memoire de Fin de Cycle PDF

Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008
INTRODUCTION
A la fin de notre formation en ingnierie de Tlcommunication, il nous

est recommand d'effectuer un stage de six mois de professionnalisation. Ce
stage consiste concilier la thorie apprise lInstitut des Technologies &
Spcialit (ITES) la pratique pour complter les connaissances acquises et
toucher du doigt les ralits de la vie professionnelle. Cest pour raliser cette
entreprise que nous avons t reue au Ministre de lEducation Nationale
(MEN). Ainsi, pendant ltude du rseau informatique au Centre des
Ressources Informatique du Ministre de lEducation National(CRIMEN), la
structure daccueille, nous avons t amene raliser des travaux ayant
pour objectifs de bien faire circuler linformation au sein du MEN et de mieux
communiquer avec les partenaires extrieurs par le biais du site intranet et du
portail du Ministre.
Ainsi, le MEN avec ce systme se dote dun outil majeur de comptitivit
et de dveloppement des entreprises.
Le rseau informatique qui devient du coup indispensable toute
organisation facilitera la transmission, la duplication, le partage des donnes
et des priphriques. Il permettra galement le traitement et la consultation
des bases de donnes et une transmission rapide et fiable des donnes.
Il est de ce fait ncessaire de prendre des dispositions visant assurer la
scurit de ce rseau.
Toutefois, il existera toujours quelques failles dautant plus que la scurit
ne peut tre assure cent pourcent ; mme si globalement tout semble
fonctionner normalement. Cet expos met en relief lintrt de notre thme
qui est : Mise en place dune solution de scurisation du rseau
informatique du Ministre de lEducation Nationale
1
Notre tude porte essentiellement sur la mise en place dun niveau de

scurit lev des systmes dinformation du rseau local du MEN, ainsi qu
assurer le fonctionnement optimal de ses ressources rseaux et garantir ses
membres un accs rapide, scuris des informations et un partage facile des
donnes.
2
PROBLEMATIQUE
Lessor des moyens de communication moderne tel quInternet a trs vite

servi. En cte d'Ivoire, l'avnement de l'informatique dans les secteurs publics
et privs a permis, comme partout ailleurs, d'automatiser et dacclrer
beaucoup de tches. En tant que concept novateur, les technologies de
l'information et de la communication reprsentent aujourd'hui un phnomne
de masse dpassant un simple effet de mode ; un lment central et essentiel
constituant le fondement des entreprises. Ainsi donc, une bonne performance
de toute entreprise passe par lacquisition dun rseau informatique. Cest
dailleurs, pour rpondre cette attente quau cours des annes 90,
l'environnement de l'entreprise s'est profondment modifi avec une trs forte
concurrence.
Le Ministre de l'Education Nationale (MEN) a intgr cette technologie
dans sa politique de gestion du systme d'information. Il a mis en place un
Intranet pour centraliser les donnes, contrler le flux d'information, et
optimiser le travail et la communication entre les agents.
Les utilisateurs semblent s'adapter difficilement ce nouvel outil. Parmi les
raisons qui expliquent cela, on n'en citera que quelques unes:
- Le manque de formation adapte lutilisation de cette nouvelle
technologie
- La lenteur dans son utilisation
- Les problmes que pose la scurit des donnes changes sur le rseau.
Ce dernier aspect donne l'occasion de rappeler que si l'Intranet du MEN
donne beaucoup de satisfactions dans laccomplissement du travail, il faut
absolument organiser la scurit des infrastructures et des donnes qui y
circulent. La solution antivirale applique ne suffit pas elle seule, elle peut
3
au contraire donner une illusion de scurit si aucun contrle supplmentaire

ne lui est associ.
Cette situation pose la problmatique suivante: quel type de contrle peut-
on implmenter l'Intranet du MEN pour en scuriser l'information? Quelle
solution peut-on proposer pour assurer la disponibilit de l'information, son
intgrit et sa traabilit?
Pour rpondre ces proccupations, notre travail va s'articuler comme suit:
1. Prsentation de la structure d'accueil, savoir le Ministre de

lEducation Nationale ;
2. Exposition de quelques points contextuels du sujet de rflexion;
3. Etude technique qui permettra de critiquer objectivement la politique de
scurit des diffrents sites du MEN ;
4. Solutions envisages pour combler les insuffisances descelles.
5. Prsentation et mise en uvre de la solution retenue avec les dtails
financiers.
4
PREMIERE PARTIE :
ENVIRONNEMENT ET
CONTEXTE DEXECUTION
5
CHAPITRE I : PRESENTATION GENERALE DE LA STRUCTURE

DACCUEIL.
Lhistoire du Ministre de lEducation Nationale remonte depuis la veille

des indpendances. Cr sous le dcret 59-56 du 1er juin 1959 dterminant
les attributions du Ministre de lEducation Nationale, il est charg de la
formation intellectuelle des citoyens depuis le primaire jusque leur insertion
professionnelle.
Depuis donc cette date le Ministre est connu sous le nom Ministre de
lEducation Nationale et ce jusquen 1981 .A partir de 1983, la dnomination
va changer et devenir Ministre de lEducation Nationale et de la Recherche
Scientifique. En 1986, il devient Ministre de lEducation Nationale charg de
lenseignement secondaire et suprieur. Il faut signaler que le Ministre avait
en charge la gestion de trois entits de lenseignement savoir :
- lenseignement primaire ;
- lenseignement secondaire ;
- lenseignement suprieur ;
Mais pour une plus grande efficacit et de dynamisme, le Ministre sera

subdivis en trois(3) Ministres distincts, le 16 octobre 1989 qui sont :
Le Ministre charg de lEnseignement Secondaire et

Suprieur
Le Ministre de lEnseignement Primaire
Le Ministre de la Recherche Scientifique et de la Culture
Peu de temps aprs un ramnagement technique portant modification de la
composition du gouvernement du 16 octobre 1989 les trois Ministres vont de
nouveau fusionner pour donner : le Ministre de lEducation Nationale charg
6
de lEnseignement Secondaire et Suprieur, de la Recherche Scientifique et

de la Culture.
Depuis donc le 15 dcembre 1993, la dnomination M E N ne va pas
changer jusquaujourdhui avec pour mission lEnseignement Primaire et
Secondaire.
Jusqu' ce jour, la Cote dIvoire a connu la tte du Ministre de
lEducation Nationale quinze(15) Ministres dont une femme. Aussi, faut-il le
souligner parmi ces figures on peut reconnatre celle du non moins clbre
1er prsident de la Rpublique de Cote dIvoire, feu FELIX HOUPHOUET
BOIGNY.
I. 1 Prsentation du CRIMEN
Ltude de faisabilit du Centre des Ressources Informatiques du

Ministre de lEducation Nationale (CRIMEN), a dmarr en novembre
2007 et sest tale sur plusieurs mois ponctue par des visites dexperts
Corens en Cte dIvoire. En collaboration avec des techniciens du Ministre
de lEducation Nationale, ils ont men des tudes techniques de faisabilit
axes sur lanalyse de lorganisation du travail passant par laffinement des
procdures de travail pour dboucher sur lanalyse des dispositifs
informatiques en place. Cest donc lissu de cette coopration Ivoiro-
Corenne qua vu le jour, le 10 Avril 2009 lIntranet du Ministre de
lEducation Nationale. Le Centre des Ressources Informatiques du MEN
(CRIMEN) a t cr pour en assurer la gestion et en faire la promotion. Il est
rattach au Cabinet du Ministre, travaille en collaboration avec les quipes de
proximit des structures centrales et dconcentres du Ministre et sappuie
pour assurer sa mission sur les structures de rgulation, en parfait systme
dinformation qui gre toutes les activits de lEducation Nationale de Cte
dIvoire.
7
I.2 Prsentation du thme
< Notre thme tudier intitul mise en place dune solution de scurisation
du rseau du Ministre de lEducation Nationale prsente trois (3) grands
termes qui sont :
- Solution de scurisation
- Rseau informatique
Scurisation dun rseau informatique

Nous procderons la dfinition de ces termes afin de mieux apprhender
leur contenu.
Solution de scurisation cette phase consiste dployer des moyens et des
dispositifs visant scuriser le systme d'information ainsi que de faire
appliquer les rgles dfinies dans la politique de scurit.
Un rseau informatique est un ensemble de moyens matriels et logiciels
mis en uvre pour assurer les communications entre terminaux informatiques.
<
La scurisation d'un rseau informatique consiste donc garantie que

l'ensemble des machines du rseau fonctionnent de faon optimale et que les
utilisateurs desdites machines possdent uniquement les droits qui leur ont t
octroys.
Il peut s'agir :
d'empcher des personnes non autorises d'agir sur le systme de
faon malveillante
d'empcher les utilisateurs d'effectuer des oprations involontaires
capables de nuire au systme de scuriser les donnes en prvoyant
les pannes de garantir la non-interruption d'un service.
8
I.3 Cahier des charges
Dans notre travail de session nous nous donnerons de :

Etudier les lments constitutifs du rseau existant;
Dcouvrir les technologies utilises ;
Apporter des solutions pour renforcer la scurit dans le cadre de la
transmission des donnes et aussi du matriel ;
Veiller ne pas baisser le niveau de scurit.
CHAPITRE II : PRESENTATON DU CADRE DACCUEIL
Le stage a proprement parl a dbut le 17Aot 2009 par une prise de

contact avec le Chef de Service ensuite dans la salle serveur par lun des
responsables, administrateur du systme, mon matre de stage. Il a fait une
prsentation gnrale du cadre de travail et nous avons visit certains locaux
et sites de la structure. Il faudrait prciser ici que le personnel de cette
entreprise est la fois trs accueillant et tout aussi ouvert, ce qui a contribu
faciliter et acclrer notre insertion.
II.1 Missions, objectifs et services du CRIMEN

II.1.1 Missions
Lactivit principale du CRIMEN est :
Mettre en uvre la politique des systmes dinformation et des technologies
de linformation et de communication au sein du Ministre ;
Consulter un systme dinformation global et son rfrentiel dans les
domaines de lenseignement, de la pdagogie, de la gestion des ressources
informatiques au sein du Ministre ;
Assurer le bon fonctionnement et dveloppement de lenvironnement
Numrique de travail (intranet) ;
9
Apporter un appui aux quipes informatiques de proximit des structures

du Ministre en matire de rseau et de dveloppement des applications
adaptes chaque domaine dans le respect de leur indpendance ;
Assure laccs linformation et aux applications notamment via
lEnvironnement Numrique de Travail (ENT) ddi par profil dusagers ;
Garantir la scurit du travail du systme dinformation global.
II.1.2 Objectifs et Services

Le Centre de Ressources Informatiques est divis en plusieurs quipes
intervenant dans diffrents domaines.
Les objectifs du Centre des Ressources Informatiques du Ministre de
lEducation Nationale sont pas des moindres. Entre autres :
Bien faire circuler linformation au sein du Ministre et
Mieux communiquer avec les partenaires extrieurs par le biais du site
intranet et le portail. Et comme moyen pour atteindre ses objectifs, les
stratgies employes sont lutilisation des serveurs et des postes clients.
Dmarrage effectif huit (8) mois environ, le CRIMEN saura au fil du temps
imposer ses comptences et savoir faire auprs de nombreux utilisateurs.
Ainsi, ses services sont regroups en quatre ples :
Service Infrastructures Systmes & Rseaux (SISR)
Le service Infrastructures Systmes et Rseaux est charg d'administrer et
de configurer les serveurs de communication, les routeurs et les Switch. Elle
assure aussi le suivi des mdias de transmission et la gestion rigoureuse des
comptes utilisateurs. Ce service assiste galement les utilisateurs. Il est assur
par un (1) Ingnieur Informaticien, un (1) Ingnieur Techniques informatiques
assist par quatre (4) stagiaires. Ils sont issus des centres de formation en
tlcommunications, informatique.
Il assure galement la maintenance des quipements et des postes clients du
rseau et leurs priphriques (imprimante, scanner). Chaque intervention est
10
consigne dans une fiche d'intervention (voir annexe) remplie et signe par
l'utilisateur et lintervenant.
Service Systme et Dveloppement Applicatif (SSDA)
Dfinir une politique de gestion optimale et de scurisation des donnes.
Gre les serveurs d'application et de Base de donnes en mettant en place
diffrentes politiques en matire de sauvegarde, de planification et de la
gestion des incidents. Ce service est assur par un administrateur de base de
donnes.
Service Gestion du Changement et Planification Stratgique (SGCPS)
Ce service assure la formation des utilisateurs lutilisation des logiciels
dvelopps et la confection de guide utilisateur. Faire la promotion de
lIntranet, assure la mise jour des connaissances des utilisateurs de la
nouvelle technologie et la veille technologique.
Il procde linitiation des utilisateurs aux matriels informatiques et
lutilisation du systme install au sein du Ministre.
Service de gestion administrative (SGA)
Ce service est charg de ladministration du CRIMEN. Il sassure du bon
fonctionnement des diffrents ples. Il dfinit la politique de la gestion
globale du rseau informatique en fonction des besoins exprims par toutes
les structures centrales ; manage tous les quipements du rseau (routeurs,
Switch, serveurs) pour s'assurer de leur disponibilit. Cette mission est
accomplie par le chef de service et lun de ses collaborateurs.
II.2 Organigramme (voir Annexe2)

II.3 Les ressources de la structure
II.3.1 Ressources matrielles
Concernant ce point-ci, nous avons un stock de matriels au sein des
locaux du ministre reu des mains de la rpublique Corenne suite la
11
coopration Ivoiro-corenne. Plusieurs ont t mis la disposition des

utilisateurs toujours dans le cadre de suivi du dit projet intranet ; dautres
encore, dans une sale ferm permettrons dtendre soit le rseau ou soit
servirons remplacer certaines machines en cas de panne. Pour la scurit
de la dite structure naissante nous avons prfr taire le nombre exact de kits
dquipements rseaux reu.
II.3.2 Ressources logicielle

Comme ressources logicielles on peut citer :
Le systme dexploitation : Windows Server2008
Anti virus : Norton (poste client), Ahnlab v3 Net (serveur) ;
Applications : Groupware, Men Messenger, Portail
II.3.3 Ressources Humaines
Le personnel du CRIMEN est constitu dune quipe de huit personnes
dynamiques qui sont en majorit danciens enseignants reconvertis au mtier
de linformatique. Notons tout de mme que ce personnel comprend
galement des consultants spcialiss dans les diffrents domaines de
l'informatique savoir la maintenance des quipements, les rseaux, le
multimdia, la bureautique, le et l'informatique de gestion.
CHAPITRE III : ETUDE DE LEXISTANT

<<
Il y a dans lpoque moderne de globalisation presquune ncessit pour les

entreprises daccrotre leur taille encore et toujours. Les progrs constants des
moyens de communication arrivent invitablement. Ladministration scolaire
qui se veut plus performante, cest dire plus accessible, plus transparente et
plus efficace, sest dote dun outil de bonne gouvernance du systme
dinformation, lintranet. Tout dabord, il serait intressant de faire ltat des
lieux de lexistant.
<
12
III.1 Prsentation de lexistant
Pour mieux satisfaire ses besoins, le MEN a procd dans un premier

temps par llaboration de cinq (5) sites. Nous avons Ainsi, le site de la tour
D qui constitue la station de base, la salle Server o sont logs plusieurs
servers, et autres quipements rseaux; il ya ensuite, les sites des Tour A et
B, la DECO et de la DREN1. Ils sont tous interconnectes la Tour D par
Faisceaux Hertzien ; aussi, pour viter les coupures de connexion dues aux
intempries, les Tours A et B ont t relies la Tour D par fibres optiques. .
La SNDI, le fournisseur daccs internet, est galement reli au rseau
central du MEN par fibre optique (voir Annexe3).
III.2 Prsentation du systme dinformation
III.2.1 Prsentation du site central

Le programme de modernisation du MEN voulu par Monsieur le ministre
ne peut se faire outre les lments techniques ncessaires la mise en uvre
de lintranet. En troite collaboration avec la rpublique de la Core, le MEN
et les experts Corens ont pu mettre en place pour le bon fonctionnement de la
dite plate- forme lintranet, le site de la salle serveur dont larchitecture est la
suivante:
DMZ
Routeur
Mail Server
Firewall
Switch
Web Server
Backbone APC
Switch
Test Server Backup Server

BD Server
Figure1 : Schma synoptique de la station de base, Tour D

13
Aussi, dans la salle serveur, ces diffrents quipements sont monts en

cascades dans deux armoires. Une armoire o sont monts les quipements
rseaux et une autre o sont monts les quipements systmes (voir figure 2).
On y trouve dans ces montages un ensemble dquipements en rseau sur
lequel repose toute la scurit de lintranet. Au-del de cette premire vision
que prsente notre architecture, il y a toute une structure hirarchise qui se
prsente comme suite :
De la SNDI (Socit Nationale de Dveloppement Informatique),
entreprise semi- Etatique, qui volue dans la commercialisation de la
connexion internet, viennent les fibres optiques. Elles sont reues dans un
premier temps depuis la salle Serveur la Tour D dans larmoire des
quipements rseaux dans deux rpartiteurs ; ensuite, deux brins de ces fibres
optiques sont tirs dans un troisime rpartiteur pour les connecter au
convertisseur de donnes qui son tour est connect au backbone. Du routeur,
avec un cble UTP C6, de faon respective on arrive au Firewall o deux
voies sont choisies. Dune part, pour la scurit des donnes internes, les
serveurs Test, BD backup sont connects un Switch lui-mme connect au
Backbone. Et dautre part, du Switch DMZ sont connects le Mail Server et le
Web Server. Nous avons utilis pour le cblage du rseau dans son ensemble,
du routeur, au firewall, et du Backbone au Switch les cbles UTP C6 ; du
Switch aux Servers les cbles UTP C5. Pour la suite du cblage, un
quelconque changement de cble sera signal.
Tout ce travail abattu est la somme dune architecture client-serveur avec
interface web.
14
Figure 2 : Equipements monts en Rack
Routeur
Web server
Mail Server
3
5
4
Test Server
Back up Server
DB Server
Figure3 : Schma synoptique du rseau des serveurs de la

station de base
15
N SERVEUR CARACTERISTIQUE OS
1 2IIS, SQL server IBM System x3650 2008
Biprocesseur 6Gb (RAM) 32-bit Operating Server
System
2 Zmail IBM System x3650 2008

System
3 2IIS, SQL Server IBM System x3650 2008
System
4 SQL Server 2005 IBM System x3650 2008
System
5 SQL IBM System x3650 2008
Server2005 Biprocesseur 6Gb (RAM) 32-bit Operating server
system
Tableaux 1 : serveurs et caractristiques
III.2.2 Prsentation des sites distants

Voyons prsent les reprsentations des sites de la DECO, la DREN1,
les TOURS A et B, stations rceptrices en perptuel communication avec
celle de la tour D, station centrale mettrice / rceptrice. La DECO, Direction
des Examens et Concours est lune des directions centrales du MEN rattach
au cabinet par une liaison FH. Elle est quipe dune station de base FH, dun
Switch L3 et L2, puis de points daccs et de PC.
Bat F
AP AP
Bat H
Switch L3
Bat C
Switch L2
AP
AP
AP
AP
AP Bat B
Bat A
Figure4 : Schma synoptique du site de la DECO
A limage des composants de larchitecture de la DECO, nous signalons

dembl que ceux-ci sont les mmes pour :
16
la DREN, Direction Rgionale de lEducation Nationale.
AP
Switch L3
AP Switch L2
Figure5 : Schma synoptique du site de la DREN I
La Tour A
AP
AP
AP
SWITCH L3 AP
AP
SWITCH AP
AP L2
SWITCH AP
AP L2
AP
SWITCH AP
AP
L2
AP
SWITCH
AP L2
AP
AP SWITCH
L2
AP
AP
AP
Figure6 : Schma synoptique du site de la Tour A
La Tour B
SWITCH L3 AP
SWITCH L2
AP AP
Figure7 : Schma synoptique du site de la Tour B
III.2.3 Architecture du rseau Informatique gnral

Le MEN dispose de plusieurs sites repartis au sein du plateau. Ces sites
sont connects la station de base avec laquelle elles se partagent les
informations. Il a une connexion internet haut dbit en vu de lui permettre de
souvrir au monde extrieur afin dassurer pleinement sa mission assigne
(voir Annexe4).
17
En revanche, notre architecture globale, nous aidera mieux nous orienter

dans la suite de notre travail. Ainsi, compte tenu de la complexit du rseau
que nous avons, il nous sera plus facile de procder la mise place dune
scurit rpondant au besoin du rseau. Au total cinq sites scuriser dont la
station de base la Tour D. Nous allons tudier les sites de la DECO, de la
DREN I et des Tours A et B en premier puis la station de base, en second o
nous avons beaucoup plus pouss notre rflexion.
18
DEUXIEME PARTIE : ETUDE

TECHNIQUE
19
CHAPITRE IV : LES VULNERABILITE DU PROTOCOLE IP ET LES

ATTAQUES
IV.1 Aperu du rseau existant
Le MEN a dploy un rseau hybride : une liaison faisceau hertzienne

(FH), filaire et le sans fil Wifi, et la question de savoir les raisons ayant
favoris ce choix, il nous a t rpondu par plusieurs points. Notamment, le
MEN disposera de divers services en ligne au profit des acteurs internes et des
partenaires de lcole. Ceci, afin d'viter un cblage fastidieux ncessitant des
perces de trous dans les murs, sans oublier les distances considrables
sparant les sites interconnecter.
Toutefois, ces raisons montrent quil faut passer par une tude dtaille des
solutions architecturales, matrielles, logicielles et scuritaires existantes.
Tout rseau informatique de nature est lorigine vulnrable aux attaques.
Du coup, il est ncessaire de se protger afin dviter dendommager le
systme de linformation.
Nous avons de ce faite dcid de commencer notre travail, par scuriser les
sites distants afin doffrir une scurit robuste la station de base. Etant
donn que ces sites ne communiquent pas entre eux, chacun seulement avec
la station centrale et vis versa. Notons que nous adopterons les mmes
mesures de scurits aussi bien aux sites distants qu la station de base. Mais
plus particulirement, une scurit supplmentaire sera ajoute au rseau cur
vu limportance des quipements et leur contenus prservs pour ne pas
baiser le niveau de scurit.
Ceci tant, nous passons la phase proprement dite de llaboration de
notre travail.
20
IV.2 L'importance d'une politique de scurit

Plus que partout ailleurs, dfinir une politique de scurit dans le domaine
des rseaux est avant tout un gage de cohrence et donc, d'une relle
protection. Sans cela, le dveloppement anarchique des moyens de scurit,
ajouts comme des surcouches au-dessus des rseaux, peut conduire une
complexit telle, qu'elle entrave la circulation de l'information.
Trop souvent, les responsables scurit imposent sans discernement des
contraintes drastiques : un firewall par-ci, un autre point de coupure par-l,
parce que tel type d'attaque est toujours possible. Et, ne sait-on jamais, tel
autre cas de figure peut toujours se produire : il faut donc ajouter un autre
mcanisme de protection.
Ces rflexes scuritaires proviennent la fois dune responsabilisation
excessive des personnes en charge de la scurit et d'une mconnaissance
technique des rseaux qu'ont ces mmes personnes. Le rseau est alors peru
comme un organisme tentaculaire chappant tout contrle. Il est le vecteur
de tous les maux rels ou imaginaires,
Ne connaissant pas ou pire, croyant savoir, ces responsables brandissent
des menaces qui conduisent une surenchre permanente, attise en cela par
les socits de conseil et les diteurs qui vivent de ce commerce. Ne voulant
prendre aucun risque, ils entretiennent la culture du secret et empilent des
barricades.
Afin d'viter ce cauchemar, il convient donc de ne pas faire de la scurit
pour la scurit, mais de connatre la valeur de ce que l'on protge et contre
quoi l'on se protge. la suite de quoi, une rflexion technique permet de
mettre en place les moyens de protection appropris. En fin de compte, c'est le
bon sens qui nous amne ne pas utiliser le mme type de cl pour la porte de
son coffre-fort, pour la porte d'entre de sa maison et pour celles des autres
pices.
La dfinition d'une politique de scurit passe donc par :
21
une analyse de la valeur des informations protger et une analyse des

menaces ;
L'application de rgles et de procdures par les utilisateurs internes
l'entreprise ;
la mise jour permanente des logiciels de protection (firewalls, anti-
virus...) et des correctifs pour les systmes d'exploitation et les applications
tels que les navigateurs Web;
La surveillance du rseau (enregistrement des vnements, audits, outils
de dtection) ;
La dfinition d'une architecture permettant de limiter les possibilits
d'attaques et la porte d'ventuels dgts causs par les pirates.
Les sections qui suivent traitent de ce dernier point en commenant par
exposer les vulnrabilits, puis en prsentant les diffrents types d'attaques.
IV.3 Les vulnrabilits des protocoles IP
Le protocole IP tel quil est utilis aujourdhui est la cl de vote de
lInternet. Il ralise des tches telles que le routage des datagrammes sur le
rseau ainsi que leur fragmentation et leur rassemblage. Il est conu dans une
approche dinter-rseaux, permettant au protocole de "faire de son mieux"
(Best Effort) pour acheminer les datagrammes dun point source un point de
destination appartenant un mme rseau ou non.
La famille des protocoles IP prsente des failles de scurit intrinsques,
car ils n'ont pas t conus dans une optique de scurit, mais plutt dans une
optique de rsilience et de performance.
Il n'y a notamment :
aucun chiffrement des donnes (les donnes et souvent les mots de passe
circulent en clair) ;
aucun contrle d'intgrit (les donnes peuvent tre modifies par un
tiers) ;
22
aucune authentification de l'metteur (n'importe qui peut mettre des

donnes en se faisant passer pour un autre) ;
Les sections suivantes dcrivent quelques-uns des protocoles les plus
courants qui cumulent ces lacunes.
a) Telnet
L'identifiant et le mot de passe Telnet circulant en clair sur le rseau, il faut
demander aux utilisateurs d'employer des mots de passe diffrents de ceux
utiliss pour se connecter des applications utilisant des protocoles mieux
scuriss intercepts, l'identifiant et le mot de passe pourront, en effet, tre
utiliss par un intrus pour se connecter des applications dont les mots de
passe sont, en ce qui les concerne, chiffrs.
De plus, les donnes sont vhicules sous une forme non structure, tche
qui est laisse l'initiative de l'application. II est donc trs facile de transfrer
toutes sortes de donnes en profitant d'une session Telnet.
Client Serveur
TCP
>1023 23
>1023 23
Ces deux caractristiques font de Telnet un protocole trs dangereux

utiliser entre une entreprise et Internet. Il doit donc tre interdit. Sur le plan
interne, son usage peut tre autoris, rglement ou interdit, selon
l'architecture de votre rseau, les mcanismes de scurit mis en uvre et la
valeur des informations protger.
23
b) FTP
L'identifiant et le mot de passe circulant en clair, les recommandations
nonces pour Telnet s'appliquent galement FTP.
FTP Mode normal FTP Mode passif
Client Serveur Client Serveur

Port=y
pasv
x>1023 21 x>1023 21
ok Canal de ok sur S
21 Contrle x>1023 21
x>1023
y>1023 20 y>1023 S>1023

Canal de
Donne ok
ok 20 y>1023
y>1023 s S>1023
Le mode passif est beaucoup plus sr que le mode normal, car il vite
d'autoriser les connexions entrantes. Cependant, toutes les implmentations ne
sont pas compatibles avec ce mode. Si tous vos clients et serveurs FTP
supportent le mode PASV, il est recommand d'interdire le mode normal.
c) DNS
La recherche de noms et le transfert de zone utilisent gnralement les
ports UDP (53 53), mais si ces requtes chouent, elles sont relances via
TCP (>1023 53). Certaines implmentations, ce qui est le cas avec les
machines AIX, utilisent exclusivement TCP.
Client Serveur Secondaire Primaire
TCP/UDP
>1023 53 UDP
TCP/UDP 53 53
>1023 53 UDP Requte (ex : SOA)
33333 333 53
ask 53
33
33
33333 TCP 53
333 33 >1023 Transfert de zone
2
33 3 TCP 53 ou requte (ex :
>1023
33333
ask 33 SOA)
33333 33
33
kkkk
33
3
kkkk
3 ou
333 24
33
Aucun mot de passe nest requis pour ces changes automatiquement entre
machines et ce, de manire transparente pour l'utilisateur. Par ailleurs, la
commande nslookup permet tout utilisateur de consulter la base de donnes.
La base de donnes du DNS est particulirement sensible, car elle contient
l'ensemble des adresses IP de nos serveurs et quipements rseaux, voire plus
puisque nous utilisons Active Directory de Microsoft. Elle doit donc tre
protge et en particulier tre inaccessible depuis l'extrieur.
d) HTTP
Les serveurs Web peuvent rpondre sur des ports spcifiques, autres que
80, tels les 8000, 8080, 8010 ou encore 81, pour ne citer que les plus courants.
Ces ports non-standards ne prsentent aucun intrt en termes de scurit, car
les scanners permettent de les trouver rapidement.
HTTP support normal

HTTP support spcifique
Client Serveur Client Serveur

TCP 80 TCP
>1023 >1023 >1023
>1023 TCP 80 TCP
>1023 >1023
En revanche, il est recommand de sparer les donnes accessibles en FTP
et en HTTP, soit sur deux serveurs diffrents, soit sur deux rpertoires
diffrents. Il est en effet facile de dposer un cheval de Troie sur un rpertoire
FTP, puis de le faire excuter par le serveur HTTP. Sous Unix, il est en plus
recommande d'utiliser la fonction chroot.
e) NetBIOS
Le protocole NetBIOS (Network Basic Input Output System) est difficile
contrler, car il transporte de nombreux protocoles propres Microsoft: il
s'agit de SMB (Server Message Block) de NCB (Network Control bloc) et de
25
toute une srie de RPC (Remote Procdure Calls), qui sont utiliss par les
environnements Windows.
Name Service Protocol Datagram Service Protocol Session Service Protocol
Client
Serveur Client Serveur Client Serveur
UDP UDP
>1023 137 >1023 138 >1023 TCP 139
UDP UDP TCP
>1023 137 >1023 138 >1023 139
Par exemple, les relations entre contrleurs de domaines et entre clients et

serveurs WINS emploient des relations complexes quil est difficile de filtrer.
Pour ces raisons, l'utilisation de NetBIOS doit tre interdite entre lentreprise
et internet.
f) SNMP
Pour les requtes get et set le client est la plate-forme
d'administration tandis que pour les messages traps , le client est le
matriel (rseau, serveur, etc.). Il est donc recommande de cantonner ce
protocole entre les stations d'administration et les quipements surveiller :
La plupart des implmentations utilisent UDP, et il faut l'autoriser dans
les deux sens.
Les noms de communaut circulent en clair
Les possibilits d'action offertes sont importantes (la commande get
permet de faire un dump complet d'une configuration et la commande set
permet de modifier la configuration).
Get / Set Traps
Client Serveur Serveur

Client
UDP/TCP
UDP/TCP 162
>1023 161 >1023
>1023 161 >1023 162
26
On peut donc envisager de laisser passer les messages SNMP en filtrant les
adresses sources et destinations. La politique de filtrage peut cependant tre
plus souple au sein d'un mme domaine de confiance ou dans le cas de
rseaux entirement commuts reposant sur des VLAN, pour ce qui concerne
Internet, le protocole SNMP doit tre interdit.
g) RPC (Remote Procdure Calls)

De nombreuses applications, comme les logiciels de sauvegarde, utilisent
les services du Portmapper qui rpond sur les ports UDP et TCP 111 et qui
renvoie au client, un numro de port alatoire indiquant que le service est
disponible sur sa machine.
Recherche du service Accs au service RPC
Client Portmapper Client Serveur

UDP/TCP
UDP/TCP
>1023 111 >1023 X
>1023 111
Service disponible
sur port TCP/UDP
X
Ce protocole ne peut pas tre efficacement Filtr, car de nombreux ports
doivent tre laisss ouverts de par la nature alatoire de l'allocation. De plus,
les firewalls gnrent de nombreux dysfonctionnements pour les applications
qui utilisent les RPC. Les RPC doivent donc tre interdits pour Internet.
h) NSF
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094
indique que ce n'est pas une obligation. Certaines implmentations utilisent en
fait le Portmapper.
Un problme de scurit important pos par NFS est celui li au numro de
handle :
27
Il est prdictible, car reposant sur la date de cration du systme de

fichier.
Il est valable mme lorsque le systme de fichiers est dmont.
Il est utilisable par quiconque layant obtenu (par coute rseau ou par
calcul).
NFS est galement vulnrable la dissimulation d'adresse (spoofing), car le
serveur se fie l'adresse IP pour authentifier la machine cliente. Par ailleurs,
les mcanismes setuid et no-body positionns par l'administrateur du serveur
demeurent des failles de scurit, s'ils sont mal configurs.
i) ICMP
De nombreux services ICMP peuvent renseigner un intrus, comme par
exemple destination unreachable , qui comporte des informations indiquant
la cause du problme ou encore cho request et cho reply , qui
indiquent si un nud est actif.
Les seuls paquets ICMP, qu'il est envisageable de laisser passer vers un
autre domaine de confiance, sont les suivants :
type 4 source quench , qui permet de contrler le flux entre un client et
un serveur :
Type 11 time to live exceeded , qui vite le bouclage des paquets IP ;
Type 12 parameter problem , qui indique une erreur dans un en-tte ;
Type 8 cho request et type 0 cho reply, utiliss pour vrifier
l'activit des nuds pour des oprations de supervision et de diagnostic.
Vis--vis d'Internet, tous les services ICMP doivent tre interdits : ils ne
sont pas ncessaires et peuvent donner trop d'informations aux intrus.
Aprs lecture de tous ces protocoles il revient de nous interroger aussi sur
les diffrents types dattaques que pourraient rencontrer un rseau
informatique.
28
IV.4 Les diffrents types dattaques

En plus de leur vulnrabilit, la famille des protocoles IP bnficie d'une
grande accessibilit. Leurs spcifications sont rendues publiques avec les
RFC, et Internet est un rseau ouvert tous, aux particuliers comme aux
professionnels. Les comptences techniques sont donc trs rpandues, et tout
le monde est susceptible de trouver des failles et de lancer des attaques aussi
bien sur le rseau public que sur notre rseau interne. Il est noter que, selon
la plupart des statistiques, environ 70 % des problmes de scurit ont des
origines internes l'entreprise.
IV.4.1 Les attaques de type refus de service (dnial of service)
Ce terme dsigne un groupe d'attaques destin bloquer le service offert

par un serveur (Web ou autre), un routeur ou un firewall. Le principe consiste
inonder de requtes la machine cible de manire ce qu'elle soit de plus en
plus sollicite, et ce, jusqu' ce qu'elle ne puisse plus traiter les vraies requtes
des utilisateurs. Le pirate espre, de plus, qu'un dbordement (saturation des
capacits du logiciel) conduira l'arrt brutal de la machine, profitant ainsi
d'une situation limite, non prvue par le programmeur (bogue).
Les parades consistent, la plupart du temps, appliquer des correctifs
(patches) qui permettent de traiter les cas de figure limites.
IV.4.1.1 Quelques exemples d'attaques par refus de service
L'attaque la plus classique, le ping de la mort (Ping of death), consiste

bombarder la machine cible de paquets ICMP de type echo_request .
Une variante, appele teardrop, consiste envoyer des paquets ICMP de
taille importante (plusieurs dizaines de Ko) de manire activer les
mcanismes de fragmentation IP. La plupart des machines s'arrtent de
29
fonctionner lorsqu'elles rencontrent ce cas de figure (fragmentation de paquets

ICMP), moins d'tre quipes du correctif adquat.
L'attaque land (littralement atterrissage), consiste gnrer un paquet
ayant la mme adresse IP source et destination que celle de la machine vise,
et avec des ports (TCP ou UDP) source et destination identiques. La machine
vise est de prfrence un routeur, qui route le paquet indfiniment pour lui-
mme. La parade consiste l encore, appliquer un correctif qui traite ce cas
limite.
a) Les attaques par inondation SYN (syn flooding)

Ds qu'un client envoie une demande d'ouverture de connexion TCP un
serveur, l'change normal est le suivant:
SYN
Client Serveur
ACK, SYN
ACK
Si le serveur ne reoit pas le paquet ACK du client, il reste en attente de la

rponse jusqu' l'expiration d'un timeout.
L'attaque consiste donc pour le pirate, crire d'abord un logiciel qui
n'envoie jamais de paquets ACK en rception d'un paquet SYN du serveur,
puis inonder le serveur de demandes de connexions de ce type. Ceci entrane
le serveur allouer de plus en plus de ressources pour les demandes de
connexions TCP qui restent en attente, jusqu' dpassement de ses capacits.
Le firewall protge contre ce type d'attaque en dtectant puis en bloquant la
requte aprs N paquets SYN conscutifs issus du mme client ou
destination du mme serveur.
30
b) La dissimulation d'adresses (spoofing)

Cette technique consiste, pour le pirate, utiliser une adresse IP interne,
c'est--dire celle d'un rseau de l'entreprise protg par le firewall. Le but est
de faire croire aux machines (serveurs, firewalls) qu'il s'agit d'un paquet issu
du rseau interne, de manire bnficier des mmes droits d'accs que nos
utilisateurs comme, par exemple, l'quivalence de droits pour les remote
commands Unix ou les rgles de filtrages du firewall bases sur l'adresse
source.
Les routeurs ne se soucient pas de savoir par quelle interface proviennent
les adresses sources, car les algorithmes de routage doivent prendre en compte
le cas de routes multiples et de secours.
En revanche, si le rseau interne est connect Internet, aucun paquet,
ayant comme adresse source celle d'un rseau interne, ne doit en provenir. Le
mcanisme d'antispoofing, utilis par les firewalls, consiste donc contrler
l'origine des paquets sur la base du couple interface rseau physique /
adresse IP source .
Il est noter que le mme principe s'utilise avec les noms DNS et SMTP ou
encore les mots de passe des procdures d'authentification.
c) Les attaques par tunnel
Le principe consiste utiliser un port TCP ou UDP ddi un service

(Telnet, par exemple), pour faire passer des flux autres que ceux prvus.
Le cas le plus classique est celui du serveur SMTP qui permet de se
connecter en Telnet, non pas sur le port 23 ddi habituellement aux serveurs
Telnet mais sur le port 25 ddi aux serveurs SMTP. L'utilisateur peut ainsi
dialoguer manuellement avec le serveur via les commandes SMTP.
Pour les cas de figure les plus volus, les pirates dveloppent des logiciels
spcifiques capables de dialoguer avec un protocole donn sur n'importe quel
port TCP ou UDP.
31
d) Le vol de session (session stealing, splicing ou hijacking)

Cette technique consiste reprer une session TCP ouverte depuis
l'intrieur sur un serveur situ sur Internet, puis se substituer ce serveur.
La session ouverte par l'utilisateur interne devient ainsi un tunnel permettant
d'oprer en toute quitude.
Cette technique est trs sophistique puisqu'elle ncessite de sonder le
rseau Internet ou interne des endroits bien prcis, trouver les numros
alatoires qui identifient les paquets TCP au sein d'une session, puis se
substituer au serveur.
La seule parade rellement efficace consiste chiffrer les donnes et
contrler l'intgrit des paquets IP l'aide du protocole IP sec.
e) Le rebond
Cette technique est la plus simple puisqu'elle consiste profiter d'une faille
de scurit pour investir un serveur, puis, partir de l, se connecter
d'autres machines en utilisant les droits accords ce serveur.
La protection contre ce type d'attaque relve de la scurisation des serveurs
(mots de passe et correctifs) et de l'architecture (voir plus loin). En
positionnant les serveurs les plus exposs sur un segment ddi, diffrent de
celui hbergeant les machines les plus sensibles, un firewall peut contrler les
flux.
f) Les chevaux de Troie
Un cheval de Troie est un programme, import sur une machine linsu de
ses utilisateurs, qui se substitue un programme normal, par exemple, au
client FTP. Quand l'utilisateur lancera la commande FTP, au lieu d'utiliser son
programme habituel, il lancera le faux FTP, dont l'interface utilisateur
ressemble au vrai programme, la diffrence qu'il ouvrira une session
parallle sur un serveur appartenant au pirate.
32
L'importation de tels programmes s'opre via la messagerie, une connexion

directe un serveur en profitant de ses failles de scurit (mot de passe ou
bogue), via la technique du tunnel ou, plus simplement, en installant le
logiciel avec les droits d'accs de l'administrateur.
La premire parade consiste raliser un contrle d'intgrit sur les
programmes binaires et les scripts; puis vrifier qu'il n'y a pas eu de
changement dans leur taille, leur date, etc. La seconde parade consiste
reprer en temps rel l'introduction d'un tel cheval de Troie en l'identifiant par
sa signature (une srie de codes binaires caractrisant les instructions qui le
composent). Encore faut-il que cette signature soit connue et qu'elle ait t
intgre dans lanti-virus charg de cette dtection, d'o l'importance des
mises jour frquences (hebdomadaires, voire journalire).
g) Les Vers
Ce type de programme utilise le rseau pour se propager : install sur une
machine, non seulement il t'infecte, mais il cherche galement d'autres
machines sur le rseau pour essayer de s'y installer. Le ver dsigne donc un
mode de propagation qui peut intgrer les fonctions de virus, de scanner et de
cheval de Troie,
l'heure actuelle, tous ces programmes ne peuvent se propager qu'entre
machines du mme type, par exemple, entre PC Windows, entre Macintosh ou
entre machines Unix. S'il s'agit d'un excutable, les processeurs doivent, de
plus, tre de la mme famille (pentium, power PC, etc.). S'il s'agit d'un script,
le programme peut s'excuter sur diffrents types de machines disposant du
mme systme d'exploitation. L encore, cette restriction est susceptible d'tre
leve dans le futur.
IV.4.2 Les buffer overflow

Un buffer overflow est une attaque trs efficace et assez complique
raliser. Elle vise exploiter une faille, une faiblesse dans une application
33
(type browser, logiciel de mail, etc...) pour excuter un code arbitraire qui
compromettra la cible (acquisition des droits administrateur, etc...).
Le fonctionnement gnral d'un buffer overflow est de faire crasher un
programme en crivant dans un buffer plus de donnes qu'il ne peut en
contenir (un buffer est un zone mmoire temporaire utilise par une
application), dans le but d'craser des parties du code de l'application et
d'injecter des donnes utiles pour exploiter le crash de l'application. Le
problme rside dans le fait que l'application crashe plutt que de grer l'accs
illgal la mmoire qui a t fait. Elle essaye en fait d'accder des donnes
qui ne lui appartiennent pas puisque le buffer overflow a dcal la portion de
mmoire utile l'application, ce qui a pour effet (trs rapidement) de la faire
planter. Une attaque par buffer overflow signifie en gnral que l'on a affaire
des attaquants dous plutt qu' des "script kiddies".
CHAPITRE V: CHOIX DES TECHNOLOGIES
V.1 Le contrle de flux

Les parades ces vulnrabilits et ces attaques sont de deux ordres : le
contrle de flux (qui accde quoi et comment) et la confidentialit des
donnes. Commenons par la premire :
Le contrle de flux consiste filtrer les paquets IP selon les adresses
sources et destinations, les ports TCP et UDP, les types de protocoles (ICMP,
OSPF, TCP, UDP, etc.), et ventuellement, selon des informations issues des
couches applicatives. Il peut tre ralis par les routeurs ou par des
quipements ddis appels firewalls (pare-feu en franais).
V.1.1 Les technologies utilises par les firewalls

Quatre technologies sont utilises pour contrler les flux :
le filtrage de paquet (packet filtering) ;
le filtrage par tat des sessions (staleful inspection);
34
le relais applicatif (application Gateway), encore appel mandataire, ou,

abusivement, application proxy, proxy gateway ou proxy tout court ;
le relais de circuit (circuit relay ou circuit-level gateway).
La confusion quant l'emploi du terme de proxy est historique : le
NCSA (National Computer Security Association) a, le premier, utilis le
terme de proxy service fonctionnant sur un firewall appel application
Gateway . Les journalistes ont ensuite cd la facilit en prenant pour
raccourci le mot proxy pour dsigner ce type de firewall. Par amalgame,
les termes application proxy et proxy Gateway ont ensuite t
abusivement employs pour dsigner le firewall alors qu'il dsigne en ralit
le processus. Le vrai terme pour dsigner ce type de firewall est donc relais
applicatif (application Gateway dans la littrature anglo-saxonne).
Un proxy, ou serveur proxy, dsigne en ralit un serveur cache, c'est--
dire une machine qui hberge les URL les plus rcemment demandes dans le
but d'conomiser de la bande passante sur la connexion Internet (64 Kbits 2
Mbit/s). Le navigateur Web est configur de manire interroger le serveur
cache. Si l'URL demande n'est pas dans le cache, le serveur relaie la requte
vers le serveur cible. En toute rigueur, le proxy relaie la requte de la mme
manire qu'un firewall de type relais applicatif, mais on ne peut pas le
considrer comme un firewall part entire, car il ne dispose pas des
mcanismes de protection utiliss par cette classe de produit.
Pour ajouter la confusion, le paramtre proxy , qui est dfini au niveau
des navigateurs, indique ces derniers de rediriger les requtes Web
destination de l'extrieur vers un serveur spcialis ( la manire du paramtre
dfaut Gateway qui indique au protocole IP de rediriger les paquets
destination de l'extrieur vers un routeur). A l'origine, ce serveur tait bien un
serveur proxy (un cache), mais par la suite, l'utilisation de cette fonction a t
tendue pour dsigner les firewalls qui contrlent les droits d'accs Internet.
35
Il est noter qu' cette fonction de cache, vient s'ajouter celle dj gre au
niveau de chaque navigateur Web.
V.1.1.1 Le filtrage de paquet

Le filtrage de paquet est historiquement parlant la premire technique,
encore largement utilise par les routeurs. Elle consiste filtrer chaque paquet
individuellement au niveau de la couche rseau en fonction des adresses
source et destination, du port TCP ou UDP, du Type de protocole (ICMP,
RIP, etc.), et du sens du flux. Trs peu d'informations (alertes, statistiques)
sont par ailleurs enregistres et aucun mcanisme de protection n'est
implment contre les attaques.
V.1.1.2 Le stateful inspection
La technologie stateful inspection reprend les principes du filtrage de
paquet mais conserve un tat (historique) de toutes les sessions. Les paquets
ne sont plus filtrs individuellement, mais en fonction des prcdents qui
appartiennent un mme change.
Pour ce faire, le firewall examine les donnes du paquet et remonte jusqu'
la couche transport, voire applicative. Le filtrage est bien ralis au niveau 3
(couche rseau), mais en fonction d'informations issues des couches
suprieures. De ce fait, il est galement possible de filtrer au niveau applicatif
(commandes FTP, SMTP, DNS, etc.).
Pour s'adapter aux protocoles qui utilisent des ports alatoires (les ports
client pour tous les protocoles et les RPC), les rgles sont gnres
dynamiquement pour le temps de la session partir des rgles de base
dfinies par l'administrateur.
En outre, seul le premier paquet d'une session est compar aux rgles de
filtrage, les suivants tant seulement compars l'tat de la session, d'o des
gains de performance par rapport aux routeurs filtrants. C'est la technologie la
plus rapide.
36
V.1.1.3 Le relais applicatif

Cette technologie repose sur le principe du mandat : le firewall intercepte la
requte du client et se substitue ce dernier. En ralit, c'est donc le firewall
qui envoie une requte au serveur. Il le fait de la part du client. Ce dernier
croit dialoguer directement avec le serveur, alors que le serveur dialogue en
fait avec un client qui est le firewall (le relais).
Cette technique implique de dvelopper un client spcifique pour chaque
application supporte (Telnet, FTP, HTTP, etc.), ce qui en fait la technologie
la moins volutive. Le support d'une application dpend des capacits de
l'diteur du produit.
La scurit repose sur le fait qu'aucune connexion directe n'est ralise
entre le client et le serveur et que le client du firewall (le relais) est une
version spciale sans bogue, ne comportant aucune faille de scurit, et
susceptible d'intercepter les attaques.
V.1.1.4 Le relais de circuit

Le relais de circuit reprend la technologie de relayage sans permettre de
filtrage au niveau applicatif et, surtout, sans tenir compte des spcificits lies
chaque protocole (changes entre le client et le serveur, connexions ouvertes
au sein d'une mme session, etc.).Les paquets sont relays individuellement.
Cette technique offre donc un moins bon niveau de protection que le relayage
applicatif.
Le premier produit avoir introduit cette technologie est le freeware Socks.
La mise en place d'un firewall Socks (on parle souvent de serveur Socks)
requiert l'utilisation de clients (FTP, HTTP, etc.) spcifiques. Le client met
une requte au serveur Stocks qui comprend l'adresse du serveur cible, le type
de service demand (port TCP ou port UDP) et le nom de l'utilisateur. Le
serveur authentifie l'utilisateur, puis ouvre une connexion vers le serveur
cible. Les flux de donnes sont ensuite relays sans aucun contrle particulier.
37
Cette technique est souvent utilise en complment des relais applicatifs, plus
particulirement pour les protocoles non supports par les relais, mais n'est
jamais employe seule.
V.1.2 Comparaison des technologies
Les techniques de filtrage de paquet et de relais de circuit sont aujourd'hui

obsoltes. Avec les techniques de piratage actuelles, il n'est pas envisageable
de les utiliser sur un firewall. Les technologies stateful inspection et relais
applicatif dominent actuellement le march des firewalls et sont, de plus en
plus souvent, combines. C'est, par exemple, le cas de Netwall, de
Watchguard et, dans une moindre mesure, de Firewall-1.
38
STATEFUL INSPECTION RELAIS APPLICATIF

Evolubilit 07/12/2009 +Supporte tous les protocoles. Ncessite de dvelopper un
client pour tout nouveau
protocole, moins
dutiliser un relais de
circuit (relais gnrique)
Performances +filtrage optimis et opr au Un processus par session.
niveau du driver Les paquets sont traits par
le relais et deux fois par
lOS
Impact sur le systme +Aucun, puisque lOS est court- Los doit tre scuris
dexploitation circuit puisquil traite les paquets.
Niveau de scurit +Ltat des sessions est conserv +Le relayage vite les
et les paquets (en-tte et attaques directes, et le
donnes) analyss. filtrage applicatif limine
Le filtrage applicatif limine les les commandes
commandes. dangereuses.
Le relayage doit tre
+Limite les possibilits de vol de associ un filtrage (ports
session. et adresses).
-Les attaques par tunneling Les attaques par vol de
restent possibles. session restent possibles.
Tableau 2 : Comparatif des technologies
La puissance de traitement des processeurs actuels permet de masquer les
diffrences de performances entre les deux technologies pour des dbits
rseaux compris entre 64 Kbit/s et 2 Mbit/s. La diffrence devient
significative dans un rseau.
39
Dans les grandes entreprises aussi bien que les petites, le rseau permet
l'change de donnes de natures trs diverses entre des populations aussi
diverses que gographiquement disperses. Dans tous les cas, la
problmatique reste la mme ainsi que les moyens mis en uvre pour la
rsoudre. En effet, la scurit est un vaste sujet, qui dpasse le cadre du rseau
tant sur les plans technique que mthodologique. Car ds lors qu'il permet
des centaines, voire des milliers d'utilisateurs de communiquer et d'changer
des informations, le rseau pose invitablement le problme de la scurit :
les informations qu'il vhicule possdent de la valeur et ne doivent pas tre
accessibles tout le monde. Vu que, dans un rseau wifi, notre cadre dtude,
les ondes radios ne pouvant tre confines dans un espace dlimite,
n'importe quelle personne se trouvant porte de ces ondes peut s'y connecter
et utiliser le rseau des fins pas toujours catholiques (voir annexe 4). Alors,
tant donn que notre rseau sinscrit dans ce cadre douverture sur le monde
extrieur, voyons quelle est la solution apporter pour le protger contre les
attaques.
V.2 La confidentialit
La scurit, exprime en termes de confidentialit, recouvre plusieurs
fonctionnalits :
- Lauthentification forte permettant de s'assurer de l'identit de
l'utilisateur ;
- Le chiffrement des donnes afin dassure la confidentialit face aux
rseaux externes traverss (rseau tlphonique, ADSL, etc.) ;
- Lintgrit des donnes, qui consiste vrifier que les donnes
reues sont bien celles qui ont t originellement mises ;
- La signature, qui consiste s'assurer qu'un objet a bien t mis par
celui qui prtend l'avoir fait ;
- Le certificat, qui consiste s'assurer que la cl publique du
destinataire est bien la sienne.
40
Les mcanismes mis en uvre pour ces fonctionnalits reposent sur les
algorithmes de chiffrement. Des protocoles intgrent ensuite ces algorithmes
dans des applications telles que les changes rseau au sens large, les cartes
bancaires, le paiement lectronique, etc.
Ltude faite de ce deuxime point nous ont permis daboutir la phase
pratique de notre travail.
CHAPITRE VI: CHOIX DE LA SOLUTION A DEPLOYER

VI.1 Comparaison entre les routeurs et les firewalls
On peut se poser la question de l'intrt d'un firewall par rapport un
routeur. Rappelons cependant les avantages du premier sur le deuxime :
- Meilleure protection aux attaques par refus de service et par
dissimulation d'adresse ;
- analyse de l'tat des connexions TCP et UDP pour chaque session
( la place d'un simple filtrage paquet par paquet ne tenant pas
compte des sessions) ;
- plus grande richesse de filtrage ;
- visualisation en temps rel des sessions ouvertes ;
- journalisation des tentatives d'intrusion et remonte d'alerte ;
- ergonomie de l'interface d'administration.
Les routeurs sont bien dvolus l'acheminement des paquets selon des
contraintes autres que scuritaires : calcul des routes, rroutage en cas de
panne d'un lien, gestion de la qualit de service, diffusion multicast, ou
gestion des interfaces et protocoles WAN.
Les firewalls sont, quant eux, dvolus au filtrage des sessions et des
applications selon des rgles complexes. Alors que les routeurs agissent entre
les couches 2 et 3 (liaisons et IP), les firewalls agissent partir de la couche 3.
Sous la pression du march, ces diffrences tendent cependant s'estomper,
et les routeurs embarquent dsormais des firewalls. Cette intgration prsente
41
l'avantage de rduire les cots et d'enlever un tage de complexit la chane

de liaison LAN - routeur - firewall -LAN - routeur - WAN.
VI.2 Choix d'un firewall
Notre rseau d'entreprise tant reli l'Internet, il est donc plus vulnrable
aux attaques venant de l'extrieur. Dans ce cas, pour surveiller et contrler les
donnes qui entrent et qui sortent de notre rseau, il est primordial d'utiliser
un pare-feu.
Il existe 2 types de pare-feu: le pare-feu logiciel et le pare-feu matriel.
Pour une scurit accrue, nous avons choisir de combiner les 2 types.
Il est recommand d'utiliser deux firewalls de marque diffrente, un pour

les connexions externes, dont Internet, et un autre pour le contrle des flux
internes :
Si un pirate connat bien un produit (et donc ses faiblesses), les chances
qu'il en connaisse galement un autre sont moindres.
Un bogue prsent sur un firewall a peu de chance de se retrouver
galement sur un autre.
Un firewall plus rpandu peut, en revanche, tre utilis pour la scurisation
du rseau interne. Sa fonction est en effet plus lie au partitionnement du
rseau.
Toutefois, nous avons opt pour le choix du watchguard de watchguard
technologie en ce sens quil demeure le plus performant des firewalls en
termes de scurit et que nous nous en sommes dj familiaris. Aussi faut-il
42
noter quil est la fois propritaire et libre car il prsente trois (3) systmes de
management que sont :
- Le DOS ;
- Linterface web ;
- le systme dexploitation watchguard System Manager (WSM)
linterface utilisateur graphique qui install sur une machine
gre cent (100) firewalls au moins.
Cest pour ce faire que nous le proposons dans sa version : firebox X1250e
UTM BUNDULE. En effet, cette version prsente plusieurs avantages qui
sont les suivants :
Scurit complte du rseau en une seule application (paramtrage) qui
inclut tout ce dont on a besoin pour grer et administrer le rseau de faon
efficiente. Il sagit :
Du firewall lui-mme ;
De son systme de gestion qui contient :
Une Application de bloqueur de spam ;
Une Application de bloqueur web ;
Une application VPN
Gateway AV/IPS : lanti-virus de passerelle et le service prvention
dintrusion
Une application anti-virus dont LiveSecurity qui demeure la meilleure
solution en termes de scurit sur les firewalls.
Le support en ligne gratuit.
Une telle architecture se prsente comme suit :
43
44
Firewall-1 de Check Firewall-1 de Check Watchguard de Netwall de Bull

point Point Watchguard
Technologie
Remarques gnrales le plus rpandu un des meilleurs dveloppement
facile paramtrer rsister aux attaques franais
plate forme UNIX, NT UNIX UNIX
technologie filtrage tat de lien filtrage tat de lien filtrage tat de lien
et relais applicatif et relais applicatif
authentification Radius, Secure ID Radius, Secure ID, CP8, Radius
supporte SSL
partage de charge et oui oui oui
de redondance
translation dadresse oui oui oui
protection contre les oui oui oui
attaques
risque de trappe oui oui oui mais Franais
logicielle
gnration de filtres non oui
dautres routeurs Cisco, Motel oui
filtrage des oui oui non
commandes FTP
filtrage des non oui oui
commandes SMTP
Tableau 3 : Comparatif des technologies
VI.3 Rles et fonctionnements des firewalls
L'objet de cette section est de montrer, avec l'exemple de Watchgard, le

fonctionnement d'un firewall et les fonctions qu'il remplit :
Protection active contre les attaques ;
Dtection d'intrusion ;
45
Filtrage des paquets IP sur la base des adresses et des ports source et
destination ;
Translation d'adresses IP (NAT) et des ports TCP/UDP (PAT) ;
Filtrage des commandes applicatives (HTTP, FTP, DNS, etc.) ;
Authentification des utilisateurs, permettant ainsi de filtrer les sessions par
utilisateur et non plus sur la base des adresses IP sources.
Chiffrement et intgrit des donnes l'aide du protocole IP sec ;
Dcontamination anti-virus, le plus souvent en liaison avec un serveur ddi
cette tche ;
Filtrage des URL, soit directement, soit en liaison avec un serveur ddi ;
Filtrage des composants actifs (ActiveX, applet Java, Java scripts, etc.).
Il appartient l'tude d'architecture de dterminer si toutes ces fonctions
doivent tre ou non remplies par un seul quipement et quel endroit du
rseau.
VI.4 Architecture
L'diteur Watchguard a mis jour Fireware 10 et Edge 10, les deux

systmes d'exploitation de sa gamme de botiers UTM (Unified Threat
Management, ou gestion unifie des menaces). Ces OS, qui quipent
dsormais les botiers Firebox X Peak, Core, et Edge, disposent d'une
fonction de rseau priv virtuel (RPV) SSL. Ils prennent galement en charge
les liaisons RPV pour terminaux Windows Mobile, ainsi que les connexions
SIP et H.323. Fireware 10 prend en compte les jetons d'authentification forte
de Vasco. Watchguard Firebox X Core offre une scurit en intgrant un
pare- feu avec inspection de la couche applicative et de filtrage des URL.
Watchguard System Manager (WSM) est linterface utilisateur graphique.
46
Figure8 : Schma architectural dauthentification
Le module de filtrage IP, qui rside au niveau du noyau Unix, est intercal
entre le driver de la carte et les couches IP. Tous les paquets entrants et
sortants passent obligatoirement par le module de filtrage IP et, en fonction du
protocole, sont ensuite transmis au relais applicatif correspondant. La partie
rlayage applicatif de watchguard est constitue de plusieurs relais (dmon
Unix ou service NT), un par type d'application relayer (Telnet, SMTP, etc.)
drivs des sources du kit TIS (Trusted Information Systems) et de Netscape
Proxy Server pour le relais HTTP.
Les relais sont lancs dans un environnement restreint (chroot) et sans
les privilges superviseur (root) ils ne reoivent jamais les flux directement.
VI.4.1 Fonctionnement
Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont
obligatoirement traits par le relais applicatif correspondant. Si un relais
47
s'arrte de fonctionner (arrt manuel, disque plein ou bug), le module de

filtrage IP bloque le service associ.
Le module de filtrage IP offre toutes les caractristiques prsentes par la
technologie stateful inspection :
II garde une trace de toutes les sessions (TCP, UDP, RPC, etc.).
II gnre dynamiquement les rgles de filtrage.
II analyse au niveau applicatif (FTP, RPC, etc.).
II gre la fragmentation IP.
Les rgles sont dfinies dans une base appele ACL (Accs Control List).
Pour chacune d'entre elles, on dfinit l'action entreprendre (accepter, rejeter,
authentifier). Le niveau d'information enregistrer pour les vnements
(normal, dtaill, bug) et la manire de remonter une alerte (trap SNMP, e-
mail, pager ou dclenchement d'un script personnalis). Les rgles peuvent
tre actives pendant des priodes donnes (heure, Jour de la semaine).
Les protections contre le spoofing, les attaques par inondation syn, les ping
of death, etc., sont actives au niveau du module de filtrage IP, entre le driver
rseau et la couche IP.
La configuration des interfaces est particulire. Trois types d'interfaces sont
prdfinis la base : interne, externe et DMZ (DeMilitarized Zone). Lorsque
le firewall est configur avec plus de trois interfaces, l'administrateur doit
dfinir des domaines de scurit bass sur les rseaux IP puis affecter les
interfaces un domaine. La dfinition des rgles est ensuite ralise partir
de ces domaines.
VI.4.2 Les protocoles relays
Les applications relayes sont HTTP, FTP, SMTP et Telnet. Chaque
relais gre le contrle de flux, le filtrage des commandes (HTTP. FTP,
SMTP), lauthentification, l'enregistrement des vnements et la connexion
vers la machine cible,
48
Deux processus SMTP spars fonctionnent, un pour les connexions

avec Internet et l'autre pour les connexions internes. Le relais SMTP empche
toute connexion directe partir d'un client Telnet sur port 25.
Les autres protocoles peuvent tre traits par un relais gnrique
fonctionnant sur le mode relais de circuit : la demande de connexion est
intercepte pour authentifier la session, puis la connexion est autorise vers le
serveur cible. Les flux sont ensuite relays sans contrle particulier, autre que
celui ralis par le module de filtrage IP.
Le relais HTTP offre les fonctions suivantes :
gestion des changements de mots de passe utilisateur depuis un
navigateur ;
Filtrage des URL ;
Filtrage des applets Java et des scripts Java.
Les composants ActiveX peuvent galement tre filtrs.
VI.4.3 Cas des protocoles non relays
Tous les protocoles, qu'ils soient relays ou non, sont traits par le module de
filtrage IP sur le mode stateful inspection. Les protocoles non relays sont
donc traits au niveau du noyau.
Les paquets peuvent tre filtrs en fonction du protocole (UDP, TCP, ICMP),
des adresses sources et destinations, du port (UDP ou TCP) ou sur le champ
option situ dans l'en-tte du paquet IP.
Ainsi, les contre-mesures mettre en uvre ne sont pas uniquement des
solutions dordre matrielles (techniques) mais galement l'ensemble des
donnes et des ressources logicielles de l'entreprise permettant de les stocker
ou de les faire circuler. En dautre terme, toutes ces recommandations,
prconisations ci- dessus ne dispensent pas, bien au contraire, de faire une
tude scuritaire de contrle daccs logique.
49
VI.4.4 Authentification
<<
L'authentification est gre individuellement par chaque relais

applicatif et globalement par le module de filtrage IP. Les niveaux de
fonctionnalits sont cependant diffrents.
Tous les protocoles peuvent tre authentifis par le module de filtrage
IP via la carte puce CP8 de Bull. Cette solution ncessite un lecteur de carte
sur le poste de l'utilisateur et un serveur CP8LAN. L'authentification est
transparente pour l'utilisateur : le firewall intercepte une demande de
connexion et demande l'autorisation au serveur CP8LAN qui interroge la
carte de l'utilisateur. Dans le cas d'une rponse positive, le firewall permet aux
paquets de passer. Si la carte CP8 est retire de son lecteur, le serveur
CP8LAN la dtecte et en informe le firewall qui ferme toutes les sessions de
l'utilisateur en question. Les communications entre les clients, le firewall et le
serveur CP8LAN sont chiffres via DES. Le proxy FTP et Telnet supportent,
en plus, les authentifications via S/Key, SecurID, les mots de passe Unix
classiques et galement ISM/Access Master. En revanche, le relais HTTP
supporte uniquement le mode classique (mot de passe non chiffr) et la
variante chiffre via SSL.
Deux procdures de connexion sont proposes aux utilisateurs :
- Mode non transparent : l'utilisateur se connecte d'abord sur le
firewall pour s'authentifier, puis ouvre une session sur la machine
cible et, ventuellement, s'authentifie nouveau ;
- Mode transparent : l'utilisateur se connecte directement sur la
machine cible, mais cette demande est intercepte par le firewall,
qui demande une authentification pralable. La session est alors
relaye normalement par le relais.
50
VI.5 : Dfinition d'une architecture contrle de flux

Un firewall seul ne permet pas d'interconnecter des rseaux de manire
sre, II ne suffit pas d'installer un firewall et de programmer quelques rgles
de filtrage. Cette approche nous procure plus un sentiment de scurit qu'une
relle scurit. Il convient plutt de dterminer une architecture globale dont
le firewall n'est qu'un des composants.
Les principes de base devant prsider la politique de filtrage sont les
suivants :
Les filtres sont positionns sur les firewalls.
Tout ce qui n'est pas expressment permis est interdit.
Toute demande de connexion depuis Internet est interdite.
Les paquets TCP entrants doivent tous avoir le bit ACK positionn
1 et le bit SYN 0 (rponse un paquet issu de l'extrieur).
En outre, plus le rseau de notre l'entreprise est grand, plus il peut tre
ncessaire de le partitionner et d'appliquer le concept de dfense en
profondeur. Ce principe consiste dfinir plusieurs niveaux de protection de
manire ce que si le premier est pntr (le firewall Internet, par exemple),
les autres protgent des zones plus sensibles. Les dgts causs par un pirate,
un virus ou un ver, sont ainsi limits la zone initiale d'attaque.
Ce principe, que nous retenons pour notre rseau, nous amne dfinir
la notion de domaine de confiance.
Une approche macroscopique permet de distinguer globalement deux
domaines de confiance : le rseau interne couvrant les sites de notre entreprise
et les rseaux externes regroupant les partenaires (accs distant).
La scurit est aborde du point de vue de notre rseau : ce sont les
ressources situes sur notre rseau qu'il faut protger.
51
Figure 9 : Schma reprsentatif darchitecture globale
La connexion du second firewall aux autres quipements existants, backbone,

firewall etc, ne ncessitera pas dapport supplmentaire. Il va suffit
simplement le configurer de sorte prendre en compte lexistant puis le
connecter comme prsent.
VI.6 Mcanismes de scurit supplmentaires
Les protections contre les attaques et le contrle de flux offerts par le

firewall ne suffisant pas se protger des domaines de non-confiance, les
mcanismes suivants permettent d'ajouter un niveau supplmentaire de
scurit vis--vis des rseaux externes tels ceux des partenaires :
- masquage des adresses internes par translation ;
- coupure des flux avec des relais applicatifs, de prfrence intgrs
au firewall ;
- interdiction des sessions NetBIOS et RPC, qui ne sont pas
matrisables par les firewalls ;
52
- scurisation des serveurs situs sur les segments ddis par

durcissement du systme d'exploitation, restriction des droits
d'accs et dsactivation des services systme et rseau non utiliss.
Le firewall traitera des translations d'adresses pour masquer les adresses
internes vis--vis des rseaux des partenaires. Cette traduction doit tre
statique pour les machines cibles auxquelles accdent les partenaires. Les
clients sortants feront quant eux l'objet d'une translation dynamique N pour
1 (N adresses sources sont translates en 1adresse source).
Quant aux utilisateurs en accs distant, qui doivent nanmoins accder
aux ressources de notre rseau, il est difficile de les orienter vers des
ressources partages. Car les mcanismes de rplication avec les serveurs
internes seraient trop complexes, voire impossibles mettre en uvre. De ce
fait, les mcanismes devant renforcer la scurit doivent avoir trait la
confidentialit :
authentification forte permettant de s'assurer de l'identit de l'utilisateur ;
chiffrement des donnes afin d'assurer la confidentialit face aux rseaux
externes traverss (rseau tlphonique, ADSL, etc.) ;
contrle d'intgrit permettant de s'assurer que les paquets IP (en-tte et
donnes) ne sont pas modifis.
53
TROISIEME PARTIE : LA MISE

EN UVRE DE LA SOLUTION
TECHNIQUE PROPOSEE
<
54
CHAPITRE VII : LA SOLUTION PROPOSEE
La scurit informatique, d'une manire gnrale, consiste sassurer que

les ressources matrielles ou logicielles d'une organisation sont uniquement
utilises dans le cadre prvu.
VII.1 La scurisation matrielle
Le local technique est le point essentiel du rseau local, sans lequel il ne

peut fonctionner correctement. Ils prsentent un point de vulnrabilit
important dans la mesure o il abrite nombre dappareils sensibles (hubs,
routeurs, etc) et sur lesquels psent des menaces importantes (coute,
piratage, etc).
Notre local est aliment en nergie lectrique scuris et ventuellement
quipe dun groupe lectrogne.
Les cblages, courants forts et courants faibles respectent les normes en
vigueur.
Les tableaux suivants prsentent les principales menaces et parades
associes.
55
Menace type consquences parades
- Indispensabilit des quipements du - Prvision dun systme de dtection et protection contre

incendie. local. lincendie avec un retour dalarme vers un poste permanent.
- Destruction des quipements. - Vrification priodique de lefficacit des quipements.
- Affichage de consignes de scurit en cas dincendie.
- Indisponibilit partielle ou totale du - Affichage de consignes de scurit spcifiques.
rseau. - Information et formation au moyen de secours du
personnel amen travailler dans le local technique.
- Exercices priodiques.
Exigence d un permis de feu pour tous les travaux par point
chauds dans les sites classs ou installations soumis
dclaration.
- Indisponibilit et/ ou destruction - Prvision dune alimentation secourue (groupe
panne dlectricit partielle ou total des quipements. lectrogne) et stabilise (onduleur). Ncessit dun schma de
- Dysfonctionnement des quipements cblage.
du local.
- Indisponibilit des quipements. - Prvision dune tude dimplantation et si celle-ci

Nuisance lie dmontre des perturbations de lenvironnement, envisager une
lenvironnement et au - Dysfonctionnement des quipements implantation dans un autre site ou des mesures permettant
vieillissement. d la poussire, la temprature, dadopter des parades (btiment anti-sinistre, climatisation,
lhygromtrie et les vibrations. filtre poussire, recyclage dair, etc..).
- Dans ce cas, Prvision de moyen de dtection de ces
comportements anormaux.
- Nettoyage et entretien scuris du local.
56
- Prvision de matriel de secours avec les lments

ncessaires la configuration.
- Prvision dun systme de reprage des cbles ainsi quun

schma du cblage.
- Erreurs de - Indisponibilit des quipements.
- Prvision de matriel en << roue de secours>>.
manipulation
- Information et formation du personnel.
- Mise en place dun cahier dintervention.
- Prvision de matriel de secours avec les lments ncessaires
de configuration
<
accident dutilisation -
li lenvironnement :
- Indisponibilit des quipements. - Isolement du sol au moyen revtement antistatique. Taux

Electricit statique. - Destruction des composants des dhumilit infrieur 85% et suprieur 50%.
quipements. Indisponibilit partielle ou
totale de lquipement.
- Indisponibilit partielle ou totale des - Prvoir une installation lectrique, rgule, quilibr qui prend
Surtension quipements. Destruction en compte ce type de risque (circuit lectrique spcifiques,
des composants qui entraine une rgulateur de tension, parafoudre, terres normalises et adaptes
indisponibilit totale ou partielle des au besoin, etc.)
matriels. Isoler les cbles rseaux des cbles pouvant gnrer des hautes
tensions (foudre, courants forts).
57
- Perte de donnes. - En fonction des enjeux, prvoir une alimentation rgule et

Coupure de courant. - dysfonctionnement des matriels. secourue (onduleur, groupe lectrogne, un poste permanent).
Indisponibilit partielle ou totale (non
redmarrage du systme des matriels).
- Orienter les matriels de faon ce que personne ne puisse
Piratage par coute - Pertes de confidentialit. observer partir dun couloir ou dune fentre par exemple.
- Utiliser des conomiseurs dcrans avec mots de passe.
- Sensibiliser les utilisateurs
- Consignes crites dutilisation des quipements informatiques,
Par utilisation illicite - Altration des informations, peines encourues dans les rglements intrieurs.
dtournement, fraude, etc. - Protger laccs aux donnes/matrielles par des mots de passe.
- Prvoir un contrle daccs physique au local.
- Sensibiliser les utilisateurs.
- Prvision dun accs scuris (cl, badge, etc) avec au besoin

- dtrioration physique des quipements un enregistrement des accs et une remont automatique
et/ou du local. dalarme vers un poste permanente.
Intrusion - Dconnection, dbranchement ou - Prvision dun systme de reprage des cbles ainsi quun
inversion de cble. schma du cblage.
- Pose de sonde dcoute. - Identification des quipements au moyen de plaques inviolables,
- Dysfonctionnement des quipements de systme de tatouage, de plombage, etc.
et/ou du rseau. - Dtection douverture (portes, fentres, etc.)
- Vol de matriel. - Eviter, si possible, lutilisation du local technique partag dans
les immeubles intelligents.
58
- Prvoir un systme de protection (chiffrement, carte

- Vol. - Indisponibilit partielle ou totale des microprocesseur).
- quipements. - Prvoir un dispositif antivol (marquage, tatouage, cble, etc.)
- Vol de portable. - Atteinte la confidentialit. - Assurer une gestion de parc (suivi, inventaire, etc.)
- Perte dinformation / matriel - Prvoir une gestion des sauvegardes.
- Prvoir un contrle daccs aux btiments
- Prvoir un ensemble de rgles et de procdures concernant le
bon usage dun portable (rangement, responsabilisation pour
emport lextrieur de lentreprise, connexion scuris des
accs distants, etc.)
- Destruction massive - Introduire dans la politique de protection contre les virus une
- Indisponibilit. procdure de validation des disquettes et autre supports.
- Perte dintgrit / confidentialit - Verrouiller les lecteurs de support externes voire les
- supprimer.
Tableau 4 : lments terminaux
Hormis ces lments terminaux qui composent le local technique, nous avons aussi les liaisons quil faut scuriser. Elles
servent vhiculer les lments actifs du rseau contenus soit dans le rseau local technique, soit dans le poste de travail de
lutilisateur (exemple : carte modem). Elles peuvent aussi tre des lments internes (cbles, fibre optiques, ondes, laser,
infrarouge, etc.) prsent dans tous les locaux de lentreprise qui les rend facile daccs et donc scuriser. Voici prsent le
tableau ci- dessous :
59
MENACE TYPE CONSEQUENCES PARADES
- Rduction des risques du blocage du rseau par une

coupure accidentelle - Isolement de tout ou partie du rseau local. architecture scurise en boucle et une redondance
ou volontaire de de la technologie.
cbles (sabotage). - Protection des chemins de cbles (capot, scellement,
mise sous pression, etc.).
- Plan de cblage jour.
- Reprage des cbles.
- Contrles priodiques des cbles.
- Utilisation doutils danalyse des cbles
- Ecoute, rcupration, modification - Protection des chemins de cbles.
Branchement des << dinformations. - Utilisation de la fibre optique.
pirates >> - vrification visuelle et physique des chemins de
cbles du rseau.
- surveillance des caractristiques de la liaison.
- Surveillance des flux.
- Chiffrement des informations sensibles
- brouillage du signal. - matriel rpondant aux normes prcises dans la

perturbation des - Modification / perte dinformation directive Europenne 89 /336 / CEE
liaisons - Passage du cble sous gaines dans les endroits
risques.
- plan de cble jour.
Erreur de - dysfonctionnement. - Reprage des cbles.
manipulation - Formation du personnel de maintenance.
(dconnexion - Isolement de tout ou partie du rseau local. - Contrle des interventions des sous traitants.
accidentelle).
60
- bouchage des trous par manchon coupe feu.

Incendie et - Propagation du feu. Inefficacit du pare-feu (en - Surveillance et contrle des travaux de cblage
propagation particulier dans le cas dun systme dextinction
dincendie. par gaz. Le chemin de cbles est une voie
privilgie de la propagation des incendies.
Tableau5 : Liaisons
61
VII.2 Scurisation logicielle

Ni gratuit, ni interoprabilit : les fournisseurs daccs Internet ne font
lobjet daucune obligation de moyens quant au logiciel de scurisation quils
doivent fournir leurs abonns.
Au vu de cette ralit, la scurit logicielle et ses vulnrabilits sont devenu
une proccupation majeure, et les entreprises font de leur mieux pour djouer les
risques que peuvent introduire des politiques de scurit logicielle inadaptes.
Certes, la nature de ces risques est dsormais mieux comprise, mais les approches
qui assurent une protection efficace du parc applicatif restent encore mal connues.
Ainsi donc, face lvolution des mesures de protection des rseaux, les intrus
ont rorient leur effort pour sattaquer directement aux logiciels et macros
logiciels.
Sur ce, nous pensons que, quant notre rseau hybride il convient donc de
mentionner de faon dtaill les aspects scuritaires du sans fil wifi en particulier
puis en gnrale le rseau dans son entiret.
VII.2.1 Modifier et cacher le nom par dfaut du rseau
Un rseau Wifi porte toujours un nom d'identification afin que les ordinateurs
puissent le dtecter et se connecter dessus. Ce nom, SSID (Service Set IDentifier)
est dfini par dfaut. Ainsi donc, il convient de le modifier, afin de le cacher aux
ventuels pirates pour les empcher didentifier facilement notre rseau.
Le SSID est une information importante pour se connecter au rseau sans fil.
Le point d'accs diffuse continuellement cette information pour permettre aux
ordinateurs de le dtecter. Le SSID n'est pas une fonction de scurisation mais
permet de rendre "cach" son point d'accs la vue de tout le monde. Il va suffire
configurer le rseau avec les ordinateurs, et activer la fonction "cacher le SSID",
62
prsente dans le point d'accs, afin de rendre ce dernier "invisible" au monde

extrieur.
VII.2.2 Configurer manuellement les adresses IP
La plupart des points d'accs actuels disposent du protocole DHCP (Dynamic
Host Configuration Protocol). Il s'agit d'un protocole qui permet un ordinateur
qui se connecte sur un rseau d'obtenir dynamiquement sa configuration rseau
(adresse IP, etc.). Il va falloir le dsactiver afin dviter qu'un pirate trouve
facilement les identifiants du rseau.
VII.2.3 Choisir un mot de passe d'accs au point d'accs
L'administration du point d'accs se fait par l'intermdiaire de pages Web

accessibles par n'importe quel ordinateur connect par cble. Il suffit de saisir une
adresse IP (fournie par le constructeur) dans le navigateur Web et le mot de passe
par dfaut (fourni par le constructeur) pour accder l'administration. A ce stade,
toute personne pouvant accder au rseau, peut faire les changements ou modifier
d'autres paramtres du point d'accs. Il faut donc un nouveau le mot de passe qui
rpondra au principe de mots de passe forts.
VII.2.4 Filtrer les quipements par adressage MAC

Une adresse MAC (Media Access Control) permet d'identifier matriellement
un ordinateur grce son adaptateur rseau. Cette adresse est unique et dfinie
par le fabriquant de l'adaptateur. Chaque point d'accs offre la possibilit d'utiliser
le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la liste autorise
ne sera pas autoris se connecter sur le rseau. Notons tout de mme que le
filtrage d'adresses MAC est contournable.
On aura donc pour remdier aux problmes de scurit de notre rseau gnral
tenir compte de tous ces lments cits plus haut et ce qui suit.
63
VII.3 Services IP et matrice de flux

Chacune des ressources est accessible par un protocole et un numro de port
UDP ou TCP bien identifis, qui vont servir de base au filtrage appliquer sur le
firewall. La matrice de flux ci-dessous prsente les sens de connexion, ce qui
n'interdit pas les changes dans les deux sens. Ainsi, les connexions ne peuvent
inities qu' partir d'un rseau situ dans un domaine de confiance suprieur un
autre (exception faite nos utilisateurs distants), et aucune connexion ne peut tre
initie depuis internet.
TABLEAU 6 : matrice de flux
Vers Rseau Rseau Rseau Rseau Segment

MEN Groupe Partenaires Accs Partenaires
De
distant
DNS
Rseau
MEN HTTP,FTP HTTP,FTP
Rseau
Partenaires
Rseaux Telnet, HTTP,SQL,DNS

Http,
Accs NetBIOS
distant SQL,DNS,
NetBIOS
Segment
Groupe
(1)
Case vide = aucun service accessible. Pour la population des exploitants
uniquement.
La mise en place de relais ne se justifie pas sur un rseau interne, car d'une
part nous exerons un contrle sur les acteurs avec qui nous sommes en relation
(nos utilisateurs, les partenaires), et d'autre part la diversit et la complexit des
64
protocoles filtrer ne permettent pas aux relais de fournir un niveau de scurit

supplmentaire. Le raisonnement vis--vis d'Internet serait, en revanche,
diffrent, puisque nous aurions affaire un rseau public, donc par dfinition non
matris, et parce que le nombre de protocoles, ncessairement restreints, (HTTP,
SMTP, etc.) seraient, de plus, facilement filtrables par des relais.
VII.4 Matrice de filtrage

La matrice de flux permet d'laborer la matrice de filtrage, c'est--dire les
rgles implmenter sur le firewall. Celle-ci doit tre construite sur le principe de
l'ouverture de flux minimale : dans la mesure du possible, les flux doivent tre
ouverts entre couples d'adresses plutt qu'entre couples de subnets. Ainsi :
Les flux impliquant un serveur doivent tre ouverts sur la base de l'adresse
du serveur.
Les flux impliquant des utilisateurs authentifis doivent tre ouverts sur la
base des noms des utilisateurs (qui seront associs une adresse lorsqu'ils seront
authentifis).
Les flux impliquant des utilisateurs non authentifis doivent tre ouverts sur
la base de leur subnet. Il est envisageable d'appliquer une politique de filtrage
plus restrictive vis--vis des partenaires et de filtrer par couple d'adresses.
Une fois tablie, la matrice doit pouvoir tre directement transpose dans les
rgles de filtrage du firewall.
CHAPITRE VIII : ADMINISTRATION DES FIREWALLS

VIII.1 Administration
L'administration du firewall peut tre ralise de diffrentes manires :

partir d'une interface graphique X/Windows ;
partir d'un navigateur Web via HTTP ;
65
partir du DOS
Si la station est dporte, les sessions avec Watchguard sont authentifies via
DES et l'intgrit des donnes est contrle par une signature DES. Les paquets
en eux-mmes ne sont pas chiffrs. Les accs au firewall peuvent tre contrls
via les mcanismes propres ISM/Access Master. Les statistiques affiches en
temps rel comprennent le nombre de paquets traits et rejets ainsi que les
ressources systme utilises. L'administrateur peut, travers l'interface graphique,
modifier des paramtres systme tels que la taille des caches, les files d'attente et
les tampons utiliss pour la fragmentation.
VIII.2 Remarques sur l'administration des firewalls
Il faut souligner que, dans tous les cas de figure, la scurit rclame une
administration continue. Une quipe d'exploitation doit tre forme
spcifiquement aux techniques lies la scurisation des rseaux IP et au firewall
lui-mme. Les tches sont notamment les suivantes :
positionnement des rgles de filtrage ;
analyse de toutes les rgles de filtrage (une rgle peut en effet mettre en
dfaut toutes les autres) ;
gestion des autorisations d'accs ;
analyse et purge des logs.
VIII.3 Log et audit
L'audit de scurit s'entend tout d'abord comme une valuation des procdures
mises en place pour assurer la scurit du systme. Il va tre effectu l'aide
d'outils informatiques permettant de dtecter les failles du systme en gnrant
automatiquement des tentatives de pntration selon diverses mthodes
prprogrammes et reprenant en gnral les techniques utilises par les hackers.
66
Comme pour les autres fonctionnalits, les vnements sont gnrs deux
niveaux : relais applicatifs et module de filtrage IP. Ils sont enregistrs dans deux
types de fichiers : audit et alertes.
Le module de filtrage IP enregistre dans le fichier d'audit les adresses IP
source et destination, les ports, l'en-tte du paquet (mode dtaill), le contenu du
paquet (mode trace) et la date de l'interception. Le fichier des alertes contient les
adresses IP source et destination, les ports, les protocoles et la date de
l'vnement.
Les relais enregistrent des informations propres leur application (FTP,
Telnet, HTPP, etc.) : heure de dbut et dure de la session, nombre d'octets
changs, adresses source et destination, nom de l'utilisateur et informations sur
les sessions dauthentification. En mode trace, le contenu du paquet est galement
enregistr. Les alertes peuvent tre dclenches partir d'un vnement simple
(rejet d'un paquet, refus d'authentification) ou sur des conditions spcifiques
fondes sur le nombre d'occurrences d'un vnement ou sa frquence (nombre
d'occurrences de l'vnement pendant une priode donne).
VIII.4 Mcanismes de protection
La fragmentation des paquets est gre de la manire suivante : lorsquun

fragment arrive et qu'il n'est pas le premier d'une srie, il est mmoris jusqu' la
rception du premier fragment qui contient toutes les informations. Cette
approche est double tranchant : elle offre plus de scurit puisque tous les
fragments sont lus avant le traitement complet du paquet, mais elle est
potentiellement vulnrable aux attaques de type teardrop, puisquil faut allouer de
la mmoire pour stocker les fragments.
VIII.5 Intgrit
Le module de filtrage IP bloque par dfaut tout te trafic et contrle l'activit

des autres processus. Si l'un d'eux s'arrte, le module de filtrage IP bloque le trafic
67
correspondant. Les fonctionnalits lies la TCB (Trusted Computing Base)

peuvent tre tendues watchguard et vrifier l'intgrit des fichiers (checksum
sur le contenu, date de modification, propritaire).
CHAPITRE IX: CHIFFREMENT DES DONNEES
Le firewall est compatible avec les VPN (Virtual Privat Network) IP sec. Pour
des dbits suprieurs quelques Mbit/s, mieux vaut utiliser un botier ddi
appel SecureWarc.
IX.1 Les algorithmes de chiffrement

<
Il existe trois catgories d'algorithmes de chiffrement :

les algorithmes cl secrte, dits symtriques : l'metteur doit partager une
cl secrte avec chacun des destinataires ;
les algorithmes cl publique, dits asymtriques : deux cls (une prive et une
publique) peuvent chiffrer et dchiffrer un message ;
Les algorithmes cl secrte non rversibles.
Les algorithmes symtriques ncessitent qu'metteur et destinataire se soient,
pralablement tout change, mis d'accord sur un mot de passe connu d'eux
seuls. Chaque metteur doit donc grer autant de cls qu'il a de correspondants.
Les algorithmes de ce type les plus rpandus sont DES (Data Encryption
Standard), une version amliore appele triple DES, RC4, RC5, RC6, IDEA
(Internaltional Data Encryption Algorithm) et AES (Advanced Encryption
System), le successeur dsign de DES.
Le principe des algorithmes asymtriques est le suivant :
La cl publique de B est diffuse auprs de tous ses correspondants.
Une personne A, dsirant envoyer un message B, chiffre le message avec
la cl publique de B.
68
B est le seul pouvoir dchiffrer le message avec sa cl prive.

Il est noter que les cls sont commutatives :
II est possible de chiffrer avec la cl publique et de dchiffrer avec la cl
prive.
Il est possible de chiffrer avec la cl prive et de dchiffrer avec la cl
publique.
Cette proprit est utilise pour la signature numrique (voir plus loin).
L'avantage d'un algorithme asymtrique est qu'un destinataire B n'a besoin
que d'une cl pour tous ses correspondants. Avec un algorithme symtrique, il
faut en effet une cl secrte partager avec chaque correspondant ( moins qu'on
accepte l'ide que chaque correspondant puisse dchiffrer les communications
entre B et quiconque partageant la mme cl).
Les algorithmes cl publique les plus en pointe actuellement sont RSA
(Rivesf. Shamir et Adleman), et ECC (Elliptic (Curve Cryptosystem).
Les algorithmes non rversibles consistent transformer un message en un
mot de 128 bits ou plus. L'algorithme de hachage utilis doit tre collision
presque nulle, c'est--dire que la probabilit que deux messages diffrents
produisent le mme mot de 128 bits, doit tre la plus faible possible. Les
algorithmes de ce type les plus rpandus sont MD5 (Message Digest-RFC 1319 et
1321) et SHA (Secure Hash Algorithm).
Tableau 7 : algorithme de chiffrement
Norme ou Type Longueur de la

Algorithme proprit cl
ECC Libre Asymtrique 128 bits
RSA Proprit RSA Asymtrique

40, 56,128 ou
1024 bits
69
Proprit Symtrique 128bits

IDEA MediaCrypt
CAST RFC 2144 Symtrique 128 ou 256 bits
et 2612
AES FIPS197 Symtrique 128, 256 bits ou

plus
DES FIPS 42-2 Symtrique 40 ou 56 bits
Triple DES FIPS 42-3 Symtrique 3 fois 40 bits
RC4 Proprit RSA Non rversible 40 bits
RC5 Proprit RSA Non rversible 40, 56 ou 1024

bits
SHA FIPS 180-1 Non rversible 160 bits
FIPS= Fdral Information Processing Standard : normes dictes par le

NIST.
IX.2 Efficacit des algorithmes de chiffrement
La performance d'un algorithme cl (secrte ou publique) se caractrise par

son inviolabilit qui repose sur deux facteurs :
Un problme mathmatique, rput insoluble (un hard problem ),

souvent bas sur la factorisation des grands nombres premiers en utilisant des
modules dans des groupes gnrateurs Zp ;
La longueur de la cl : 40, 56, 128 et 1024 tant des valeurs courantes.

Le tableau suivant prsente le temps mis pour trouver une cl DES. Il est
extrait d'un rapport rdig en 1996 par sept spcialistes parmi lesquels Rivest (de
70
RSA), Diffie (de Diffie-Hellinan) et Wiener (auteur d'une mthode permettant de

casser l'algorithme DES).
BUDGET MATERIEL
TEMPS MIS POUR TROUVER LA CLE DES
EN $ UTILISE
40 BITS 56 BITS
Presque rien Ordinateurs 1 semaine infaisable
400$ Ship programmable 5 heures 38 ans
10000$ Ship ou ASIC 12 minutes 556 jours
300000$ ASIC 18 secondes 3 heures
10M$ ASIC 0.005 secondes 6 minutes
Tableau 8 : Calcul de cl
Depuis, les choses ont bien volu : un tudiant de l'cole polytechnique a

russi casser la cl 40 bits de l'algorithme RC4 en 3 jours, rien qu'en utilisant les
temps CPU libres de super-calculateurs. Le record est dtenu par des tudiante de
l'universit de Berkeley qui, en fvrier 1997, ont cass la cl en 3 heures 30
l'aide de 250 stations de travail en rseau.
La socit RSA, qui commercialise l'algorithme du mme nom, a organis un
concours dont le but tait de casser la cl 56 bits de l'algorithme DES, preuve
remporte par un consultant indpendant.
L'infaisabilit de la proprit mathmatique utilise par l'algorithme est
galement un critre important : par exemple, ECC 128 bits est aussi sr que
RSA 1024 bits, et RSA 40 bits est aussi sr que DES 56 bits.
71
Tout organisme priv ou public peut investir dans la production d'un ASIC
spcialis. La hauteur de son investissement dpend simplement du gain qu'il peut
en tirer, d'o l'intrt de bien valuer la valeur commerciale de l'information
protger.
En conclusion, les cls 40 bits sont aujourd'hui considres comme non sres
et l'algorithme DES comme obsolte.
IX.3 Les protocoles de scurit
L'intgration des algorithmes des produits commerciaux est rendue possible

grce aux protocoles de scurit. Ceux-ci comprennent, au minimum, le
chiffrement, mais peuvent galement prendre en compte l'intgrit des donnes, la
signature, ou encore la gestion des certificats.
Protocoles Origine / Norme Algorithmes utiliss
IPSec RFC 2401 2405 DES, Tripe DES, MD5

SSL (Secure Socket Netscape RFC 2246 et Authentification et
Layer) 3546 chiffrement RC4 40 ou 128
bits
PGP (Pretty Good RFC1991 Signature MD5, SHA
Privacy) Chiffrement IDEA, CAST et
RSA jusqu' 2048 bits
Enterprise Intgration RC4 40 ou 128 bits

S-HTTP (Secure Technologies Certificat X.509
HTTP)
S/Mime (Secure Multi DES ou RC2 40 bits et RSA
Purpose Mail Extensions) Draft IETF conforme PKCS 40 bits
PGP/Mine RFC 2015 Idem PGP appliqu a Mime
PEM (Privacy Enhanced Intgrit

Mail) RFC 1421 et 1424 Authentification
Chiffrement
PKCS RSA RSA Chiffrement DES et RSA
(Public Key Cryptography Signature MD5 et RSA
Standards) change de d Diffle-
Hellman
Tableau 9 : protocole scurit

<
72
Ces protocoles dfinissent les changes, le format des donnes, les interfaces
de programmation et l'intgration dans un produit. Par exemple, SSL (Secure
Socket Layer) et SHTTP sont destins aux navigateurs Web alors que S/Mime et
PGP/mime s'intgrent la messagerie Internet.
L'intgration de ces algorithmes est dcrite par le standard PKCS sous la forme
de profils dcrits dans le tableau suivant :
<
(a) Profil
PKCS #
Standard 1 3 5 6 7 8 9 Autre standard lis

10
Syntaxe
indpendante des
algorithmes
Signature X X
numrique des
messages
Enveloppe X
numrique des
messages
Demande de X
certificat X
Certificats X.509, RFC 1422
Certificats tendus
X X
Liste de certificats
rvoqus
Chiffrement par cl X X
prive
73
change de cls
Syntaxe dpendant
des algorithmes
RSA cl publique
X
RSA cl prive
X
Algorithmes
Message digest :
MD2, MD5 RFC 1319, 1321
Chiffrement cl
prive DES RFC 1423
Chiffrement cl
publique RSA X
Signature: MD2,
MD4. MD5 w/RSA X
Chiffrement des
mots de passe
X
change de cls
Diffie-Hellman X
Tableau 10 : standard PKCS

Ainsi, S/MIME repose sur les standards PKCS #1, #3, #7et #10. De mme, le
GIE Master-card/Visa utilise PKCS #7 comme base des spcifications SET
(Secure Electronic Transaction). Les algorithmes retenus sont RSA 1024 bits
pour la signature et l'enveloppe, DES 56 bits pour le chiffrement (uniquement
pour des faibles montants) et Triple DES.
IX.4 Les protocoles d'change de cl

Le problme des algorithmes symtriques rside en la diffusion pralable de la
cl entre les deux parties dsirant changer des messages : le destinataire doit
74
connatre la cl utilise par l'metteur, la cl devant demeurer secrte. Le moyen

le plus simple est l'change direct ou via un support autre qu'informatique. Outre
les problmes de confidentialit, des problmes pratiques peuvent survenir,
surtout s'il faut changer souvent de cl.
Afin d'viter cela, d'autres algorithmes ont t dvelopps. Il s'agit de :
- Diffie-IIellman ;
- SKIP de SUN ;
- PSKMP (Photuris Secret Key Management Protocol);
- ECSVAP1 et ECSVAP2 (Elliptic Curve Shared Value Agreement

Protocol);
- ISAKMP (Internet Security Association and Key Management Protocol),
Oakley et Skeme;
- IKE (Internet Key Exchange) utilis par IP Sec.
L'algorithme de Diffe-Haillan est le plus connu. Son principe est le suivant :
Soit un gnrateur g du groupe Zp o p est un grand nombre premier.
A choisit une cl a, calcule ga et l'envoie B.
A choisit une cl b, calcule gb et l'envoie A.
A calcule (gb) a et b calcule (ga) b.
On obtient la cl secrte (gb) a = (ga) b.
Les valeurs a et b ne sont connues que de A et de B respectivement et ne
circulent pas sur le rseau. Mme si lchange est intercept, il sera trs difficile
de calculer (ga) b partir de gb ou de ga. L'avantage est que cette opration peut se
rpter automatiquement et plusieurs fois au cours dun change, de manire
changer de cl avant qu'elle ne soit ventuellement casse
Les autres algorithmes sont moins rpandus, soit parce qu'ils sont moins
efficaces (exemple de SKIP), soit parce qu'ils sont encore trop complexes
mettre en uvre ou encore parce que trop rcents, ce qui est le cas de ECSVAP1.
75
CHAPITRE X : LA GESTION DES CERTIFICATS

X.1 la gestion des certificats
Les algorithmes symtriques posent le problme de l'change pralable des cls
secrtes. Les algorithmes asymtriques n'ont pas ce type de problme, car la cl
publique est connue de tous. Cela soulve cependant un autre point : est-on
certain que la cl publique est bien celle de la personne qui l'on veut envoyer un
message ?
Les cls publiques sont, en effet, hberges sur des serveurs, qui sont donc
susceptibles d'tre pirats. Pour contourner l'obstacle, le destinataire peut
communiquer sa cl publique qui la demande, mais on retombe dans les
difficults lies la diffusion des cls symtriques.
L'autre solution consiste certifier la cl auprs d'une autorit au-dessus de
tout soupon, appele CA (Certificate Authority). L'metteur A dsirant envoyer
un message B demande au serveur de certificats de confirmer que la cl
publique dont il dispose, est bien celle de B:
A demande un certificat pour la cl publique de B.
Le CA utilise sa cl prive pour signer la cl publique de B : cette signature
constitue le certificat.
A vrifie la signature avec la cl publique du CA.
Mais comment tre certain que la cl publique du CA est bien la sienne ? Le
problme subsiste en effet. On peut alors dsigner une autorit qui certifierait les
CA, un gouvernement ou un organisme indpendant, par exemple. Aux Etats-
Unis, le CA habilits mettre des certificats sont VeriSign, Entrust, R.SA. En
France, la DCSSI (Direction centrale de la scurit des systmes d'information) a
habilit des socits telles que CertPlus, CertEurope ou Certinomis ainsi que des
filiales spcialises cres par des banques franaises. Le standard en matire de
certificats est X.509 de l'ISO repris dans le RFC 1422. Il est utilis par les
navigateurs Web via SSL, les annuaires LDAP (Lightweight Directory Access
76
Protocol) ou encore par le SET (Secure Electronic Transaction) pour le paiement

lectronique.
Les serveurs qui grent, distribuent et valident les certificats sont appels PKI
(Public Key Infrastructure).
X.2 La signature numrique

La signature numrique permet de prouver que l'metteur du message est bien
celui qu'il prtend tre. Une fonction de hachage est opre sur le message, et la
valeur obtenue (le digest) est chiffre avec la cl prive de l'metteur. Tous les
destinataires peuvent vrifier que l'metteur est bien celui qu'il prtend tre en
dchiffrant la valeur de hachage avec la cl publique de l'metteur et en la
comparant avec la valeur calcule sur le message reu, l'aide de la mme
fonction de hachage.
metteur A Destinataire B
1. Applique MD5 au message et obtient 4. Dcrypte avec cl publique de A et

la signature obtient
2. Chiffre avec sa cl prive et 5. Applique MD5 au message dchiffr

obtient et obtient X
3. Envoie et le 6. si X= , alors le message est bien

message chiffr issu de A
Tableau11 : Fonction de hachage
Pour ce type d'algorithme, on trouve :

DSA (Digital Signature Algorithm) qui repose sur le standard DSS (Digital
Signature Standard) du NIST (National Institute of Standard and Technologies) et
utilise une cl prive 1024 bits et un algorithme bas sur le log de Zp analogue
Diffie-Hellman.
77
ECDSA (Elliptic Curve de DSA) qui est analogue DSA mais se base sur un
algorithme ECC
Rabin Digital Signature qui repose sur la racine carre des nombres modulo
Zn o n est le produit de 2 grands nombres premiers : la racine carre de Zn est
difficile trouver (la racine carre de X modulo Zn est trs difficile trouver
quand on ne connat pas n).
<
X.3 L'enveloppe numrique
L'enveloppe numrique est une technique de plus en plus utilise. On la trouve

dans PGP, Mime, PEM (Privacy Enhanced Mail). Le principe est le suivant :
Le message est chiffr l'aide d'un algorithme cl secrte tel IDEA ou CAST,
La cl secrte est son tour chiffre l'aide d'un algorithme cl publique tel
RSA.
Les destinataires dchiffrent la cl secrte l'aide de leur cl prive.
La cl secrte ainsi dchiffre est utilise pour dchiffrer le message.
Par exemple, PGP peut utiliser IDEA 128 bits pour chiffrer le message et RSA,
1024 bits pour chiffrer la cl IDEA.
Les algorithmes cl publique sont plus puissants que les algorithmes cl
symtrique ; ils sont, de ce fait, plus lents et soumis de plus grandes restrictions
d'utilisation et d'exportation. L'intrt de la technique de l'enveloppe est qu'elle
permet de protger la cl de chiffrement avec un algorithme rput inviolable, et
d'utiliser un algorithme moins puissant mais plus rapide pour chiffrer le message.
X.4 Le chiffrement des donnes
Les VPN IPsec (Virtual Private Network IP Security), consistent crer un

tunnel IP chiffr entre un PC isol et un site (mode Client to-LAN ou entre deux
sites (mode LAN-to- LAN), Le terme de VPN est donc (un peu) usurp, car le
rseau priv virtuel ne repose pas sur un partitionnement logique du rseau d'un
78
oprateur, mais sur le chiffrement des donnes. Il est d'ailleurs possible d'utiliser
IP sec au-dessus d'un VPN de niveau 2 ou de niveau 3 et de toute liaison WAN
ou LAN en gnral. La notion de VPN applique IP sec ne vient qu'avec le
chiffrement des donnes ; il est donc possible de crer un rseau priv au-dessus
d'Internet, qui est un rseau public rsultant de la concatnation de rseaux
oprateur.
D'une manire gnrale, le chiffrement permet de renforcer la scurit pour les
donnes sensibles circulant dans un domaine de non-confiance. Si le niveau de
scurit l'exige, il peut s'appliquer :
aux accs distants qui empruntent le rseau tlphonique d'un boitier VPN
(mode pc-to-Lan) ;
Serveur daccs
VPN IPsec distants
RTC
Segment Accs distants
Botier VPN
Chiffrement /dchiffrement oprs
Par le botier et le logiciel sur le PC
Firewall
ou entre deux sites interconnects par un rseau oprateur, que ce soit une LS,
un VPN de niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN).
79
VPN IPsec
Chiffrement / dchiffrement
Oprs par les botiers
Botier VPN Botier VPN
Les PC et Serveurs nont pas

se proccuper du chiffrement
Site du MEN Site du sous-traitant
et, ventuellement, entre deux PC ou serveurs de notre rseau, qu'il soit de

type LAN, MAN, WAN ou WLAN.
La fonction VPN peut tre intgre ou non dans le firewall.
CHAPITRE XI: LAUTHENTIFICATION
L'authentification apporte une protection supplmentaire par rapport la

connexion par mot de passe classique, car celui-ci, mme s'il est chiffr, circule
entre le client et le serveur. Intercept et dchiffr, il peut donc tre rutilis par
un ventuel pirate. De plus, comme il ne change pas d'une session l'autre, la
session intercepte peut tre rejoue sans avoir besoin de dchiffrer le mot de
passe.
L'authentification consiste donc s'assurer que l'metteur est bien celui qu'il
prtend tre.
80
Ce type de protection peut aussi bien s'appliquer des utilisateurs qu' des
protocoles rseau tels qu'OSPF, afin de s'assurer que seuls les routeurs dment
identifis soient habilits changer des informations de routage.
XI.1 Les mcanismes d'authentification
La connexion d'un utilisateur sur un ordinateur implique la saisie d'un nom de
compte et d'un mot de passe. Deux mcanismes de protection sont mis en uvre
cette occasion :
Le chiffrement du mot de passe l'aide d'un algorithme quelconque ;
La gnration d'un mot de passe diffrent chaque tentative de
connexion.
Le premier mcanisme utilise les algorithmes classiques symtriques et
asymtriques. Le deuxime mcanisme, appel One Time Password, peut tre
ralis de deux manires :
- Par dfi/rponse (challenge/ response) ;
Les mots de passe usage unique (one time password ou OTP en anglais) sont un
systme d'authentification forte bass sur le principe de challenge/rponse. Le
concept est simple : Utiliser un mot de passe pour une et une seule session. De
plus, le mot de passe n'est plus choisi par l'utilisateur mais gnr
automatiquement par une mthode de prcalcul (c'est dire que l'on prcalcule
un certain nombre de mot de passe qui seront utiliss ultrieurement). Cela
supprime les contraintes de :
- Longvit du mot de passe. Le mot de passe est utilis une seule fois
- Simplicit du mot de passe. Le mot de passe est calcul par l'ordinateur et
non pas choisi par un utilisateur
- Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker
un mot de passe obsolte ?
81
- Sniffer et chiffrement du mot de passe : Le mot de passe usage unique

peut tre envoy en clair sur le rseau : Lorsqu'un sniffer en dtecte un, il
est dj trop tard, car il est utilis, et non rexpoitable ;
- Par mot de passe variant dans le temps l'aide de calculettes appeles

Token cards.
Il existe beaucoup de produits qui utilisent des variantes. Parmi les plus
reprsentatifs, on trouve :
- CHAP (Challenge Handshake Authenfication Protocol - RFC 1994),
mcanisme logiciel ;
- S/Key (RFC 1938), mcanisme logiciel ;
- Secure ID (Security Dynamics), calculette ;
- ActivCard (socit franaise), calculette, cl USB ou logiciel ;
- Access Master de Bull, carte puce CP8.
Le protocole CHAP (Challenge Hancdshake Authentification Protocol) est
utilis en conjonction avec PPP pour les accs distants. C'est un mcanisme
d'authentification qui offre un premier niveau de scurit :
- Le serveur envoie un challenge alatoire.
- Le client rpond avec un hachage MD5 opre sur la combinaison d'un
identifiant de session, d'un secret et d'un challenge.
Le secret est un mot de passe connu du logiciel client et du serveur.
L'authentification de CHAP repose donc sur une cl secrte et un algorithme
de hachage. Le mot de passe ne circule pas sur le rseau mais doit tre cod en
dur sur le logiciel client et le serveur. Sur un serveur Radius, ce mot de passe peut
mme tre inscrit en clair dans la base de donnes.
Le mcanisme S/Key de Bellcore repose galement sur l'algorithme de
hachage MD5 appliqu une liste de mots de passe valables pour une seule
tentative de connexion :
82
- La liste des cls est gnre partir d'une cl initiale : la cl N s'obtient en

appliquant MD5 la cl N-l et ainsi de suite,
- Le serveur qui connat la cl N+l demande la cl N (code partir de la cl
initiale).
- Soit l'utilisateur possde la liste des cls codes, soit il utilise un
programme qui la gnre la demande partir de la cl initiale.
- Le serveur applique MD5 n et le rsultat est compar avec la cl N+l.
- Le serveur enregistre la cl n et demandera la prochaine fois la cl N-l.
- Arriv la cl 1, il faudra rgnrer une nouvelle liste.
Le problme de S/Key est la gestion de cette liste. De plus, il est relativement
facile de se faire passer pour le serveur (technique du spoofing : voir Annexe 3) :
- Le vrai serveur demande ta cl N l'utilisateur.
- Le faux serveur dtourne la communication et demande la cl N-10
l'utilisateur.
- Lutilisateur consulte sa liste (ou gnre la cl) et renvoie la rponse au
faux serveur.
- Disposant de la cl N-10, il suffit alors d'appliquer MD5 N-10 pour
obtenir la cl N-9, et ainsi de suite.
- II suffit alors de lancer MD5 de 2 10 fois sur cette cl pour obtenir les
rponses pour les cls N-l N-10 que le vrai serveur demandera aux
prochaines demandes de connexion.
La calculette SecureID repose cette fois sur un microprocesseur qui gnre un
mot de passe temporel toutes les 60 secondes. Celui-ci drive de l'horloge et d'une
cl secrte partage par la carte et le serveur :
- Lutilisateur saisit son PIN (Personnal Identification Number) sur sa carte.
La carte gnre un mot de passe en fonction du temps et de la cl secrte (seed)
contenue dans la carte.
- L'utilisateur envoie au serveur le mot de passe affich par la carte.
83
- Le serveur gnre en principe le mme mot de passe et compare la rponse

avec son propre calcul.
Le serveur doit cependant tenir compte du dcalage de son horloge avec celle de
la carte.
XI.2 Fonctionnement d'une calculette d'authentification
La cl 3DES utilise par la calculette ActivCard est une combinaison de

plusieurs cls :
Une cl secrte organisation , commune plusieurs utilisateurs ;
Une cl secrte ressource propre une application, une machine sur
laquelle on veut se connecter, une utilisation particulire de la calculette ;
Une cl utilisateur qui est le nom de l'utilisateur, le nom d'un compte,
ou un identifiant quelconque propre au propritaire de la calculette.
La cl ressource dsigne une machine cible sur laquelle on veut se connecter
ou toute autre application (par exemple, Accs distants ). Dix ressources sont
ainsi programmables sur la calculette, ce qui veut dire que l'on peut utiliser la
carte pour se connecter dix machines diffrentes. Pour la version logicielle, ce
nombre est illimit.
La calculette gnre des cls sur la base d'informations prdfinies (les trois
cls prcdemment cites, l'identifiant de l'utilisateur et le numro de srie de la
calculette), et sur la base d'une information variable qui est un compteur. Les
informations statiques sont stockes dans la calculette et dans la base de donnes
du serveur.
chaque connexion, le compteur du serveur d'authentification s'incrmente
de N. De mme, chaque fois que l'utilisateur appuie sur la touche de fonction
ressource, la calculette incrmente son compteur interne de N. Les deux
compteurs, ceux de la calculette et du serveur, doivent tre synchroniss. Si
l'utilisateur appuie trop de fois sur la touche de fonction par inadvertance, les
84
deux compteurs peuvent tre dsynchroniss, ce qui empche l'utilisateur de

s'authentifier.
Ds qu'il reoit le mot de passe, le serveur procde au mme calcul et
compare les rsultats. S'ils sont identiques, il renvoie une autorisation. Afin de
prendre en compte les ventuels carts avec le compteur de la calculette, il
procde ce calcul avec les N/2 prochaines valeurs de son compteur et avec les
N/2 prcdentes.
Ce principe de fonctionnement est le mme que celui utilis par les commandes
d'ouverture distance des portes de voiture.
XI.3 Les serveurs d'authentification
Pour scuriser la connexion un ordinateur, il existe, on vient de le voir,
une multitude de techniques et de produits diffrents. Ces produits ne sont pas
disponibles sur toutes les plates-formes, car le travail d'intgration important.
Afin de pallier cette difficult, il est possible d'ajouter une couche
supplmentaire en intercalant un serveur entre le client et la machine cible. Les
diteurs de systmes d'authentification n'ont alors plus qu' dvelopper une seule
interface avec le serveur de scurit, et les machines cibles n'ont qu' supporter un
seul protocole d'authentification avec le serveur d'authentification.
Il existe trois grands standards sur le march.
PRODUIT PROTOCOLES ET PRODUITS

SUPPORTES
Radius (RFC 2138 et 2139) SecurelD, CHAP (qui utilise MD5)
Tacacs (RFC 1492) et Tacacs+ SecurelD, CHAP, MD5

Keberos (RFC 1510) DES
Tableau12 : Serveurs dauthentification
85
Radius est le plus utilis. Kerberos a t le premier standard en la matire, mais

sa mise en uvre trop complexe a frein son utilisation. Le support de Kerberos
par Windows 2000 pourrait annoncer cependant la rsurgence de ce standard qui
n'a jamais rellement perc. Tacacs est plus simple mais prsente trop de lacunes.
Tacacs+ a t dvelopp par Cisco mais n'est pas rellement un standard.
XI.4 Exemple d'authentification forte pour les accs distants
Les accs des utilisateurs depuis l'extrieur de l'entreprise, qu'ils soient

nomades ou sdentaires, sont particulirement dangereux, car ce type de besoin
ncessite l'accs aux ressources de l'entreprise depuis un domaine de non-
confiance. En plus du contrle de flux ralis par un firewall, il est ncessaire
d'authentifier les utilisateurs, un peu la manire d'une banque avec les cartes
puce.
Une premire amlioration a t apporte par le systme d'authentification
CHAP lors de la connexion PPP entre le client et le serveur d'accs distants. Ce
mcanisme ne suffit cependant pas, car il repose sur le partage d'un secret entre
l'utilisateur et le serveur. Il est prfrable d'utiliser un mcanisme
d'authentification fort fond sur des calculettes. Chaque calculette appartient
son dtenteur, et tout comme une carte bancaire, son utilisation peut tre associe
la saisie d'un code personnel.
Ce type de systme repose sur un serveur Radius et, au choix, de calculettes
hardwares et logicielles installes sur les postes de travail. Ce serveur est situ sur
le rseau interne ou sur un segment ddi, et dialogue avec le firewall ou le
serveur d'accs distants install sur un autre segment ddi. Il est galement
utilis comme station d'administration permettant de configurer et d'activer les
calculettes.
86
PC client
Serveur daccs
distants 1 Authentification CHAP
(mot de pas du client)
Firewall
Segment accs distants
2 Authentification par
Serveur dauthentification calculette
Radius
Rseau interne
La solution mise en uvre est indpendante du serveur d'accs distants et du

mcanisme d'authentification. Il y a en fait deux niveaux d'authentification :
1. Au niveau PPP, entre le PC client et le serveur d'accs distants (via CHAP),
permettant d'avoir accs au service rseau. Cette tape est transparente pour
l'utilisateur partir du moment o le mot de passe est stock dans le poste de
travail client.
2. Au niveau du firewall, entre le PC client et le serveur d'authentification (
l'aide des calculettes), permettant d'accder notre rseau intranet. Cette tape
ncessite que l'utilisateur saisisse le mot de passe affich sur la calculette.
La procdure de connexion qui en rsulte est la suivante :
Lors de la connexion, le PC envoie le mot de passe au serveur d'accs distants
via le protocole CHAP, on utilise le mme mcanisme pour nous connecter
Internet avec notre modem RTC ou ADSL.
Le firewall intercepte le premier paquet issu du PC. Il demande alors le nom
de l'utilisateur, Celui-ci le saisit.
Le firewall demande ensuite le mot de passe. L'utilisateur doit alors saisir son
code d'identification sur la calculette ou sur son PC, s'il s'agit d'une cl USB ou
d'une carte puce connecte au PC via un lecteur.
87
La calculette affiche alors un code constitu de chiffres et de lettres, que

l'utilisateur saisit tel quel comme mot de passe. S'il s'agit d'une cl USB ou d'une
carte puce, l'utilisateur n'a rien faire.
Le firewall transmet les informations (nom de l'utilisateur et mot de passe) au
serveur d'authentification via le protocole Radius.
Le serveur d'authentification vrifie les informations par rapport sa base de
donnes et donne ou non l'autorisation au firewall (toujours via Radius).
Le mot de passe a t transmis du PC client au serveur d'authentification. Mais
cela n'est pas grave puisqu'il n'est pas rejouable : celui qui l'intercepterait ne
pourrait pas le rutiliser, car il n'est valable qu'une fois.
L'intrt d'oprer l'authentification au niveau du firewall plutt qu'au niveau du
serveur d'accs distants est multiple :
L'authentification permet de crer des rgles de filtrage par nom utilisateur,
indpendamment de leurs adresses IP.
Le firewall enregistre dans son journal toutes les sessions des utilisateurs
identifis par leur nom.
La politique de scurit est implmente et exploite en un point unique,
partir de la console d'administration du firewall.
Avec ce principe, le serveur d'accs distants gre les connexions et les modems
RTC ou ADSL, tandis que le firewall implmente la politique de scurit de notre
entreprise.
La gestion des calculettes (configuration, gnration des codes secrets, etc.) est
ralise partir d'une station d'administration, qui hberge galement le serveur
d'authentification Radius.
Voici ainsi prsent en dtail les diffrents tapes de ralisation de la scuris
notre rseau.
88
CHAPITRE XII : MISE EN UVRE
Il sagit ici de lajout du deuxime firewall au rseau existant.

Conformment la solution propose pour la mise en uvre, on va avoir
besoin dActive Directory puis des lments cits plus haut. Pour arriver au but
de notre projet, nous commenons par la scurisation de tout le matriel existant
ensuite, sa scurisation logicielle.
XII.1 Scurisation matrielle
Nous avons voulu en premier lieu mettre laccent sur la ncessit quil ya
prserver les quipements physiques. Dans notre cas ici, nous utiliserons quelques
exemples cits des tableaux, car nous signalons quune partie de notre travail a
dj t labor par nos prdcesseurs qui ds le dpart ont eu pour souci la
scurit de ces quipements.
Cest pourquoi, nous garderons toujours en ligne ces mmes prcautions
adoptes pour en ajouter que quelques uns que nous jugeons aussi capitale.
Compte tenu de ce que nous avons devoir de maintenir la scurit de notre rseau
un niveau lev, nous avons prvu un systme de dtection et de protection
contre lincendie avec un retour dalarme vers un poste permanent (voir Annexe5)
afin dvit lindisponibilit partielle ou totale du rseau. Pour la nuisance lie
lenvironnement et au vieillissement, nous avons prvu une tude
dimplmentation et en cas de perturbation de celle-ci de lenvironnement nous
envisageons une implmentation dans un autre site. Ceci pourra freiner le
dysfonctionnement des quipements d la poussire, la temprature,
lhygromtrie et les vibrations. Notons quil nous a suffit dapporter ces deux
solutions vu que tout le reste se trouvant dans les tableaux est correctement
respect (suivi).
89
XI.2 Scurisation logicielle

XI.2.1 Installation du firewall
Pour lajout du second firewall notre systme dinformation, il nous a fallu
implmenter un ordinateur de type server avec un systme dexploitation
Windows server 2003 ou suprieur. Ce qui suppose que notre ordinateur aura les
caractristiques suivantes :
Capacit minimale dune barrette : 4 Go
Capacit minimale de disque dur : 2x500 Go
Type de processeur : 1 x Core 2 DUO 2.53GHz
Dans notre cas, nous avons un systme dexploitation Windows server2008
avec les caractristiques suivantes :
RAM: 4Go (installer) / 4Go (maximum) DDR3 SDRAM- 1066Mhz-PC38500
Disque dug: 1To / 7200 tr /min
Processeur: 1 x Intel Core 2 DUO 2.53 GHz ( deux noyaux)
Nos donnes sont largement suffisantes pour la mise en uvre du firewall.
Notons dornavant que, Si tel ntait pas le cas, nous aurons eu besoin
daugmenter la barrette.
Ceci tant, nous avons procd linstallation proprement dite du systme
dexploitation, Watchguard System Manager (WSM) et en activer le
spamblocker, le webblocker. Puis avions ensuite, paramtr de sorte ce que le
premier firewall soit pris en compte. Enfin, pour la scurit du systme
dinformation, nous avons install lanti-virus LiveSecurity.
Voici ltape dinstallation du logiciel watchguard System Manager (WSM) :
90
XI.2.2 Installation dActive Directory
Nous prcisons que les dtails dinstallation ne seront pas abords ici ; vu que
notre travail en lui-mme ne porte pas exclusivement sur la mise en uvre
dActive Directory (AD).
Conu afin dorganiser les ressources informatiques de lentreprise, Active
Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des
ressources et de la scurit de faon centralise, dans le cadre dun domaine. La
cration du domaine va permettre de faciliter ladministration du rseau, sa
supervision, une meilleure exploitation des ressources et des donnes, mais aussi
la maintenance distance. En dautre terme, avec Active Directory, nous avons
une gestion centralise des ressources de notre entreprise.
Nous allons essentiellement nous attacher la scurit lie lAD dans notre
rseau.
En effet, les diffrents outils prsents sur le contrleur de domaine vont nous
permettre de pouvoir administrer de nombreux paramtres concernant les
informations dauthentification, les droits daccs, et la scurit. Ce quil faut
comprendre par la scurit de faon centralise, cest le faite quavec lAD, nous
91
avons une prise de contrle distance des postes clients qui permet davoir accs
toutes les ressources de ces postes. Contrairement ce qu'on pourrait croire,
nous avons une meilleure garantie de la scurit interne.
Cette solution complte a t ajoute eu gard sa gratuit et les nombreuses
solutions quelle propose. LAD est administrable via une interface web ou
encore travers les fichiers de configuration de lapplication. Il se prsente sous
cette forme :
On peut trouver deux jeux de paramtres diffrents :

- La configuration Ordinateur contient lensemble des paramtres relatifs la
machine.
- La configuration Utilisateur contient lensemble des paramtres relatifs
lutilisateur.
92
Configuration Ordinateur
Paramtres Windows
Scripts
Dmarrage (STARTUP)
Arrter le systme (SHUTDOWN)
Configuration Utilisateur
Paramtres Windows
Scripts
Ouverture de session (LOGON)
Fermeture de session (LOGOFF)
XI.3 RECOMMANDATION
> Il est utile de former les agents du MEN car ils n'ont pas conscience que
certaines attitudes habituelles de leur part peuvent tre au dtriment de la qualit
de notre rseau. D'o la ncessit de la sensibilisation. Voici les points sur
lesquels il faudra insister :
- Scanner les disques amovibles avant de les ouvrir. Car mme si l'antivirus
n'arrive pas dtruire le virus, il arrive parfois qu'il dtecte et avertit d'une
possible infection virale ;
Il faut viter laccs la salle serveur au risque dendommager les quipements
qui sont sensible au toucher ;
>Il serait bon dutiliser le second firewall au rseau interne vu tout ce quil
renferme comme atouts. Sachant que le Men se verra dsormais souvrir
dautre rseau tel quinternet ; par consquent, ouvert toutes sortes dagression.
>Il est aussi bon de pendant le recrutement des employs chargs
dadministrer le systme et sa scurit dexiger une procdure, en plus du support
technique qui sera labor.
>Il est souhaitable quen plus de Active Directory, de disposer dautre logiciel
tel quun proxy pour assurer la maintenance distance.
93
>Il serait bon de choisir un anti-virus client-serveur pour la fluidit, lefficacit

du systme de protection antiviral.
>Il serait aussi bon dutiliser un analyseur de rseaux sans-fil, compatible
802.11a, b et g, utile au niveau du dploiement et de la maintenance. Qui
permettra d'valuer la scurit d'un rseau sans-fil (dceler les accs pirates,...),
danalyser la qualit du signal mis, la puissance, le nombre de paquets errons
ou la quantit de bande passante disponible (informations de la couche 1 et 2 du
protocole 802.11).
>Il serait souhaitable, davoir un serveur danti-virus vu ltendu du rseau afin
de centraliser les mises jour et grer les clients anti-virus sur chaque poste.
XI.4 EVALUATION
Pour les caractristiques du firewall nonces plus hauts, nous pouvons
quantifier financirement ce matriel de la manire suivante :
Licence pour 1an :5.499,00$
Licence pour 2ans :6.820,00$
Licence pour 3ans :7.730,00$
Notons que la dure de ces licences dtermine le temps dutilisation gratuit du
support en ligne. Au- del de cette dure de vie la mise jour sobtient contre
rtribution hauteur de 600$ quivalent 300.000 FCFA.
Cot du firewall en FCFA
licences Montant en($) Montant en

(FCFA)
1an 5.499,00 2.749.500
2ans 6.820,00 3.410.000
3ans 7.730,00 3.865.000
94
Cot de la main duvre

tant donn que la main duvre ne doit jamais dpasser le prix dachat du
matriel, nous aurons :
Licence pour 1an
La main duvre sestimera entre [1.000.000 - 1.500.000]
Licence pour 2ans
La main duvre sestimera entre [2.000.000 2.500.000]
Licence pour 3ans
La main duvre sestimera entre [2.500.000 3.000.000]
Le prix dachat du cble servant la connexion du second firewall au
backbone puis au premier firewall est quantifie deux (2) mtre vu la distance
qui les spare (voir schma plus haut).
P U (FCFA) Quantit Montant en (FCFA)
200 2 400
Remarque : Nous n'avons pas mentionn le systme dexploitation car il reste

le mme.
95
CONCLUSION
Ce stage, nous a permis d'apprcier le travail dans une socit tourne vers
l'informatique. Vers la fin de la prsentation de notre travail de session, il
conviendrait daffirmer que lessentiel du travail confin par le cahier des
charges qui nous a t confi est ralis.
En effet, les tudes que nous avons menes nous ont permis de dfinir tout
dabord une politique de scurit qui est avant tout un gage de cohrence et donc,
d'une relle protection. Toutefois, ces rflexes scuritaires nous ont conduits
lanalyse des vulnrabilits du protocole IP, et ensuite aux diffrents types
dattaques, qui nous ont orients dans notre choix.
Aprs apprciation de notre analyse, nous avons opt pour le choix dun
deuxime firewall afin de garantir au mieux la libre circulation des donnes sur
le rseau. En vu dassurer pleinement son fonctionnement, le firewall a besoin
dautres protocoles tels que : le protocole dauthentification, le chiffrement des
donnes afin de maintenir un niveau lev la scurit de notre rseau
informatique.
Cependant, dautres sont encore en phase dtude. Par consquent, il ne sera
pas surprenant si l'on se retrouve confront certains problmes dinscurit que
nous auront pas prvu, vu que la scurit en elle-mme (est relative) nest jamais
totale. Il faudra alors dployer des utilitaires de scurit (journalisation) qui
seront ncessaires. Mais cela ne change rien la crdibilit des rsultats que nous
avons fournis.
Il faut noter tout de mme que ce stage nous a t dun apport considrable,
en dautres termes, nous avons touch des domaines assez varis comme les
bases de donnes, le modle client/serveur trs enrichissant. Ainsi donc, cette
exprience nous a permis d'avoir une bonne matrise d'un grand nombre de
96
technologies dont nous ignorions certaines vertus. Aussi, nous avons dcouvert le
travail d'entreprise avec toute la pression, la rigueur et l'organisation qu'il exige.
Bref, ce stage nous a permis de parfaire notre formation et a aussi fait office de
premire exprience professionnelle dans le monde de l'informatique. Cette
premire exprience s'est bien passe, ce qui est positif pour un bel avenir.
97
BIBLOGRAPHIE
Ouvrages de Jean-Luc MONTAGNIER, solution rseaux, Rseaux dentreprise par
la pratique. Edition EYROLLES, Juillet 2004 pages 470-513.
SECURITE INTRANET Octobre1998, Commission Rseaux et Systmes ouverts,

CLUSIF, CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS,
30, Rue, Pierre Smard, 75009 Paris.
SECURITE PHYSIQUE DES ELEMENTS DUN RESEAU LOCAL Septembre 2000,
version 1, Commission Technique de Scurit Physique, CLUSIF, CLUB DE LA
SECURITE DES SYSTEMES DINFORMATION FRANAIS, 30, Rue, Pierre Smard,
75009 Paris.
98
WEBOGRAPHIE
Http/ www.mmoire online.com (par Ludovic Blin Universit Paris Dauphine DESS
226) (26 / 11 /09 ; 15 :38).
Http/www.education.gouv.ci (14 /01 /10; 14:46).
Http/www.memoireonline.com/07/09/2372/m_Amelioration-des-performances-dun-
reseau-informatique.htm (28 / 01 /10; 14:32)
Http/www.memoireonline.com/07/09/2367/m_Gestion-du-spectre-de-frequence-et-
implementation-des-reseaux-de-telecommunications-cas-dun-res16.html#toc44
(10/ 02 / 10; 18:27)
file:///C:/Documents%20and%20Settings/Administrateur/Bureau/securite-
informatique-ibm.html (09/02/10 ; 16 :25).
http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fi-
avec-authentification-basee-sur-des-certificats5.html#toc65 (09/04/10 ; 17 :52).
99
GLOSSAIRE
Listes des Sigles et Abrviation
ACL Accs Control List
AES Advanced Encryption Standard
AP Access Point
DHCP Dynamic Host Configuration Protocol
DNS Domain Name Service
EAP Extensibl Authentification Protocol
IEEE Institute of Electrical and Electronics Engineers
IGRP: Interior Gateway Routing
IP Internet Protocol
MAC Media Access Control
OFDM Orthogonal Frequency Division Multiplexing
OSPF: Open Shortest Path First
OSI Open System Interconnection
PPP: point-to-point protocol (protocole point point)
RIP: Routing Information Protocol (protocole d'information de routage)
RJ45: Registered Jack 45
WECA Wireless Ethernet Compatibility Alliance
WEP Wired Encryption Protocol
Wi-Fi Wireless Fidelity
WLAN Wireless Local Area Network
100
ANNEXES
101

Memoire de Fin de Cycle PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Memoire de Fin de Cycle PDF

Uploaded by

Copyright:

Available Formats

Mise en place dune solution de scurisation du rseau informatique du MEN 2007 -2008

A la fin de notre formation en ingnierie de Tlcommunication, il nous

Notre tude porte essentiellement sur la mise en place dun niveau de

Lessor des moyens de communication moderne tel quInternet a trs vite

au contraire donner une illusion de scurit si aucun contrle supplmentaire

Pour rpondre ces proccupations, notre travail va s'articuler comme suit:

1. Prsentation de la structure d'accueil, savoir le Ministre de

CHAPITRE I : PRESENTATION GENERALE DE LA STRUCTURE

Lhistoire du Ministre de lEducation Nationale remonte depuis la veille

Mais pour une plus grande efficacit et de dynamisme, le Ministre sera

Le Ministre charg de lEnseignement Secondaire et

de lEnseignement Secondaire et Suprieur, de la Recherche Scientifique et

Ltude de faisabilit du Centre des Ressources Informatiques du

I.2 Prsentation du thme

Scurisation dun rseau informatique

La scurisation d'un rseau informatique consiste donc garantie que

I.3 Cahier des charges

Dans notre travail de session nous nous donnerons de :

CHAPITRE II : PRESENTATON DU CADRE DACCUEIL

Le stage a proprement parl a dbut le 17Aot 2009 par une prise de

II.1 Missions, objectifs et services du CRIMEN

Apporter un appui aux quipes informatiques de proximit des structures

II.1.2 Objectifs et Services

II.2 Organigramme (voir Annexe2)

coopration Ivoiro-corenne. Plusieurs ont t mis la disposition des

II.3.2 Ressources logicielle

CHAPITRE III : ETUDE DE LEXISTANT

Il y a dans lpoque moderne de globalisation presquune ncessit pour les

III.1 Prsentation de lexistant

Pour mieux satisfaire ses besoins, le MEN a procd dans un premier

III.2 Prsentation du systme dinformation

III.2.1 Prsentation du site central

Test Server Backup Server

Figure1 : Schma synoptique de la station de base, Tour D

Aussi, dans la salle serveur, ces diffrents quipements sont monts en

Figure 2 : Equipements monts en Rack

Figure3 : Schma synoptique du rseau des serveurs de la

2 Zmail IBM System x3650 2008

Tableaux 1 : serveurs et caractristiques

III.2.2 Prsentation des sites distants

Figure4 : Schma synoptique du site de la DECO

A limage des composants de larchitecture de la DECO, nous signalons

la DREN, Direction Rgionale de lEducation Nationale.

Figure5 : Schma synoptique du site de la DREN I

Figure6 : Schma synoptique du site de la Tour A

Figure7 : Schma synoptique du site de la Tour B

III.2.3 Architecture du rseau Informatique gnral

En revanche, notre architecture globale, nous aidera mieux nous orienter

DEUXIEME PARTIE : ETUDE

CHAPITRE IV : LES VULNERABILITE DU PROTOCOLE IP ET LES

IV.1 Aperu du rseau existant

Le MEN a dploy un rseau hybride : une liaison faisceau hertzienne

IV.2 L'importance d'une politique de scurit

une analyse de la valeur des informations protger et une analyse des

aucune authentification de l'metteur (n'importe qui peut mettre des

Ces deux caractristiques font de Telnet un protocole trs dangereux

FTP Mode normal FTP Mode passif

Client Serveur Client Serveur

y>1023 20 y>1023 S>1023

Client Serveur Secondaire Primaire

HTTP support normal

Client Serveur Client Serveur

Name Service Protocol Datagram Service Protocol Session Service Protocol