Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plus particulièrement ma mère MARYAM SUGU MEUNT AL’WEULY et mon défunt père
MOUHAMMAD MAHROUF OULD MOUHAMMAD TAQIOULAH
Plus particulièrement à mes deux meilleurs amis KEBA NDIAYE ET JEAN MARC
BASSENE
Dans le contexte de la mondialisation, l’implantation des entreprises à travers toutes les zones
de la planète s’avère une quelque peu nécessité pour pouvoir déployer ses services.
Cet éparpillement de l’entreprise en filiales soulève une question importante à savoir comment
mettre sur pied une gestion centralisée des affaires de l’entreprise.
En effet, de nos jours, les réseaux de communication sont devenus une ressource incontournable
pour les entreprises, les organismes gouvernementaux et les établissements universitaires.
De ce fait, les entreprises ont tendance à organiser leurs postes informatiques autour d’un réseau
local.
Cette interconnexion permet ainsi aux employeurs de l’entreprise de collaborer sur les projets
en communs.
La nécessité de partager des données ou des fichiers entre les différents acteurs de l’entreprise
constitue un premier besoin, l’autre étant de rendre possible l’accès à distance à ces fichiers
dans des zones non couvertes par le réseau local de l’entreprise d’où l’ouverture à INTERNET.
Cependant un réseau informatique n'est pas sans risque.
En effet, cette ouverture à INTERNET est un tunnel très apprécié par les pirates qui en profitent
pour commettre des vols ou destructions de données ou encore des usurpations d’identité ; d’où
la nécessité de mettre en place une architecture de réseau sécurisé qui protège le réseau local
de toutes intrusions non autorisées.
Cette architecture doit comporter un élément essentiel qui est le FIREWALL
Ce mémoire contribue de trois façons au domaine des Firewalls :
En premier lieu, une étude des différents Firewalls, leurs caractéristiques, leurs
avantages, leurs inconvénients.
En deuxième lieu, l’implémentation et la configuration d’un FIREWALL
En troisième lieu, des phases de test pour vérifier les fonctionnalités de notre
FIREWALL.
C. Organisation :
La DISI regroupe deux départements (DRTP et DIG). Chaque département est organisé en
divisions.
En plus de ces quatre divisions, la DISI s'est vue confier la gestion du Centre de Conférence de
l'UCAD II ; ce centre a pour vocation de permettre la tenue d'activités scientifiques sur le
campus, en mettant à la disposition des organisateurs des salles équipées et adaptées à leurs
besoins.
Le Vers Morris ou Vers de Morris était un ver informatique distribué à travers Internet, écrit
par Robert Tappan Morris (à l'époque étudiant à l'université Cornell), et lancé le2 novembre
1988 à partir du MIT (Massachussetts Institute of Technology).
Il est considéré comme le premier ver et est certainement le premier à avoir attiré l'attention des
media.
Il a aussi mené à la première condamnation en vertu du Computer Fraud and Abuse Act (en)
de 1986.
Le Ver de Morris s’est propagé à travers de multiples vulnérabilités dans les machines de
l'époque.
Le Ver de Morris a été la première attaque à grande échelle sur Internet; La communauté ne
s'attendait ni à une attaque de cette nature , ni préparée à la gérer.
Les entreprises étaient la cible de 40% des infractions à la sécurité (312 infractions).
Remarques :
Un premier exemple de critères distinctifs des Firewall est la différence sur le niveau de
sécurité que le mécanisme du pare-feu suppose.
Par exemple, les mécanismes qui fonctionnent sur les données reçues sans
vérifier leur authenticité ou leur intégrité font des hypothèses de confiance plus
fortes que les mécanismes qui utilisent une cryptographie forte pour vérifier
l'authenticité du contrôle des paquets.
Les hypothèses de confiance qui sont présentes, mais qui ne sont pas justifiées,
peuvent résulter dans des systèmes de pare-feu moins sécurisés.
Deuxièmement, chaque mécanisme de FIREWALL fonctionne sur une seule couche ou
sur une gamme de couches d'abstraction du modèle OSI.
À l'origine, les pare-feu se concentraient principalement sur le Contrôle de service, mais ils ont
depuis évolué pour fournir les quatre services suivants :
Contrôle du service :
Détermine les types de services Internet qui peuvent être accessibles, entrant ou sortant.
Le pare-feu peut filtrer le trafic sur la base de l’adresse IP, du protocole ou du numéro de port.
Le service peut aussi fournir un logiciel proxy qui reçoit et interprète chaque demande de
service avant de la transmettre.
Contrôle de direction :
Détermine la direction dans laquelle des demandes de services particuliers peuvent être initiées
et autorisées à circuler à travers le pare-feu
Contrôle utilisateur :
Contrôle l'accès à un service selon l'utilisateur qui tente d'y accéder. Cette fonctionnalité est
généralement appliquée aux utilisateurs dans le périmètre du pare-feu (utilisateurs locaux).
Il peut également être appliqué au trafic entrant auprès d'utilisateurs externes.
Ce dernier service nécessite une certaine forme de technologie d'authentification sécurisée.
Contrôle du comportement :
Contrôle comment certains services sont utilisés et détecte les comportements suspicieux de
certains programmes qui tente de nuire au réseau.
Par exemple, le pare-feu peut filtrer un courrier électronique pour l’éliminer comme spam, ou
Effets positifs :
Authentification d'utilisateur :
Audit et enregistrement :
Anti-Spoofing :
Détection lorsque la source du trafic réseau est "falsifiée", c'est-à-dire lorsqu'un individu
essayant d'accéder à un service bloqué modifie l'adresse source dans le message afin que le
trafic soit autorisé.
Traduction d'adresses réseau (NAT) :
Modification des adresses réseau des périphériques du réseau local pour cacher leurs adresses
authentiques aux périphériques des réseaux externes. Il existe deux manières de NAT :
One-to-One : où chaque adresse vraie est traduite dans une adresse traduite
unique.
Many-to-One : où toutes les adresses vraies sont traduites en une seule
adresse, généralement celle du pare-feu.
Bien que les solutions de pare-feu fournissent de nombreux avantages, des effets négatifs
peuvent également être rencontrés.
En obligeant tout le trafic réseau à traverser le pare-feu, il est plus probable que le réseau soit
congestionné.
Dans la plupart des configurations où les pare-feux sont le seul lien entre les réseaux, s'ils ne
sont pas configurés correctement ou ne sont pas disponibles, aucun trafic ne sera autorisé
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur
appellation de pare-feu. Leurs interfaces ne possèdent pas d'adresse IP, et ne font que
transférer les paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence est particulièrement utile, car cela signifie que le pare-feu est indétectable pour
un hacker lambda. En effet, quand une requête ARP est émise sur le câble réseau, le pare-feu
ne répondra jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau. Cela rend impossible
toute attaque dirigée directement contre le pare-feu, étant donné qu'aucun paquet ne sera traité
par ce dernier comme étant sa propre destination. Donc, la seule façon de le contourner est de
passer outre ses règles de drop. Toute attaque devra donc « faire » avec ses règles, et essayer
de les contourner.
Avantages :
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs
comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire
», et ont une intégration parfaite avec le matériel.
Ce système n'est implanté que dans les pare-feux haut de gamme, car cela évite un
remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce
dernier, rendant ainsi le pare-feu très sûr. Son administration est souvent plus aisée que les pare-
feu bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente.
Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout
pare-feu. Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du
matériel pour cette mise à jour, ce qui peut être, dans certains cas, assez contraignant. Enfin,
seules les spécificités prévues par le constructeur du matériel sont implémentées.
Cette dépendance induit que si une possibilité nous intéresse sur un pare-feu d'une autre marque,
son utilisation est impossible. Il faut donc bien déterminer à l'avance ses besoin et choisir le
constructeur du routeur avec soin.
Avantages :
Inconvénients :
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en
plusieurs catégories :
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier,
et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent être contraignants et quelque
fois très peu sécurisés. En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers
l'exhaustivité, afin de rester accessible à l'utilisateur final.
Avantages.
Inconvénients.
Facilement contournable
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et
un contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les
pare-feux matériels des routeurs, à ceci près qu'ils sont configurables à la main. Le plus courant
est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle plateforme.
Avantages.
Inconvénients.
Principe :
C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau et
transport du modèle OSI. La plupart des routeurs d'aujourd'hui permettent d'effectuer du
filtrage simple de paquet. Cela consiste à accorder ou refuser le passage de paquet d'un réseau
à un autre en se basant sur :
L'adresse IP Source/Destination.
Cela nécessite de configurer le pare-feu ou le routeur par des règles de filtrages, généralement
appelées des ACL (Access Control Lists).
Le premier problème vient du fait que l'administrateur réseau est rapidement contraint à
autoriser un trop grand nombre d'accès, pour que le pare-feu offre une réelle protection. Par
exemple, pour autoriser les connexions à Internet à partir du réseau privé, l'administrateur devra
accepter toutes les connexions Tcp provenant de l'Internet avec un port supérieur à 1024. Ce
qui laisse beaucoup de choix à un éventuel pirate.
Il est à noter que de définir des ACL sur des routeurs haut de gamme - c'est à dire, supportant
un débit important - n'est pas sans répercussion sur le débit lui-même. Enfin, ce type de filtrage
ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet,
ou encore certaines attaques de type DoS. Ceci est vrai sauf dans le cadre des routeurs
fonctionnant en mode distribué. Ceci permettant de gérer les Acl directement sur les interfaces
sans remonter à la carte de traitement central. Les performances impactées par les Acl sont alors
quasi nulles.
Le Principe :
L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions
et des connexions dans des tables d'états internes au pare-feu. Le pare-feu prend alors ses
décisions en fonction des états de connexions, et peut réagir dans le cas de situations
protocolaires anormales. Ce filtrage permet aussi de se protéger face à certains types d'attaques
DoS.
Pour le protocole Ftp (et les protocoles fonctionnant de la même façon), c'est plus délicat
puisqu'il va falloir gérer l'état de deux connexions. En effet, le protocole Ftp, gère un canal de
contrôle établi par le client, et un canal de données établi par le serveur. Le pare-feu devra donc
laisser passer le flux de données établi par le serveur. Ce qui implique que le pare-feu connaisse
le protocole Ftp, et tous les protocoles fonctionnant sur le même principe. Cette technique est
connue sous le nom de filtrage dynamique (Stateful Inspection) et a été inventée par
Checkpoint. Mais cette technique est maintenant gérée par d'autres fabricants.
Les Limites :
Tout d'abord, il convient de s'assurer que les deux techniques sont bien implémentées par les
pare-feux, car certains constructeurs ne l'implémentent pas toujours correctement. Ensuite une
fois que l'accès à un service a été autorisé, il n'y a aucun contrôle effectué sur les requêtes et
réponses des clients et serveurs. Un serveur Http pourra donc être attaqué impunément (Comme
quoi il leur en arrive des choses aux serveurs WEB !). Enfin les protocoles maisons utilisant
plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique n'aura pas
connaissance du protocole.
c) Le filtrage applicatif :
Le Principe.
Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche
Application. Pour cela, il faut bien sûr pouvoir extraire les données du protocole de niveau 7
pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple une requête
de type Http sera filtrée par un processus proxy Http. Le pare-feu rejettera toutes les requêtes
qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare-feu proxy
connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.
Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est
extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de
protocoles de niveau 7. En outre le fait de devoir connaître les règles protocolaires de chaque
protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou des protocoles
maisons.
Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de paquet
avec état, mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 %
proxy pour les réseaux à gros trafic au jour d'aujourd'hui. Néanmoins d'ici quelques années, le
problème technologique sera sans doute résolu.
A. ClearOS :
ClearOS (anciennement appelé ClarkConnect) est une distribution Linux, basée sur CentOS et
Red Hat Enterprise Linux, conçu pour une utilisation dans les petites et moyennes entreprises
comme une passerelle réseau et le serveur de réseau avec une interface d'administration basée
sur le Web.
Il est conçu pour être une alternative à Windows Small Business Server. ClearOS réussit
ClarkConnect.
Le logiciel est construit par ClearFoundation, et les services de soutien peuvent être achetés
auprès de ClearCenter. ClearOS 5.1 supprime les limitations antérieures au courrier
électronique, les fonctions DMZ, et Multi WAN.
Caractéristiques :
Les Limites :
B. Untangle :
Un pare -feu ;
Un routeur ;
Un anti-virus avancé ;
Les Limites :
C. Zeroshell:
Zeroshell est une distribution Linux créée dans le but d'être très complète
Elle est conçue pour fournir des services réseaux sécurisés dans un réseau local.
Elle a été développée par Fulvio Ricciardi pour être totalement administrable via une interface
web.
Fournie sous forme de Live CD, elle s'initialise en insérant le CD dans la machine cible et en
la redémarrant.
Fonctionnalités :
Routage statique ;
NAT ;
Pare-feu, pour filtrage des paquets avec fonction SPI (Stateful Packet Inspection) pour
filtrer en fonction de l’état de la connexion ;
Authentification Radius, pour autoriser l’accès au réseau via des points d’accès Wi-Fi ;
Serveur DNS multi-zones, pour définir sa propre zone DNS et les enregistrements
associés ;
Client DynDNS si on a besoin d’un nom DNS pour atteindre le routeur ;
Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le
demandent ;
Zeroshell fonctionne aussi sur une machine virtuelle, par exemple avec les logiciels
VMware.
Les Limites :
Manque de documentation ;
Difficile dans l'installation dans HDD par rapport aux autres pare-feux.
D. PFSense :
Pfsense 2.2 est basé sur FreeBSD 10.1 ce qui apporte non seulement de nombreux
correctifs de sécurité, mais aussi une meilleure prise en charge du matériel et de la
virtualisation ;
L'interface d'administration fonctionne désormais sous PI-IP-FPM, ce qui apporte un
gain de réactivité ;
Caractéristiques :
Pfsense ne fait pas seulement office de firewall, elle offre toute une panoplie de services réseaux
intéressants.
Interface web ;
NAT ;
Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP. . .) ;
Limitation des connexions pour un pair ;
Proxy transparent ;
DNS Dynamique ;
Portail captif ;
Multi-WAN.
Comme sur les distributions Linux, Pfsense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP.
Les Limites :
A. Pourquoi PFSense :
PFSense est un routeur/pare-feu Open Source basé sur le système d'exploitation FreeBSD.
Aucune connaissance de FreeBSD n’est nécessaire pour déployer et utiliser Pfsense.
Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires et payant (ce qui a principalement motive notre choix).
Pfsense convient pour la sécurisation d'un réseau domestique ou de petite entreprise.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre
ensuite à distance depuis l'interface web et gère nativement les VLAN.
B. Installation de PFSense :
1. Prérequis :
Laboratoire local :
En termes de configuration requise, nous faisons tourner Pfsense sur une VM disposant d ’un
Figure 5:Installation
On choisit ensuite l’installation standard, si on est expert on peut choisir la deuxième option.
Ensuite, on active le service DHCP pour permettre à PFSense d’attribuer automatiquement aux
terminaux du réseau local une adresse IP.
On precise la plage des adresses IP que le serveur DHCP de PFSense doit survoler pour assigner
aux terminaux du réseau local une adresse IP.
Dans ce qui suit, nous allons configurer PFSense de sorte que certaines pages web soient
inaccessibles aux machines du réseau local.
Dans notre exemple, nous allons bloquer les sites à caractères pornographiques.
Des gens ont travaillé sur des listes appelés Blacklist contenant un ensemble de sites internet.
Il suffit d’intégrer cette liste dans les règles du FIREWALL.
Les schémas illustratifs sont les suivants :
Par défaut, toutes les pages web sont bloqués par cette liste.
On active d’abord tous les services puis on sélectionne celle qu’on veut autoriser.
Ensuite il faudra se rendre, à partir de l’interface web de PFSense, sur Service >Proxy Squid et
suivre les étapes suivantes :
Que faire si on constate qu’un utilisateur se connecte trop souvent sur Internet et consomme de
ce fait une bonne partie de la bande passante.
La solution la plus simple est de réduire sa bande passante ce qui aura pour conséquence de
réduire son débit.
Les configurations se font comme suit :
D’abord, on mesure le débit actuel de notre machine virtuelle 10.0.0.23 (c’est la machine dont
on veut limiter le débit).
Pour cela on va sur Status>Traffic Graph :
On constate que le débit descendant est de 1.69Mbits et que le débit montant est de 41.04kbit/s
A partir de l’interface web de PFSense, on va sur FIREWALL>Traffic Shaper et on fait comme
suit :
Nous fixons le débit descendant a 800kbit/s
https://www.tecmint.com/installation-and-configuration-of-pfsense-firewall-router/\:
consulté le 28 JUIN 2017
https://techknight.eu/2015/03/.../part-ii-pfsense-system-setup-and-basic-
configuration/: consulté le 05 JUILLET 2017
https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial:
consulté le 11 JUILLET 2017
https://www.sparklabs.com/.../setting-up-an-openvpn-server-with-pfsense-and-
viscosit..:
Consulté le 15 JUILLET
https://www.iceflatline.com/.../install-and-configure-pfsense-in-your-home-network/:
Consulté le 17 JUILLET 2017
https://serverfault.com/.../pfsense-shell-apply-config-modification-without-reboot:
consulté le 23 JUILLET
https://www.netgate.com/docs/aws-vpn-appliance/pfsense-configuration-details.html:
consulté le 23 JUILLET