Memoire A I Dara

Table des matières
Remerciements : ....................................................................................... Error! Bookmark not defined.

Dedicaces :................................................................................................. Error! Bookmark not defined.
Introduction :............................................................................................. Error! Bookmark not defined.
Chapitre 1 : Présentation du lieu de stage .............................................................................................. 5
A. Présentation de la Direction de l’Informatique et des Systèmes d’Information : ........................ 5
B. Missions : .................................................................................................................................... 6
C. Organisation : .............................................................................................................................. 7
Chapitre 2 : Présentation Générale sur les Firewalls ................................ Error! Bookmark not defined.
A. Historique : Le Ver de Morris : ................................................................................................. 10
B. Définition d’un FIREWALL : ........................................................................................................ 10
C. Nécessité d’un FIREWALL : ........................................................................................................ 10
D. Caractéristiques des FIREWALL : ............................................................................................... 12
1. Principe de Fonctionnement d’un FIREWALL : ...................................................................... 12
2. Les services caractéristiques d’un FIREWALL ........................................................................ 13
E. Les Catégories de FIREWALL :.................................................................................................... 16
1. Les pare-feux bridge. ............................................................................................................. 16
2. Les pare-feux matériels : ....................................................................................................... 17
3. Les pare-feux logiciels : ......................................................................................................... 19
4. Les différents types de filtrages utilises par les FIREWALLS : ........................................... 20
Chapitre 3 : Etude de quelques Firewalls : .......................................................................................... 24
A. ClearOS : .................................................................................................................................... 24
B. Untangle : .................................................................................................................................. 25
C. Zeroshell: ................................................................................................................................... 26
D. PFSense :.................................................................................................................................... 27
Chapitre 4 : Installation et configuration de la solution retenue : PFSense ......................................... 30
A. Pourquoi PFSense : ................................................................................................................... 30
B. Installation de PFSense : ............................................................................................................ 30
1. Prérequis : .............................................................................................................................. 30
2. Installation de PFSense: ........................................................................................................ 31
C. Phase de test : ............................................................................................................................ 48
1. Interdiction d’accès à certains site web : ............................................................................... 49
2. Réduction du Débit par utilisateur :....................................................................................... 62
Conclusion : ............................................................................................... Error! Bookmark not defined.
Bibliographie :........................................................................................................................................ 68
ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

WEBOGRAPHIE: ..................................................................................................................................... 69
Liste des figures :
Figure 1: Organigramme de la Direction d’Informatique et des Systèmes d’Information ........ 9

Figure 2:Architecture generique d’un reseau protege par un FIREWALL .............................. 11
Figure 3:Exemple d’un pare-feux bridge ............................................................................. 16
Figure 4:Exemple de Pare-feux materiel ............................................................................. 17
Figure 5:Installation ............................................................................................................... 31
Figure 6:Installation suite ...................................................................................................... 32
Figure 7:Instalaltion suite ...................................................................................................... 33
Figure 8:Instalaltion suite ...................................................................................................... 34
Figure 9:Installation suite ...................................................................................................... 35
Figure 10:Instalaltion suite .................................................................................................... 36
Figure 11:Installation et configuration de pfSense suite ................................................... 37
Figure 12:Installation et configuration suite ....................................................................... 38
Figure 13:Installation et configuration de pfSense suite .................................................... 39
Figure 17:Lancement des machines virtuelles ..................................................................... 49
Figure 18:Telechargement et Configuration des paquets Squid et SquidGuard ............. 51
Figure 19:test d’accessibilite de site Internet ....................................................................... 52
Figure 20:Configuration du blocage de sites webs .............................................................. 60
Figure 21:test du blocage de site web ................................................................................... 61
Figure 22:Configuration du blocage du telechargement .... Error! Bookmark not defined.
Figure 23: test de blocage du telechargement : .................... Error! Bookmark not defined.
Figure 24:Configuration de pfSense pour la reduction de debit d’un utilisateur:........... 66
Figure 25: Phase de test de la reduction du debit................................................................ 66

Tout d’abord, je tiens à exprimer dans un premier temps, mes remerciements les plus sincères
à l’ensemble du groupe de la DSI (Direction des Services Informatiques) de m’avoir accueilli
pour effectuer mon stage, en m’offrant ainsi la possibilité d’acquérir une expérience
professionnelle très enrichissante.
Je remercie très sincèrement mon maitre de stage et encadreur Mme Pollé Gaye et
l’ensemble des employés de la DSI qui ont été accueillants, chaleureux et compréhensifs.
Finalement, j’adresse mes plus sincères remerciements à tous mes proches et amis qui m’ont
toujours soutenu et encouragés au cours de la réalisation de ce projet ainsi qu’à nos professeurs
qui ont contribué à la réussite de cette formidable année universitaire et qui n’ont ménagé aucun
effort pour me préparer à affronter la vie professionnelle.
Mes sincères remerciements à tous ceux qui ont participé de près ou de loin à la réalisation de
ce Rapport, aux personnes qui, malgré que leurs noms ne figurent pas dans ce document, étaient
toujours prêtes à aider et à contribuer dans le bon déroulement de ce travail.
Je dédie ce travail comme un témoignage d’affection, de respect et d’admiration :
Plus particulièrement ma mère MARYAM SUGU MEUNT AL’WEULY et mon défunt père
MOUHAMMAD MAHROUF OULD MOUHAMMAD TAQIOULAH
Qu’ils puissent trouver dans ce modeste mémoire l’expression de mon

attachement et de ma profonde reconnaissance.
Plus particulièrement à mes deux meilleurs amis KEBA NDIAYE ET JEAN MARC
BASSENE

Introduction :
Dans le contexte de la mondialisation, l’implantation des entreprises à travers toutes les zones
de la planète s’avère une quelque peu nécessité pour pouvoir déployer ses services.
Cet éparpillement de l’entreprise en filiales soulève une question importante à savoir comment
mettre sur pied une gestion centralisée des affaires de l’entreprise.
En effet, de nos jours, les réseaux de communication sont devenus une ressource incontournable
pour les entreprises, les organismes gouvernementaux et les établissements universitaires.
De ce fait, les entreprises ont tendance à organiser leurs postes informatiques autour d’un réseau
local.
Cette interconnexion permet ainsi aux employeurs de l’entreprise de collaborer sur les projets
en communs.
La nécessité de partager des données ou des fichiers entre les différents acteurs de l’entreprise
constitue un premier besoin, l’autre étant de rendre possible l’accès à distance à ces fichiers
dans des zones non couvertes par le réseau local de l’entreprise d’où l’ouverture à INTERNET.
Cependant un réseau informatique n'est pas sans risque.
En effet, cette ouverture à INTERNET est un tunnel très apprécié par les pirates qui en profitent
pour commettre des vols ou destructions de données ou encore des usurpations d’identité ; d’où
la nécessité de mettre en place une architecture de réseau sécurisé qui protège le réseau local
de toutes intrusions non autorisées.
Cette architecture doit comporter un élément essentiel qui est le FIREWALL
Ce mémoire contribue de trois façons au domaine des Firewalls :
En premier lieu, une étude des différents Firewalls, leurs caractéristiques, leurs
avantages, leurs inconvénients.
En deuxième lieu, l’implémentation et la configuration d’un FIREWALL
En troisième lieu, des phases de test pour vérifier les fonctionnalités de notre
FIREWALL.

Chapitre 1 : Présentation du lieu de stage
A. Présentation de la Direction de l’Informatique et des

Systèmes d’Information :
Née de la fusion entre la Direction des Systèmes d’Information (DSI) et le Centre de

Calcul, la DISI a pour mission la mise en œuvre de la politique des systèmes d’information et
des technologies de l’information et de la communication définie par les autorités dans les
domaines de l’enseignement, de la recherche, de la gestion ainsi que de la documentation.
La Direction de l’Informatique et des Systèmes d'Information est une direction centrale
rattachée au Rectorat de l'Université Cheikh Anta Diop.
En 1996, la Coopération Française, dans le cadre de son soutien aux Universités francophones,
lance une action de coopération avec l'Université Cheikh Anta Diop, concrétisée à travers le
Projet d'Appui à la Réforme Universitaire (PARU) pour aider l'université à se doter d'outils de
gestion (gestion de la scolarité, gestion de la paie).
Suite aux succès dans le développement et la mise en place des applications de gestion et
conformément aux dispositions de l'Arrêté rectoral N° 299/U du 11 Mars 1999, l'Université
Cheikh Anta Diop de Dakar crée la Direction de l'Informatique de Gestion (DIG) dont les
missions ont été de :
 Mettre en place un système Informatique ;
 Coordonner la conception de nouvelles applications ;
 Coordonner les activités des utilisateurs et des responsables informatiques des
établissements ;
 Veiller à la bonne marche, à l'intégrité et à l'évolution du système d'information
de gestion ;
 Représenter l'institution dans les projets de même nature et ayant les mêmes
objectifs.
La DIG deviendra la DSI dans le futur avant de fusionner avec le Centre de calcul pour devenir
la DISI.

B. Missions :
A ce titre la DISI est chargée :
 Mettre en œuvre la politique informatique de l’Université ;
 Élaborer les plans directeurs informatiques de l’Université et en assurer la mise
en œuvre et le suivi ;
 Participer et assister à la réalisation des tableaux de bord et de pilotage pour
l’Institution et ses différentes composantes ;
 Assurer une veille technologique permanente et la traduire dans des projets
d'avenir au service des missions de l'Université, particulièrement l'enseignement et la
recherche, et au service des utilisateurs des TIC dans l'Institution ;
 Mettre à jour et renforcer les infrastructures informatiques et de
télécommunication de même que les ressources humaines spécialisées, pour les mettre
au service de l’administration, de l’enseignement et de la recherche ;
 Développer et constituer un système d'information intégré et en assurer une
cohérence globale ;
 Proposer et concourir à des actions de formation des acteurs (personnel,
étudiants) en matière de technologie de l'information et de la communication et en
enseignement à distance (E-learning) ;
 Développer les formations ouvertes et à distance ;
 La gestion de l’Auditorium, de la salle de conférences de l’UCAD II.
Elle assure au sein de l'UCAD :
 La gestion des infrastructures systèmes et réseaux :

- Réseaux : moyens de communication au sein de l'établissement ainsi que vers
- Systèmes : serveurs et services associés placés explicitement sous sa
responsabilité. L'expertise sur les systèmes, les réseaux, les serveurs, les logiciels,
 L'assistance technique informatique liée aux activités d'enseignement, de
recherche, de gestion et de documentation de l'université,
 Le conseil dans l'élaboration de la politique d'achat des matériels et logiciels,
 Le développement d'outils ou l'intégration de briques applicatives dans le respect
du système d'information,

 La participation à la préparation des contrats en ce qui concerne les moyens
Informatiques.
C. Organisation :
La DISI regroupe deux départements (DRTP et DIG). Chaque département est organisé en
divisions.
Le Département des Ressources Technologiques et Pédagogiques (DRTP) : Entre autres rôles

on peut dire que le DRTP accompagne également les établissements de l’UCAD dans la mise
en place des plateformes d’enseignement à distance de la conception, à la mise en ligne de vos
cours. Il comprend :
 La Division de la Formation et de l’Enseignement à Distance (FEAD) : Elle est

chargée de la formation en TIC des enseignants, des PATS et des étudiants de 3eme
cycle des formations doctorales. Elle coordonne les activités des Académies et des
Centres de certification. La division FEAD assure la livraison des cours et les formations
à distance.
 La Division de l’Intégration TIC dans l’Enseignement (TICE) : Elle est chargée

du développement des ressources et contenus pédagogiques multimédia, Elle coordonne
les programmes d’appui à l’appropriation des TIC dans les Facultés, Ecoles et Instituts
de l’UCAD. La division TICE assure l’administration et le suivi des plateformes
d’enseignement à distance (EAD), des portails de ressources et des bibliothèques
virtuelles.
 La Division du Support Scientifique pour la Recherche (2SR) : Elle est chargée

de la mise en place d’outils scientifiques pour la recherche. Elle assure l’administration
et la maintenance des serveurs du Centre et gère les ressources techniques dédiées à la
recherche scientifique. 
La Département Informatique et de Gestion – DIG : Elle comprend :

 La Division Système d’Information et de Gestion - DSIG : le pôle Système
d'Informatique et de Gestion développe et déploie les logiciels utiles au développement
du système d'information de l'Université (finance, scolarité, ressources humaines, ...) et
participe également au développement de l'ENT et des applications connexes.
 La Division Système Réseau et Sécurité - DSRS : le pôle Infrastructure Système

et Réseau (ISR) gère le réseau et les infrastructures informatiques. Son responsable en
tant que Responsable Sécurité des Systèmes Informatiques (RSSI) veille aux respects
des politiques de sécurité édictées par les instances de l'Université.
 La Division de l'Information et de la Communication - DIC : Elle a sous sa

responsabilité le développement du portail Internet de l’UCAD, la mise en place d'un
Environnement Numérique de travail (ENT) ainsi que la définition de la Charte
Graphique de l'institution en relation avec les Directions centrales de I'UCAD. Elle
participe aux actions liées au T.I.C.E (Technologies de l'Information et de la
Communication pour l'Enseignement) en collaboration avec les structures dédiées de
l'UCAD.
 La Division Exploitation et Logistique - DEL : Elle assure le respect des

directives institutionnelles liés à la politique informatique d'achat des matériels, des
logiciels et la gestion de parc selon les règles établies (code des marchés publics). Elle
gère l'activité d'assistance de proximité en assurant également la remontée des besoins
liés au système d'information et une assistance technique auprès des utilisateurs.
En plus de ces quatre divisions, la DISI s'est vue confier la gestion du Centre de Conférence de
l'UCAD II ; ce centre a pour vocation de permettre la tenue d'activités scientifiques sur le
campus, en mettant à la disposition des organisateurs des salles équipées et adaptées à leurs
besoins.

Figure 1: Organigramme de la Direction d’Informatique et des Systèmes d’Information

Chapitre 2 : Présentation générale sur les Firewalls
A. Historique : Le Ver de Morris :
Le Vers Morris ou Vers de Morris était un ver informatique distribué à travers Internet, écrit
par Robert Tappan Morris (à l'époque étudiant à l'université Cornell), et lancé le2 novembre
1988 à partir du MIT (Massachussetts Institute of Technology).
Il est considéré comme le premier ver et est certainement le premier à avoir attiré l'attention des
media.
Il a aussi mené à la première condamnation en vertu du Computer Fraud and Abuse Act (en)
de 1986.
Le Ver de Morris s’est propagé à travers de multiples vulnérabilités dans les machines de
l'époque.
Le Ver de Morris a été la première attaque à grande échelle sur Internet; La communauté ne
s'attendait ni à une attaque de cette nature , ni préparée à la gérer.
B. Définition d’un FIREWALL :
Voici comment Bob Shirey le définit dans RFC 2828 :

Une passerelle intereseau qui restreint le trafic de communication de données à destination et
en provenance d'un des réseaux connectés (celui qui est considéré comme "à l'intérieur" du
pare-feu) et protège ainsi les ressources système de ce réseau contre les menaces de l'autre
réseau (celui qui est dit " En dehors "du pare-feu).
En d’autres mots, un pare-feu est un matériel ou un logiciel conçu pour autoriser ou refuser des
transmissions réseau basé sur un ensemble de règles et est souvent utilisé pour protéger les
réseaux contre tout accès non autorisé tout en permettant la transmission de communications
légitimes.
C. Nécessité d’un FIREWALL :

Internet rend vulnérables les entreprises aux pirates qui veulent accéder aux informations
financières et personnelles.

Certains pirates peuvent traquer votre connexion pour envoyer des virus et des vers
malveillants, ce qui peut ternir la réputation de l’entreprise.
D'autres intrus ont le pouvoir de détruire votre système d'exploitation par caprice.
Figure 2:Architecture générique d’un réseau protégé par un FIREWALL
Un pare-feu fonctionne comme une barrière, ou un bouclier, entre le réseau informatique et

internet.
Lorsque qu’on est connecté à Internet, nous envoyons et recevons constamment des
informations.
Tous les messages entrant ou sortant de l'intranet passent par le pare-feu (Le FIREWALL), qui
examine chaque message et bloque ceux qui ne répondent pas aux critères de sécurité spécifiés.
Les pare-feu fournissent la sécurité sur un certain nombre de menaces en ligne telles que la
connexion à distance, le détournement de session, les attaques DOS et DDOS, les virus, le vol
de cookie et beaucoup d'autres.
Par exemple, en 2015, des piratages se sont produits dans chaque état aux États-Unis, et la
répartition des cibles touchées par type d'entité est la suivante :
 Les entreprises étaient la cible de 40% des infractions à la sécurité (312 infractions).

 Les entités médicales et de santé représentaient 35,4% des cibles de violation de
données (276 infractions).
 Les instances gouvernementales ou militaires représentaient 8,1% des piratages (63
infractions).
 Les établissements d'enseignement ont représenté 7,4% des violations de données (58
infractions).
Sources :ITRC Data Beach Reports.
D. Caractéristiques des FIREWALL :
1. Principe de Fonctionnement d’un FIREWALL :
Le principe de fonctionnement d’un FIREWALL s’appuie principalement sur quatre piliers :

Tout le trafic de l'intérieur vers l'extérieur (ou de l’extérieur vers l’intérieur) doit passer
par le pare-feu (bloquant physiquement tout accès au réseau local, sauf via le pare-feu)
Seul le trafic autorisé (défini par la police de sécurité locale) sera autorisé à passer
Le pare-feu lui-même est immunisé contre la pénétration (utilisation d'un système de
confiance avec un système d'exploitation sécurisé)
Le pare-feu est inséré entre le réseau local et Internet
Remarques :
Un premier exemple de critères distinctifs des Firewall est la différence sur le niveau de
sécurité que le mécanisme du pare-feu suppose.
 Par exemple, les mécanismes qui fonctionnent sur les données reçues sans
vérifier leur authenticité ou leur intégrité font des hypothèses de confiance plus
fortes que les mécanismes qui utilisent une cryptographie forte pour vérifier
l'authenticité du contrôle des paquets.
 Les hypothèses de confiance qui sont présentes, mais qui ne sont pas justifiées,
peuvent résulter dans des systèmes de pare-feu moins sécurisés.
Deuxièmement, chaque mécanisme de FIREWALL fonctionne sur une seule couche ou
sur une gamme de couches d'abstraction du modèle OSI.

 Plus la couche de fonctionnement est proche de la couche Application, plus les
actions du pare-feu sont spécifiques, ce qui permet la mise en œuvre de
décisions de contrôle d'accès et d'authentification de haut niveau.
2. Les services caractéristiques d’un FIREWALL
À l'origine, les pare-feu se concentraient principalement sur le Contrôle de service, mais ils ont
depuis évolué pour fournir les quatre services suivants :
Contrôle du service :
Détermine les types de services Internet qui peuvent être accessibles, entrant ou sortant.
Le pare-feu peut filtrer le trafic sur la base de l’adresse IP, du protocole ou du numéro de port.
Le service peut aussi fournir un logiciel proxy qui reçoit et interprète chaque demande de
service avant de la transmettre.
Contrôle de direction :
Détermine la direction dans laquelle des demandes de services particuliers peuvent être initiées
et autorisées à circuler à travers le pare-feu
Contrôle utilisateur :
Contrôle l'accès à un service selon l'utilisateur qui tente d'y accéder. Cette fonctionnalité est
généralement appliquée aux utilisateurs dans le périmètre du pare-feu (utilisateurs locaux).
Il peut également être appliqué au trafic entrant auprès d'utilisateurs externes.
Ce dernier service nécessite une certaine forme de technologie d'authentification sécurisée.
Contrôle du comportement :
Contrôle comment certains services sont utilisés et détecte les comportements suspicieux de
certains programmes qui tente de nuire au réseau.
Par exemple, le pare-feu peut filtrer un courrier électronique pour l’éliminer comme spam, ou

bien il peut permettre l'accès externe à une partie limitée des informations sur un serveur Web
local.
 Qu’est-ce qu’un FIREWALL peut faire ?
Effets positifs :
Authentification d'utilisateur :
Les firewalls peuvent être configurés pour exiger l'authentification de l'utilisateur.

Cela permet aux administrateurs réseau de contrôler, suivre l'activité spécifique de
l'utilisateur.
Audit et enregistrement :
En configurant un pare-feu pour la journalisation et l'audit, les informations peuvent être

conservées et analysées ultérieurement.
Anti-Spoofing :
Détection lorsque la source du trafic réseau est "falsifiée", c'est-à-dire lorsqu'un individu
essayant d'accéder à un service bloqué modifie l'adresse source dans le message afin que le
trafic soit autorisé.
Traduction d'adresses réseau (NAT) :
Modification des adresses réseau des périphériques du réseau local pour cacher leurs adresses
authentiques aux périphériques des réseaux externes. Il existe deux manières de NAT :
 One-to-One : où chaque adresse vraie est traduite dans une adresse traduite
unique.
 Many-to-One : où toutes les adresses vraies sont traduites en une seule
adresse, généralement celle du pare-feu.

Effets négatifs :
Bien que les solutions de pare-feu fournissent de nombreux avantages, des effets négatifs
peuvent également être rencontrés.
Goulots d'étranglement du trafic :
En obligeant tout le trafic réseau à traverser le pare-feu, il est plus probable que le réseau soit
congestionné.
Point de défaillance unique :
Dans la plupart des configurations où les pare-feux sont le seul lien entre les réseaux, s'ils ne
sont pas configurés correctement ou ne sont pas disponibles, aucun trafic ne sera autorisé
Augmentation des responsabilités de gestion :
Un pare-feu ajoute souvent des responsabilités à la gestion du réseau et rend le dépannage du

réseau plus complexe.
 Qu’est-ce qu’un FIREWALL ne peut pas faire ?
 Les pare-feu empêchent-ils les virus et les chevaux de Troie ? NON!

95% de tous les virus et chevaux de Troie sont reçus par courrier électronique, par
partage de fichiers ou par téléchargement direct d'un programme malveillant.
 Il y a trop de manières différentes de coder des fichiers pour les transférer.
En d’autres termes, un pare-feu ne pourra pas remplacer l’attention et la conscience
des utilisateurs qui doivent respecter un certain nombre de règles pour éviter les
problèmes… La première étant bien évidemment de ne jamais ouvrir un fichier attaché
à un mail sans être sûr de sa provenance.
Les pare-feu ne peuvent pas empêcher cela.
 Le pare-feu peut ne pas fournir une protection totale contre les menaces internes,
comme un employé mécontent qui coopère involontairement avec une personne
externe.

 Un ordinateur portable, un PDA ou un périphérique de stockage portable peut être
utilisé et être infecté à l'extérieur du réseau de l'entreprise, puis attaché et utilisé en
interne
E. Les Catégories de FIREWALL :
1. Les pare-feux bridge.
Figure 3:Exemple d’un pare-feu bridge

,
Ces derniers sont relativement répandus.
Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur
appellation de pare-feu. Leurs interfaces ne possèdent pas d'adresse IP, et ne font que
transférer les paquets d'une interface a une autre en leur appliquant les règles prédéfinies.
Cette absence est particulièrement utile, car cela signifie que le pare-feu est indétectable pour
un hacker lambda. En effet, quand une requête ARP est émise sur le câble réseau, le pare-feu
ne répondra jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait
que « transmettre » les paquets, il sera totalement invisible sur le réseau. Cela rend impossible
toute attaque dirigée directement contre le pare-feu, étant donné qu'aucun paquet ne sera traité
par ce dernier comme étant sa propre destination. Donc, la seule façon de le contourner est de
passer outre ses règles de drop. Toute attaque devra donc « faire » avec ses règles, et essayer
de les contourner.

Dans la plupart des cas, ces derniers ont une interface de configuration séparée. Un câble
vient se brancher sur une troisième interface, série ou même Ethernet, et qui ne doit être
utilisée que ponctuellement et dans un environnement sécurisé de préférence.
Ces pare-feux se trouvent typiquement sur les Switch.
Avantages :
 Impossible de l'éviter (les paquets passeront par ses interfaces)

 Peu coûteux
Inconvénients :
 Possibilité de le contourner (il suffit de passer outre ses règles)

 Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus
souvent en Stateless).
 Configuration souvent contraignante
2. Les pare-feux matériels :
Figure 4:Exemple de Pare-feu matériel
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs
comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire
», et ont une intégration parfaite avec le matériel.

Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction
avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même
équipement réseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi
peu vulnérables aux attaques, car présent dans la « boite noire » qu'est le routeur. De plus, étant
souvent très liés au matériel, l'accès à leur code est assez difficile, et le constructeur a eu toute
latitude pour produire des systèmes de codes « signés » afin d'authentifier le logiciel (système
RSA ou assimilés).
Ce système n'est implanté que dans les pare-feux haut de gamme, car cela évite un
remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce
dernier, rendant ainsi le pare-feu très sûr. Son administration est souvent plus aisée que les pare-
feu bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente.
Leur niveau de sécurité est de plus très bon, sauf découverte de faille éventuelle comme tout
pare-feu. Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur du
matériel pour cette mise à jour, ce qui peut être, dans certains cas, assez contraignant. Enfin,
seules les spécificités prévues par le constructeur du matériel sont implémentées.
Cette dépendance induit que si une possibilité nous intéresse sur un pare-feu d'une autre marque,
son utilisation est impossible. Il faut donc bien déterminer à l'avance ses besoin et choisir le
constructeur du routeur avec soin.
Avantages :
 Intégré au matériel réseau.

 Administration relativement simple.
 Bon niveau de sécurité.
Inconvénients :
 Dépendant du constructeur pour les mises à jour.

 Souvent peu flexibles.

3. Les pare-feux logiciels :
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en
plusieurs catégories :
a) Les pare-feux personnels :
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier,
et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent être contraignants et quelque
fois très peu sécurisés. En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers
l'exhaustivité, afin de rester accessible à l'utilisateur final.
Avantages.
 Sécurité en bout de chaîne (le poste client)

 Personnalisable assez facilement
Inconvénients.
 Facilement contournable
 Difficiles à départager de par leur nombre énorme.
b) Les pare-feux non personnels :
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et
un contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les
pare-feux matériels des routeurs, à ceci près qu'ils sont configurables à la main. Le plus courant
est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalité des pare-feux de routeurs est potentiellement réalisable sur une telle plateforme.
Avantages.

 Personnalisables
 Niveau de sécurité très bon
Inconvénients.
Nécessite une administration système supplémentaire Ces pare-feux logiciels ont

néanmoins une grande faille : ils n'utilisent pas la couche bas réseau. Il suffit donc de passer
outre le noyau en ce qui concerne la récupération de ces paquets, en utilisant une librairie
spéciale, pour récupérer les paquets qui auraient été normalement « droppés » par le pare-feu.
Néanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des
modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise de contrôle
physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de la part du pare-feu.
4. Les différents types de filtrages utilises par les

FIREWALLS :
a) Le filtrage simple de paquet (Stateless

FIREWALL) :
Principe :
C'est la méthode de filtrage la plus simple, elle opère au niveau de la couche réseau et
transport du modèle OSI. La plupart des routeurs d'aujourd'hui permettent d'effectuer du
filtrage simple de paquet. Cela consiste à accorder ou refuser le passage de paquet d'un réseau
à un autre en se basant sur :
 L'adresse IP Source/Destination.
 Le numéro de port Source/Destination.
 Et bien sur le protocole de niveaux 3 ou 4.
Cela nécessite de configurer le pare-feu ou le routeur par des règles de filtrages, généralement
appelées des ACL (Access Control Lists).

Les Limites :
Le premier problème vient du fait que l'administrateur réseau est rapidement contraint à
autoriser un trop grand nombre d'accès, pour que le pare-feu offre une réelle protection. Par
exemple, pour autoriser les connexions à Internet à partir du réseau privé, l'administrateur devra
accepter toutes les connexions Tcp provenant de l'Internet avec un port supérieur à 1024. Ce
qui laisse beaucoup de choix à un éventuel pirate.
Il est à noter que de définir des ACL sur des routeurs haut de gamme - c'est à dire, supportant
un débit important - n'est pas sans répercussion sur le débit lui-même. Enfin, ce type de filtrage
ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet,
ou encore certaines attaques de type DoS. Ceci est vrai sauf dans le cadre des routeurs
fonctionnant en mode distribué. Ceci permettant de gérer les Acl directement sur les interfaces
sans remonter à la carte de traitement central. Les performances impactées par les Acl sont alors
quasi nulles.
b) Le filtrage de paquet avec état (Stateful

FIREWALL).
Le Principe :
L'amélioration par rapport au filtrage simple, est la conservation de la trace des sessions
et des connexions dans des tables d'états internes au pare-feu. Le pare-feu prend alors ses
décisions en fonction des états de connexions, et peut réagir dans le cas de situations
protocolaires anormales. Ce filtrage permet aussi de se protéger face à certains types d'attaques
DoS.
Dans l'exemple précédent sur les connexions Internet, on va autoriser l'établissement

des connexions à la demande, ce qui signifie que l'on aura plus besoin de garder tous les ports
supérieurs à 1024 ouverts. Pour les protocoles UDP et Icmp, il n'y a pas de mode connecté. La
solution consiste à autoriser pendant un certain délai les réponses légitimes aux paquets
envoyés. Les paquets ICMP sont normalement bloqués par le pare-feu, qui doit en garder les
traces. Cependant, il n'est pas nécessaire de bloquer les paquets ICMP de type 3 (destination
inaccessible) et 4 (ralentissement de la source) qui ne sont pas utilisables par un attaquant. On

peut donc choisir de les laisser passer, suite à l'échec d'une connexion TCP ou après l'envoi d'un
paquet UDP.
Pour le protocole Ftp (et les protocoles fonctionnant de la même façon), c'est plus délicat
puisqu'il va falloir gérer l'état de deux connexions. En effet, le protocole Ftp, gère un canal de
contrôle établi par le client, et un canal de données établi par le serveur. Le pare-feu devra donc
laisser passer le flux de données établi par le serveur. Ce qui implique que le pare-feu connaisse
le protocole Ftp, et tous les protocoles fonctionnant sur le même principe. Cette technique est
connue sous le nom de filtrage dynamique (Stateful Inspection) et a été inventée par
Checkpoint. Mais cette technique est maintenant gérée par d'autres fabricants.
Les Limites :
Tout d'abord, il convient de s'assurer que les deux techniques sont bien implémentées par les
pare-feux, car certains constructeurs ne l'implémentent pas toujours correctement. Ensuite une
fois que l'accès à un service a été autorisé, il n'y a aucun contrôle effectué sur les requêtes et
réponses des clients et serveurs. Un serveur Http pourra donc être attaqué impunément (Comme
quoi il leur en arrive des choses aux serveurs WEB !). Enfin les protocoles maisons utilisant
plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique n'aura pas
connaissance du protocole.
c) Le filtrage applicatif :
Le Principe.
Le filtrage applicatif est comme son nom l'indique réalisé au niveau de la couche
Application. Pour cela, il faut bien sûr pouvoir extraire les données du protocole de niveau 7
pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple une requête
de type Http sera filtrée par un processus proxy Http. Le pare-feu rejettera toutes les requêtes
qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare-feu proxy
connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.

Les Limites.
Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est
extrêmement difficile de pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de
protocoles de niveau 7. En outre le fait de devoir connaître les règles protocolaires de chaque
protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou des protocoles
maisons.
Mais il est indéniable que le filtrage applicatif apporte plus de sécurité que le filtrage de paquet
avec état, mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 %
proxy pour les réseaux à gros trafic au jour d'aujourd'hui. Néanmoins d'ici quelques années, le
problème technologique sera sans doute résolu.

Chapitre 3 : Etude de quelques Firewalls :
A. ClearOS :
ClearOS (anciennement appelé ClarkConnect) est une distribution Linux, basée sur CentOS et
Red Hat Enterprise Linux, conçu pour une utilisation dans les petites et moyennes entreprises
comme une passerelle réseau et le serveur de réseau avec une interface d'administration basée
sur le Web.
Il est conçu pour être une alternative à Windows Small Business Server. ClearOS réussit
ClarkConnect.
Le logiciel est construit par ClearFoundation, et les services de soutien peuvent être achetés
auprès de ClearCenter. ClearOS 5.1 supprime les limitations antérieures au courrier
électronique, les fonctions DMZ, et Multi WAN.
Caractéristiques :
La détection d'intrusion et de prévention (SNORT) ;
 Réseaux privés virtuels (IPSEC, PPTP, OpenVPN) ;
 Proxy Web, avec le filtrage de contenu et antivirus (Squid, DansGuardian);
 Services de courrier électronique (Webmail, Postfix, SMTP, POP3 / s, IMAP/ s) ;

 Base de données et serveur Web (facile à déployer pile LAMP) ;
 Services de fichiers et d'impression (Samba et CUPS) ;
 Pare-feu Stateful (iptables), la mise en réseau et de la sécurité ;
Les Limites :

 Claros n'offre pas beaucoup de fonctionnalité dans la version gratuite
 Pas de mises é jour automatiques pour IPS / URL filter.
B. Untangle :
 Untangle propose deux solutions :
 La première solution « Next Generation (N G) Firewall » est conçue afin de répondre

aux besoins des petites et moyennes entreprises.
 Cette solution intègre à la fois :
 Un pare -feu ;
 Un routeur ;
 Un système de prévention d’intrusion ;
 Un anti-virus avancé ;
 Un filtrage des connexions http/ https suspectes ;

 Un bloqueur de publicité (mail et web) ;
 Et bien d’autres possibilités.
La seconde solution proposée est « Untangle Internet Content (IC) Control »

Cette solution répond aux besoins des grandes organisations, consommatrices de grandes
quantités de bande passante.
Lorsque la quantité de données échangées devient trop importante pour être contrôlées par les
Solutions « courantes », il faut alors se tourner vers des solutions parfaitement adaptées à cette
situation et c'est précisément ce qui permet « Untanglc IC Control »
Les Limites :

 Consomme la RAM ;
 Lent dans le démarrage et dans l’arrêt ;
 La version gratuite est très limitée.
C. Zeroshell:
Zeroshell est une distribution Linux créée dans le but d'être très complète
Elle est conçue pour fournir des services réseaux sécurisés dans un réseau local.
Elle a été développée par Fulvio Ricciardi pour être totalement administrable via une interface
web.
Fournie sous forme de Live CD, elle s'initialise en insérant le CD dans la machine cible et en
la redémarrant.
La connexion à l’interface d’administration se fait via un navigateur web pour ensuite

Configurer les services réseaux.
Fonctionnalités :
 Routage statique ;
 NAT ;
 Protocole de routage RIPV2 (Routing information Protocol) pour configuration

dynamique des tables de routage ;
 Pare-feu, pour filtrage des paquets avec fonction SPI (Stateful Packet Inspection) pour
filtrer en fonction de l’état de la connexion ;

 VPN LAN-to-LAN, pour interconnecter deux réseaux locaux via Internet en
encapsulant les
 Trames Ethernet ;
 Authentification Radius, pour autoriser l’accès au réseau via des points d’accès Wi-Fi ;
 Serveur DNS multi-zones, pour définir sa propre zone DNS et les enregistrements
associés ;
 Client DynDNS si on a besoin d’un nom DNS pour atteindre le routeur ;
 Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le
demandent ;
 Zeroshell fonctionne aussi sur une machine virtuelle, par exemple avec les logiciels
VMware.
Les Limites :
 La GUI (Graphical User Interface) n'est pas facile à utiliser ;
 Manque de documentation ;
 Difficile dans l'installation dans HDD par rapport aux autres pare-feux.
D. PFSense :
Pfsense est un routeur/ pare-feu open-source basé sur FreeBSD.

Il peut être installé sur un simple ordinateur personnel comme sur un serveur.
Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité.

Pfsense a des Nouveautés :
 Pfsense 2.2 est basé sur FreeBSD 10.1 ce qui apporte non seulement de nombreux
correctifs de sécurité, mais aussi une meilleure prise en charge du matériel et de la
virtualisation ;
 L'interface d'administration fonctionne désormais sous PI-IP-FPM, ce qui apporte un
gain de réactivité ;
 Ajout de nouveaux fournisseurs de DNS Dynamique (City Network, OVH DynHOST,

GratisDNS, Euro DNS et CloudFlare) ;
Caractéristiques :
Pfsense ne fait pas seulement office de firewall, elle offre toute une panoplie de services réseaux
intéressants.
 Interface web ;
 Gestion des Vlan ;
 Routage IPv4 et IPv6 ;
 NAT ;
 Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP. . .) ;
 Limitation des connexions pour un pair ;
 Analyse du trafic avec génération de graphiques.

 Log sur serveur syslog externe ;
 Répartition de charge et Basculement ;

 Agrégation de ports, IP virtuelles ;
 Proxy transparent ;
 VPN (client on serveur) IPsec, PPTP, OpenVPN ;
 DNS Dynamique ;
 Portail captif ;
 Contrôle d'accès par adresses MAC ou authentification RADIUS ;

 Serveur ou relais DHCP / DNS ;
 Ajout de fonctionnalités via des paquets directement installables dans l’interface ;
 Multi-WAN.
Comme sur les distributions Linux, Pfsense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP.
Les Limites :
 Plus difficile que Untangle ;
 Parfois il y a des problèmes après les mises à jour ;

Chapitre 4 : Installation et configuration de la solution
retenue : PFSense
A. Pourquoi PFSense :
PFSense est un routeur/pare-feu Open Source basé sur le système d'exploitation FreeBSD.
Aucune connaissance de FreeBSD n’est nécessaire pour déployer et utiliser Pfsense.
Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs
professionnels propriétaires et payant (ce qui a principalement motive notre choix).
Pfsense convient pour la sécurisation d'un réseau domestique ou de petite entreprise.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre
ensuite à distance depuis l'interface web et gère nativement les VLAN.
B. Installation de PFSense :
1. Prérequis :
Il faut avoir une image ISO de Pfsense version 2.3.4-RELEASE

, les images sont en libre téléchargement depuis https://www.Pfsense.org/download, de même
cette section de téléchargement offre des images VMware prêtes.
Laboratoire local :
Nous réaliserons l’installation sur une VM depuis Virtualbox, la procédure d’installation de

Pfsense est la même si nous sommes sur une machine (serveur) physique.
En termes de configuration requise, nous faisons tourner Pfsense sur une VM disposant d ’un
Processeur, 768 Mo de RAM, 10 Go de disque dure et 4 cartes réseau.
Aussi nous mettrons 2 machines Virtuelles (Ubuntu 16.04 LinuxMint_Sarah).

2. Installation de PFSense:
Figure 5:Installation
Au démarrage de la machine virtuelle, l’écran suivant s’affiche :
Il s’agit d’un prompt de boot automatique, le système s’apprête à être télécharger.

Figure 6:Installation suite
On choisit ensuite l’installation standard, si on est expert on peut choisir la deuxième option.

Figure 7:Instalaltion suite
On choisit la première option pour une installation facile et rapide.
L’installation se poursuit comme illustres par les captures suivantes :

On clique sur OK pour poursuivre.

Figure 9:Installation suite

On appuie ensuite sur Reboot pour redémarrer la machine virtuelle.

Configuration des Interfaces :
On choisit les interfaces à configurer.
En premier lieu, on configure l’interface du réseau WAN.
Figure 11:Installation et configuration de pfSense suite

Figure 12:Installation et configuration suite
Ensuite, on choisit d’activer le service DHCP pour permettre à PFSense d’obtenir

automatiquement une adresse IP une fois connecter sur Internet.


Ensuite, on suit les captures suivantes pour la suite de l’installation.

Ensuite on attend que les configurations soient enregistrées.

En deuxièmes lieu, on configure l’interface de PFSense liée au réseau local.

On attribue à l’interface locale de PFSense une adresse IP appartenant au réseau local ainsi
qu’un masque.
Ensuite, on active le service DHCP pour permettre à PFSense d’attribuer automatiquement aux
terminaux du réseau local une adresse IP.
On precise la plage des adresses IP que le serveur DHCP de PFSense doit survoler pour assigner
aux terminaux du réseau local une adresse IP.

On suit les captures suivantes pour finir la configuration du réseau local.

Maintenant, on peut accéder à l’interface web de PFSense avec l’adresse IP 10.0.0.1 suivant les
identifiants par défaut suivants : Identifiant : admin—mot de passe : pfsense (qu’on va changer
dans la suite)
En voici l’illustration :

C. Phase de test :
On démarre d’abord les machines virtuelles après celui de PFSense :

Figure 17:Lancement des machines virtuelles
1. Interdiction d’accès à certains site web :
Dans ce qui suit, nous allons configurer PFSense de sorte que certaines pages web soient
inaccessibles aux machines du réseau local.
Dans notre exemple, nous allons bloquer les sites à caractères pornographiques.
Premièrement, on procède à l’installation de deux paquets supplémentaires :

Squid et SquidGuard.
Pour cela, à partir de l’interface web de PFSense, on se rend sur System>Package
Manager>Available Packages puis on installe les deux paquets cites précédemment.
En voici les schémas illustratifs :

Figure 18:Telechargement et Configuration des paquets Squid et SquidGuard

Sans activation de ces paquets, on montre que les sites internet pornographiques sont accessible
même si PFSense est démarré.
Figure 19:test d’accessibilité de site Internet
Mais comment recenser l’ensemble des sites pornographiques et les bloquer ?

On pourrait songer à écrire une règle dans le firewall mais cependant il nous faudrait recenser
l’ensemble des adresses IP faisant référence aux sites a caractères obscènes.
Une méthode simple est la suivante :
Des gens ont travaillé sur des listes appelés Blacklist contenant un ensemble de sites internet.
Il suffit d’intégrer cette liste dans les règles du FIREWALL.
Les schémas illustratifs sont les suivants :
On télécharge la liste comme suit :

Ensuite, à partir de l’interface web, on se rend sur services>Proxy Filter SquidGuard puis on
suit les étapes illustres par les captures d’écran suivants :

Ensuite, on procède comme suit :

Ensuite, on ajoute une cible en cliquant sur + :
Par défaut, toutes les pages web sont bloqués par cette liste.
On active d’abord tous les services puis on sélectionne celle qu’on veut autoriser.

On change le deny en allow :
Ensuite, on repère la ligne suivante puis on change son accès en deny :

On n’oublie de cliquer sur le bouton SAVE pour enregistrer les modifications.
Ensuite il faudra se rendre, à partir de l’interface web de PFSense, sur Service >Proxy Squid et
suivre les étapes suivantes :

Après, cette étape on remarque le service SquidGuard est démarré :
Figure 20:Configuration du blocage de sites web

Apres tentative de connexion, on constate que le site pornographique précédemment accessible
depuis la machine virtuelle est maintenant bloque.
Nous avons effectué le test avec deux sites pornographiques aléatoires et en voici le résultat :
Figure 21:test du blocage de site web

2. Réduction du Débit par utilisateur :
Que faire si on constate qu’un utilisateur se connecte trop souvent sur Internet et consomme de
ce fait une bonne partie de la bande passante.
La solution la plus simple est de réduire sa bande passante ce qui aura pour conséquence de
réduire son débit.
Les configurations se font comme suit :
D’abord, on mesure le débit actuel de notre machine virtuelle 10.0.0.23 (c’est la machine dont
on veut limiter le débit).
Pour cela on va sur Status>Traffic Graph :
On constate que le débit descendant est de 1.69Mbits et que le débit montant est de 41.04kbit/s
A partir de l’interface web de PFSense, on va sur FIREWALL>Traffic Shaper et on fait comme
suit :
Nous fixons le débit descendant a 800kbit/s

Nous fixons le débit montant a 100kbit/s.

Ensuite, on active la règle en allant sur FIREWALL>Rules:

Figure 22:Configuration de pfSense pour la réduction de débit d’un utilisateur:
Apres test, on constate que les débits ont changé.
Mais comme nous avons travaillé avec un réseau Wi-Fi qui entraine des débits très variant, les
débits fixes dans les règles du firewall ne sont pas atteints.
Figure 23: Phase de test de la réduction du débit

Conclusion:
La période de stage effectuée au sein de la DSI (Direction des Services

Informatiques) m’a permis de mettre en pratique les connaissances acquises tout
au long de ces deux années.
L’étude et la mise en place d’un FIREWALL m’ont permis de saisir
l’importance de la sécurité dans le domaine des télécommunications ainsi que
les risques encourues en l’absence d’un FIR EWALL.
La configuration de notre FIREWALL en mode virtuel m’a permis de me
familiariser davantage avec la technologie de la virtualisation ainsi que la
découverte de nouvelles aptitudes dans ce domaine.
Après cette période que j’ai passé à l’intérieur de cet établissement, j’ai conclu
que le stage est une période de transaction de l’esprit, une transaction qui se fait
de la théorie vers la pratique, de l’abstrait vers le concret, d’un cadre restreint vers
un espace libre et riche, mais qui est régit par des contraintes, qu’il faut respecter
en faveur du bon fonctionnement du travail.

Bibliographie :
RESEAUX ET TELECOMS, AUTEUR : CLAUDE SERVIN, 4EME

EDITION
LES RESEAUX, AUTEUR : CLAUDE DELANNOY, EDITION 2014
ARCHITECTURE DES RESEAUX, AUTEUR : DANIEL DROMARD
NETWORK PROTOCOLS HANDBOOK, AUTEUR: JAVVIN TECH.
RESEAU ET SYSTEME,AUTEUR:DI GALLO FREDERIC

WEBOGRAPHIE:
https://www.pfsense.org/getting-started/: consulté le 15 JUIN 2017
https://doc.pfsense.org/index.php/Installing_pfSense: consulté le 20 JUIN 2017
https://www.tecmint.com/installation-and-configuration-of-pfsense-firewall-router/\:
consulté le 28 JUIN 2017
https://techknight.eu/2015/03/.../part-ii-pfsense-system-setup-and-basic-
configuration/: consulté le 05 JUILLET 2017
https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial:
consulté le 11 JUILLET 2017
https://www.sparklabs.com/.../setting-up-an-openvpn-server-with-pfsense-and-
viscosit..:
Consulté le 15 JUILLET
https://www.iceflatline.com/.../install-and-configure-pfsense-in-your-home-network/:
Consulté le 17 JUILLET 2017
https://serverfault.com/.../pfsense-shell-apply-config-modification-without-reboot:
consulté le 23 JUILLET
https://www.netgate.com/docs/aws-vpn-appliance/pfsense-configuration-details.html:
consulté le 23 JUILLET


Memoire A I Dara

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Memoire A I Dara

Cargado por

Copyright:

Formatos disponibles

Table des matières

Remerciements : ....................................................................................... Error! Bookmark not defined.

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Liste des figures :

Figure 1: Organigramme de la Direction d’Informatique et des Systèmes d’Information ........ 9

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Je dédie ce travail comme un témoignage d’affection, de respect et d’admiration :

Qu’ils puissent trouver dans ce modeste mémoire l’expression de mon

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

A. Présentation de la Direction de l’Informatique et des

Née de la fusion entre la Direction des Systèmes d’Information (DSI) et le Centre de

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Elle assure au sein de l'UCAD :

 La gestion des infrastructures systèmes et réseaux :

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Le Département des Ressources Technologiques et Pédagogiques (DRTP) : Entre autres rôles

 La Division de la Formation et de l’Enseignement à Distance (FEAD) : Elle est

 La Division de l’Intégration TIC dans l’Enseignement (TICE) : Elle est chargée

 La Division du Support Scientifique pour la Recherche (2SR) : Elle est chargée

La Département Informatique et de Gestion – DIG : Elle comprend :

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

 La Division Système Réseau et Sécurité - DSRS : le pôle Infrastructure Système

 La Division de l'Information et de la Communication - DIC : Elle a sous sa

 La Division Exploitation et Logistique - DEL : Elle assure le respect des

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

A. Historique : Le Ver de Morris :

B. Définition d’un FIREWALL :

Voici comment Bob Shirey le définit dans RFC 2828 :

C. Nécessité d’un FIREWALL :

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Figure 2:Architecture générique d’un réseau protégé par un FIREWALL

Un pare-feu fonctionne comme une barrière, ou un bouclier, entre le réseau informatique et

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

D. Caractéristiques des FIREWALL :

1. Principe de Fonctionnement d’un FIREWALL :

Le principe de fonctionnement d’un FIREWALL s’appuie principalement sur quatre piliers :

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

2. Les services caractéristiques d’un FIREWALL

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

 Qu’est-ce qu’un FIREWALL peut faire ?

Les firewalls peuvent être configurés pour exiger l'authentification de l'utilisateur.

En configurant un pare-feu pour la journalisation et l'audit, les informations peuvent être

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Goulots d'étranglement du trafic :

Point de défaillance unique :

Augmentation des responsabilités de gestion :

Un pare-feu ajoute souvent des responsabilités à la gestion du réseau et rend le dépannage du

 Qu’est-ce qu’un FIREWALL ne peut pas faire ?

 Les pare-feu empêchent-ils les virus et les chevaux de Troie ? NON!

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

E. Les Catégories de FIREWALL :

1. Les pare-feux bridge.

Figure 3:Exemple d’un pare-feu bridge

Ces derniers sont relativement répandus.

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

 Impossible de l'éviter (les paquets passeront par ses interfaces)

 Possibilité de le contourner (il suffit de passer outre ses règles)

 Configuration souvent contraignante

2. Les pare-feux matériels :

Figure 4:Exemple de Pare-feu matériel

ETUDE ET MISE EN PLACE D’UN FIREWALL MOUHAMETH FADAL M. AIDARA

Le Département des Ressources Technologiques et Pédagogiques (DRTP) : Entre autres rôles

 La Division de la Formation et de l’Enseignement à Distance (FEAD) : Elle est

 La Division de l’Intégration TIC dans l’Enseignement (TICE) : Elle est chargée

 La Division du Support Scientifique pour la Recherche (2SR) : Elle est chargée

La Département Informatique et de Gestion – DIG : Elle comprend :

 La Division Système Réseau et Sécurité - DSRS : le pôle Infrastructure Système

 La Division de l'Information et de la Communication - DIC : Elle a sous sa

 La Division Exploitation et Logistique - DEL : Elle assure le respect des