Rapport de Stage - 5
Rapport de Stage - 5
Rapport de Stage - 5
Thème :
Dédicace
A ma mère,
Qui a ouvré pour ma réussite à travers son amour, son soutien, par tous les sacrifices
consentis, ses précieux conseils et sa présence dans ma vie, Maman reçois à travers ce
modeste travail, l’expression de mes sentiments et de mon éternelle gratitude ;
A mon père,
Qui a toujours mis un point d’honneur sur mon éducation, peut être fier et trouver ici le
résultat de longues années de sacrifices et de privations pour m’aider à avancer dans la vie.
Merci pour l’éducation, les valeurs nobles et le soutien permanent venu de toi ;
Qui n’ont cessé d’être pour moi des exemples de persévérance, de courage et de générosité.
Merci pour votre soutien permanent inconditionnel,
Merci à tous ceux qui, de près ou de loin, n’ont ménagé aucun effort pour cet ouvrage et
dont les noms ne sont pas cités. Qu’ils ne voient en ceci que la contrainte de limitation
imposée à toute présentation.
Remerciement
Je tiens tous d’abord à m’incliner face contre terre devant l’éternel, le DIEU de mes
ancêtres et aussi mon Dieu pour lui dire merci du chemin qu’il mon fait traverser tout au
long de ma vie et de m’avoir guidé comme toujours jusqu’à l’achèvement de ce présent
travail.
Tableau 4: Glossaire........................................................................................................................B
Sigles et abréviations
Abréviation Signification
ABIDS Application Based Intrusion Detection System
ACL Access Control List
AES Advanced Encryption Standard
API Application Programming Interface
ARCEP Autorité de regulation des Communication
Electronique et des postes
ARP Address Resolution Protocol
AWS Amazon Web Services
BLR Boucle Locale Radio
CCNA Cisco Certified Network Associate
CEH Certification Ethical Hacking
CPU Central Processin Unit
Ddos Distributed Denial of Service
DES Data Encryption Standard
DMZ Demilitarised Zone
DNS Domaine Name Service
DoS Denial of Service
DSA Digital Signature Algorithm
FAI Fournisseur d’Accès Internet
FDDI Fibre Distribuate Data Interface
FIPS Federal Information Processing Standard
FTP File Transfert Protocol
GPRS General Packet Radio Service
GPS Global Positioning System
GSM Global System of Mobile
GTP GPRS Tunneling Protocol
HIDS Hosted-based Intrusion Detection System
HIPS Host-based Instrusion Prevention System
HTTPS Hypertext Transfert Protocol
ICMP Internet Control Message Protocol
IDEA Internationnal Data Encryption Algorithm
IDS Intruction Detection System
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
IP Internet Protocol
IPNG Internet Protocol Next Generation
IPS Intrusion Prevention Système
IPsec IP Security
IPv4 Internet Protocol Version 4
IPv6 Internet Protocol Version 6
IT Informatique et Télécommunication
KIPS Kernel Intrusion Prevention System
LAN Local Area Network
MAC Media Access Control
NGFW NextGen Firwall
NIDS Network Intrusion Detection System
NIPS Network Intrusion Prevention System
Nmap Network Mapper
NNIDS Network Node Intrusion Detection System
NP Network Processor
ONATEL Office National des Télécommunications
OSI Open System Interconnection
PDA Personal Digital Assistant
PPTP Point-to-Point Tunneling Protocol
QoS Quality of Service
RJ45 Registe Jack 45
RSA Revest Shamir Aldeman
RSH Remote Shell
SA Société Anonyme
SASE Secure Access Service Edge
SCTP Stream Control Transmission Protocol
SMTP Simple Mail Transfert Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
SSID Service Set Identified
TCP/IP Transmission Control Protocol/Internet
Protocol
TFTP Trivial File Transfer Protocol
TLS Transport Layer Security
UDP User Datagram Protocol
URL Uniform Ressource Locator
UTM Unified Threat Management
UTP Unshield Twisted Pair
VDOM Virtual Domain
VPN Virtual Private Network
WAN Wireless Area Network
WEP Wired Equivalent Privacy
Wi-Fi Wireless Fidelity
WLAN Wireless Local Area Network
WPAN Wireless Personal Area Network
WWAN Wireless Wide Area Network
SOMMAIRE
Dédicace.................................................................................................................................1
Remerciement........................................................................................................................2
Liste des tableaux...................................................................................................................3
SOMMAIRE..........................................................................................................................7
Introduction générale............................................................................................................11
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE...........................................12
Chapitre 1 : Présentation de la structure de formation et de la structure d’accueil..............13
1. INTRODUCTION PARTIELLE...................................................................................13
Présentation de Sup ’Management Burkina.........................................................................13
Historique et filières de formation.......................................................................................13
Sup’ management Burkina offre deux pôles de formation à savoir :...................................14
2. Présentation de Innovante Technologie Sécurité..........................................................15
3. Fiche d’identification et ressources..............................................................................15
3.1 Ressources.............................................................................................................16
3.2 Prestations..............................................................................................................16
3.3 Services..................................................................................................................16
4. Conclusion partielle......................................................................................................16
Chapitre 2 : Généralité et étude de la sécurité du réseau de Innovant Technologie Sécurité
..............................................................................................................................................17
1. Introduction partielle.....................................................................................................17
1.1 Définition des concepts réseaux informatiques et sécurité informatique..............17
1.2 Généralité sur les réseaux informatiques...............................................................18
1.2.1 Réseaux sans files..........................................................................................18
1.2.2 Réseaux filaires..............................................................................................19
1.2.3 Topologie réseaux..........................................................................................20
1.2.4 Protocoles réseaux..........................................................................................21
1.2.5 Faiblesses des réseaux....................................................................................22
1.3 Généralité sur la sécurité informatique..................................................................22
1.3.1 Critères de sécurité.........................................................................................23
1.3.2 Principales attaques........................................................................................24
1.3.3 Techniques de parade aux attaques................................................................30
1.3.4 Enjeux et risques de la sécurité informatique................................................35
1.3.5 Politique de sécurisation d’un réseau informatique.......................................35
1.3.6 Outils de sécurité............................................................................................35
Introduction générale
Un réseau informatique sécurisé, est un réseau informatique plus sûr et plus performant.
Pour une entreprise, cela garanti des gains en argent et permet de réduire le plus possible
les risques sur la réputation de l’entreprise. Notre objectif dans le cadre de cette étude, est
d’évaluer la pertinence du choix du pare-feu FORTIGATE dans la prise en charge effective
de la sécurité des données du réseau informatique et ce en fonction des capacités de
l’entreprise.
Ce présent rapport est divisé en quatre (04) grandes parties : dans la première et la
deuxième partie nous aborderons dans cet ordre la présentation de la structure d’accueil
pour ensuite étudier l’existant du réseau informatique après avoir bien sur compris les
différents concepts que constitue notre projet. La troisième partie quant à elle sera dédiée à
la compréhension des systèmes pare-feu, et enfin dans la quatrième partie, il sera question
de la mise en place de la solution demandée (la solution FORTIGATE)
1. INTRODUCTION PARTIELLE
Sup’ management booste ses étudiants au travail en mettant à disposition des bourses
d’excellences à tous les étudiants dont la moyenne générale annuelle est supérieure ou
égale à 16/20, leurs exonérants ainsi d’un taux de 50% du paiement des frais de scolarité
sang…) organisées par le bureau des étudiants viennent agrémenter leur cadre
d’apprentissage tout en développant en eux un esprit de collaboration, de partage, de
compassion et d’organisation.
1er CYCLE : LICENCE (L1, L2, L3) 2d CYCLE : MASTER (M1, M2)
Humaines
Humaines
1er CYCLE : LICENCE (L1, L2, L3) 2d CYCLE : MASTER (M1, M2)
Pour les étudiants en fin de cycle, l’école Sup’ Management Burkina préconise un
stage pratique de trois mois minimums en entreprise aboutissant à la réalisation d’un
rapport. En effet, l’accomplissement de ce stage permet à chaque étudiant de mettre en
pratique les connaissances théoriques acquises d’une part et d’exercer son esprit critique et
se préparer à la vie professionnelle d’autre part.
Innovante Technologie Sécurité. Sarl est une société fournissant des services dans le
domaine de l’ingénierie informatique donc le siège social est situé à Ouagadougou, lot 05
section RC parcelle 07 secteur 05, non loin de de l’échangeur de Gounghin, elle compte
environ dix (4) ans d’existence.
3.1 Ressources
Le fonctionnement de la société Innovante Technologie Sécurité Sarl repose sur (03) types
de ressources : Les ressources humaines, les ressources matérielles, les ressources
financières.
3.2 Prestations
Installation de vidéo-surveillance ;
Contrôle d’accès
Détection d’incendie
L’assistance technique
3.3 Services
La sécurité informatique ;
La formation et la certification ;
4. Conclusion partielle
Depuis sa création en 2011, Innovante Technologie Sécurité. Sarl, de par son dynamisme,
son professionnalisme et sa compétence, n’a cessé de gravir les échelons.
département est composé de spécialistes, travaillant dans ses prérogatives. Cela permet à
Innovante Technologie Sécurité d’être très productive.
Introduction partielle
L’informatique de nos jours est devenue en plus d’être un outil, un domaine incontournable
pour tous les autres secteurs préexistants. L’informatique de par son immensité et la facilité
qu’il offre en tant que domaine d’application pour les autres secteurs d’activités, se définit
à travers des termes et concept qui méritent a eu seuls d’être considéré comme des
domaines à part entière. Aux rangs de ces concepts, nous avons les réseaux informatiques
et la sécurité informatique etc.
Dans ce chapitre, nous donnerons après définition des concepts réseaux informatique et
sécurité informatique, une généralité de ces concepts dans le but de comprendre
l’environnement spécifique qui sera traité à savoir la mise en place d’un réseau
informatique sécurisé avec le pare-feu FortiGate.
informatique
Sécurité informatique : C’est l’ensemble des moyens mis en œuvre pour réduire
la vulnérabilité d’un système d’information contre les menaces accidentelles ou
intentionnelles. La sécurité informatique englobe les technologies, les processus et
les règles utilisés pour défendre tous les types de réseaux, le trafic réseau et les
ressources du réseau contre les cybers attaques, les accès prohibés et les pertes de
données.
Les réseaux informatiques obéissent à un ensemble très bien organisé. On distingue les
réseaux sans fils et les réseaux filaires. Pour interagir entre eux, les équipements
implémentent un pack de langage.
Un réseau sans fil est un réseaux informatiques numérique qui connecte différents postes
ou systèmes entre eux par ondes radio.
Un réseau sans fils (en anglais Wireless Network) est comme son nom l’indique, un réseau
dans lequel au moins deux terminaux peuvent communiquer sans le biais d’un fil ou câble.
A la base, les réseaux sans fils peuvent être vus comme un ensemble de technologies
permettant d’établir un réseau local sans l’utilisation du câblage pour les liaisons entre les
ordinateurs.
Grace aux réseaux sans fils, un utilisateur a la possibilité de rester connecter tout en se
déplaçant dans un périmètre géographique plus ou moins étendu, c’est la raison pour
laquelle on attend souvent parler de « mobilité ». Les réseaux sans fils sont basés sur une
liaison utilisant des ondes radioélectriques (radio et infrarouges) en lieu et place des câbles
habituels. Il existe plusieurs technologies se distinguant d’une part par la fréquence
d’émission utilisée ainsi que le débit et la portée des transmissions. Les principales
technologies permettant de développer des réseaux sans fils sont celles appartenant au
norme IEEE 802.11 parmi lesquelles on peut citer : Le mode Wifi, - La technologie
Bluetooth, - La technologie par infra-rouge.
Le réseau personnel sans fil (appelé également réseau individuel sans fil ou réseau
domestique sans fil et noté WPAN pour Wireless Personal Area Network) concerne les
réseaux sans fil d'une faible portée : de l'ordre de quelques dizaines mètres. Exemple
Bluetooth.
Un WLAN (Wireless Local Area Network) est un réseau local sans fil qui relie des
ordinateurs, des imprimantes, des scanners et d'autres appareils grâce à des points
d'accès, et permet généralement aussi de se connecter à Internet. Ce sont des réseaux
permettant de couvrir l’équivalent d’un réseau local d’entreprise, soit une portée
d’environ une centaine de mètres exemple du WIFI.
WWAN (Wireless Wide Area Network), également appelé le haut débit mobile, offre un
accès Internet via un réseau de téléphonie mobile. Vous bénéficiez des avantages du haut
débit régulier, comme l'ADSL (de l’anglais Asymmetric Digital Subscriber Line)
L'ADSL est une technologie d'accès à Internet qui tire parti des hautes fréquences de la
ligne téléphonique pour transmettre des données numériques à très haute vitesse.
Par définition, un réseau filaire est un réseau informatique qui permet d’interconnecter un
ensemble d’ordinateur entre eux et qui peuvent communiquer par le biais d’un câblage
physique. L’arrangement physique de ces éléments est appelé topologie. Pour ce faire on
distingue la topologie physique et la topologie logique.
La topologie physique
Elle peut être définit comme étant l'organisation physique du réseau, c'est-à-dire la
configuration spatiale du réseau. En d’autres termes la manière dont les équipements sont
connectés physiquement entre eux. On distingue généralement les topologies suivantes :
Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une
topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par
l'intermédiaire de câble, généralement coaxial appelé backbone. Le mot « bus » désigne la
ligne physique qui relie les machines du réseau.
Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel
central appelé concentrateur (en anglais hub, littéralement moyen de roue). Il s'agit d'une
boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les
câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la
communication entre les différentes jonctions.
Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une
boucle et communiquent chacun à leur tour. Les informations circulent toujours dans le
même sens. Chaque machine qui reçoit un message, le recopie immédiatement sur le
second câble.
La topologie maillée
Une topologie maillée, est une évolution de la topologie en étoile, elle correspond à
plusieurs liaisons point à point.
La topologie logique
La topologie logique, par opposition à la topologie physique, représente la façon dont les
données transitent dans les lignes de communication. Les topologies logiques les plus
courantes sont :
Ethernet
Token Ring
FDDI
FTP (File Transfer Protocol) est un protocole standard pour la transmission de fi-
chiers entre ordinateurs sur Internet par le biais de connexions TCP/IP.
UDP (User Datagram Protocol) : qui permet l’envoi des messages appelés data-
grammes en évitant le surcharge du réseau entre autres.
Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux
n’aient pas été conçus avec une prise en compte des problèmes sécuritaire dès le départ. A
cela, se rajoute les faiblesses issues de l’erreur humaine. Ainsi, on peut classifier les
faiblesses réseaux comme suit :
Faiblesses des protocoles : Les protocoles réseaux n’ont pas été conçus pour
contrecarrer les attaques de sécurité potentielles ; ainsi les protocoles réseaux ne
s’appuient pas sur une couche sécurité et offrent donc plus plusieurs vulnérabilités.
Encore connu sous le nom de « L’attaque de l’homme du milieu », c’est une attaque qui a
pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre
ne puisse douter que le canal de communication entre elles a été compromis.
Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
Le balayage de port ou « Port scanning » en anglais, est une technique qui consiste à
rechercher les ports ouverts sur un serveur de réseau. Les pirates utilisent cette technique
pour tenter de trouver des failles dans les systèmes. Un balayage de port effectué sur un
système tiers est généralement considéré comme une tentative d’intrusion, car un balayage
de port sert à préparer une intrusion.
Les attaques par rebond constituent une famille d’attaques de systèmes d’informatiques qui
consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant
à un assaillant de rester caché lors d’une intrusion.
Une attaque de type Déni de service (Denial of Service en anglais) a pour effet de réduire
la disponibilité normale d’une application. Les attaques Dos revêtent deux formes :
1) L’invasion par surcharge, qui consiste à envoyer un nombre très élevé de messages
pour faire tomber un serveur ;
Ce type d’offensives peut se dérouler à n’importe quel niveau du modèle OSI. Elles sont
relativement faciles à orchestrer, mais difficiles à contrer.
Exemples :
Solutions possibles
• Utilisation de protocoles asynchrones pour gérer les requêtes demandant des calculs
intensifs avec une reprise des erreurs adaptée.
Figure 3: DDOS
Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
4.3.2.2.1 Le Snifing
Le "sniffing" (ou "sniffage" in English) est une technique utilisée pour intercepter et
analyser le trafic réseau dans le but d'extraire des informations utiles. Cette pratique peut
être utilisée à des fins légitimes, telles que le dépannage de réseaux informatiques, mais
elle peut également être utilisée à des fins malveillantes, telles que l'espionnage ou le vol
de données.
Le sniffing consiste à capturer les paquets de données qui transitent sur un réseau, à l'aide
d'un outil appelé "sniffer". Le renifleur peut être un logiciel installé sur un ordinateur, ou
un équipement physique connecté au réseau. Les paquets concernés peuvent ensuite être
analysés pour extraire des informations telles que les adresses IP, les noms d'utilisateur, les
mots de passe, les identifiants de session, etc.
Il est important de noter que le sniffing peut être illégal dans certaines juridictions, en
particulier s'il est utilisé à des fins malveillantes. Il est donc essentiel de respecter les lois et
les règles applicables lors de l'utilisation de cette technique.
Le brouillage radio est une technique utilisée pour interférer avec les signaux radio afin de
les rendre inintelligibles ou de les empêcher de fonctionner correctement. Cette technique
est utilisée à la fois à des fins militaires et civiles.
Le brouillage radio peut être effectué de différentes manières, notamment en émettant des
signaux radio sur les mêmes fréquences qu’utilisées par les communications radio que l'on
souhaite perturber. Les signaux émis par le brouilleur peuvent être plus forts que ceux des
communications normales, ce qui peut entraîner une interruption de la communication.
4.3.2.2.4 Le wardriving
Le wardriving est une pratique qui consiste à rechercher des réseaux Wi-Fi en utilisant un
dispositif mobile équipé d'un récepteur Wi-Fi. Cette pratique est souvent effectuée à des
fins de recherche ou d'audit de sécurité des réseaux Wi-Fi.
Le wardriving peut être utilisé pour détecter les réseaux Wi-Fi ouverts et non sécurisés,
ainsi que pour identifier les points d'accès sans fil qui sont vulnérables aux attaques. Les
personnes qui pratiquent le wardriving peuvent également utiliser des outils d'analyse pour
collecter des informations sur les réseaux Wi-Fi, telles que les adresses MAC, les noms de
réseau, les adresses IP et les configurations de sécurité.
Les attaques applicatives sont des attaques qui visent les applications web, mobiles ou de
bureau, en exploitant des vulnérabilités dans leur code ou leur infrastructure. Les attaques
applicatives peuvent être créées à distance par des pirates informatiques qui cherchent à
prendre le contrôle d'une application ou à voler des données sensibles. Certaines attaques
applicatives les plus courantes comprennent :
1. L'injection SQL : une attaque qui consiste à injecter du code SQL défectueux dans
une application pour accéder à des informations sensibles transférées dans une base
de données.
2. Les attaques de cross-site scripting (XSS) : une attaque qui consiste à injecter du
code malveillant dans une page web pour détourner les informations de l'utilisateur
ou voler des cookies de session.
4. L'usurpation de session : une attaque qui consiste à voler ou à imiter une session
d'utilisateur valide pour accéder à des données confidentielles ou effectuer des
actions malveillantes.
5. Les attaques de déni de service (DDoS) : une attaque qui consiste à surcharger
une application ou un serveur avec un grand nombre de requêtes pour le rendre
inaccessible aux utilisateurs légitimes.
Pour se protéger contre ces attaques, les développeurs doivent mettre en place des
pratiques de sécurité solides telles que le chiffrement des données, la validation des entrées
utilisateur et l'utilisation de pare-feu de sécurité. Les entreprises doivent également
effectuer des tests de sécurité réguliers pour détecter les vulnérabilités dans leur code et
leur infrastructure.
4.3.2.4.1 Exploit
Un exploit est un morceau de code ou une technique qui tire parti d'une vulnérabilité ou
d'une faiblesse dans un système, un logiciel ou une application pour obtenir un accès non
autorisé, effectuer des actions ou extraire des informations auxquelles l'utilisateur ne
devrait pas pouvoir accéder.
Les exploits peuvent être utilisés à des fins malveillantes telles que le vol de données
sensibles, la prise de contrôle d'un système ou d'un réseau, l'installation de logiciels
malveillants ou l'endommagement du système cible. Cependant, ils peuvent également être
utilisés à des fins légitimes telles que tester et améliorer la sécurité d'un système ou d'une
application.
Pour prévenir les dépassements de tampon, les programmeurs doivent suivre des bonnes
programmations sécurisées, telles que la vérification des entrées de l'utilisateur, l'utilisation
des fonctions de manipulation des chaînes de caractères sûres et la gestion appropriée de la
mémoire. Les systèmes d'exploitation modernes peuvent également inclure des protections
contre les attaques de dépassement de tampon, tels que des mécanismes de randomisation
de l'espace d'adressage ou des canaries de pile (stack canaries) qui permettent de détecter
les attaques avant qu’elles ne causent des dommages importants.
4.3.2.4.3 Un ShellCode
Un Shellcode est un code binaire qui représente une séquence d'instructions de langage
machine exécutables directement par un système d'exploitation ou par un programme. Les
shellcodes sont souvent utilisés dans les attaques de sécurité informatique pour exploiter
des vulnérabilités et exécuté du code malveillant sur un système cible.
Les shellcodes sont souvent écrits en langage assembleur, qui est ensuite compilé en un
code binaire exécutable. Le code binaire peut ensuite être intégré dans la mémoire d'un
processus en cours d'exécution ou exécuté directement en exploitant une vulnérabilité de
sécurité.
4.3.3.1 Cryptographie
La cryptographie est largement utilisée dans la vie quotidienne, notamment pour sécuriser
les transactions en ligne, les échanges de courrier électronique, les communications
téléphoniques et les systèmes de paiement. Les algorithmes de cryptographie modernes
utilisent des techniques perfectionnées telles que la cryptographie à clé publique, la
cryptographie à courbe elliptique, la cryptographie quantique et la cryptographie
homomorphe pour protéger les données sensibles.
La cryptographie symétrique est une technique de cryptage dans laquelle une clé secrète
est utilisée pour à la fois chiffrer et déchiffrer les données. La clé de chiffrement et la clé
de déchiffrement sont identiques. Cette technique est également connue sous le nom de
chiffrement par clé secrète.
L'un des avantages de la cryptographie symétrique est qu'elle est rapide et efficace, car elle
utilise des algorithmes de chiffrement rapides qui peuvent chiffrer et déchiffrer des
données en temps réel. Cependant, un inconvénient majeur de la cryptographie
symétrique est la gestion de la clé secrète, car elle doit être partagée entre les parties
autorisées tout en protégée étant contre les parties non autorisées.
La cryptographie asymétrique est une méthode de cryptage où deux clés différentes sont
utilisées pour le chiffrement et le déchiffrement des données. Ces deux clés sont appelées
clé publique et clé privée. La clé publique est utilisée pour chiffrer les données, tandis que
la clé privée est utilisée pour les déchiffrer.
La cryptographie asymétrique est utilisée pour sécuriser les communications sur Internet,
notamment pour la sécurisation des transactions bancaires en ligne, des transactions
commerciales et de l'échange de courriers électroniques confidentiels. Elle est également
utilisée pour la gestion des clés dans les systèmes de sécurité.
IPsec (Internet Protocol Security) est un protocole de sécurité de couche de réseau qui
permet de sécuriser les communications entre les réseaux distants en utilisant un tunnel
VPN (Virtual Private Network). IPsec utilise deux protocoles principaux : ESP
(Encapsulating Security Payload) et AH (Authentication Header).
En plus de ces protocoles, IPsec utilise également des clés de cryptage et d'authentification
pour garantir la sécurité des données. Il existe deux modes de fonctionnement pour IPsec :
le mode transport et le mode tunnel.
Le mode transport est utilisé pour sécuriser les communications entre deux hôtes, tandis
que le mode tunnel est utilisé pour sécuriser les communications entre deux réseaux.
IPsec est largement utilisé pour sécuriser les communications sur Internet, notamment pour
les VPN. Il est également utilisé pour sécuriser les communications entre les serveurs et les
clients, ou pour sécuriser les communications entre les serveurs distants.
Un serveur proxy est un serveur situé entre une application cliente, telle qu’un
navigateur Web, et un serveur réel. Il intercepte toutes les demandes adressées au
serveur réel pour voir s’il peut répondre aux demandes lui-même. Sinon, il transmet
la demande au serveur réel.
L’avantage d’un serveur proxy est son cache peut servir tous les utilisateurs. Si un
ou plusieurs sites Internet sont fréquemment demandés, ceux-ci se trouvent
probablement dans le cache du proxy, ce qui améliore le temps de réponse de
l’utilisateur.
Un proxy peut également enregistrer ses interactions, ce qui peut être utile
Son principe consiste à modifier l’adresse IP source ou destination, dans l’en-tête d’un
datagramme IP lorsque le paquet transite dans le pare-feu (proxy) en fonction de l’adresse
source ou de destination et du port source ou destination. Lors de cette opération, le pare-
feu garde en mémoire l’information lui permettant d’appliquer la transformation inverse
sur le paquet retour. La traduction d’adresse permet de masquer le plan d’adresse interne
(non routable) a l’entreprise par une ou plusieurs adresses routables sur le réseau externe
ou sur internet. Cette technologie permet donc de cacher le schéma d’adressage réseau
présent dans une entreprise derrière un environnement protégé.
Un reverse proxy est un serveur proxy qui reçoit des requêtes d'un client et les renvoie à un
ou plusieurs serveurs web en aval. Le serveur proxy agit comme un intermédiaire entre le
client et le serveur web, masquant l'existence et l'adresse du serveur en aval.
Les proxys inverses peuvent être utilisés pour diverses tâches, telles que la mise en cache
de contenu statique, la distribution de charge entre plusieurs serveurs, la sécurisation des
serveurs web en aval en cachant leur adresse IP et la protection contre les attaques par déni
de service distribué (DDoS).
Un réseau privé virtuel (VPN) est un outil de sécurité qui permet de créer une connexion
sécurisée et cryptée entre deux ordinateurs distants, ou entre un ordinateur et un réseau
privé. Un VPN utilise un tunnel sécurisé pour transmettre les données entre les deux
moyens de la connexion, de sorte que les données soient protégées contre les regards
indiscrets et les tentatives d'interception.
Les VPN peuvent être utilisés sur différents types de réseaux, tels que les réseaux publics,
les réseaux privés ou les réseaux sans fil. Les VPN sont également couramment utilisés
pour sécuriser les connexions à Internet, en particulier lorsque l'on se connecte à un point
d'accès Wi-Fi public.
Il existe de nombreux fournisseurs de services VPN sur le marché, chacun avec ses propres
caractéristiques et fonctionnalités. Les VPN sont un outil important pour assurer la sécurité
et la confidentialité des données lorsqu'on se connecte à Internet ou à un réseau privé.
La sécurité physique vise à définir des périmètres de sécurité associés à des mesures de
sécurité de plus en plus strictes suivant la nature des équipements à protéger. D’une
manière générale, tout équipement réseau ou lié au réseau doit être situé dans des locaux
dédiés, réservés au personnel habilité (badge, clé, les cartes à puce, etc.). De plus, tous les
accès doivent être archivés à des fins d’investigation en cas d’incident de sécurité. Tout
local contenant des équipements de télécommunications doit être protégé des menaces
telles que l’humidité, le feu, les inondations, la température, le survoltage, les coupures de
courants etc. La localisation d’un tel local doit suivre des règles de sécurité précises. Il est
préférable qu’il ne soit ni au rez-de-chaussée ni au dernier étage d’un immeuble et qu’il ne
se situe pas dans une zone géographique réputée à risque (inondation, orage, etc.). D’autre
règles peuvent être définies selon les règles de l’entreprise, telle que le marquage des
matériels, un plan de maintenance pour les pièces de rechange, des normes de sécurité
centrales, etc.
La sécurité physique mérite que chaque entreprise s’y attarde, afin de définir une politique
de sécurité adaptée pour protéger ses équipements les plus critiques.
RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 32
ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE AVEC FORTIGATE
Ces types d’IDS sont utilisés dans des environnement décentralisés. Ils centralisent les
informations en provenance de plusieurs emplacements (capteur) sur le réseau.
4.3.3.10 Pare-feu
Un pare-feu est un dispositif de sécurité qui surveille le trafic réseau entrant et sortant et
autorise ou bloque les paquets de données en fonction d’un ensemble de règles de sécurité.
L’objectif du pare-feu est de créer une barrière entre votre réseau interne et le trafic
provenant de sources externes (telles que Internet) afin de bloquer le trafic malveillant tel
que les virus et les pirates.
La politique qui interdit tout par défaut : dans cette approche, tout ce qui n’est pas
explicitement permis est interdit. Elle consiste à définir les services à autoriser
(SMTP pour l’hôte serveur de courrier, http pour l’hôte devant accéder au web) et
définir les droits de chaque utilisateur.
La politique qui autorise tout par défaut : dans cette approche, tout est permis sauf
ce qui est considéré comme dangereux donc tout ce qui n’est pas explicitement
interdit est autorisé. Elle consiste à analyser les différents risques d’application qui
doivent s’exécuter, en déduire les interdictions à appliquer et autoriser tout le reste
Sécurité des accès : couvre la sécurité logique des accès locaux et distants aux
ressources de l’entreprise, ainsi que la gestion des utilisateurs et de leurs droits
d’accès au système d’informations de l’entreprise.
L’achat des moyens de sécurité est dépendant de la politique de sécurité envisagée. Il peut
s’agir, d’une part, de l’achat de matériel pour l’interconnexion de réseau (LAN et WAN)
comme les routeurs, les passerelles et les ponts. Il peut s’agir également de l’achat de
logiciels de différents types tels que les relais de connexion, les relais d’applications, les
firewalls, etc. L’installation de ces produits nécessite des compétences spécifiques.
4.3.7.1 Audits
La mise en place d’un système de sécurité nécessite la réalisation des audits dans le but de
détecter ses éventuelles vulnérabilités. Cela consiste à collecter et à analyser plusieurs
informations : login (connexion) et logout (déconnexion), tentatives de prises de droits de
l’administrateur, accès aux ports, serveur demandés, changements de droits, accès invité et
anonyme (anonymous), modifications des services, login échoué, etc.
4.3.7.2 Sauvegarde
Le sauvegarde de votre système est l’élément le plus important dans la mise en place d’une
politique de sécurité. Elle permet de reconstruire votre installation en cas d’intrusion. Il est
préférable qu’elle soit effectuée sur des supports variés (cartouche, CD Rom, disque dur
amovible, etc.).
De la fibre optique.
L’entreprise ITS dispose d’un important parc informatique. En effet, pour son
fonctionnement efficient, les responsables ne lésinent pas à mettre les moyens financiers
pour acquérir du matériel de qualité.
- 01 serveur d’application
- 01 serveur de téléphonie IP
Le réseau informatique de I.T.S est un réseau local qui est connecté à internet grâce à
l’ONATEL. ONATEL fournie également un accès au réseau téléphonie qui est lié à la
communication unifiée. Soit l’architecture suivante :
Autre élément important à prendre en compte dans ce réseau est son infrastructure.
L’infrastructure ici qui représente l’ensemble des équipements du réseau doit être protégée
et disposée de manière à permettre les interventions de maintenance avec un minimum de
risque possible.
A la suite de cette partie, l’implémentation d’un pare-feu étant, l’objectif de cette étude, il
conviendrait que nous nous intéressions aux aspects dits de sécurités des données, mais
La confidentialité
Nous avons procédé à la vérification de la confidentialité sur deux (02) parties du réseau :
La partie logiciel et la partie infrastructure.
Partie logicielle
- Test de vulnérabilité
Afin de connaitre le niveau de vulnérabilité des différents systèmes cibles, nous avons
utilisé l’outil nmap, qui nous a permis de scanner le réseau informatique. La commande
nmap plus l’adresse du reseau sur kali linux nous permet d’obtenir les résultats ci-
dessous.
En plus d’avoir eu une liste des ports ouverts, nous avons également pu savoir les
différents services qu’ils utilisent, les adresses MAC de toutes les machines connectées.
Aussi, nous avons découvert l’adresse d’une potentiel cible ; un « serveur ».
Alors nous avons décidé de tester la connectivité avec la machine cible en faisant un ping
sur la cible. On obtient les résultats suivants :
A partir des résultats précédents nous remarquons que notre machine attaquant arriver à
communiquer avec notre machine cible.
Pour avoir plus d’informations sur la liste des port et service ouvert nous avons taper la
commande nmap -Sv sur kali lunix :
Pour avoir accès à la machine cible nous avons décidé de rechercher des vulnérabilités
dans une base de données concernant un des logiciels que la machine cible à installer.
Après avoir retrouvé des vulnérabilités concernant le logiciel, nous avons passé à
l’exploitation de la vulnérabilité.
Nous avons réussi à avoir accès au machine cible, et a naviguant dans la machine cible
nous avons retrouvé une liste des travailleurs et certains dossiers.
Partie physique
Il sera question pour nous de chercher à savoir s’il existe un système efficace contre les
vols.
Afin de protéger son infrastructure contre les vols et autres formes d’intrusion physique de
tierce personne à l’intérieur des locaux notamment au niveau des point névralgiques de
l’ensemble du système d’information à savoir la salle serveur et la deuxième (2 ème) salle
accueillant une baie d’interconnexion. Innovante Technologie Sécurité a mis en place un
système de vidéo surveillance et une grille d’antivol au niveau des fenêtres
Critique(s) : Le système contre les vols n’est pas efficace. Les caméras de surveillance et
une grille d’antivol ne suffisent pas.
La disponibilité
RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 42
ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE AVEC FORTIGATE
Partie infrastructure
- Refroidissement
A la suite nous devrons dire, si le local est exposé aux vols pouvant rendre inaccessible des
services, et donc le rendre indisponible. Également nous devrons montrer si oui ou non le
local est exposé à l’eau ou à la poussière.
Nous avions déjà montré que la politique de protections contre les vols dans le local,
expose des insuffisances ;
Nous avions également constaté que le nettoyage de tous les locaux de l’entreprise est
assuré par un personnel de nettoyage. En effet, tous les matins, ce personnel a accès au
local technique. Ce personnel accède au local avec généralement du matériel standard de
nettoyage à savoir des seaux d’eau et sans outils spécifiques de nettoyage pour les espaces
comportant du matériel aussi sensible que les équipements réseaux. De ce constat, il
apparait un risque permanent de panne des serveurs et de certains équipements sous-jacents
dû à l’eau.
Partie logicielle
Est-ce que par le piratage, on peut compromettre la disponibilité des données de Innovante
Technologie Sécurité ?
Le réseau informatique est fortement vulnérable à des attaques comme par déni de service
distribué. En effet, il est sujet à des risques de contamination par virus. Ainsi, il peut servir
de BOTNET (Réseau d’appareil, infecté par des malwares) pour une attaque de déni de
service. Également, le réseau est grandement exposé aux zéro Day.
L’intégrité
ITS n’a pas de système de protection globale du réseau. Il est donc vulnérable aux attaques
des pirates, donc aux attaques pouvant affecter l’intégrité des données, comme celle de
l’homme du milieu.
L’Authenticité
Pour aller plus loin dans nos recherches, nous avons tenté de nous introduire dans les
paramètres de configuration du point d’accès que nous avions trouvé par scanne, lors de
l’étude sur la confidentialité.
Le problème assez inquiétant que nous notons au niveau de l’infrastructure, est l’absence
d’un bon système de repérage. Exemple de la figure...
- Au niveau logiciel
6. Etude du thème
6.1 Problématique
Le réseau internet de nos jours est incontournable et apporte beaucoup aux entreprises. En
plus de contribuer à faciliter les communications avec différents maillons du monde des
entreprises, du business, allant jusqu’au plus haut sommet de hiérarchie des états, il peut
être une porte sujette à des attaques. Ces attaques exposent les systèmes d’informatique des
différents maillons a de nouvelle forme de menace. Ainsi, le grand défi est la sécurisation
de l’ensemble du réseau informatique de ces structurations afin de garder un très bon
niveau de fiabilité du trafic sur le réseau.
- Qui doit avoir les droits de se connecter au réseau (filaire ou sans fil) ?
6.2 Objectifs
Au regard des risques identifiés, notre projet poursuivra les objectifs suivants :
A la fin de ce projet, un pare-feu doit être mise en place. Les solutions proposées en termes
de résultats attendus sont :
Notre projet s’inscrit dans le cadre d’une étude pour éventuelle implémentation dans le cas
où les résultats obtenus lors de l’étude sont concluants, c’est pour cela que toutes les
fonctionnalités (résultats attendus) du projet doivent être implémentées. Vus la
confidentialité et la portée des données et ressources de Innovant Technologie sécurité,
nous allons juste travailler avec les informations qui touchent à la sécurité informatique et
nous essayerons de garder certaines informations confidentielles pour mieux assurer la
sécurité de son réseau informatique. Notre projet a pour but d’assurer la s’sécurité du
réseau local de Innovant Technologie sécurité, mais peut également être implémenté dans
d’autres institutions, entreprises, organisations, qui désirent sécuriser leur système
informatique.
Après une étude et analyse poussée de notre situation, l’implémentation d’un pare-feu telle
que demandé par l’entreprise dès le départ est plus que nécessaire. Cette implémentation
aura pour but essentielle de contrôler l’accès au réseau. Pour ce faire, nous utiliserons la
démarche méthodologique suivante :
7. Conclusion partielle
Dans ce chapitre nous avons compris les différents concepts et leurs spécificités entrant
dans le cadre de l’étude de notre thème. Nous avons également pu toucher du doigt le cœur
du réseau informatique d’Innovante Technologie Sécurité, ce qui nous a permis de mieux
appréhender la situation pour proposer une solution pouvant prendre en charge la sécurité
des données de son réseau informatique.
Introduction partielle
Chaque réseau informatique connecté à internet est susceptible d’être victime d’une
intrusion pouvant compromettre l’intégrité du système ou bien y altérer les données.
Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les
internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en
installant un système pare-feu.
Définition
Utiliser un protocole ;
Le firewall le plus simple est un routeur qui filtre les paquets entre Internet et le réseau lo -
cal. Le routeur assure ses fonctions en ne distribuant que les paquets autorisés d'après les
règles de filtrage qu'on lui a indiqué. Généralement, les règles de filtrage sont définies de
manière à ce que les machines du réseau privé puissent avoir un accès direct à Internet,
tandis que les machines externes n'ont qu'un accès limité au réseau privé. La règle généra -
lement appliquée dans ce type de firewall est que l'on interdise tout pour ensuite n'autoriser
que certaines choses. Il est évident que l'on ne peut pas commencer par tout autoriser, pour
ensuite interdire certaines choses, car dans ce cas, le moindre oubli pourrait avoir de graves
conséquences. Ce genre de firewall a l'avantage de ne pas être très cher et d'être transparent
vis à vis des utilisateurs. Le risque de filtres mal configurés, ou bien d'attaques à travers
des services permis sont les deux choses les plus dangereuses. Pour éviter certain désagré-
ment chaque hôte externe doit clairement être identifié et l'on doit analyser régulièrement
le trafic pour éviter d'éventuelles attaques. Si quelqu'un arrive à pénétrer le routeur, c'est la
sécurité de l'ensemble du réseau privé qui est compromise.
Source : https://geekflare.com/fr/hardware-vs-software-cloud-firewall/
Ce deuxième type de firewall utilise un routeur filtre de paquet ainsi qu'un Bastion Host.
Ce type de Firewall renforce la sécurité car tout intrus désirant pénétrer le réseau privé doit
franchir le routeur et la machine Bastion Host. En effet on paramètre le routeur de façon à
ce que tout ce qui vient de l'extérieur soit dirigé obligatoirement vers la machine Bastion
Host, le reste étant obligatoirement bloqué. On peut aussi obliger les machines du réseau
interne à passer par le Bastion Host pour accéder à l'extérieur en n'autorisant sur le routeur
uniquement le trafic provenant du Bastion Host s'il s'agit d'une machine du réseau privé.
Cependant on peut autoriser certains utilisateurs à avoir un accès direct à internet, ce qui en
cas de négligence peut être une faille dans la sécurité.
Un des avantages de ce type de firewall réside dans le fait qu'un serveur public peut être
installé entre le routeur et le Bastion Host.
Source:http://alois.aubel.online.fr/form/admin/firewall/firewall3.html/.
La zone démilitarisée (DMZ) peut être considérée comme un petit réseau s'intercalant entre
le réseau public et le réseau privé. On place les serveurs publics (WWW, FTP, etc.) à
l'intérieur avec le Bastion Host. Ils ne résident donc pas sur votre réseau, la DMZ est
configurée pour que les systèmes internes et externes ne puissent accéder qu'à certaines
choses, bien entendu le trafic direct à travers la DMZ est interdit.
Le trafic entrant est sécurisé une première fois par le routeur externe. Celui-ci est configuré
pour repousser l'IP spoofing et gère les accès internet vers la DMZ. Les utilisateurs
externes n'ont donc accès qu'au Bastion Host et aux serveurs publics de la DMZ. Le second
routeur autorise vers le réseau privé que ce qui provient du Bastion Host. Le routeur
externe n'acceptant vers internet que ce qui provient aussi du Bastion Host.
Source : http://alois.aubel.online.fr/form/admin/firewall/firewall3.html/
3. Politique de sécurité : Établissez une politique de sécurité claire pour votre pare-
feu. Cette politique doit définir les règles pour le filtrage du trafic entrant et sortant
du réseau.
4. Matériel : Choisissez le bon matériel pour votre pare-feu. Les pares-feux matériels
offrent souvent des performances supérieures, mais ils peuvent être plus coûteux.
7. Formation : Formez les utilisateurs finaux sur les politiques de sécurité de votre
pare-feu. Les utilisateurs doivent être conscients des risques et des mesures de
sécurité appropriées pour maintenir la sécurité du réseau.
Outre les critères déterminer pour les besoins de l’entreprise, il devient convenable de faire
le choix de la catégorie de pare-feu ; s’agira-t-il d’un UTM (Unified Threat
Management)/NGFW (NextGen Firewall) ou d’un pare-feu classique.
Les termes UTM (Unified Threat Management) et NGFW (NextGen Firewall) sont utilisés
par les constructeurs pour désigner ces nouvelles fonctions de sécurité multi-compétences.
De nos jours ces termes désignent des boitiers aux fonctionnalités très similaires, qui
incorporent des fonctionnalités IPS et de supervision applicative. Bien que ces deux (02)
termes fusionnent, il faut remarquer due les UTM caractérisent des appliances réseau
« entrée de gamme » créées par des acteurs plus connus pour leurs solutions anti-malwares
et destinés aux petites et moyennes entreprises gérant un nombre limité d’utilisateurs. En
revanche, le terme NGFW est le plus utilisé pour désigner des solutions d’entreprises
fortement focalisées sur les capacités en matière de bande passante dans le but de soutenir
des centaines d’utilisateurs.
11.Types de pare-feu
Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec la
fonction de filtrage en plus, d’où leur appellation de firewall. Leurs interfaces ne possèdent
pas d’adresse IP, et ne font que transférer les paquets d’une interface a une autre en leur en
leur appliquant les règles prédéfinies. En effet, quand une requête ARP est émise sur le
câble réseau, le firewall ne répond jamais et comme il ne fait que transmettre les paquets, il
sera totalement invisible sur le réseau. Cela rend impossible toute attaque dirigée
directement contre le firewall, étant donné qu’aucun paquet ne sera traité par ce dernier
comme étant sa propre destination. Donc, la seule façon de la contourner est de passer
outre ses règles. Toute attaque devra donc faire avec ses règles, et essayer de les
contourner. Comme tous les firewalls ce dernier contient des avantages et des
inconvénients :
Avantages
Peu couteux
Inconvénients
Possibilité de le contourner
Les fonctionnalité présentes sont très basiques (Filtrage sur adresse IP, port)
Ils sont intégrés directement dans la machine, ils font office de boite noire, et ont une
intégration parfaite avec le matériel. Leur configuration est souvent relativement ardue,
mais leur interaction avec les autres fonctionnalités du routeur est simplifiée par leur
présence sur le même équipement réseau. Souvent relativement peu flexibles en termes de
configuration, ils sont aussi peu vulnérables aux attaques. De plus, étant souvent très liés
au matériels, l’accès à leur code est assez difficile. Leur administration est souvent plus
aisée que les firewalls bridges. Et leur niveau de sécurité est de plus très bon sauf
découvert de failles éventuelles comme dans tous firewalls.
Avantages
Inconvénients
Souvent peu flexibles car seules les spécificités prévues par le constructeur du
matériel sont implémentées
Source : https://www.google.com
Présents à la fois dans les serveurs et les routeurs, ils peuvent être classés en plusieurs
catégories :
Ils ont pour but de sécuriser un ordinateur particulier, et non pas un groupe d’ordinateurs.
Souvent payants, ils peuvent être contraignants et quelque fois sécurisés. En effet, ils
s’orientent plus vers la simplicité d’utilisation plutôt que vers l’exhaustivité, afin de rester
accessible à l’utilisateur final
Tournant généralement sous linux, ils ont le même comportement que les firewalls
matériels des routeurs, à ceci près qu’ils sont configurables à la main.
Pendant la communication réseau, un nœud transmet un paquet qui est filtré et mis en
correspondance avec des règles et des politiques prédéfinies. Une fois apparié, un paquet
est accepté ou refusé. Le filtrage de paquets vérifie les adresses IP source et de destination .
Le filtre de paquets avec état ou (Statefull Packet Filtering) est la méthode de filtrage la
plus simple, elle opère au niveau de la couche réseau et transport du modèle OSI. La
plupart des routeurs d’aujouurd’hui permettent d’effectuer du filtrage simple de paquet.
Cela consiste à accorder ou refuser le passage de paquet d’un réseau a un autre en se basant
sur :
L’adresse IP Source/Destination.
La sécurité d'un réseau ne dépend pas uniquement de la mise en place d'un firewall et de la
configuration de ce dernier. En effet un firewall :
Ne protège pas des attaques qui le contourne (Liaison avec un provider, assurée par
un modem installé sur une machine du réseau local)
Ne prévient pas des virus se trouvant dans des fichiers lors d'un transfert, ou à la ré-
ception de mails infectés.
Ne protège pas des utilisateurs imprudents qui peuvent injecter des fichiers infectés,
ou copier du réseau local des informations sur des supports amovibles (clé USB).
Afin de garantir un niveau de protection maximal, il est nécessaire d’administrer le pare-
feu et notamment de surveiller son journal d’activité afin d’être en mesure de détecter les
tentatives d’intrusion et les anomalies. Par ailleurs, il est recommandé d’effectuer une
veille de sécurité (en s’abonnant aux alertes de sécurité) afin de modifier le paramétrage de
son dispositif en fonction de la publication des alertes.
Un pare-feu doit être protégé et sécurisé contre des accès non autorisés.
RAPPORT DE FIN DE STAGE - OUEYIGA WEPYA BERNARDIN 58
ETUDE ET SECURISATION D’UN RESEAU INFORMATIQUE AVEC FORTIGATE
Seul le trafic défini par la politique de sécurité comme étant valide et autorisé peut
traverser le pare-feu ;
Si les données du réseau interne sont vraiment sensibles, il faut alors accéder à
internet par des machines détachées du réseau interne ;
On retrouve sur le marché une variété de solutions pare-feu, parmi lesquelles, des
« Appliance » (matériels et logiciels déjà prêt pour l’usage) et des logiciels (qui nécessitent
une installation et configuration). Il faut également noter que certains pares-feux sont
propriétaires et d’autres viennent du monde des logiciels libres. Dans cette partie, pour être
en phase avec la demande de l’entreprise sur la mise en place d’un pare-feu notamment
FortiGate, nous nous pencherons sur la catégorie de pare-feu idéal pour l’entreprise,
ensuite nous verrons si le choix de l’entreprise porté sur la solution FortiGate peut prendre
en considération les différents aspects de la sécurité de son réseau tout en tenant compte de
l’ensemble de ses moyens et de ses attentes.
secteurs technologues dont celle des constructeurs des matériels hauts de gamme dans la
sécurité informatique.
Pour comparer les UTM/NGFW, il est important de rechercher les différences existantes
entre les pare-feu nouvelles générations. Parmi ces différences, nous avons les critères
suivants :
Performance ;
Tarification
Cisco Firepowe
Cisco Firepower est une solution de sécurité réseau avancée développée par Cisco
Systems. Il s'agit d'une plate-forme intégrée qui combine des fonctionnalités de pare-feu
(firewall) de nouvelle génération, de prévention des intrusions (IPS), de détection des
malwares, de surveillance du réseau et de gestion des menaces en temps réels.
Cisco Firepower offre une visibilité complète sur le trafic réseau, permettant de détecter et
de bloquer les menaces potentielles. Il utilise une approche de sécurité basée sur des
politiques qui permet aux administrateurs de définir des règles granulaires pour contrôler le
trafic entrant et sortant.
Source : www.fortinet/image.net
FortiGate
FortiGate est une solution de pare-feu développée par Fortinet, une société spécialisée dans
la sécurité réseau. FortiGate est une plate-forme de sécurité réseau complète qui intègre
plusieurs fonctionnalités avancées pour protéger les réseaux d'entreprise contre les
menaces.
Le pare-feu FortiGate offre une protection contre les attaques en filtrant et en contrôlant le
trafic entrant et sortant du réseau. Il utilise des règles de pare-feu personnalisables pour
autoriser ou bloquer le trafic en fonction de critères spécifiques tels que l'adresse IP, le port
ou le protocole. Cela permet aux administrateurs de définir des politiques de sécurité
strictes pour protéger le réseau contre les attaques externes.
FortiGate offre également une gestion centralisée à travers un contrôleur de gestion qui
permet aux administrateurs de gérer plusieurs appareils FortiGate à partir d'une seule
interface. Cela simplifie la gestion et la configuration des pares-feux dans les
environnements réseaux complexes.
Source : www.fortinet/image.net
PA-SERIES :
Le pare-feu PA-Series, ou Palo Alto Networks PA-Series, est une solution de sécurité
réseau avancée développée par Palo Alto Networks. Il offre une protection complète et
hautement personnalisable contre les menaces réseau et les attaques potentielles.
ainsi que des fonctionnalités de détection de comportement anormal pour identifier les
nouvelles formes de malwares et les activités suspectes.
La série de pare-feu SRX se compose de plusieurs modèles, dont les SRX100, SRX210,
SRX220, SRX240, SRX550, SRX650 et le SRX5800 haut de gamme. Chaque modèle
offre différents niveaux de performances et d'évolutivité pour répondre aux besoins des
différents environnements réseau.
Dans l'ensemble, la série de pare-feu SRX est une solution de sécurité réseau puissante et
flexible qui peut aider les organisations à protéger leurs actifs critiques contre un large
éventail de cybermenaces.
Source : https://www.juniper.net/image/
CHEKPOINT
Le pare-feu Checkpoint utilise une approche basée sur les politiques pour sécuriser les
réseaux. Les administrateurs peuvent définir des règles de sécurité précises pour contrôler
le flux du trafic, en fonction de critères tels que les adresses IP, les ports, les protocoles, les
utilisateurs et les applications.
Wan Optimination
Plateforme de gestion de
sécurité à distance
Mobile sécurity &
Endpoint
Blocage de menaces
Accelerated Firewall
ipv4 ipv6
SSL & IPsec VPN
(+ADVPN)
Dynamic Web
Filtrering
QoS & Traffic Shaping
Ce qui permet de soulager le CPU, en diminuant les latences dues aux processus
simultanés des traitements ; préserve l’espace et consomme moins d’énergie même dans
les plus hautes gammes. De plus, pour les domaines virtuels flexibles, FortiGate offre les
fonctionnalités créer plusieurs firewalls virtuels déconnectés les unes des autres d’où
chacun a des fonctionnalités avec ses propres interfaces pour la création des règles.
14.Conclusion partielle
Introduction partielle
FortiGate est une des solutions de la célèbre firme américaine FORTINET. Cette solution
est principalement dédiée à la sécurité informatique des entreprises. Il s’agit d’un pare-feu
muni de nombreuses fonctionnalités intégrées s’adaptant aux petites, moyennes et grandes
entreprises tout comme aux plateformes et data center. FortiGate représente la solution
phare des plateformes de sécurité réseaux de la marque FORTINET, elle peut être
également intégrer de manière virtuelle grâce à la gamme « Virtual Appliance ».
Dans ce chapitre nous verront premièrement une présentation des différents types de
fortiGate, deuxièmement les règles de sécurité, troisièmement une simulation de
l’implémentation de fortiGate, et nous terminerons par la proposition de la nouvelle
architecture du réseau.
15.Présentation de FortiGate
Les entrées de gamme : qui sont de mini boitiers (UTM) contenant parfois des
antennes wifi constituées des 30-50 series et des 60-90 series;
Les milieux de gamme : ce sont les plus vendus des produits FortiGate
généralement pour les petites t moyennes entreprises (NGFW). Ils sont constitués
des 100-500 series et des 600-900 series ;
Cloud/On PrimiseSandboxing
De ce qui précède, nous avons su que FortiGate est classifié en différentes gammes. Ces
gammes sont proposées en fonction des besoins des sites à sécuriser. Elles différent
également de par leurs performances et des fonctionnalités qu’elles embarquent. Ainsi le
dimensionnement pour le choix du type de boitier se fera en fonction de la taille de
l’entreprise et de ses besoins. A cet effet il s’agira de répondre à un certain nombre de
questions à savoir :
Le tableau suivant nous montre les différentes réponses aux questions ci-dessus, dans le
cas de Innovant Technologie Sécurité :
En conclusion :
Innovante Technologie Sécurité utilisera probablement une DMZ, dans les années à
venir ;
En fonction des différentes réponses, nous avons choisi le boitier FortiGate 80E. Il permet
de gérer entre 40 et 80 utilisateurs et comporte un port pour la DMZ. (Pour plus
d’information sur les choix des boitiers et les caractéristiques de série 80E voire l’annexe).
En fonction des problèmes liés à la sécurité que nous avons rencontrés, nous proposons les
règles des sécurités suivantes :
- Configuration de l’antivirus qui permettra une protection globale contre les virus.
17.Simulation
Pour l’installation de FortiGate, nous avons utilisé une machine virtuelle VMWARE dans
laquelle nous avons créée :
- FortiGate- VM 64 FortiOS 7.0 ici qui représente notre appliance FortiGate 80E
- Edit port1
- Set ip 192.168.1.250/24
- End
Puis à partir du poste de configuration, nous lançon dans notre navigateur l’adresse fixée
192.168.1.250 ce qui affiche l’image d’accueil suivant.
Pour effectuer la configuration, nous nous sommes loggés selon les paramètres
d’identifiant et mot de passe que nous avons enregistré avant la configuration du port1 en
ligne de commande. Ce qui nous conduit à l’accès du tableau de bord selon la figure
suivante :
Dans le but de pouvoir appliquer les règles de bases qui nous permettrons d’expérimenter
les critères de sécurité de notre FORTIGATE, nous devons configurer des interfaces.
Ainsi pour rester en phase avec les éléments de notre lab, nous avons configuré en plus
port1, le port2 et le port3 cette fois sur la partie graphique de notre FORTIGATE en
suivant l’étape interfaces>port2 pour appliquer les permissions administratives du port, son
rôle et éventuellement le renommer pour identifier les machines sur ce port. Dans notre cas
nous l’avons appelé IT Sécurité.
C’est aussi le cas du port3 qui constitue dans notre cas notre réseau WAN
selon la figure suivante :
Dans l’expérimentation qui suit, nous allons mettre en place une règle qui autorise puis une
autre qui interdit l’accès au service web.
Pour effectuer cette règle, nous sommes allés sur Policy & Objects > Firewall Policy. On
a obtenu l’interface suivante :
Nous avons ensuite cliqué sur Create New et avons obtenu l’interface suivante :
Ensuite, nous avons indiqué que toutes les requêtes (services web) venant du port2 (LAN)
allant au port3 (WAN) doivent être acceptées. Soit la figure suivante nous illustrant cela :
Après avoir configuré la règle, on clique sur OK, et on obtient l’interface sur
la figure suivante :
Interdiction du service
De la même manière que pour l’autorisation, nous allons interdire l’accès à l’hôte, au
service Web. Ici, l’action a activé sera DENY. Soit la figure suivante :
Nous avons ensuite vérifié la configuration sur la machine d’hôte. Soit la figure suivante :
18.Nouvelle architecture
19.Conclusion
Conclusion générale
Tout au long de ces trois (03) mois de stage au sien de Innovant Technologie Sécurité, nous
avons été guidés, accompagnés et encouragés, par l’ensemble du personnel, cela nous a
permis de nous intégrer facilement, de comprendre très rapidement et d’avoir plus de
confiance en nous et en nos compétences. Aussi, nous avons pu effectuer avec aisance,
notre travail portant sur : <<La sécurisation du réseau informatique de Innovant
Technologie Sécurité avec FortiGate>>. En effet, nous avons pu déceler des problèmes
cruciaux, lesquels nous ont conduit à proposer des solutions adaptées avec un planning
d’exécution des travaux, et une estimation du cout de l’implémentation des solutions.
Bibliographie
Webographie
https://www.paloaltonetworks.com/products/secure-the-network/next-generationfirwall/
par-220;
Tableau 4 : Glossaire
ANNEXE
Ce devis estimatif tient compte des équipements d’interconnexion qui sont déjà disponible
au niveau de Innovant Technologie Sécurité. Pour le cas d’une autre entreprise voulant
mettre en place la solution, cette présente estimation peut être revue à la hausse.
Annexe 2
Annexe 3
Images des techniques de parade aux attaques
Annexe 4
Dédicace.................................................................................................................................1
Remerciement........................................................................................................................ 2
Liste des tableaux...................................................................................................................3
SOMMAIRE.......................................................................................................................... 7
Introduction générale............................................................................................................. 9
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................... 10
Chapitre 1 : Présentation de la structure de formation et de la structure d’accueil..............11
1. INTRODUCTION PARTIELLE...................................................................................11
Présentation de Sup ’Management Burkina......................................................................... 11
Historique et filières de formation........................................................................................11
Sup’ management Burkina offre deux pôles de formation à savoir :................................... 12
2. Présentation de Innovante Technologie Sécurité.......................................................... 13
3. Fiche d’identification et ressources.............................................................................. 13
3.1 Ressources.............................................................................................................14
3.2 Prestations..............................................................................................................14
3.3 Services..................................................................................................................14
4. Conclusion partielle...................................................................................................... 14
Chapitre 2 : Généralité et étude de la sécurité du réseau de Innovant Technologie Sécurité
..............................................................................................................................................15
1. Introduction partielle.....................................................................................................15
1.1 Définition des concepts réseaux informatiques et sécurité informatique..............15
1.2 Généralité sur les réseaux informatiques...............................................................16
1.2.1 Réseaux sans files.......................................................................................... 16
1.2.2 Réseaux filaires.............................................................................................. 17
1.2.3 Topologie réseaux.......................................................................................... 18
1.2.4 Protocoles réseaux..........................................................................................19
1.2.5 Faiblesses des réseaux....................................................................................20
1.3 Généralité sur la sécurité informatique..................................................................20
1.3.1 Critères de sécurité.........................................................................................21
1.3.2 Principales attaques........................................................................................22
1.3.2.1 Attaques des réseaux.................................................................................. 22
1.3.2.1.1 Man in the middle.................................................................................22
1.3.2.1.2 Balayage par port..................................................................................22
1.3.2.1.3 Attaque par rebond................................................................................22