REPUBLIQUE DU CAMEROUN

***************

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR

******************

INSTITUT SUPERIEUR DU SAHEL

********

Département d'Informatique Et Des
Télécommunications

UNIVERSITE DE MAROUA

********

Paix-Travail-Patrie

*********

B.P./P.O. Box : 46 Maroua Tél: +237 22 62 03 76 / 22 62 08 90 Fax: +237 22 29 15 41 / 22 29 31 12 Email: institutsupsahel.uma@gmail.com Site : http://www.uni-maroua.citi.cm

MINISTRY OF HIGHER EDUCATION

**************

REPUBLIC OF CAMEROON

**************

Department of Computer Science and Telecommunications

THE HIGHER INSTITUT OF THE

SAHEL

*****************

THE UNIVERSITY OF MAROUA

***********

Peace-Work-Fatherland

*************

INFORMATIQUE ET TÉLÉCOMMUNICATIONS

SECURISATION D'UN RESEAU INTRANET :

CAS DE CAMTEL

Mémoire présenté et soutenu en vue de l'obtention du Diplôme
d'INGENIEUR DE CONCEPTION EN INFORMATIQUE, OPTION RESEAU

Par

MOHOTE TADZONG Bertrand

Ingénieur des Travaux des Télécommunications
Matricule : 10S2536S

Sous l'encadrement :

Dr. Olivier VIDEME BOSSOU

Chargé de cours

Devant le jury composé de :

Président : Pr. Daniel TIEUDJO

Rapporteur : Dr. Olivier VIDEME BOSSOU Examinateur : Dr. NTSAMA ELOUNDOU Pascal

Invité : Ing. OUMAROU IBRAHIMA YAYA

Année académique : 2011-2012

Sécurisation d'un réseau intranet : cas de CAMTEL

DÉDICACE

A mes parents décédés,

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page j

Sécurisation d'un réseau intranet : cas de CAMTEL

REMERCIEMENTS

Mes sincères remerciements vont :

> Tout d'abord, aux membres du jury :

- Prof. TIEUDJO Daniel pour avoir bien voulu présider ma soutenance ;

- Dr. NTSAMA ELOUNDOU Pascal pour avoir accepté de participer en tant qu'examinateurs à ma soutenance ;

- Dr. Olivier VIDEME BOSSOU pour avoir bien voulu participer à ma soutenance en tant que rapporteur.

> Ensuite au Directeur de l'ISS, Prof.Dr.-Ing.habil KOLYANG qui a bien voulu nous encadrer. Grâce à sa totale disponibilité et à sa volonté, nous avons pu surmonter certains obstacles

> Ma profonde gratitude va à l'encontre de mon encadreur professionnel, M.

OUMAROU IBRAHIMA YAYA pour ses précieux conseils, sa disponibilité, la confiance qu'il a toujours témoigné et la sollicitude dont il m'a entouré tout au long de l'élaboration de ce travail ;

> Je n'oublie pas les enseignants, qui tout au long du cycle d'études à l'Institut Supérieur du Sahel, nous ont transmis leur savoir ; je nomme ici Prof.Dr.-Ing.habil KOLYANG, Dr. Olivier BOSSOU VIDEMÉ, Dr. Jean Michel NLONG, Dr. Yves EMVUDU, Pr. SPINNER, Pr. Athanase FOKO, Dr. Eric FOTSING, Dr. SOULEY, M. Vincent DOUWE, M. Patrick NOUNAMO, M. Eric KAMENI, M. Urbain NOUTSA, Mme Hortence BOUDJOU, M. Apollinaire WOUNDJIAGUE. Je garde de très bons souvenirs de vos enseignements. je vous en remercie profondément.

> Je remercie également mes frères et soeurs pour leur soutien affectif et moral apportés durant ma formation. Je leur dis merci pour leur amour et leur constante tendresse.

> Au personnel de CAMTEL, j'exprime ma profonde reconnaissance pour le séjour accordé agréable qu'il m'a réservé au sein de la Direction des Systèmes d'Informations et des Réseaux Spécialisés, particulièrement: M AMBE, M. NGAH MAMA.

> Aussi A mes camarades de promotion pour leur collaboration et, qui pour moi constitue une nouvelle famille. Que la vie active les combles de réussite et de bonheur,

> Je tiens enfin à remercier tous ceux qui, de près ou de loin, ont contribué à l'élaboration de ce travail. Qu'ils acceptent mon humble remerciement.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page ii

Sécurisation d'un réseau intranet : cas de CAMTEL

TABLE DE MATIÈRES

DÉDICACE I

REMERCIEMENTS II

RÉSUMÉ VI

ABSTRACT VIII

LISTE DES TABLEAUX IX

LISTE DES FIGURES ET ILLUSTRATIONS X

LISTE DES SIGLES ET ABRÉVIATIONS VI

INTRODUCTION 1

CHAPITRE 1 : CONTEXTE ET PROBLEMATIQUE 3

1.1 DESCRIPTION SOMMAIRE DE LA CAMTEL 3

1.2 CONTEXTE 4

1.3 PROBLEMATIQUE : 5

1.4 OBJECTIFS 5

1.5 METHODOLOGIE 6

1.6.1 AUDIT DE SECURITE DU RESEAU INTRANET CAMTEL 6

1.6.1.1 Les Menaces sur le réseau CAMTEL 6

1.6.2 POLITIQUE DE SECURITE DU RESEAU CAMTEL 8

1.6.2.1 Les critères de choix d'un firewall 9

1.6.2.2 Le filtrage des paquets de données ; 9

1.6.2.3 Courroie de transmission. 9

1.6.3 COMPARATIF DES DIFFERENTES SOLUTIONS 11

1.6.4 Choix et justification matériels. 11

1.6.4.1 Comparatif des différents Systèmes d'exploitation 12

1.6.4.2 Choix et justification logiciels 12

1.6.4.3 Information complémentaire sur la distribution choisie 13

1.6.4.4 Besoins de l'environnement 14

CHAPITRE 2: GENERALITÉS ET ETAT DE L'ART 16

2.1 RESEAU INTRANET 16

2.1.1 Définition 16

2.1.2 Historique 16

2.1.3 Intranet comme média de communication interne 16

2.2 LA SECURITE 17

2.2.1 Vue générale des éléments de sécurité 18

2.2.2 La sécurité dans l'environnement IP 27

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page iii

Sécurisation d'un réseau intranet : cas de CAMTEL

2.2.2.1 Les attaques 27

2.2.2.2 Les parades 30

2.2.3 La securité dans les protocoles 33

2.2.3.1 La sécurité dans SNMP 33

2.2.3.2 IPsec (IP sécurisé) 34

2.2.4 La sécurité par anti-virus 40

2.2.5 La sécurité autour des pare-feu 42

2.2.5.1 Les filtres 45

2.2.5.2 La sécurité autour du pare-feu 46

CONCLUSION 49

CHAPITRE 3: PARE-FEU IPCOP : FONCTIONNEMENT ET INSTALLATION 51

3.1 CAHIER DE CHARGES 51

3.1.1 Description de la demande : 51

3.1.2 Contraintes matérielles et logicielles. 51

3.1.3 Période de réalisation 52

3.1.4 Recevabilité du projet 52

3.1.5 Coût du projet : 52

3.2 CHRONOLOGIE DES DIFFERENTES ETAPES DE DEPLOIEMENT D'IPCOP 52

3.2.1 Possibilité de mise en oeuvre d'IPCop 52

3.2.2 Liste des services offerts 53

3.2.3 Configuration minimale requise par IPCop 54

3.2.4 Comment déployer IPCop au sein de l'entreprise CAMTEL ? 55

3.3 OBJECTIF A ATTEINDRE : 55

3.3.1 Qu'accepte-t-on venant de l'internet ? 56

3.3.2 Que laisse-t-on faire aux utilisateurs de l'entreprise? 56

3.4 REACTION DU FIREWALL IPCOP 56

3.4.1 Réaction du firewall IPCop en sortie : 57

3.4.2 Réaction du firewall IPCop en entrée : 59

3.5 LES PROTECTIONS 59

3.5.1- Le blocage des ports 59

3.5.2 Le blocage conditionnel 61

3.5.3-Dislocation de paquets 63

3.6 INSTALLATION D'IPCOP 64

3.6.1 Choix de la version : 64

3.6.2 Installation de IPCop v2.0.3 pour i486 : 65

3.6.3 Après l'installation : Sélection du noyau 73

3.6.4 Démarrage du noyau sélectionné. 75

3.6.5 Changer de configuration par défaut 75

CONCLUSION 75

CHAPITRE 4: RESULTATS ET COMMENTAIRES 76

4.1 CARACTERISTIQUES D'IPCOP 76

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page iv

Sécurisation d'un réseau intranet : cas de CAMTEL

4.2 METHODES D'ACCES A IPCop : 77

4.3 LES ONGLETS D'IPCOP: 78

4.3.1 Menu système. 78

4.3.2 Menu Etat 79

4.3.3 Menu Réseau 82

4.3.4 Menu Services 83

4.3.5 Menu Pare-feu 84

4.3.6 Menu VPNs 84

4.3.7 Menu Journaux 85

4.4 LES POTENTIALITES D'IPCOP: 85

4.4.1 Système de détection d'intrusion (IDS): 85

4.4.2 Lissage de Traffic "Shaping" : 86

4.4.3 Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) : 86

4.4.4 Le pare-feu 87

CONCLUSION 90

CONCLUSION ET PERSPECTIVES 91

REFERENCES BIBLIOGRAPHIQUES 92

ANNEXES 93

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page v

Sécurisation d'un réseau intranet : cas de CAMTEL

LISTE DES SIGLES ET ABRÉVIATIONS

ADSL : Asymmetric Digital Subscriber Line)

AES: Advanced Encryption Standard (cryptage).

CAMTEL: Cameroon telecommunications

CISCO ASA: Cisco Adaptive Security Appliance

DES : Data Encryption Standard (cryptage).

DHCP : Dynamic Host Aucune entrée de table d'illustration n'a été trouvée.

DNS : Domain Name System

FAI : Fournisseur d'accès à internet

FTP: File Transfer Protocol

IDS: Intrusion Detection System.

IETF: Internet Engineering Task Force

IMAP: Internet Messaging Application Protocol

IPS: Intrusion Prevention System

IP: Internet Protocol

HTTP: Hyper Text Transfer Protocol

MAC: Access Control

NTP: Network Time Protocol

OSI: Open Systems Interconnection

PGP : Pretty Good Privacy (Protocole de cryptographie à double clé).

PKI : Public Key Infrastructure (chiffrement).

RADIUS: Remote Access Dial In User Server (authentification d'un abonné).

RAID: Redundancy Array of Inexpensive/Independent Disk (archivage).

RPV: Réseau Privé virtuel

RSA : Rivest Shamir and Adleman (algorithme de cryptage).

RTC: Réseau Téléphonique Commuté

SMTP: Simple Mail Transfer Protocol

SPAM: « Shoulder of Pork and hAM » (jambon en conserve), email publicitaire.

SPF: Single point of failure

SSH: Secure Shell

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page vi

Sécurisation d'un réseau intranet : cas de CAMTEL

SSL : Secure Socket Layer (protocole de sécurité sur HTML).

TACACS: Terminal Access Controller Access Control System (authentification). TLS : Transport Layer Security VAT : Vulnerability Assessment Tools (outils de vérification de vulnérabilité). VPN : Virtual Private Network.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page vii

Sécurisation d'un réseau intranet : cas de CAMTEL

RÉSUMÉ

Nous avons dans ce mémoire montré qu'il est possible pour l'entreprise CAMTEL d'assurer la sécurité de l'information en transport par le déploiement d'IPCop. Cette distribution Linux complète à noyau allégé orientée pour les objectifs de sécurité réseau présente de nombreux avantages de part ses caractéristiques, sa méthode d'accès, son ergonomie, et surtout ses potentialités (IDS, pare-feu, Lissage de traffic, RPVs). La possibilité offerte de pouvoir mettre à jour le système fait d'IPCop un pare-feu extensible le propulsant au-dessus de toute autre offre de solution pare-feu matériel. IPCop est un système évolutif et disposera dans ses versions futures de nouvelles potentialités donc IPS en sera une.

ABSTRACT

In this dissertation, we have shown that it is possible for CAMTEL Company to insure the information security in transport by deploying IPCop. This Linux complete distribution directed for the present network security shows various advantages thanks to its characteristics, its method of access, its ergonomics, and especially its potentialities (IDS, firewall, traffic shaping, VPN). The possibility offered to update the system makes of IPCop a stretchable firewall propelling it over any other offer of firewall material solution. IPCop is an evolutionary system and will have in its future versions new potentialities, within which IPS will be one.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page viii

Sécurisation d'un réseau intranet : cas de CAMTEL

LISTE DES TABLEAUX

Tableau 1.2 : Tableau comparatif des différentes solutions 11

Tableau 1. 2 : Comparatif des différents systèmes d'exploitation.............................. 12

Tableau 2.1 : principaux ports TCP et UDP......................................................... 43

Tableau 2.2 : composition d'un pare-feu classique................................................ 44

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page ix

Sécurisation d'un réseau intranet : cas de CAMTEL

LISTE DES FIGURES ET ILLUSTRATIONS

Figure 1.1 : situation de la DSIR dans l'organigramme CAMTEL 3

Figure 2.1 : sécurité et niveaux de l'architecture OSI .. 19

Figure 2.2: algorithme de chiffrement symétrique . 22

Figure 2.3 : algorithme de chiffrement asymétrique 23

Figure 2.4 : attaque par le protocole TCP . 28

Figure 2.5 : format des paquets IPsec 35

Figure 2.6 : tunnel IPsec 36

Figure 2.7 : format de l'en-tête d'authentification 37

Figure 2.8 : processus d'encapsulation ESP 38

Figure 2.9 : format de l'entête ESP .. 38

Figure 2.10 : situation d'un pare-feu dans l'entreprise 41

Figure 2.11 : place d'un pare-feu dans l'infrastructure réseau 46

Figure 2.12 : pare-feu associé à une machine bastion 47

Figure 2.13 : architectures de sécurité avec machine bastion . 47

Figure 3.1 Interfaces IPCop 52

Figure 14: architecture du réseau intranet CAMTEL . 103

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page x

Sécurisation d'un réseau intranet : cas de CAMTEL

INTRODUCTION

Le terme " sécurité " recouvre une vaste étendue de concepts, d'outils et de procédures, qui ne s'appliquent pas à tous les cas. Elle commence par une administration rigoureuse. Il s'agit de mettre en place des règles de bons sens pour limiter les installations aux seuls services réellement nécessaires ; ceci limitant de potentielles intrusions extérieures. Dans le même sens, les attaques des systèmes informatiques sont de plus en plus automatisées ; leur scénario est assez reproductible : découverte d'une faille dans un service, publication d'un "exploit", scan réseau et tentative de compromission. La sécurité de l'informatique ne se limite certes pas à celle du réseau, mais il est indéniable que la plupart des incidents de sécurité surviennent par le réseau, et visent le réseau. Ainsi, pour sécuriser un réseau, Il convient de s'interroger sur ce que l'on souhaite accomplir pour choisir quel système mettre en oeuvre.

Globalement, on peut diviser la sécurité réseau en deux parties : la sécurité à l'ouverture d'une session et la sécurité lors du transport de l'information. Les techniques pour réaliser ces deux formes de sécurité sont extrêmement diverses, et il s'en invente de nouvelles tous les jours. De même, les pirates, à chaque attaque contrée, vont un peu plus loin pour contourner les défenses. Dans le même ordre, le fait que la démocratisation de l'internet rende les réseaux accessibles à tous, la volonté croissante de pouvoir utiliser des réseaux IP pour des applications sensibles, ainsi que la facilité des attaques, ont poussé au développement de diverses solutions de sécurité. Le choix d'une politique de sécurité est indissociable des enjeux pour l'entreprise. En introduisant un pare-feu entre le réseau local de l'entreprise et l'Internet, il est possible de contrôler le trafic entre ces deux mondes.

La solution présentée dans la suite est "la machine dédiée" dans laquelle est installée une distribution Linux appelée IPCop configurée en pare-feu. IPCop permet d'utiliser une machine de récupération pour couvrir les besoins en sécurité lors du transport de l'information.

Pour mieux appréhender notre problématique, deux types d'actions seront décrites dans la suite : le recours à des applications client/serveur mettant en oeuvre du chiffrement pour interdire l'écoute réseau, le filtrage des services vulnérables par la mise en place du firewall IPCop conduisant à la segmentation du réseau.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 1

Sécurisation d'un réseau intranet : cas de CAMTEL

Ce mémoire sanctionnant la fin d'études d'ingénieur en réseau est élaboré en 4 chapitres

notamment :

1' Chapitre 1 : description du contexte du sujet ;

1' Chapitre 2 : généralités et état de l'art ;

1' Chapitre 3, IPCOP : solution de sécurisation de l'intranet;

1' Chapitre 4, Résultats et commentaires.

Dans la suite, nous nous limitons à l'environnement réseau, sans nous pencher sur la

sécurité physique des terminaux ou des logiciels.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 2

Sécurisation d'un réseau intranet : cas de CAMTEL

CHAPITRE 1 : CONTEXTE ET PROBLEMATIQUE

1.1 DESCRIPTION SOMMAIRE DE LA CAMTEL

CAMTEL est une entreprise historique à capital 100% public des Télécommunications au Cameroun dont le siège est à Yaoundé. Elle offre aux entreprises et particuliers des services de voix, données et images par voie filaire et sans fils. C'est un réseau modulaire qui comporte des blocs de distribution, d'administration et d'interconnexion.

CAMTEL est statutairement administrée par deux organes : le Conseil d'Administration et la Direction Générale.

La gestion quotidienne et l'application de la politique générale de la société sont assurées par le Directeur Général, sous l'autorité et le contrôle du Conseil d'Administration à qui il rend compte.

La Direction Générale est composée des services rattachés, des Directions de l'Administration Centrale et des Services Centraux.

Notre stage a été effectué dans les locaux de l'administration centrale, au sein de la Direction des Systèmes d'Information et des Réseaux IP (DSIR IP)

Figure 1.1 : situation de la DSIR dans l'organigramme CAMTEL

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 3

Sécurisation d'un réseau intranet : cas de CAMTEL

1.2 CONTEXTE

Actuellement, l'informatique subit une croissance phénoménale, et ceci est dû en partie aux besoins croissants des entreprises ambitieuses, rêvant d'un lendemain meilleur à l'image de CAMTEL. En effet, on en demande toujours plus, et l'informatisation permet de faire ce qui ne serait pas facilement réalisable en l'absence de cet outil. La comptabilité, la gestion des stocks, la gestion du personnel et la gestion de la production sont automatisées. L'on note ici l'existence régulière des différentes équipes, dans des services différents travaillants sur un même projet. Il faut donc pouvoir communiquer et même échanger des données via un réseau. L'intranet s'est imposé comme cet outil central indispensable de la gestion de l'information en direction des collaborateurs. Son adéquation souhaitée sinon toujours réalisée avec les pratiques d'internet en a fait un outil particulièrement séduisant de communication, d'accès aux ressources documentaires ou d'échange, voire de construction, de connaissances. Ces possibilités mêmes rendent cet objet complexe. De ce fait la réflexion bâtie sur l'intranet de CAMTEL nous a conduits à nous interroger sur les enjeux liés à sa mise en place.

Sachant que cet outil à lui seul ne peut être capable de créer la transversalité entre plus d'une dizaine de structures géographiquement éloignées les unes des autres sur l'ensemble du triangle national, il se pose de ce fait un réel problème de dématérialisation informationnelle dans le réseau de part son étendu constituée d'ouvertures extérieures vers l'extranet et l'internet avec des intrusions éventuelles qu'on en trouve. La sécurité de l'entreprise prend donc une nouvelle dimension.

Ainsi les limites de l'intranet CAMTEL en matière de sécurité ont amené les responsables de sécurité à faire d'une pierre deux coups ; notamment en adoptant la solution " CISCO ASA (sécurité réseau par le filtrage d'URL, du contenu, de l'anti-phishing et de l'anti-spam)" en plus de la solution pare-feu logiciel et antivirus installés individuellement à chaque poste et où les mises à jour s'effectuent automatiquement à chaque connexion au réseau internet.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 4

Sécurisation d'un réseau intranet : cas de CAMTEL

1.3 PROBLEMATIQUE :

Malgré les dispositions sécuritaires prises ici par l'administrateur en charge de la sécurité, le réseau intranet CAMTEL n'échappe pas aux menaces connues des réseaux d'entreprise. De nouvelles offres propriétaires en matière de sécurité réseau sont disponibles ; chacune présentant toujours des insuffisances dû au fait que le pirate perpétuellement cherche et contourne les défenses. Le problème que l'on se pose ici est celui de savoir comment l'entreprise CAMTEL peut pallier au problème d'attaques et/ou de menaces dont son intranet est constamment victime des véreux pirates. Autrement dit, n'existe-t-il pas une solution simple et complète à même capable d'assurer au mieux la sécurité réseau au sein de l'entreprise CAMTEL ?

1.4 OBJECTIFS

Le développement de la sécurité dans les réseaux est aujourd'hui une véritable préoccupation pour les différents acteurs de l'économie : entreprises, collectivités locales, et operateurs.

Les effets d'une intrusion sur un réseau peuvent parfois s'avérer dévastateurs pour la société concernée : atteinte à l'image de l'entreprise, perte de recettes, perte de confiance des clients, engagement de la responsabilité légale si le réseau attaqué est utilisé comme rebond pour attaquer un réseau tiers (pouvant donner lieu à des dommages et intérêts). Ainsi, le développement de la sécurité au sein du réseau intranet CAMTEL vise à assurer principalement:

V' La disponibilité ; les informations et les services sont accessibles et fonctionnels lorsque nécessaire. Si les systèmes ne sont pas disponibles, les deux autres points n'ont plus vraiment d'importance.

V' L'intégrité ; l'information ou le logiciel est complet, exact et authentique. L'objectif est d'empêcher tout processus ou personne non autorisée d'apporter une quelconque modification, intentionnelle ou volontaire. Dans le cas d'une intégrité réseau, il s'agit de s'assurer que le message reçu est bien celui qui a été envoyé. Son contenu doit être intégral et non modifié.

V' La confidentialité empêche des informations sensibles d'être divulguées sans votre consentement ou d'être interceptée sous forme intelligible.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 5

Sécurisation d'un réseau intranet : cas de CAMTEL

1.5 METHODOLOGIE

La sécurité recouvre tout ce qui concerne la protection des informations. Dans le domaine des réseaux, la sécurité du transport de l'information est une préoccupation primordiale. De nombreux fournisseurs adoptent désormais la solution firewall ou pare-feu, ce qui facilite son déploiement à l'échelle d'un réseau d'entreprise. Des exemples d'utilisations typiques mentionnés dans la suite sont : Routeur ADSL Cisco 2600, pare-feu matériel Cisco ASA, Machine dédiée avec une distribution Linux Orientée passerelle Internet ; chacune de ces solutions fournissant un moyen de protection efficace pour toute échange dans le réseau. Après une analyse poussée de chacune de ces solutions suivie des comparaisons entre elle, la dernière à savoir La machine dédiée retiendra notre attention.

Nous débuterons cette partie par l'audit de sécurité du réseau intranet CAMTEL, ensuite entamerons la comparaison entre les solutions logicielles disponibles afin d'en faire un choix palliatif, et enfin procéderons au déploiement d'IPCop (distribution Linux faisant office de pare-feu).

1.6.1 AUDIT DE SECURITE DU RESEAU INTRANET CAMTEL

L'audit sécurité d'un réseau est un état des lieux de la sécurité du réseau actuel avec des propositions permettant de résoudre les problèmes potentiels une fois l'audit sécurité effectué et les conclusions présentées par la partie effectuant cet audit.

Le présent audit a pour but d'évaluer les failles de sécurité du réseau et proposer des solutions aptes à corriger les vulnérabilités afin qu'un hacker ne puisse s'en servir. Nous commencerons tout d'abord par une présentation des menaces auxquelles l'entreprise CAMTEL fait face, ensuite comment elle résiste et enfin nous parlerons plus tard des recommandations portant sur d'éventuelles améliorations à apporter au dit réseau.

1.6.1.1 Les Menaces sur le réseau CAMTEL

Une menace est un événement, d'origine accidentelle ou délibérée, capable s'il se réalise de causer un dommage au sujet étudié. Le réseau intranet de CAMTEL comme tout autre réseau d'informatique et des télécommunications est en proie à des menaces de toutes sortes qu'il convient de recenser.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 6

Sécurisation d'un réseau intranet : cas de CAMTEL

a) Menaces relevant des problèmes non spécifiques au réseau

Certaines menaces aux réseaux informatiques ne sont pas spécifiques à ce secteur. Parmi elles, nous pouvons citer :

V' les risques accidentels : incendie, explosion, inondation, tempête, foudre. Ici les techniques de prévention sont très bien maîtrisées ;

V' les vols et sabotages de matériels : vols d'équipements matériels, destruction d'équipements, destruction des supports de sauvegarde.

Ici tout est mis en jeu pour la prévention et la protection desdits matériels.

b) Les pannes et erreurs (non intentionnelles)

Ce sont :

V' pannes/dysfonctionnement du matériel ;

V' pannes/dysfonctionnement du logiciel de base ;

V' erreurs d'exploitation :

V' oubli de sauvegardes,

V' écrasement de fichiers ;

V' erreurs de manipulation des informations :

V' erreurs de saisie,

V' erreurs de transmission,

V' erreurs d'utilisation ;

V' erreurs de conception des applications

Dans les cas ci-dessus cités, l'on fait tout pour remédier à la situation afin d'assurer la continuité du service grâce à des équipes constituées de personnes qualifiées aptes à pallier aux différents défauts et à la disponibilité des équipements adéquats.

c) Les menaces intentionnelles

Les menaces intentionnelles sont l'ensemble des actions malveillantes qui constituent la plus grosse partie du risque. Elles font l'objet principal des mesures de protection. Parmi

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 7

Sécurisation d'un réseau intranet : cas de CAMTEL

elles, on compte les menaces passives et les menaces actives. 1' Les menaces passives sont :

- les détournements des données: c'est le cas de l'espionnage industriel, l'espionnage commercial, les violations déontologiques ;

- les détournements de logiciels : les copies illicites par exemple.

1' Les menaces actives sont:

- les modifications des informations : la fraude financière informatique ;

- le sabotage des informations ;

- les modifications des logiciels :

1.6.2 POLITIQUE DE SECURITE DU RESEAU CAMTEL

Les Firewalls font partie intégrante de la sécurité d'un système ou d'un réseau informatique. Ils permettent de limiter l'accès à des applications ou des parties de réseau grâce à des règles (statiques ou dynamiques) définies par la politique de sécurité mise en place par les administrateurs réseaux ou responsables de la sécurité du système d'information d'une entreprise. Un pare-feu sert donc à contrôler ce qui entre et sort du réseau. Pour faire une analogie, le pare-feu est le cerbère (gardien vigilant intraitable) du réseau. Un pare-feu sert donc à se protéger des curieux, des destructeurs (saturations diverses, corruption de données, tromperie d'identité) et des espions.

Contrairement au pare-feu logiciel ou firewall software plus répandu chez les particuliers, CAMTEL utilise le pare-feu matériel ou firewall hardware de marque CISCO ASA qui est un équipement recommandé aux grandes entreprises se présentant sous la forme d'un boîtier incluant deux connecteurs réseau. Ce firewall a la particularité d'être très résistant aux pannes : il n'y a pas de mémoire volatile, ni de disque dur. Il n'est pas non plus SPF(Single Point of Failure), c'est à dire que tout est redondant : si une puce, ou d'autres composants cessent de fonctionner, un deuxième vient prendre le relais.

Ce firewall Internet est une gamme d'appliances faisant du filtrage d'URL, du filtrage de contenu, de l'anti-phishing et de l'anti-spam.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 8

Sécurisation d'un réseau intranet : cas de CAMTEL

Afin qu'un firewall soit effectif, tout le trafic de et vers internet doit passer par le firewall ; ainsi, il doit nécessairement permettre seulement le passage du trafic autorisé et protèger ainsi de toute pénétration par des tiers. Ainsi quels sont les critères phares de choix d'un firewall ?

1.6.2.1 Les critères de choix d'un firewall

V' la nature et nombre d'applications (FTP, messagerie, HTTP, Vidéo);

V' le type de filtre (méthodes de filtrage);

V' la facilité à enregistrer les actions (login, paramètres de connexion) à des fins d'audit;

V' les outils et facilité d'administration (interface graphique, ...);

V' la simplicité du système pare-feu (facile à comprendre par le(s) administrateur(s));

V' la capacité à supporter un tunnel chiffré;

V' la disponibilité d'outils de surveillance, d'alarmes.

A la base, un firewall isole l'intranet de CAMTEL de tout réseau extérieur. Ainsi de l'extérieur on ne voit que le firewall apparaissant comme unique source et/ou destination du trafic reçu et/ou émit. De ce fait deux principales techniques de base sont utilisées :

1.6.2.2 Le filtrage des paquets de données ;

Ici, Chaque paquet reçu est comparé avec un ensemble de règles pour choisir le traitement à réaliser. Plusieurs stratégies pour le filtrage de paquets sont envisageables. Dans ce cadre, on bloque tout ce qui peut être dangereux, cette technique la plus élémentaire protège le réseau de l'entreprise.

1.6.2.3 Courroie de transmission.

Ici les machines du réseau sont masquées derrière le firewall. Ce qui permet donc au serveur de se faire passer pour la machine à l'origine d'un paquet. Par exemple, si un utilisateur demande une page web à un serveur HTTP, et que cette requête traverse le firewall, ce dernier retransmettra le paquet comme s'il était à l'origine de la requête. Ainsi, une seule machine est visible de l'extérieur et l'on n'a besoin que d'une seule adresse IP, les autres machines du réseau pouvant alors disposer d'adresses IP privées.

Malgré tout, l'on ne peut témoigner avec certitude de l'état de vulnérabilité du réseau

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 9

Sécurisation d'un réseau intranet : cas de CAMTEL

CAMTEL aux actions malveillantes surtout que ce dernier est ouvert d'une part au grand public (internet) et d'autre part aux entreprises (partenaires et particuliers).

Pour réduire le nombre d'intrusion, CAMTEL préconise hors mis la politique des pare-feu matériel pour toute ouverture extérieure et logiciel pour le réseau intranet l'usage des IDS (Système de détection des intrusions) et des IPS (Système de protection des intrusions). L'on note également l'usage au sein du réseau local des anti-virus pour pallier aux éventuels problèmes de sécurisation des ordinateurs et des données.

En somme, face à toutes dispositions prises par CAMTEL pour faire face aux différentes attaques, son réseau reste vulnérable car il n'existe point de système infaillible. De plus les hackers, crackers, et script-kiddies sont des origines différentes et ont des objectifs différents ; d'aucuns explorent les réseaux pour le fun (ils veulent comprendre le fonctionnement des systèmes informatiques et tester à la fois les capacités des outils et leurs connaissances) et le challenge (montrer qu'on a les aptitudes à atteindre tel ou tel système et de modifier, copier ou supprimer les données), d'autres pour un gain financier, et enfin les experts pour s'infiltrer dans un serveur, découvrir les failles de sécurité et ensuite alerter les responsables.

Il est important de noter ici que l'intrusion dans un système débute par une parfaite maitrise des équipements le constituant. Ceci dit, renforcer la sécurité de l'intranet consisterait à utiliser des pare-feu de marques et des fabricants différents. Ceci dit, malgré les coûts de ces équipements relativement élevés les pirates décidés pourront toujours y avoir accès facile par la maitrise de la plupart des configurations globales des différents équipements.

La question que l'on se pose dans ce cas est celle de savoir Comment l'entreprise CAMTEL peut procéder pour remédier à cette dernière situation de coût et de toute intrusion dans son réseau.

Pour lever cette inquiétude, deux nouvelles solutions envisageables hors mis celle de pare-feu matériel déjà appliquée au sein de l'entreprise CAMTEL s'ouvrent à nous à savoir :

1' la solution Routeur ADSL Cisco 2600

1' la Machine dédiée avec une distribution Linux Orientée passerelle Internet (Debian Sarge, Ipcop, SmoothWall).

Face à cette situation quelle solution choisir et pour quelle raison ? Cette question trouvera sa solution après une étude comparative des différentes solutions ci-dessus citées.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 10

Sécurisation d'un réseau intranet : cas de CAMTEL

1.6.3 COMPARATIF DES DIFFERENTES SOLUTIONS

Cisco 2600

Ordinateur Dédié PareFeu Matériel

SOLUTION

Tableau 1.1 : Comparatif des différentes solutions [1] 1.6.4 CHOIX ET JUSTIFICATION MATÉRIELS.

Pour plusieurs raisons, la solution de la machine dédiée est à privilégier. Après plusieurs recherches, des doutes apparaissent sur la capacité du routeur Cisco à gérer un nombre aussi important de connexions simultanées (en rapport avec un nombre important de partenaires et clients). De plus le routeur ne permet pas d'effectuer du filtrage sur les connexions. La solution de la machine dédiée nous permet d'effectuer des règles de filtrage plus poussées ; elle nous fournit également plus d'informations sur la connexion, les machines connectées au réseau, l'état du réseau etc...

La machine dédiée apporte d'avantage d'options que le pare-feu matériel Cisco ASA

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 11

Sécurisation d'un réseau intranet : cas de CAMTEL

notamment:

1' 4 interfaces au lieu de 2,

1' Mémoire cache plus grande,

1' Coût d'acquisition très négligeable,

1' Interfaces d'administration SSL et SSH

1' Evolutivité.

1' Serveurs supplémentaires (DHCP, DNS, PROXY)

1.6.4.1 Comparatif des différents Systèmes d'exploitation

Tableau 1.2 : comparatif des différents systèmes d'exploitation [1]

1.6.4.2 Choix et justification logiciels

La solution choisie est la distribution IPCop, car elle présente les meilleurs avantages des distributions possibles notamment :

1' Une distribution de pare-feu basée sur Linux, stable, et facilement configurable. 1' Une interface web rendant les configurations simples et intuitives,

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 12

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Une configuration matérielle minimale,

1' Le coût estimé en main d'oeuvre (installation + Configuration très acceptable.

1' Documentations disponibles

1' Coût main d'oeuvre en heure réduit

1' Module pour configuration avancée disponible

Mais le point le plus déterminant pour ce choix est le nombre de modules supplémentaires que l'on peut trouver sur le Web qui nous permet de répondre au mieux aux attentes. La distribution IPCop répond à toutes nos attentes vis à vis des autres distributions disponibles, hormis la version du noyau, 2.4 pour l'IPCop et 2.6 pour les autres, mais le noyau 2.4 répond largement à nos attentes.

1.6.4.3 Information complémentaire sur la distribution choisie

1' Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement configurable.

1' Une administration facile depuis un navigateur par l'intégration d'un serveur web.

1' Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP d'un FAI.

1' Un serveur DHCP permettant de configurer facilement les machines du réseau interne.

1' Un serveur mandataire DNS pour accélérer la résolution des requêtes de nom de domaine.

1' Un serveur mandataire web (proxy) pour accélérer l'accès au web.

1' Un système de détection d'intrusion pour identifier les attaques externes au réseau.

1' La possibilité de segmenter le réseau en un réseau VERT, sûr, protégé de l'Internet ; un réseau BLEU pour votre réseau local WiFi ; et un réseau ORANGE, zone démilitarisée ou DMZ en partie protégée de l'Internet rassemblant vos serveurs publiquement accessibles.

1' Une possibilité de VPN permettant de connecter ensemble plusieurs réseaux locaux par le réseau Internet pour ne former qu'un unique réseau logique ou d'intégrer vos PC sans fil du réseau BLEU à votre réseau filaire VERT.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 13

Sécurisation d'un réseau intranet : cas de CAMTEL

" La possibilité de répartir la bande passante (traffic shaping) par exemple pour fixer une priorité plus élevée aux services interactifs tels que ssh ou telnet, une priorité élevée à la navigation web mais une priorité faible aux services gourmands comme FTP.

" Un support amélioré des VPN avec certificats x509.

" Un système entièrement compilé avec ProPolice pour prévenir des attaques de type corruption de pile sur toutes les applications.

" Le choix entre quatre noyaux différents pour permettre une adaptation parfaite à toutes les configurations.

1.6.4.4 Besoins de l'environnement

Caractéristiques Matériel:

Carte Mère : Nvidia Nforce

Processeur : Athlon XP 1800 +

Mémoire : 2x 512 Mo DDR-SDRAM PC3200 (Chips Samsung)

Disque Dur : Maxtor 40 Go 7200 RPM - Garantie 3 ans

Carte réseau : 2x Intel Pro/100 série S:

Caractéristiques du système

" Interface web d'administration et de configuration disponible en 24 langues dont le

français

" Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur période

journalière/semaine/mois/année

" Informations sur les connexions actives

" Configuration des connexions Modem

" Serveur SSH pour accès distant sécurisé

" Proxy HTTP/HTTPS (Squid) Affichage des graphes du proxy

" Serveur DHCP

" Cache DNS

" Edition du fichier host

" Renvoi de ports TCP/UDP/GRE avec gestion de plage

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 14

Sécurisation d'un réseau intranet : cas de CAMTEL

" DMZ Pinholes (accès à la DMZ)

" Support des DNS dynamiques

" Système de détection d'intrusion (SNORT) (interne et externe)

" Support VPN (OpenSWAN) dans l'interface web (Roadwarrior et de réseau à réseau)

" Accès aux logs par interface web : du système, de la connexion vers Internet, du

proxy, du firewall, de la détection

" des tentatives d'intrusion

" Mise à jour d'IPCOP par l'interface web

" Sauvegarde de la configuration du système sur disquette ou fichier téléchargeable par

l'interface web

" Synchronisation sur serveur de temps, peut servir le temps aux machines internes

" Arrêt/Redémarrage à distance

" Noyau 2.4 durci avec SSP Stack Smashing Protector et libsafe

" Système de fichiers EXT3

" Firewall Iptables

" Supporte les types de connexion PPP / PPPoA / PPPoE / PPTP (GRE) / Bridge / IP

routé / DHCP / IP fixe

" Possibilité d'utiliser une DMZ

" Possibilité de fonctionner en mémoire flash

" Possibilité de sécuriser un réseau sans fil, support uniquement des points d'accès

(AP).

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 15

Sécurisation d'un réseau intranet : cas de CAMTEL

CHAPITRE 2: GENERALITÉS ET ETAT DE L'ART

2.1 RESEAU INTRANET

2.1.1 Définition

Un Intranet est l'ensemble de moyens nécessaires pour transporter et traiter un flux d'informations internes à un groupe fermé d'utilisateurs identifiés en utilisant les mêmes protocoles et services que l'Internet.

2.1.2 Historique

L'Intranet est né du souci des chercheurs à disposer d'un réseau qui n'était pas en concurrence avec le grand public et donc d'un réseau qui n'était pas encombré par des utilisateurs donc la seule démarche était ludique. Les chercheurs accusaient les internautes de monopoliser la bande passante et de pénaliser ceux qui en avaient vraiment l'utilité pour des besoins hautement plus louables.

Les entreprises trouvent également là un intérêt évident de pouvoir disposer des mêmes outils et services que l'internet dans le sein même de l'entreprise et surtout l'intranet permet d'optimiser la circulation des informations. Les principaux services pour les utilisateurs sont:

i' le courrier électronique,

i' le partage des nouvelles et des agendas,

i' la disponibilité et l'échange de documents,

i' le partage des données de l'entreprise,

i' le travail de groupe,

i' la gestion de la circulation des documents et du travail associé.

2.1.3 Intranet comme média de communication interne

Un site Intranet est vu par les entreprises comme un puissant outil de communication interne, permettant de capitaliser et de faire circuler l'information à moindre coût, avec une efficacité impensable avec les moyens traditionnels. Définir et mettre en oeuvre une charte graphique pour un site intranet est un aspect important car l'entreprise met ici en jeu son

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 16

Sécurisation d'un réseau intranet : cas de CAMTEL

image de marque auprès de ses propres employés. L'intranet apparaît de ce fait comme un

média supplémentaire permettant de renforcer la culture de l'entreprise, d'informer

rapidement et en permanence.

Un intranet peut être constitué de plusieurs services. Par exemple :

" un serveur Web interne ou bien accessible de l'extérieur mais par un groupe fermé

d'utilisateurs identifiés,

" des interconnexions sécurisées au réseau Internet, éventuellement,

" une messagerie,

" des news,

" des forums de discussion et d'échange entre des équipes distantes,

" des groupwares,

" etc.

2.2 LA SECURITE

La sécurité est une fonction incontournable des réseaux. On distingue globalement : la sécurité à l'ouverture de la session et la sécurité lors du transport de l'information. Les techniques pour réaliser ces deux formes de sécurité sont extrêmement diverses, et il s'en invente de nouvelles tous les jours. De même, les pirates, à chaque attaque contrée, vont un peu plus loin pour contourner les défenses. Ce jeu de poursuite n'est pas de nature à faciliter la présentation des mécanismes de sécurité. Dans la suite, nous nous limitons à l'environnement réseau, sans nous pencher sur la sécurité physique des terminaux ou des logiciels.

La première partie de ce chapitre propose une vue générale des éléments de sécurité dans un réseau, en suivant la proposition de l'ISO en matière de sécurité. Cette proposition a été effectuée en même temps que le modèle de référence. Nous présenterons ensuite les mécanismes de sécurité les plus classiques, tels que l'autorisation, l'authentification, le chiffrement, la signature, etc. La seconde partie s'intéressera plus particulièrement au monde IP et aux protocoles qui implémentent les mécanismes décrits dans la première partie.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 17

Sécurisation d'un réseau intranet : cas de CAMTEL

2.2.1 Vue générale des éléments de sécurité

La sécurité du transport de l'information est une préoccupation primordiale dans le domaine des réseaux. Pendant de longues années, la sécurité d'un équipement demandait une isolation complète de l'environnement extérieur, et aucune communication avec une machine externe n'était possible. C'est encore très souvent le cas aujourd'hui.

Cette partie examine les mécanismes fondamentaux de sécurité mis en oeuvre dans les réseaux, ainsi que les algorithmes de chiffrement et d'authentification.

2.2.1.1 Les services de sécurité

En informatique, le terme sécurité recouvre tout ce qui concerne la protection des informations.

L'ISO s'est attachée à prendre toutes les mesures nécessaires à la sécurité des données durant leur transmission. Ces travaux ont donné naissance à un standard d'architecture international, ISO 7498-2 (OSI Basic Reference Model-Part 2: Security Architecture).

Cette architecture est très utile pour tous ceux qui veulent implémenter des éléments de sécurité dans un réseau car elle décrit en détail les grandes fonctionnalités et leur emplacement par rapport au modèle de référence.

Trois grands concepts ont été définis :

" Les fonctions de sécurité, qui sont déterminées par les actions pouvant compromettre la sécurité d'un établissement.

" Les mécanismes de sécurité, qui définissent les algorithmes à mettre en oeuvre.

" Les services de sécurité, qui représentent les logiciels et les matériels mettant en oeuvre des mécanismes dans le but de mettre à la disposition des utilisateurs les fonctions de sécurité dont ils ont besoin.

La figure 2.1 recense les services de sécurité et les niveaux de l'architecture OSI où ils doivent être mis en oeuvre.

Cinq types de service de sécurité ont été définis :

" La confidentialité, qui doit assurer la protection des données contre les attaques non autorisées.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 18

Sécurisation d'un réseau intranet : cas de CAMTEL

" L'authentification, qui doit permettre de s'assurer que celui qui se connecte est bien celui qui correspond au nom indiqué.

" L'intégrité, qui garantit que les données reçues sont exactement celles qui ont été émises par l'émetteur autorisé.

" La non-répudiation, qui assure qu'un message a bien été envoyé par une source spécifiée et reçu par un récepteur spécifié.

" Le contrôle d'accès, qui a pour fonction de prévenir l'accès à des ressources sous des conditions définies et par des utilisateurs spécifiés.

Dans chacun de ces services, il peut exister des conditions particulières, indiquées à la figure 2.1.

Figure 2.1 : sécurité et niveaux de l'architecture OSI [2]

Si l'on reprend les cinq services de sécurité présentés précédemment en étudiant les besoins de l'émetteur et du récepteur et en les répertoriant, on obtient le processus suivant :

1. Le message ne doit parvenir qu'au destinataire.

2. Le message doit parvenir au bon destinataire.

3. L'émetteur du message doit pouvoir être connu avec certitude.

4. Il doit y avoir identité entre le message reçu et le message émis.

5. Le destinataire ne peut contester la réception du message.

6. L'émetteur ne peut contester l'émission du message.

7. L'émetteur ne peut accéder à certaines ressources que s'il en a l'autorisation.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 19

Sécurisation d'un réseau intranet : cas de CAMTEL

Le besoin 1 correspond à un service de confidentialité, les besoins 2 et 3 à un service d'authentification, le besoin 4 à un service d'intégrité des données, les besoins 5 et 6 à un service de non-répudiation, et le besoin 7 au contrôle d'accès.

2.2.1.2 Les mécanismes de chiffrement

Le chiffrement est un mécanisme issu d'une transformation cryptographique. Le mécanisme inverse du chiffrement est le déchiffrement. La normalisation dans ce domaine est quelque peu complexe, pour des raisons essentiellement politiques. De ce fait, l'ISO a supprimé ce type de normalisation de son cadre de travail à la suite de la publication des algorithmes DES (Data Encryption Standard). L'ISO est alors devenue une simple chambre d'enregistrement des algorithmes de chiffrement.

La première norme ISO du domaine, ISO 9979, se préoccupe du problème relatif aux « procédures pour l'enregistrement des algorithmes cryptographiques ». Une vingtaine d'algorithmes sont aujourd'hui déposés à l'ISO ou chez d'autres organismes de normalisation.

Des normes complémentaires, comme les procédures de chiffrement de messages (ISO 10126), les modes opératoires d'un algorithme de chiffrement par blocs de n bits (ISO 10116) ou les caractéristiques d'interfonctionnement avec la couche physique (ISO 9160) ont été publiés par l'ISO.

Les principaux mécanismes de chiffrement normalisés par l'ISO sont les suivants :

i' Le mécanisme de bourrage de trafic consiste à envoyer de l'information en permanence en complément de celle déjà utilisée de façon à empêcher les fraudeurs de repérer si une communication entre deux utilisateurs est en cours ou non.

i' L'authentification utilise un mécanisme de cryptographie normalisé par la série de normes ISO 9798 à partir d'un cadre conceptuel défini dans la norme ISO 10181-2. Dans cette normalisation, des techniques de chiffrement symétrique et à clés publiques sont utilisées.

i' L'intégrité est également prise en charge par l'ISO. Après avoir défini les spécifications liées à la normalisation de l'authentification dans la norme ISO 8730, cet organisme a décrit le principal mécanisme d'intégrité, le CBC (Cipher Block Chaining), dans la norme ISO 8731. La norme ISO 9797 en donne une

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 20

Sécurisation d'un réseau intranet : cas de CAMTEL

généralisation. La norme ISO 8731 décrit un second algorithme, le MAA (Message Authenticator Algorithm).

? La signature numérique est un mécanisme appelé à se développer de plus en plus. Pour le moment, la normalisation s'adapte aux messages courts, de 320 bits ou moins. C'est l'algorithme RSA, du nom de ses inventeurs (Rivest, Shamir, Adleman), qui est utilisé dans ce cadre (ISO 9796). Le gouvernement américain possède son propre algorithme de signature numérique, le DSS (Digital Signature Standard), qui lui a été délivré par son organisme de normalisation, le NIST (National Institute for Standards and Technology).

? La gestion des clés peut également être mise en oeuvre dans les mécanismes de sécurité.

Elle comprend la création, la distribution, l'échange, le maintien, la validation et la mise à jour de clés publiques ou secrètes. En matière d'algorithmes symétriques, la norme ISO 8732 fait référence. De même, la norme ISO 11166 fait référence pour les algorithmes asymétriques.

Les mécanismes de sécurité pour la messagerie électronique ont été définis par l'UITT, dans la série de recommandations X.400. Cette série fournit la description des menaces et les clés d'utilisation de l'algorithme cryptographique RSA pour résoudre ces problèmes.

Le second apport de l'UIT-T en matière de sécurité concerne les annuaires et fait l'objet de la recommandation X.509. Les annuaires électroniques peuvent également être le lieu de dépôt des clés publiques, et l'UIT-T a introduit des concepts de certificats de clés publiques et des mécanismes de gestion de ces certificats.

2.2.1.2.1 Les algorithmes de chiffrement

Les algorithmes de chiffrement permettent de transformer un message écrit en clair en un message chiffré, appelé cryptogramme. Cette transformation se fonde sur une ou plusieurs clés. Le cas le plus simple est celui d'une clé unique et secrète, que seuls l'émetteur et le récepteur connaissent.

Les systèmes à clés secrètes sont caractérisés par une transformation f et une transformation inverse f - 1, qui s'effectuent à l'aide de la même clé. C'est la raison pour laquelle on appelle ce système « à chiffrement symétrique ». Cet algorithme est illustré à la figure 2.2.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 21

Sécurisation d'un réseau intranet : cas de CAMTEL

Figure 2.2: algorithme de chiffrement symétrique [2]

Le plus connu des algorithmes de chiffrement est le DES. Pour chaque bloc de 64 bits, le DES produit un bloc chiffré de 64 bits. La clé, d'une longueur de 56 bits, est complétée par un octet de détection d'erreur. De cette clé de 56 bits, on extrait de manière déterministe 16 sous-clés de 48 bits chacune. À partir de là, la transformation s'effectue par des sommes modulo 2 du bloc à coder et de la sous-clé correspondante, avec des couplages entre les blocs à coder.

Les algorithmes à sens unique sont ceux dont la transformation en sens inverse est quasiment impossible à effectuer dans un laps de temps admissible. Diffie-Hellman constitue un premier exemple de ce type d'algorithme. Soit X et Y un émetteur et un récepteur qui veulent communiquer. Ils se mettent d'accord sur deux valeurs non secrètes, du et p.

L'émetteur X choisit une valeur a secrète et envoie à Y la valeur x = du_a mod p. De même, Y choisit une valeur b secrète et envoie à X une valeur y = dub mod p. Si les valeurs du et p sont suffisamment grandes, le fait de retrouver a ou b à partir de x ou y est à peu près impossible. X et Y décident que la clé commune est le produit ab et que le message chiffré est obtenu par duab mod p.

Les algorithmes de chiffrement à clé publique sont des algorithmes asymétriques. Le destinataire est le seul à connaître la clé de déchiffrement. La sécurité s'en trouve accrue puisque même l'émetteur ne connaît pas cette clé. L'algorithme le plus classique et le plus utilisé est RSA, qui utilise la quasi-impossibilité d'effectuer la fonction d'inversion d'une

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 22

Sécurisation d'un réseau intranet : cas de CAMTEL

fonction puissance. La clé permettant de déchiffrer le message et que seul le destinataire connaît est constituée de deux nombres, p et q, d'environ 250 bits chacun. La clé publique est n = pq.

Comme n est très grand, il est quasiment impossible de trouver toutes les factorisations possibles. La connaissance de n ne permet pas d'en déduire p et q. À partir de p et de q, on peut choisir deux nombres, e et d, tels que ed = 1 mod (p - 1)(q - 1). De même, la connaissance de e ne permet pas de déduire la valeur de d.

L'algorithme de chiffrement s'effectue de la façon suivante : si M est le message à chiffrer, le message chiffré est obtenu par M_e mod n et l'algorithme de déchiffrement par (M_e)d.

La figure 2.3 illustre le fonctionnement de l'algorithme asymétrique.

Les signatures électroniques font également partie de la panoplie des mécanismes indispensables à la transmission de documents dans un réseau. La signature a pour fonction d'authentifier l'émetteur. Celui-ci code le message de signature par une clé qu'il est le seul à connaître. La vérification d'une signature s'effectue par le biais d'une clé publique.

En utilisant l'algorithme RSA, l'émetteur signe le message M par M_e mod n, et le récepteur porte cette valeur à la puissance d pour vérifier que (Me)d = M. Si cette égalité se vérifie, la signature est authentifiée. [2]

2.2.1.2.2 Solutions de chiffrement

Le chiffrement représente la méthode suivie pour que l'information ne puisse pas être lue par une autre personne que le destinataire. Les techniques de chiffrement que l'on utilise sont toutes a priori violables, mais il faudrait pour cela utiliser une machine de calcul extrêmement puissante et la faire tourner pendant plusieurs années.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 23

Sécurisation d'un réseau intranet : cas de CAMTEL

Figure 2.3 : algorithme de chiffrement asymétrique [2]

Nous allons introduire les principaux algorithmes qui permettent de chiffrer une suite d'éléments binaires en la transformant en une nouvelle suite d'éléments binaires, qui, elle, ne peut être lue sans la clé de déchiffrement :

'( DES, de 1977, à clés symétriques. Les données sont codées par blocs de 64 bits avec une clé de 56 bits. Cet algorithme est très utilisé dans les applications financières.

Il est également utilisé dans un chaînage dit par bloc CBC (Cipher Block Chaining). Il existe de nombreuses variantes de l'algorithme DES, comme 3DES, qui utilise trois niveaux de chiffrement, ce qui implique une clé de chiffrement sur 168 bits.

'( RC4, RC5 (Rivest's Code #4, #5), de 1987, à clés symétriques. Ce sont des algorithmes propriétaires, diffusés par la société RSA Security Inc. Ils utilisent des clés de longueur variable pouvant atteindre 2 048 bits. Ils sont surtout utilisés au niveau applicatif lorsqu'une application a besoin d'être fortement sécurisée. Ils demandent une puissance de calcul importante, qui ne pourrait être maintenue sur un flot continu à haut débit à des niveaux inférieurs de l'architecture.

'( IDEA (International Data Encryption Algorithm), de 1992, à clés symétriques. Cet algorithme développé en Suisse est surtout utilisé pour la messagerie sécurisée PGP, que nous détaillons un peu plus loin dans ce chapitre.

'( Blowfish, de 1993, à clés symétriques.

'( AES (Advanced Encryption Standard), de 1997, à clés symétriques.

'( RSA (Rivest, Shamir, Adleman), de 1978, à clés asymétriques (RFC 2437).

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 24

Sécurisation d'un réseau intranet : cas de CAMTEL

" Diffie-Hellman, à clés asymétriques.

" El Gamal, à clés asymétriques.

L'ensemble des techniques que nous venons d'énumérer est difficile à mettre en oeuvre dès que le débit d'une application, d'un flot ou d'un lien augmente. C'est la raison pour laquelle, les techniques symétriques et asymétriques sont utilisées conjointement. Pour cela, on recourt à des clés de session, qui ne sont valables que pour une communication déterminée. Les informations de la session sont codées grâce à une clé secrète permettant de réaliser un chiffrement avec beaucoup moins de puissance qu'une clé asymétrique.

Seule la clé secrète est codée par un algorithme de chiffrement asymétrique pour être envoyée au destinataire.

2.2.1.2.3 Les certificats

Une difficulté qui s'impose à la station d'un réseau qui communique avec beaucoup d'interlocuteurs consiste à se rappeler de toutes les clés publiques dont elle a besoin pour récupérer les clés secrètes de session. Pour cela, il faut utiliser un service sécurisé et fiable, qui délivre des certificats. Un organisme offrant un service de gestion de clés publiques est une autorité de certification, appelée tiers de confiance. Cet organisme émet des certificats au sujet de clés permettant à une entreprise de les utiliser avec confiance.

Un certificat est constitué d'une suite de symboles (document M) et d'une signature. Le format de certificat le plus courant provient du standard X.509 v2 ou v3. La syntaxe utilisée est l'ASN.1.

2.2.1.2.4 L'authentification

L'authentification a pour objectif de vérifier l'identité des processus communicants.

Plusieurs solutions simples sont mises en oeuvre pour cela, comme l'utilisation d'un identifiant (login) et d'un mot de passe (password). L'authentification peut s'effectuer par un numéro d'identification personnel, comme le numéro inscrit dans une carte à puce, ou code PIN (Personal Identification Number).

Des techniques beaucoup plus sophistiquées, comme les empreintes digitales ou rétiniennes, se développent de façon industrielle en ce début des années 2000. Cependant, leur utilisation est assez complexe et ne peut être mise en place que dans un contexte particulier, comme un centre de recherche de l'armée.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 25

Sécurisation d'un réseau intranet : cas de CAMTEL

L'authentification peut être simple ou mutuelle. Elle consiste essentiellement à comparer les données provenant de l'utilisateur qui se connecte à des informations stockées dans un site protégé. Des attaques sur les sites mémorisant les mots de passe forment une classe importante de piratage.

2.2.1.2.5 L'intégrité des données

L'intégrité des données consiste à prouver que les données n'ont pas été modifiées. Elles ont éventuellement pu être copiées, mais aucun bit ne doit avoir été changé.

Une première possibilité pour garantir l'intégrité des données transportées dans un paquet est de les chiffrer. En effet, si les données sont impossibles à déchiffrer par le récepteur, c'est qu'elles ont été modifiées. Cette solution permet à la fois de garantir la confidentialité et l'intégrité.

Une seconde possibilité provient des techniques de signature. Une signature, déterminée par l'ensemble des éléments binaires composant un message, est nécessaire pour en assurer l'intégrité. Le chiffrement joue le rôle de signature dans la première possibilité. Une signature plus simple que le chiffrement est suffisante dans le cas d'une demande d'intégrité uniquement. Pour cela, on utilise des fonctions de hachage, qui calculent une empreinte digitale qu'il suffit de vérifier au récepteur pour prouver que la suite d'éléments binaires n'a pas été modifiée. Pour que l'empreinte ne puisse être modifiée par hasard lors de la transmission, c'est-à-dire pour que le pirate ne puisse à la fois déterminer l'algorithme de hachage utilisé et recalculer une nouvelle valeur de l'empreinte sur la suite d'éléments binaires modifiés, une fonction de chiffrement doit être appliquée à la signature.

Les plus célèbres techniques de signature sont les suivantes :

? MD5 (Message Digest #5), de 1992, défini dans la RFC 1321. Ce sont des fonctions conçues par Ron Rivest qui produisent des empreintes de 128 bits.

? SHA-1 (Secure Hash Algorithm), de 1993, pour les fonctions de hachage. Cette technique permet de réaliser une empreinte de 160 bits.

2.2.1.2.6 La non-répudiation

Les services de non-répudiation consistent à empêcher le démenti qu'une information a été reçue par une station qui l'a réclamée. Ce service permet de donner des preuves, comme on peut le faire par télex. De manière équivalente, on peut retrouver la trace d'un appel téléphonique, de telle sorte que le récepteur de l'appel ne puisse répudier cet appel.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 26

Sécurisation d'un réseau intranet : cas de CAMTEL

La fonction de non-répudiation peut s'effectuer à l'aide d'une signature à clé privée ou publique ou par un tiers de confiance qui peut certifier que la communication a bien eu lieu.

2.2.2 La sécurité dans l'environnement IP

Les échanges de données s'effectuent généralement entre un client et un serveur, mais les applications peer-to-peer, qui vont directement d'un client à un autre client, deviennent de plus en plus courantes. En règle générale, le client se sert d'un identifiant déterminé par un login et un mot de passe mis en clair sur le réseau. Le client est donc identifié, et il obtient l'autorisation d'accéder au serveur grâce à son mot de passe. Cependant, cette solution peut se révéler bien faible face à des pirates.

L'absence d'authentification de la provenance des paquets IP rend possible de nombreuses attaques, comme les dénis de service (denial of service), c'est-à-dire le refus ou l'impossibilité pour un serveur de fournir l'information demandée.

Il existe de nombreuses familles d'attaques dans les réseaux ; le paragraphe suivant donne un certain nombre d'exemples de ces attaques avant d'examiner les parades possibles.

2.2.2.1 Les attaques

a) Attaques sur le réseau

Voici les principales techniques d'attaques sur le réseau :

'/ Le sniffing : technique permettant de récupérer toutes les informations transitant sur un réseau (on utilise pour cela un logiciel sniffer). Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le réseau.

'/ La mystification (en anglais spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement.

'/ Le déni de service (en anglais denial of service) : technique visant à générer des arrêts de service, et ainsi d'empêcher le bon fonctionnement d'un système.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 27

Sécurisation d'un réseau intranet : cas de CAMTEL

b) Les attaques par Internet

Les attaques concernent deux grands champs : celles qui visent les équipements terminaux et celles qui visent le réseau Internet lui-même. Elles ne sont pas totalement décorrélées puisque les attaques des machines terminales par Internet utilisent souvent des défauts d'Internet.

Les attaques du réseau Internet lui-même consistent à essayer de dérégler un équipement de routage ou un serveur, comme les serveurs DNS, ou à obstruer les lignes de communication. Les attaques des machines terminales consistent à prendre le contrôle de la machine pour effectuer des opérations non conformes. Très souvent, ces attaques s'effectuent par le biais des logiciels réseau qui se trouvent dans la machine terminale.

Cette section explicite quelques attaques parmi les plus classiques.

c) Les attaques par ICMP

Le protocole ICMP (Internet Control Message Protocol) est utilisé par les routeurs pour transmettre des messages de supervision permettant, par exemple, d'indiquer à un utilisateur la raison d'un problème. Un premier type d'attaque contre un routeur ou un serveur réseau consiste à générer des messages ICMP en grande quantité et à les envoyer vers la machine à attaquer à partir d'un nombre de sites important.

Pour inonder un équipement de réseau, le moyen le plus simple est de lui envoyer des messages de type ping lui demandant de renvoyer une réponse. On peut également inonder un serveur par des messages de contrôle ICMP d'autres types.

d) Les attaques par TCP

Le protocole TCP travaille avec des numéros de port qui permettent de déterminer une adresse de socket, c'est-à-dire d'un point d'accès au réseau. Cette adresse de socket est formée par la concaténation de l'adresse IP et de l'adresse de port. À chaque application correspond un numéro de port, par exemple 80 pour une application HTTP.

Une attaque par TCP revient à utiliser un point d'accès pour faire autre chose que ce pour quoi il a été défini. En particulier, un pirate peut utiliser un port classique pour entrer dans un ordinateur ou dans le réseau de l'entreprise. La figure 2.7 illustre une telle attaque. L'utilisateur ouvre une connexion TCP sur un port correspondant à l'application qu'il projette de dérouler. Le pirate commence à utiliser le même port en se faisant passer pour l'utilisateur et se fait envoyer les réponses. Éventuellement, le pirate peut prolonger les

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 28

Sécurisation d'un réseau intranet : cas de CAMTEL

réponses vers l'utilisateur de telle sorte que celui-ci reçoive bien l'information demandée et ne puisse se douter de quelque chose.

Figure 2.4 : attaque par le protocole TCP [2]

Nous verrons en fin de chapitre comment les pare-feu, ou firewalls, essaient de parer ce genre d'attaque en bloquant certains ports.

e) Les attaques par cheval de Troie

Dans l'attaque par cheval de Troie, le pirate introduit dans la station terminale un programme qui permet de mémoriser le login et le mot de passe de l'utilisateur. Ces informations sont envoyées à l'extérieur par le biais d'un message vers une boîte aux lettres anonyme.

Diverses techniques peuvent être utilisées pour cela, allant d'un programme qui remplace le gestionnaire de login jusqu'à un programme pirate qui espionne ce qui se passe dans le terminal.

J) Les attaques par dictionnaire

Beaucoup de mots de passe étant choisis dans le dictionnaire, il est très simple pour un automate de les essayer tous. De nombreuses expériences ont démontré la facilité de cette attaque et ont mesuré que la découverte de la moitié des mots de passe des employés d'une grande entreprise s'effectuait en moins de deux heures.

Une solution simple pour remédier à cette attaque est de complexifier les mots de passe en leur ajoutant des lettres majuscules, des chiffres et des signes comme !, ?, &, etc.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 29

Sécurisation d'un réseau intranet : cas de CAMTEL

g) Les autres attaques

Le nombre d'attaques possibles est bien trop grand pour que nous puissions les citer toutes. De plus, de nouvelles procédures d'attaque s'inventent chaque jour.

Les attaques par écoute consistent, pour un pirate, à écouter une ligne de communication et à interpréter les éléments binaires qu'il intercepte.

Les attaques par fragmentation utilisent le fait que les informations de supervision se trouvent dans la première partie du paquet à un emplacement parfaitement déterminé. Un pirate peut modifier la valeur du bit de fragmentation, ce qui a pour effet de faire croire que le message se continue alors qu'il aurait dû se terminer. Le pare-feu voit donc arriver une succession de fragments qui suivent les fragments de l'utilisateur sans se douter que ces fragments complémentaires ont été ajoutés par le pirate.

Les algorithmes de routage sont à la base de nombreuses attaques. En effectuant des modifications sur les tables de routage, le pirate peut récupérer de nombreuses informations qui ne lui sont pas destinées ou dérouter les paquets, lesquels, par exemple, vont effectuer des boucles et saturer le réseau.

De la même façon, de nombreuses attaques sont possibles en perturbant un protocole comme ARP (Address Resolution Protocol), soit pour prendre la place d'un utilisateur, soit en captant des données destinées à un autre.

2.2.2.2 Les parades

Les parades aux attaques sont nombreuses. Elles relèvent autant du comportement humain que de techniques spécifiques. Nous allons examiner les principales : l'authentification, l'intégrité du flux, la non-répudiation, la confidentialité du flux et la confidentialité au niveau de l'application.

a) L'authentification

Une première parade visant à empêcher qu'un autre terminal que celui prévu ne se connecte ou bien qu'un terminal ne se connecte sur un serveur pirate est offerte par les méthodes d'authentification. L'authentification peut être simple, et ne concerner que l'utilisateur, ou mutuelle, et impliquer à la fois le client et le serveur.

Dans des applications de type Telnet, e-mail ou LDAP, le client s'authentifie avec un mot de passe auprès du serveur pour établir ses droits. Dans une application de commerce

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 30

Sécurisation d'un réseau intranet : cas de CAMTEL

électronique (HTTP), il est nécessaire d'authentifier le serveur puis le client, généralement à l'aide d'un mot de passe. Le protocole HTTP ne possédant pas de moyen efficace d'authentification du client, la société Netscape a introduit vers 1995 la notion de cookie, destinée à identifier un flux de requêtes HTTP disjointes.

b) L'intégrité du flux de données

L'intégrité d'un flux de données demande qu'il ne puisse y avoir une altération des informations transportées. Un pirate pourrait en effet modifier une information pour tromper le récepteur. Il est à noter qu'intégrité ne signifie pas confidentialité. En effet, il est possible que l'information ne soit pas confidentielle et qu'elle puisse être recopiée, sans que cela pose de problème à l'utilisateur. Cependant, l'utilisateur veut que son information arrive intègre au récepteur.

La solution classique à ce genre de problème consiste à utiliser une empreinte. À partir de l'ensemble des éléments binaires dont on souhaite assurer l'intégrité, on calcule une valeur, qui ne peut être modifiée sans que le récepteur s'en rende compte. Les empreintes regroupent les solutions de type empreinte digitale, signature électronique, analyse rétinienne, reconnaissance faciale et, d'une manière générale, tout ce qui permet de signer de façon unique un document. Ces différentes techniques de signature proviennent de techniques d'authentification puisque, sous une signature, se cache une authentification. Dans les réseaux IP, la pratique de la signature électronique est de plus en plus mise en oeuvre pour faciliter le commerce et les transactions financières.

c) La non-répudiation

La non-répudiation consiste à empêcher l'éventuel refus d'un récepteur d'effectuer une tâche suite à un démenti de réception. Si la valeur juridique d'un fax est reconnue, celle d'un message électronique ne l'est pas encore. Pour qu'elle le soit, il faut un système de non-répudiation. Les parades visant à éviter qu'un utilisateur répudie un message reçu proviennent essentiellement d'une signature unique sur le message et sur son accusé de réception, c'est-à-dire une signature qui ne serait valable qu'une seule fois et serait liée à la transmission du message qui a été répudié. Un système de chiffrement à clés publiques peut être utilisé dans ce contexte.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 31

Sécurisation d'un réseau intranet : cas de CAMTEL

Une autre solution, qui se développe, consiste à passer par un notaire électronique, qui, par un degré de confiance qui lui est attribué, peut certifier que le message a bien été envoyé et reçu.

Une difficulté importante de la non-répudiation dans une messagerie électronique provient de la vérification que le récepteur en a pris possession et a lu le message. Il n'existe pas de règle aujourd'hui sur Internet pour envoyer des messages de type lettre recommandée. Le récepteur peut, par exemple, recevoir le message dans sa boîte aux lettres électronique mais ne pas le récupérer. Il peut également recopier le message dans la boite aux lettres de son terminal et le supprimer sans le lire.

Les techniques de non-répudiation ne sont pas encore vraiment développées dans le monde IP. En effet, cette fonction de sécurité est souvent jugée moins utile que les autres.

Cependant, elle est loin d'être absente. En effet, dans le commerce électronique elle est capitale pour qu'un achat ne puisse être décommandé sans certaines conditions déterminées dans le contrat d'achat. Cette fonction serait également utile dans des applications telles que la messagerie électronique, où l'on aimerait être sûr qu'un message est bien arrivé.

Même si la non-répudiation n'est pas implémentée de façon automatique, elle est proposée dans de nombreuses applications qui en ont besoin.

d) La confidentialité

La confidentialité désigne la capacité de garder une information secrète. Le flux, même s'il est intercepté, ne doit pas pouvoir être interprété. La principale solution permettant d'assurer la confidentialité d'un flux consiste à le chiffrer. Les systèmes de chiffrement ont été présentés au chapitre 2.

Aujourd'hui, étant donné la puissance des machines qui peuvent être mises en jeu pour casser un code, il faut utiliser de très longues clés. Les clés de 40 bits peuvent être percées en quelques secondes et celles de 128 bits en quelques minutes sur une très grosse machine. Une clé RSA de 128 bits a été cassée en quelques heures par un ensemble de machines certes important mais accessible à une entreprise.

Pour casser une clé, il faut récupérer des données chiffrées, parfois en quantité importante, ce qui peut nécessiter plusieurs heures d'écoute, voire plusieurs jours si la ligne est à faible débit. Une solution à ce problème de plus en plus souvent utilisée consiste à changer de clé

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 32

Sécurisation d'un réseau intranet : cas de CAMTEL

régulièrement de telle sorte que l'attaquant n'ait jamais assez de données disponibles pour casser la clé.

Dans la réalité, il est plus facile de pirater une clé que d'effectuer son déchiffrement. Une parade pour contrer les pirates réside dans ce cas dans un contrôle d'accès sophistiqué des bases de données de clés.

La confidentialité est aujourd'hui un service fortement utilisé dans le monde IP. IPsec en est un très bon exemple, et nous le détaillons un peu plus loin dans ce chapitre. De nouvelles méthodes, comme le chiffrement quantique, sont à l'étude et pourraient déboucher sur des méthodes encore plus sûres.

2.2.3 La securité dans les protocoles

Conçus avant les années 2000, les protocoles du monde IP n'ont pas intégré de fonctions de sécurité. De nombreuses failles de sécurité existent donc, qui sont comblées régulièrement par des RFC spécifiques.

Les attaques sur les protocoles de gestion ou de contrôle peuvent facilement arrêter le fonctionnement d'un réseau. Il suffit, par exemple, de faire croire aux accès que le réseau est saturé ou que les noeuds sont en panne pour que les performances du réseau s'effondrent totalement.

2.2.3.1 La sécurité dans SNMP

La RFC 2274 définit le modèle USM (User-based Security Model) de sécurité de SNMP, qui offre à la fois une authentification et un service de sécurité.

Les principales attaques dont SNMP peut être l'objet sont les suivantes :

? Modification de l'information : une entité peut altérer un message en transit généré par une entité autorisée pour modifier une opération de type comptabilité, configuration ou opération.

? Mascarade : une entité prend l'identité d'une entité autorisée.

? Modification à l'intérieur d'un flot de messages : SNMP est construit pour gérer un protocole de transport en mode sans connexion. Les messages peuvent être réordonnés d'une façon différente de celle d'origine et détruits ou rejoués d'une autre manière. Par exemple, un message qui redémarre une machine peut être copié puis rejoué ultérieurement.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 33

Sécurisation d'un réseau intranet : cas de CAMTEL

? Ordre de secret : une entité peut observer les échanges entre un manager et son agent et apprendre les valeurs des objets gérés. Par exemple, l'observation d'un ensemble de commandes capables de modifier un mot de passe permettrait à un utilisateur de modifier le mot de passe et d'attaquer le site.

Le modèle de sécurité USM ne prend pas en compte les deux fonctionnalités suivantes :

? Refus de service : un attaquant interdit l'échange d'informations entre un manager et son agent. les échanges d'information de gestion s'effectuent entre un manager de gestion et ses agents. Si le manager ne reçoit plus les informations du réseau et vice versa, les agents ne reçoivent plus les commandes du manager, et le processus de gestion du réseau ne peut plus s'effectuer. On appelle cette attaque un refus de service, puisque le service de gestion refuse de travailler.

? Analyse de trafic : un attaquant observe le type de trafic qui s'effectue entre un manager et son agent. L'analyse permet de détecter les ordres qui sont passés et les remontées d'information. Après analyse du trafic, le pirate peut faire croire au manager que le trafic est totalement différent de ce qu'il est effectivement dans le réseau.

Pour contrer ces différentes attaques, deux fonctions cryptographiques ont été définies dans USM : l'authentification et le chiffrement. Pour les réaliser, le moteur SNMP requiert deux valeurs : une clé privée et une clé d'authentification. Ces valeurs sont des attributs de l'utilisateur qui ne sont pas accessibles par des primitives SNMP.

Deux algorithmes d'authentification sont disponibles : HMAC-MD5-96 et HMAC-SHA-96. L'algorithme HMAC utilise une fonction de hachage sécurisée et une clé secrète pour produire un code d'authentification du message. Ce protocole fortement utilisé dans Internet est décrit en détail dans la RFC 2104.

2.2.3.2 IPsec (IP sécurisé)

Le monde TCP/IP permet d'interconnecter plusieurs millions d'utilisateurs, lesquels peuvent souhaiter que leur communication reste secrète. IP transporte de plus un grand nombre de transactions pour lesquelles une certaine confidentialité est nécessaire, par exemple pour prendre en charge la transmission de numéros de carte bancaire.

L'idée développée dans les groupes de travail sur la sécurité dans le monde IP consiste à définir un environnement contenant un ensemble de mécanismes de sécurité. Les

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 34

Sécurisation d'un réseau intranet : cas de CAMTEL

mécanismes de sécurité appropriés sont choisis par une association de sécurité. En effet, toutes les communications n'ont pas les mêmes caractéristiques, et leur sécurité ne demande pas les mêmes algorithmes.

Chaque communication se définit par sa propre association de sécurité. Les principaux éléments d'une association de sécurité sont les suivants :

? algorithme d'authentification ou de chiffrement utilisé ;

? clés globales ou spécifiques à prendre en compte ;

? autres paramètres de l'algorithme, comme les données de synchronisation ou les valeurs d'initialisation ;

? durée de validité des clés ou des associations ;

? sensibilité de la protection apportée (secret, top secret, etc.).

La solution IPsec introduit des mécanismes de sécurité au niveau du protocole IP, de telle sorte qu'il y ait indépendance vis-à-vis du protocole de transport. Le rôle de ce protocole de sécurité est de garantir l'intégrité, l'authentification, la confidentialité et la protection contre les techniques rejouant des séquences précédentes. L'utilisation des propriétés d'IPsec est optionnelle dans IPv4 et obligatoire dans IPv6.

Une base de données de sécurité, appelée SAD (Security Association Database), regroupe les caractéristiques des associations par l'intermédiaire de paramètres de la communication. L'utilisation de ces paramètres est définie dans une autre base de données, la SPD (Security Policy Database). Une entrée de la base SPD regroupe les adresses IP de la source et de la destination, ainsi que l'identité de l'utilisateur, le niveau de sécurité requis, l'identification des protocoles de sécurité mis en oeuvre, etc.

Le format des paquets IPsec est illustré à la figure 2.8. La partie la plus haute de la figure correspond au format d'un paquet IP dans lequel est encapsulé un paquet TCP. La partie du milieu illustre le paquet IPsec. On voit que l'en-tête IPsec vient se mettre entre l'en-tête IP et l'en-tête TCP. La partie basse de la figure montre le format d'un paquetdans un tunnel IPsec. La partie intérieure correspond à un paquet IP encapsulé dans un paquet IPsec de telle sorte que le paquet IP intérieur soit bien protégé. [2]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 35

Sécurisation d'un réseau intranet : cas de CAMTEL

Figure 2.5 : Format des paquets IPsec [2]

Dans un tunnel IPsec, tous les paquets IP d'un flot sont transportés de façon totalement chiffrée. Il est de la sorte impossible de voir les adresses IP ni même les valeurs du champ de supervision du paquet IP encapsulé. La figure 2.9 illustre un tunnel IPsec.

Figure 2.6 : tunnel IPsec

a) L'en-tête d'authentification

L'en-tête d'authentification est ajouté immédiatement derrière l'en-tête IP standard.

À l'intérieur de l'en-tête IP, le champ indiquant le prochain protocole inclus dans le paquet IP (champ Next-Header) prend la valeur 51. Cette valeur précise que les champs IPsec et

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 36

Sécurisation d'un réseau intranet : cas de CAMTEL

d'authentification sont mis en oeuvre dans le paquet IP. L'en-tête IPsec possède lui-même un champ indiquant le protocole encapsulé dans le paquet IPsec. En d'autres termes, lorsqu'un paquet IP doit être sécurisé par IPsec, il repousse la valeur de l'en-tête suivant, qui était dans le paquet IP, dans le champ entête suivant de la zone d'authentification d'IPsec et met la valeur 51 dans l'en-tête de départ.

La figure 2.10 présente le détail l'en-tête d'authentification. Comme indiqué précédemment, cet en-tête commence par la valeur indiquant le protocole transporté. Le champ LG (Length), sur un octet, indique la taille de l'en-tête d'authentification.

Vient ensuite une zone réservée, sur 2 octets, qui prend place avant le champ sur 4 octets, donnant un index des paramètres de sécurité, qui décrit le schéma de sécurité adopté pour la communication. [2]

Figure 2.7 : format de l'en-tête d'authentification[2]

Le champ numéro de séquence, qui contient un numéro de séquence unique, est nécessaire pour éviter les attaques de type rejeu, dans lesquelles le pirate rejoue exactement la même séquence de messages que l'utilisateur par une copie pure et simple.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 37

Sécurisation d'un réseau intranet : cas de CAMTEL

Par exemple, si vous consultez votre compte en banque et qu'un pirate recopie vos messages, même chiffrés, c'est-à-dire sans les comprendre, il peut, à la fin de votre session, rejouer la même succession de messages, qui lui ouvrira les portes de votre compte. L'en-tête d'authentification se termine par les données associées à ce schéma de sécurité. Il transporte le type d'algorithme de sécurité, les clés utilisées, la durée de vie de l'algorithme et des clés, une liste des adresses IP des émetteurs qui peuvent utiliser le schéma de sécurité, etc.

b) L'en-tête d'encapsulation de sécurité

Pour permettre une confidentialité des données, tout en garantissant une authentification, IPsec utilise une encapsulation dite ESP (Encapsulating Security Payload), c'est-à-dire une encapsulation de la charge utile de façon sécurisée. La valeur 50 est transportée dans le champ en-tête suivant (Next-Header) du paquet IP pour indiquer cette encapsulation ESP. La figure 2.11 illustre ce processus d'encapsulation. On s'aperçoit que l'encapsulation ESP ajoute trois champs supplémentaires au paquet IPsec : l'en-tête ESP, qui suit l'entête IP de départ et porte la valeur 50, le Trailer, ou en-queue, ESP, qui est chiffré avec la charge utile, et le champ d'authentification ESP de taille variable, qui suit la partie chiffrée sans être lui-même chiffré.

Figure 2.8 : processus d'encapsulation ESP [2]

Le paquet ESP est repris à la figure 2.12 de façon un peu plus détaillée en ce qui concerne les champs internes, à partir du champ ESP d'en-tête.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 38

Sécurisation d'un réseau intranet : cas de CAMTEL

Figure 2.9 : format de l'entête ESP [2]

La première partie de l'encapsulation reprend les paramètres SPI (Security Parameter Index) et numéro de séquence que nous avons déjà décrits dans l'en-tête d'authentification. Vient ensuite la partie transportée et chiffrée. L'en-queue ESP comporte une zone de bourrage optionnelle, allant de 0 à 255 octets, puis un champ longueur du bourrage (Length) et la valeur d'un en-tête suivant.

La zone de bourrage a plusieurs raisons d'être. La première provient de l'adoption d'algorithmes de chiffrement, qui exigent la présence d'un nombre de 0 déterminé après la zone chiffrée. La deuxième raison vient de la place de l'en-tête suivant, qui doit être aligné à droite, c'est-à-dire prendre une place en fin d'un mot de 4 octets. La dernière raison est que, pour contrer une attaque, il peut être intéressant d'ajouter de l'information sans signification susceptible de leurrer un pirate.

c) Les compléments d'IPsec

Dans IPsec, le chiffrement ne s'effectue pas sur l'ensemble des champs, car certains champs, que l'on appelle mutable, changent de valeur à la traversée des routeurs, comme le champ TTL (durée de vie). Dans le calcul du champ d'authentification, le processus ne tient pas compte de ces champs mutables.

Les algorithmes de sécurité qui peuvent être utilisés dans le cadre d'IPsec sont déterminés par un certain nombre de RFC :

? Pour l'en-tête d'authentification :

- HMAC avec MD5 : RFC 2403 ;

- HMAC avec SHA-1 : RFC 2403.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 39

Sécurisation d'un réseau intranet : cas de CAMTEL

? Pour l'en-tête ESP :

- DES en mode CBC : RFC 2405 ; - HMAC avec MD5 : RFC 2403 ; - HMAC avec SHA-1 : RFC 2404.

d) La sécurité dans IPv6

Le protocole IPv6 contient les mêmes fonctionnalités qu'IPsec. On peut donc dire qu'il n'existe pas d'équivalent d'IPsec dans le contexte de la nouvelle génération IP.

Les champs de sécurité sont optionnels. Leur existence est détectée par les valeurs 50 et 51 du champ en-tête suivant (Next-Header). Globalement, la sécurité offerte par IPv6 est donc exactement la même que celle offerte par IPsec. Elle est toutefois plus simple à mettre en oeuvre puisque le protocole de sécurité est dans le protocole IPv6 lui-même. On peut en déduire que la sécurisation des communications sera beaucoup plus simple avec la nouvelle génération de réseau qui utilisera IPv6.

Cela pose toutefois d'autres problèmes. Si tous les flux sont chiffrés, par exemple, il n'y a plus moyen de reconnaître les numéros de port ou les adresses source et destination, et les applications deviennent transparentes. Toutes les appliances intermédiaires, comme les pare-feu ou les contrôleurs de qualité de service, deviennent inutilisables.

L'information sur le type d'application véhiculé ne se trouve qu'à la source ou à la destination, et c'est là qu'il faut venir la rechercher. De nouvelles architectures de contrôle sont donc à prévoir avec l'arrivée d'IPv6, ce qui constitue une raison de repousser cette arrivée dans beaucoup d'entreprises. [2]

2.2.4 La sécurité par anti-virus

Les virus sont des programmes, généralement écrits en langage machine, susceptibles de s'introduire dans un ordinateur et de s'y exécuter. L'exécution peut produire de nombreux effets, allant du blocage d'une fonction à la destruction des ressources de l'ordinateur, comme l'effacement de la mémoire ou du disque dur, en passant par l'émission de messages incontrôlés.

Les logiciels antivirus ont pour fonction de détecter la présence de virus sur une machine et de les détruire. Certains virus sont résistants, et les logiciels antivirus peuvent avoir du mal à les détecter.

On dénombre un très grand nombre de techniques de virus, notamment les suivantes :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 40

Sécurisation d'un réseau intranet : cas de CAMTEL

'/ Boot sector virus, ou virus travaillant sur le programme de démarrage. Ce programme se met en route au moment de la mise en marche de la station terminale. Le virus se trouve sur le disque dur et peut se dupliquer sur les disquettes ou les CD. Suivant son origine, le virus bloque un certain nombre de fonctions, parfois de façon aléatoire afin de ne pas se faire détecter. Il peut aussi empêcher tout démarrage de la machine en ne permettant pas à une instruction importante du programme de démarrage de se dérouler.

'/ File infected virus. Ce sont les plus courants. Ils s'attachent à un programme exécutable particulier et, en s'exécutant, bloquent la mise en route du programme, tout en s'attachant à d'autres programmes.

'/ Polymorphic virus. Le rôle de ces virus est de ne pas se faire détecter, tout en causant un certain nombre d'ennuis à l'utilisateur. Ils se modifient en passant à un autre programme, de telle sorte qu'ils sont parfois très difficiles à détecter puisque non répertoriés dans une forme spécifique à un programme.

'/ Stealth virus, que l'on peut traduire par virus furtifs. Comme les précédents, ils tentent de ne pas se faire détecter facilement tout en occasionnant des dégâts aux programmes auxquels ils s'accrochent. Une des méthodes qu'ils emploient le plus fréquemment consiste à s'incruster dans les programmes en prenant la place de quelques lignes de code de telle sorte que la taille exacte du programme reste inchangée.

'/ Encrypted virus. Ces virus forment une famille très délicate à repérer puisqu'ils sont chiffrés et que les antivirus n'ont pas la possibilité de les déchiffrer pour les détecter. Ces virus doivent pouvoir être déchiffrés pour être mis en oeuvre. Ils nécessitent donc un environnement qui leur est adapté. Ils utilisent généralement les techniques de chiffrement utilisées classiquement dans les systèmes d'exploitation qu'ils attaquent.

'/ Worms, ou vers. Ces virus sont de nature différente. Ce sont eux-mêmes des programmes qui transportent des virus. Beaucoup d'attaques sur les messageries s'effectuent en attachant un vers au message. L'utilisateur à qui l'on a fait croire à l'utilité de ce programme l'ouvre et l'exécute. Le virus attaché peut alors commencer à infecter la machine.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 41

Sécurisation d'un réseau intranet : cas de CAMTEL

'/ Trojan horses, ou chevaux de Troie. Ces virus bien connus sont des programmes qui s'introduisent à l'intérieur de l'ordinateur et donnent des renseignements à l'attaquant externe. Le code du cheval de Troie est généralement encapsulé dans un programme système nécessaire au fonctionnement de l'ordinateur.

'/ Time bomb virus. Ces virus sont liés à l'horloge du système et se déclenchent à une heure déterminée à l'avance.

'/ Logical bombs, ou bombes logiques. Ces virus se déclenchent lorsqu'un certain nombre de conditions logiques sont vérifiées.

Il est de plus en plus difficile de détecter les virus, les pirates essayant de les encapsuler dans des programmes innocents. Les parades à ces attaques sont nombreuses, quoique jamais complètement efficaces. La solution la plus simple consiste à se doter d'un antivirus mis à jour régulièrement. [2]

2.2.5 La sécurité autour des pare-feu

Un pare-feu est un équipement physique (matériel) ou logique (logiciel) de réseau servant de système de protection pour les ordinateurs domestiques. Il peut également servir d'interface entre un ou plusieurs réseaux d'entreprise afin de contrôler et éventuellement bloquer la circulation des données en analysant les informations contenues dans les flux de données (cloisonnement réseau). La situation géographique d'un pare-feu est illustrée à la figure 2.13.

Figure 2.10 : situation d'un pare-feu dans l'entreprise[2]

Toute la question est de savoir comment reconnaître les paquets à accepter et à refuser. Il est possible de travailler de deux façons :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 42

Sécurisation d'un réseau intranet : cas de CAMTEL

V' interdire tous les paquets sauf ceux d'une liste prédéterminée ;

V' accepter tous les paquets sauf ceux d'une liste prédéterminée.

En règle générale, un pare-feu utilise la première solution en interdisant tous les paquets, sauf ceux qu'il est possible d'authentifier par rapport à une liste de paquets que l'on souhaite laisser entrer. Cela comporte toutefois un inconvénient : lorsqu'un client de l'entreprise se connecte sur un serveur à l'extérieur, la sortie par le pare-feu est acceptée puisque authentifiée. La réponse est généralement refusée, puisque le port sur lequel elle se présente n'a aucune raison d'accepter ce message s'il est bloqué par mesure de sécurité. Pour que la réponse soit acceptée, il faudrait que le serveur puisse s'authentifier et que le pare-feu lui permette d'accéder au port concerné.

L'autre option est évidemment beaucoup plus dangereuse puisque tous les ports sont ouverts sauf ceux qui ont été bloqués. Une attaque ne se trouve pas bloquée tant qu'elle n'utilise pas les accès interdits.

Avant d'aller plus loin, considérons les moyens d'accepter ou de refuser des flots de paquets. Les filtres permettent de reconnaître un certain nombre de caractéristiques des paquets, comme l'adresse IP d'émission, l'adresse IP de réception, parfois les adresses de niveau trame, le numéro de port et plus généralement tous les éléments disponibles dans l'en-tête du paquet IP. Pour ce qui concerne la reconnaissance de l'application, les filtres sont essentiellement réalisés sur les numéros de port utilisés par les applications.

Un numéro de port est en fait une partie d'un numéro de socket, ce dernier étant la concaténation d'une adresse IP et d'un numéro de port.

Les numéros de port correspondent à des applications. Les principaux ports sont recensés au tableau 2.1.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 43

Sécurisation d'un réseau intranet : cas de CAMTEL

Tableau 2.1 : principaux ports TCF et UDF [2]

Un pare-feu contient donc une table, qui indique les numéros de port acceptés.

Le tableau 2.2 donne la composition d'un pare-feu classique, dans lequel seulement six ports sont ouverts, dont l'un ne l'est que pour une adresse de réseau de classe C spécifique.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 44

Sécurisation d'un réseau intranet : cas de CAMTEL

Tableau 2.2 : composition d'un pare-feu classique [2]

Les pare-feu peuvent être de deux types, proxy et applicatif. Dans le premier cas, le pare-feu a pour objectif de couper la communication entre un client et un serveur ou entre un client et un autre client. Ce type de pare-feu ne permet pas à un attaquant d'accéder directement à la machine attaquée, ce qui donne une forte protection supplémentaire. Dans le second cas, le pare-feu détecte les flots applicatifs et les interrompt ou non suivant les éléments filtrés. Dans tous les cas, il faut utiliser des filtres plus ou moins puissants.

2.2.5.1 Les filtres

Les filtres sont essentiellement appliqués sur les numéros de port. La gestion de ces numéros de port n'est toutefois pas simple. En effet, de plus en plus de ports sont dynamiques. Avec ces ports, l'émetteur envoie une demande sur le port standard, mais le récepteur choisit un nouveau port disponible pour effectuer la communication. Par exemple, l'application RPC (Remote Procedure Call) affecte dynamiquement les numéros de port. La plupart des applications P2P (Peer-to-Peer) ou de signalisation de la téléphonie sont également dynamiques.

L'affectation dynamique de port peut être contrôlée par un pare-feu qui se comporte astucieusement. La communication peut ainsi être suivie à la trace, et il est possible de découvrir la nouvelle valeur du port lors du retour de la demande de transmission d'un message TCP. À l'arrivée de la réponse indiquant le nouveau port, il faut détecter le numéro du port qui remplace le port standard. Un cas beaucoup plus complexe est possible, dans lequel l'émetteur et le récepteur se mettent directement d'accord sur un numéro de port. Dans ce cas, le pare-feu ne peut détecter la communication, sauf si tous les ports sont

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 45

Sécurisation d'un réseau intranet : cas de CAMTEL

bloqués. C'est la raison essentielle pour laquelle les pare-feu n'acceptent que des communications déterminées à l'avance.

Cette solution de filtrage et de reconnaissance des ports dynamiques n'est toutefois pas suffisante, car il est toujours possible pour un pirate de transporter ses propres données à l'intérieur d'une application standard sur un port ouvert. Par exemple, un tunnel peut être réalisé sur le port 80, qui gère le protocole HTTP. À l'intérieur de l'application HTTP, un flot de paquets d'une autre application peut passer. Le pare-feu voit entrer une application HTTP, qui, en réalité, délivre des paquets d'une autre application.

Une entreprise ne peut pas bloquer tous les ports, sans quoi ses applications ne pourraient plus se dérouler. On peut bien sûr essayer d'ajouter d'autres facteurs de détection, comme l'appartenance à des groupes d'adresses IP connues, c'est-à-dire à des ensembles d'adresses IP qui ont été définies à l'avance. De nouveau, l'emprunt d'une adresse connue est assez facile à mettre en oeuvre. De plus, les attaques les plus dangereuses s'effectuent par des ports qu'il est impossible de bloquer, comme le port DNS. Une des attaques les plus dangereuses s'effectue par un tunnel sur le port DNS.

Encore faut-il que la machine réseau de l'entreprise qui gère le DNS ait des faiblesses pour que le tunnel puisse se terminer et que l'application pirate s'exprime dans l'entreprise. Nous verrons à la section suivante comment il est possible de renforcer la sécurité des pare-feu.

Pour sécuriser l'accès à un réseau d'entreprise, une solution beaucoup plus puissante consiste à filtrer non plus aux niveaux 3 ou 4 (adresse IP ou adresse de port) mais au niveau applicatif. Cela s'appelle un filtre applicatif. L'idée est de reconnaître directement sur le flot de paquets l'identité de l'application plutôt que de se fier à des numéros de port. Cette solution permet d'identifier une application insérée dans une autre et de reconnaître les applications sur des ports non conformes. La difficulté avec ce type de filtre réside dans la mise à jour des filtres chaque fois qu'une nouvelle application apparaît. Le pare-feu muni d'un tel filtre applicatif peut toutefois interdire toute application non reconnue, ce qui permet de rester à un niveau de sécurité élevé.

2.2.5.2 La sécurité autour du pare-feu

Comme nous l'avons vu, le pare-feu vise à filtrer les flots de paquets sans empêcher le passage des flots utiles à l'entreprise, flots que peut essayer d'utiliser un pirate. La structure

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 46

Sécurisation d'un réseau intranet : cas de CAMTEL

de l'entreprise peut être conçue de différentes façons. Deux solutions générales sont mises en oeuvre. La première est illustrée à la figure 2.11, et la seconde à la figure 2.12.

Dans le premier cas, la communication, après avoir traversé le pare-feu, se dirige au travers du réseau d'entreprise vers le poste de travail de l'utilisateur. Dans ce cas, il faut que les postes de travail de l'utilisateur soient des machines sécurisées afin d'empêcher les flots pirates qui auraient réussi à passer le pare-feu d'entrer dans des failles du système de la station. Comme cette solution est très difficile à sécuriser, puisqu'elle dépend de l'ensemble des utilisateurs d'une entreprise, la plupart des architectes réseau préfèrent mettre en entrée de réseau une machine sécurisée, que l'on appelle machine bastion (voir figure 2.12).

La machine bastion apporte quelques difficultés supplémentaires de gestion. En effet, elle prend en charge l'ouverture et la fermeture des communications d'un utilisateur avec l'extérieur. Par exemple, un client avec son navigateur ne peut plus accéder à un serveur externe puisque la machine bastion l'arrête automatiquement. [2]

Figure 2.11 : place d'un pare-feu dans l'infrastructure réseau [2]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 47

Sécurisation d'un réseau intranet : cas de CAMTEL

Figure 2.12 : pare-feu associé à une machine bastion [2]

Le bastion doit être équipé d'un serveur proxy, et chaque navigateur être configuré pour utiliser le proxy. La communication se fait donc en deux temps. L'utilisateur communique avec son proxy, et celui-ci ouvre une communication avec le serveur distant. Lorsqu'une page parvient au proxy, ce dernier peut la distribuer au client. Le bastion peut d'ailleurs servir de cache pour les pages standards utilisées par une entreprise.

Le défaut de cette dernière architecture provient de sa relative lourdeur, puisqu'il est demandé à une machine spécifique d'effectuer le travail réseau pour toutes les machines de l'entreprise. De plus, la sécurité de toute l'entreprise peut être menacée si l'ordinateur bastion n'est pas parfaitement sécurisé, car un pirate externe peut avoir accès à l'ensemble des ressources de l'entreprise. De fait, l'architecture de sécurité peut s'avérer plus complexe lorsqu'un ordinateur bastion est mis en place.

La figure 2.16 illustre quelques-unes des architectures de sécurité qui peuvent être mises en place.

Figure 2.13 : architectures de sécurité avec machine bastion [2]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 48

Sécurisation d'un réseau intranet : cas de CAMTEL

La partie supérieure de la figure représente une organisation assez classique, dans laquelle l'ordinateur bastion est protégé des deux côtés par des pare-feu, pour filtrer aussi bien ce qui arrive de l'entreprise que ce qui arrive de l'extérieur. Le schéma montre deux pare-feu. Il est possible d'utiliser un seul pare-feu connecté à l'ordinateur bastion. Il est aussi possible de mettre en place manuellement une connexion directe entre les deux pare-feu pour effectuer des tests et des mises au point.

La deuxième partie de la figure est assez semblable à la précédente. Elle montre toutefois une organisation un peu différente, utilisant un réseau local pour relier les deux pare-feu et l'ordinateur bastion. La troisième partie de la figure montre une architecture encore plus complexe, dans laquelle une entreprise peut accéder à plusieurs opérateurs simultanément. Dans ce cas, un pirate peut entrer dans le réseau d'un opérateur en provenance d'un autre opérateur en passant par la passerelle d'une entreprise. Là, le piratage ne vise pas l'entreprise mais une autre entreprise, située sur le réseau de l'opérateur piraté. Pour sécuriser ce passage, l'ordinateur bastion doit de nouveau jouer le rôle de proxy, empêchant le passage direct. [2]

CONCLUSION

La sécurité dans un réseau IP est un problème complexe pour la simple raison qu'elle n'a pas été introduite en même temps que les protocoles de base. Des efforts énormes sont déployés en ce sens depuis plus d'une dizaine d'années. On admet que pour définir la sécurité, l'on peut partir de la couche application en disant qu'une application est sécurisée si l'utilisateur qui s'en sert a été identifié et authentifié, si les données transportées n'ont pas été modifiées, si les données n'ont pas pu être interceptées et si elles ont une valeur juridique.

À partir de cette définition, on peut considérer que la sécurité consiste en cinq types d'opération :

V' identification d'un utilisateur ; V' authentification d'un utilisateur ; V' intégrité des données ;

V' confidentialité des données ; V' non-répudiation.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 49

Sécurisation d'un réseau intranet : cas de CAMTEL

Les outils à mettre en oeuvre pour assurer ces opérations proviennent de différents horizons et progressent rapidement pour tenter de rattraper le retard sur les attaquants, qui ont toujours une longueur d'avance.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 50

Sécurisation d'un réseau intranet : cas de CAMTEL

CHAPITRE 3: PARE-FEU IPCOP : FONCTIONNEMENT ET INSTALLATION

3.1 CAHIER DE CHARGES

Les mécanismes de sécurité des réseaux informatiques sont très variés mais reposent tous sur trois méthodes fondamentales : les méthodes physiques, le filtrage et le chiffrement.

Un intranet ne se réduit pas seulement à un ensemble de fonctionnalités dont les utilisateurs n'auraient qu'à s'emparer ; sa fonction est aussi de gérer l'information. Sa mise en place relève d'un projet au terme duquel l'entreprise aura déterminé ses objectifs et ses besoins, ce qui n'est pas un travail technique mais d'abord stratégique. Ce travail dont l'aboutissement est le cahier des charges techniques qui nous a été remis ne suffira pas si l'entreprise n'a pas correctement évalué la capacité de ses utilisateurs à s'approprier de l'outil.

Une fois ces questions cernées, ce sont les conditions de mise en place d'un intranet qui seront examinées, notamment la méthode de projet et les conditions d'appropriation humaines. Ce qui nous emmènera à nous interroger sur l'aptitude d'un intranet à créer de la transversalité à partir de dispositifs collaboratifs.

3.1.1 Description de la demande :

Le réseau intranet CAMTEL comme tout réseau informatique et télécommunications n'est pas à l'abri des attaques d'origine interne et/ou externe. Ainsi, pour garantir la continuité des services et surtout garder la place de leader dans la fourniture des services informatiques et télécommunications au Cameroun, il nous est demandé d'implémenter une solution salutaire de sécurité à même capable de pallier aux problèmes d'attaques et d'intrusion observé dans le réseau intranet.

Le système aura pour but d'une part de garantir la disponibilité, l'intégrité, la confidentialité des informations et d'autre part de renforcer la sécurité lors du transport de l'information par la détection des intrusions.

3.1.2 Contraintes matérielles et logicielles.

L'application devra être extensible, complet au mieux en fonctionnalités, simple et léger dans son utilisation ; et surtout très moins chère à l'acquisition.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 51

Sécurisation d'un réseau intranet : cas de CAMTEL

3.1.3 Période de réalisation

La durée maximale de réalisation du projet est de cinq mois à compter du 1^er mars 2012

3.1.4 Recevabilité du projet

Le projet sera reçu si les conditions ci-dessus citées sont remplies

3.1.5 Coût du projet :

Le projet est évalué à 500 000 (cinq cent mille FCFA)

3.2 CHRONOLOGIE DES DIFFERENTES ETAPES DE DEPLOIEMENT D'IPCOP

IPCOP est une passerelle qui intègre un pare-feu. C'est une distribution linux faite pour protéger un réseau des menaces d'Internet et surveiller son fonctionnement. Il est distribué sous la licence GPL, ce qui signifie qu'il est distribuable gratuitement. Il est téléchargeable sous forme d'un fichier image à graver sur cd.

3.2.1 Possibilité de mise en oeuvre d'IPCop

IPCOP permet de fonctionner sous plusieurs configurations possibles :

"' Partage d'une connexion Internet : IPCOP sert alors de passerelle entre Internet et

le réseau intranet CAMTEL.

"' Partage d'une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert

de passerelle et gère une DMZ. Les serveurs dans la DMZ doivent être en IP fixes,

il suffit ensuite de configurer IPCOP pour qu'il route les demandes venant

d'Internet vers les serveurs adaptés selon les ports.

"' Partage d'une connexion Internet + DMZ + point d'accès wifi CAMTEL: IPCOP

peut gérer des clients wifi, ils sont séparés du réseau intranet CAMTEL.

Dans la philosophie IPCOP, les zones sont schématisées par des couleurs :

"' la zone RED représente internet.

"' La zone ORANGE représente la DMZ.

"' La zone BLEU représente les clients wifi (qui sont dans un réseau séparé).

"' La zone GREEN représente le réseau interne.

Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle, à savoir :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 52

Sécurisation d'un réseau intranet : cas de CAMTEL

" Le réseau interne (LAN) peut accéder à toutes les zones.

" La zone wifi peut accéder à internet et à la DMZ.

" La zone DMZ pourra accéder à internet.

" Aucun accès depuis Internet

" Pour autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le

spécifier au travers de l'interface web d'IPCOP.

^{RESEAU SANS FIL}

^{Intranet CAMTEL}

^INTERNET

^{Serveur IPCop}

^DMZ

Figure 3.1: Interfaces de IPCop

3.2.2 Liste des services offerts

" Interface web pour l'administration et la configuration d'IPCop.

" Affichage de l'état du système et graphique CPU/Mémoire/Disque/trafic sur

période journalière/semaine/mois/année.

" Informations sur les connexions en cours.

" Serveur SSH pour accès distant sécurisé.

" Proxy http/HTTPS.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 53

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Serveur DHCP.

1' Cache DNS.

1' Lissage de trafic.

1' Renvoi de ports TCP/UDP.

1' Support des DNS dynamiques.

1' Système de détection d'intrusion (interne et externe).

1' Support VPN pour relier des réseaux distants entre eux ou se connecter à distance

à un poste.

1' Accès aux logs par interface web : du système, de la connexion vers Internet, du

proxy, du firewall, de la détection des tentatives d'intrusion.

1' Mise à jour d'IPCop par l'interface web.

1' Sauvegarde de la configuration du système sur disquette.

1' Arrêt/Redémarrage à distance.

1' Support des modems RTC/RNIS.

1' Support de la quasi-totalité des modems ADSL USB et PCI

1' Possibilité d'utiliser une DMZ avec gestion des accès.

1' Possibilité de sécuriser un réseau sans fil.

3.2.3 Configuration minimale requise par IPCop

1' 586 ou équivalent

1' 300 Mo d'espace disque

1' Au moins 20 Mo de RAM jusqu'à 4 Go

1' Carte graphique compatible VGA pour l'installation

1' une à 4 interfaces réseau Ethernet

1' Connexion Internet (Modem, Câble, ISDN, ADSL,...)

1' Un lecteur Cdrom pour l'installation.

Pour l'utilisation de tous les services, en particulier pour le serveur mandataire (proxy

web / cache DNS), il vaut mieux prévoir un processeur type pentium 200, 64 Mo de ram,

et 500 Mo de disque dur. [3]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 54

Sécurisation d'un réseau intranet : cas de CAMTEL

3.2.4 Comment déployer IPCop au sein de l'entreprise CAMTEL ?

Nous avons présenté dans les paragraphes précédents IPCop comme étant une distribution LINUX faisant office de pare-feu matériel à différentes interfaces possible à savoir : ROUGE, VERTE, BLEUE et ORANGE. Qu' IPCop a besoin de connexions Ethernet pour l'interface réseau VERTE (réseau local filaire) et pour les éventuelles interfaces ORANGE (DMZ ou réseau non sûr) et BLEUE (réseau sans fils avec restriction des machines en accès).

Sa configuration de base (ROUGE/VERT) correspond à celle dans laquelle IPCop protège un unique réseau interne (VERT) de l'Internet (ROUGE). C'est ainsi que nous allons dans cette partie relier la première interface (ROUGE) eth0 à un réseau externe (Internet et/ou Extranet) et la seconde (VERTE) eth1 au réseau interne de l'entreprise (CAMTEL)

^{Intranet CAMTEL}

^INTERNET

^eth0

^eth1

^{Firewall IPCop}

3.3 OBJECTIF A ATTEINDRE :

L'objectif à atteindre est le suivant : IPCop Linux devra relier le réseau de l'entreprise à internet. De ce fait, La première interface eth0 sera reliée à internet avec une adresse IP dynamique ou statique. Tandis que la seconde reliera l'entreprise avec une IP fixe de réseau local.

Il faudra donc pour chaque interface réseau un routage et savoir ce qui passera. Maintenant, les deux grandes questions sont :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 55

Sécurisation d'un réseau intranet : cas de CAMTEL

3.3.1 Qu'accepte-t-on venant de l'internet ?

Nous avons ici un employé CAMTEL désirant recevoir des trames d'internet ; ces trames devront obligatoirement passer par le firewall IPCop.

^{INTERNET Intranet CAMTEL}

^eth0

^{Firewall IPCop}

^{Employé CAMTEL}

^eth1

3.3.2 Que laisse-t-on faire aux utilisateurs de l'entreprise?

Nous avons ici un employé CAMTEL désirant atteindre le serveur qui se trouve soit dans la DMZ, soit sur Internet ; IPCop est la seule voie autorisée.

^{Intranet CAMTEL}

^{INTERNET /DMZ}

^eth0

^{Firewall IPCop}

^eth1

21: ^FTP

22: ^{SSH 25: SMTP 80:HTTP 1863: MSN}

^{Employé CAMTEL}

^Serveur

Les principaux cas d'utilisation possible d'IPCop se résument donc là en : laisser entrer et sortir des informations.

3.4 REACTION DU FIREWALL IPCOP

Nous allons dans cette partie analyser les réactions du firewall IPCop en entrée et sortie ; c'est-à-dire lorsqu'il accepte et lorsqu'il refuse de laisser passer une information. [3]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 56

Sécurisation d'un réseau intranet : cas de CAMTEL

3.4.1 Réaction du firewall IPCop en sortie :

Lorsqu'un employé CAMTEL du réseau interne de l'entreprise veut accéder à internet, ou à d'autres services comme le serveur de mails, il doit passer par le firewall IPCop de l'entreprise. Ainsi, lorsque la demande est favorable à l'employé, trois cas peuvent être envisagés :

a) Le routage

Premièrement, le firewall IPCop peut faire du routage pur et dur, ce qui est très basique pour un firewall. L'employé va donc passer par ce dernier et accéder à ce qu'il demande. Le serveur verra cette personne avec sa propre adresse IP, et non pas avec celle du firewall IPCop.

N'oublions cependant pas que l'employé doit avoir une adresse IP internet et non pas une adresse IP d'un réseau interne. En effet, les adresses internes (généralement de ce genre : 192.168.0.xxx) d'un réseau ne sont pas compatibles avec les services se trouvant sur internet. [4]

b)

^eth1

^{Firewall IPCop}

^{Transparent à l'adresse de l'employé}

^eth0

^Adresse

^Publique

^Employé

^CAMTEL

Le masquerading / NAT

Deuxièmement, le firewall IPCop peut faire du « Masquerading / NAT », ou plus simplement, transition d'adresse IP. Cela revient toujours à faire du routage, mais en moins basique.

L'itinéraire est toujours le même : l'employé CAMTEL veut accéder à quelque chose sur internet et doit passer par le firewall IPCop de l'entreprise. Cet employé dispose d'une adresse IP du réseau interne de l'entreprise et ne peut donc pas aller sur le serveur ; c'est ici

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 57

Sécurisation d'un réseau intranet : cas de CAMTEL

qu'intervient la transition d'adresse IP. L'employé va être vu comme s'il était le firewall, qui lui dispose d'une ou plusieurs adresses IP internet.

Mais pourquoi ne pas avoir tout simplement donné une adresse IP internet à l'employé comme dans le cas précédent ? Tout simplement car il est assez rare d'avoir une IP officielle sur tous les PC du réseau interne (imaginez l'entreprise avec plus de mille employés et à chaque employé une adresse publique ; ça fait beaucoup d'adresses IP internet).

^{INTERNET /DMZ Intranet CAMTEL}

^eth0

^{Firewall IPCop}

^{Adresse Publique}

^eth1

21: ^FTP

22: ^{SSH 25: SMTP 80:HTTP 1863: MSN}

^{Adresse Privée}

^Employé

^CAMTEL

^Serveur

c) Service mandataire (Proxy)

Il peut y avoir un proxy derrière le firewall IPCop. L'employé CAMTEL demande au firewall IPCop de faire tout à sa place, et le proxy lui renverra les informations demandées. L'avantage est que tout se fait en interne.

^{INTERNET /DMZ Intranet CAMTEL}

^eth0

21: ^FTP

22: ^{SSH 25: SMTP 80:HTTP 1863: MSN}

^{Firewall IPCop}

^{Adresse Publique}

^Adresse

^Employé

Privée CAMTEL

^Serveur

^eth1

^{Serveur Proxy}

Le firewall IPCop peut très bien accepter que des informations sortent, tout comme il peut refuser que l'employé CAMTEL ait accès à certaines pages, certaines informations. Le firewall peut alors lui refuser l'accès de deux manières : par " Deny " ou " Reject "

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 58

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Deny

L'employé reçoit une réponse du firewall lui disant que ce qu'il demande est interdit, qu'il n'a pas le droit d'accéder à tel ou tel service.

1' Reject

Ici, l'employé ne reçoit aucune réponse. Il fait sa demande, mais rien ne se passe.

Le but du reject est de mettre plus longtemps à scanner un serveur ou autre, laissant la personne voulant l'atteindre dans l'attente : elle ne sait pas s'il y a quelque chose ou non, et s'il y a quelque chose, c'est peut-être parce que le réseau est surchargé.

3.4.2 Réaction du firewall IPCop en entrée :

Lorsque quelqu'un tente d'accéder par exemple au site d'une entreprise, il doit passer par le firewall de celle-ci, ou directement sur une machine de l'entreprise.

Encore une fois, cet employé pourrait recevoir l'information demandée, tout comme cette information pourrait lui être refusée.

Ici, c'est très simple, soit on accepte et le firewall renvoie la personne sur le serveur web, soit le firewall lui fournit les informations qu'il a demandé. Et lorsque cette personne ne peut pas accéder à ce qu'elle demande, le firewall lui en refuse l'accès par deny ou reject.

3.5 LES PROTECTIONS

Dans cette section, nous parlerons des règles appliquées au firewall IPCop, à savoir le blocage de port, le blocage conditionnel et la dislocation de paquets. [4]

3.5.1- Le blocage des ports

Une IP ne suffit pas pour exécuter des tâches sur un réseau. Il faut des ports, qui vont permettre à l'ordinateur de pouvoir distinguer les différentes sources de données et ainsi exécuter l'application souhaitée.

Plusieurs cas peuvent se présenter, nous vous présenterons les plus fréquents.

a) D'un Employé vers le serveur de l'entreprise CAMTEL

Nous avons plusieurs employés CAMTEL qui désirent se connecter au serveur web de l'entreprise. Le serveur étant web, seul le port 80 sera accessible et autorisé lorsque lesdits employés voudront se connecter. Le firewall IPCop laissera donc passer tous les employés

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 59

Sécurisation d'un réseau intranet : cas de CAMTEL

qui voudront voir le site web de l'entreprise. Par contre, ceux qui voudront accéder à un autre port que le port 80 (port 5631 d'après l'illustration ci-dessous) du serveur ne pourront pas y accéder car le trafic sur ce port n'est pas autorisé. Le firewall IPCop leur bloquera donc l'accès.

^eth1

^CAMTEL

^{INTERNET Intranet CAMTEL}

⁵⁶³¹

^{Port 80}

^(http)

^NON!

^{Firewall IPCop}

^OK

^{est autorisé à rentrer!}

^{Adresse Privée}

^{Serveur Web}

^{Port 80}

b) De l'entreprise CAMTEL vers l'extérieur

^Port

^{Le trafic sur le port 80}

^Employé Dans l'autre sens, ce sont les employés de l'entreprise CAMTEL qui voudront accéder à différentes applications. Dans l'exemple ci-dessous, nous remarquons que ces employés pourront voir des pages web, mais ne pourront tout de même pas aller sur Msn Messenger. En effet, le firewall IPCop bloque tout accès au port 1863 aux employés de l'entreprise. Ce dernier étant celui utilisé par le programme Msn Messenger.

c)

^{Intranet CAMTEL}

^{INTERNET /DMZ}

^{Serveur Web}

^{Port 80}

^{Port 80}

^(http)

^OK

^Employé

^CAMTEL

^{Port 1863}

^NON!

^{Firewall IPCop}

^Employé

^{CAMTEL 2}

^{Msn Messenger}

^{Port 1863}

^{Le proxy de l'entreprise}

^{Lorsque les employés de l'entreprise CAMTEL voudront aller sur un site web ou accéder à d'autres services (FTP, mail par exemple), ils devront tout d'abord passer par le proxy. Le}

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 60

Sécurisation d'un réseau intranet : cas de CAMTEL

proxy demandera les informations au serveur et les renverra à l'utilisateur les ayant demandées. S'ils essaient de ne pas passer par le proxy, ils ne pourront rien atteindre.

Le rôle d'un proxy est de limiter le nombre de connexions sortantes. En effet, seul le proxy accède à internet en direct.

^{INTERNET /DMZ Intranet CAMTEL}

^OK

^Proxy

^{"Service Mandataire"}

^CAMTEL

^{Serveur FTP}

^{Port 21}

^{Firewall IPCop}

^Employé

^{CAMTEL 2}

^{Serveur Web}

^{Port 80}

^NON!

3.5.2 Le blocage conditionnel

^Employé Le blocage conditionnel est un peu plus complexe que le blocage de ports. Il peut y en avoir de plusieurs sortes. Tout comme le blocage de ports, les blocages conditionnels nous permettent de bloquer l'accès à des sites web, des réseaux internes d'entreprises, etc. Nous parlerons des quatre méthodes de blocages conditionnels les plus fréquents.

a) Les IF sources

Pour refuser l'accès à un serveur, nous pouvons nous baser sur les IP sources. C'est à dire refuser par exemple l'accès d'un site web selon l'adresse IP de l'utilisateur qui tente de s'y connecter.

Ainsi, un fournisseur d'accès internet peut n'accepter que les connexions venant de chez ses propres clients pour accéder à certaines pages (comme la gestion de l'abonnement, le paramétrage des comptes de courrier électronique).

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 61

Sécurisation d'un réseau intranet : cas de CAMTEL

^OK

^NON!

^{Firewall IPCop}

^{"étrangère"}

^{INTERNET Intranet CAMTEL}

^{est autorisé à rentrer!}

^CAMTEL

^{Adresse Privée}

^{Adresse IF}

^{d'un Client CAMTEL}

^{Serveur Web}

^{Port 80}

^{Adresse IF}

^{Le trafic sur le port 80}

^Employé

b) Par authentification

Avant que le firewall IPCop ne laisse passer un client, il faut que celui-ci s'authentifie. Il peut le faire grâce à un login et un mot de passe, ou bien par un code généré.

Le plus souvent, lorsque l'on parle de code généré, on parle de « Secure ID ». Ces codes sont valables pendant une minute et sont fait de six chiffres. Prenons un exemple concret ; nous avons deux personnes qui veulent accéder à un compte bancaire. Entre les clients et le serveur sécurisé, il y a le firewall et le serveur Secure ID. La première demande pour se connecter au serveur sécurisé en donnant la Secure ID, qu'il a générée, au firewall IPCop. Le firewall IPCop va alors envoyer cette clé au serveur Secure ID pour savoir si la clé est bonne ou non (1). Pour notre premier client, elle est bonne. Le serveur Secure ID renvoie alors une confirmation au firewall IPCop disant que la clé envoyée est bonne (2). Le firewall IPCop va donc laisser le client accéder à son compte.

C'est la même chose pour le deuxième jusqu'au moment où le firewall IPCop a envoyé la clé au serveur Secure ID. Ici, la clé est incorrecte. Le serveur Secure ID envoie donc l'information au firewall IPCop comme quoi la clé est incorrecte (2). Le firewall IPCop ne laissera donc pas passer le client.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 62

Sécurisation d'un réseau intranet : cas de CAMTEL

^{INTERNET Intranet CAMTEL}

c)

¹

^{2 OK}

^Https

^{Port 443}

¹

^{Correct Secure ID}

¹

³

^{Client CAMTEL}

^"Intru"

^{Serveur Secure ID}

^{2 NON!}

^{Client CAMTEL}

^{avec Secure ID}

¹

^{Firewall IPCop}

^{Le nombre de connexion}

^{Un firewall IPCop peut vérifier le nombre de connexion simultanée chez une personne pour qu'elle ne se connecte pas plus de 2, ou 3 fois simultanément à un même site.}

^{Incorrect Secure ID}

d) La gestion du matériel

Cette méthode de protection est généralement utilisée sur les réseaux ethernet. Ici, on vérifie physiquement où se trouve la connexion internet grâce aux « Mac Address ». Cette Mac Address est un code spécifique à chaque carte réseau.

3.5.3-Dislocation de paquets

Ici, le firewall IPCop regarde ce qu'il y a dans chaque paquet d'information envoyé par l'eùployé vers le serveur de l'entreprise CAMTEL.

Ici, l'employé essaie de se connecter au serveur web de l'entreprise CAMTEL. Entre les deux, nous avons notre firewall IPCop qui analyse ce que demande l'employé. Le firewall IPCop va s'assurer de la nature des paquets, de leur contenu. Il ne faut pas que les informations que l'employé envoie sur le serveur web soient autres chose que de l'http et donc à destination du port 80.

En effet, les autres protocoles sont interdits.

Le firewall IPCop est capable de faire de la dislocation de paquets pour d'autres protocoles bien connus tel que FTP, POP, SMTP, etc...

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 63

Sécurisation d'un réseau intranet : cas de CAMTEL

Avant que le firewall IPCop ne fasse une dislocation des paquets, il exécute d'abord les protections par blocage de ports et les blocages conditionnels. En effet, regarder à l'intérieur de chaque paquet demande beaucoup de ressources, il ne faut donc pas faire celà inutilement.

Le firewall IPCop peut aussi utiliser des systèmes de détection, tels que l'IDS. En effet, il existe certaines méthodes pour contrer certains envois de paquets envoyés d'une manière plus spéciale.

^{INTERNET Intranet CAMTEL}

^{Firewall IPCop}

^{Serveur Web}

^{Port 80}

^Client

^X

3.6 INSTALLATION D'IPCOP

Pour commencer, nous avons commencé ici par choisir une version d'IPCop parmi tant d'autres. [5]

^{Analyse de la nature des}

3.6.1 Choix de la version :

La version 2.0.3 pour i486 est celle qui a retenu notre attention ; car est la plus récente des versions disponibles gratuitement en image à l'adresse http://www.ipcop.org. Elle présente une particularité laquelle elle intègre d'or déjà presque la totalité des Add-on nécessaires à son administration. Il s'agit notamment de :

V' Advanced Proxy disponible à l'adresse http://www.advproxy.net/

V' URL Filter disponible à l'adresse http://www.urlfilter.net/

V' BOT (Block Out traffic) disponible à l'adresse http://www.blockouttraffic.de/ V' OpenVPN (Zerina) disponible à l'adresse http://www.openvpn.eu/

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 64

Sécurisation d'un réseau intranet : cas de CAMTEL

Ce qui nécessitait l'installation sur le poste d'administration du réseau VERT du logiciel WinSCP ( http://winscp.net/) permettant leur transfert sur le serveur IPCop grâce à la connexion sécurisée SSH.

3.6.2 Installation de IPCop v2.0.3 pour i486 :

Après le boot sur le Cd, nous obtenons les informations suivantes :

Appuyer sur Entrer pour commencer

Dans la suite, nous allons présenter uniquement les fenêtres que nous avons jugées importantes pour l'installation notamment : Configuration du Clavier, Fuseau horaire, Nom d'hôte, Nom de domaine, Réseau, Mot de Passe.

- Choix des langues et configuration du clavier :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 65

Sécurisation d'un réseau intranet : cas de CAMTEL

Choisir French ; et appuyer sur OK pour continuer

Comme nous avons un clavier français, nous choissons "fr" puis nous cliquons sur OK pour continuer.

- Choix du fuseau horaire

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 66

Sécurisation d'un réseau intranet : cas de CAMTEL

Choisir Europe/Paris et appui OK pour continuer

- Nom d'Hôte

Notre nom d'Hôte est ipcopCAMTEL ; Appui sur OK pour continuer. - Nom de domaine

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 67

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 68

Sécurisation d'un réseau intranet : cas de CAMTEL

Notre nom de domaine est camtel.net ; appui sur OK pour continuer.

- Réseau

Ici, les cartes réseau disponibles sont automatiquement détectées et il ne nous reste plus qu'à configurer. Ainsi nous disposons de deux interfaces à configurer à savoir "RED et GREEN"

Appui sur Continuer

Sécurisation d'un réseau intranet : cas de CAMTEL

En ce qui concerne la configuration l'interface RED, plusieurs types de configurations nous sont proposés ; et notre choix dépendra de la politique de notre FAI.

Dans le cas de l'espèce, l'interface RED a été configurée en DHCP cas nous recevons en entrée une connexion sans fils de type DHCP

Appui sur OK pour continuer.

Dans la suite, nous devons saisir le nom d'hôte à utiliser pour le client DHCP

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 69

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 70

Sécurisation d'un réseau intranet : cas de CAMTEL

L'adresse du DNS fournie est identique à celle de la passerelle représentant l'adresse IP du point d'accès du fournisseur.

Appuis sur OK pour continuer.

L'interface VERT est celle qui relie le pare-feu au réseau intranet à sécuriser

Appui sur selectionner pour continuer.

Sécurisation d'un réseau intranet : cas de CAMTEL

Cette interface fait partir d'un réseau privé donc l'adresse et le masque sont mentionnés dans la fenêtre ci-dessous :

Appui sur OK pour continuer.

- Mot de passe

? Mot de passe "root"

Appui sur OK pour continuer.

Ce mot de passe est utilisé pour les accès en ligne de commande de IPCop

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 71

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Mot de passe "admin"

Appui sur OK pour continuer.

Ce mot de passe est utilisé pour l'accès aux pages web d'administration de IPCop

1' Mot de passe de sauvegarde

Appui sur OK pour continuer.

Ce mot de passe est utilisé pour la protection par cryptage des sauvegardes

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 72

Sécurisation d'un réseau intranet : cas de CAMTEL

? Mot de passe Connexion/Déconnexion

Appui sur OK pour continuer.

Ce mot de passe est utilisé pour les connexions et déconnexions de la page d'acueil d'IPCOP.

3.6.3 Après l'installation : Sélection du noyau

IPCop utilise le lanceur GRUB pour vous proposer un certain nombre de configurations du noyau Linux. Lors du démarrage, l'écran GRUB de sélection s'affiche.

Écran GRUB de sélection du noyau.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 73

Sécurisation d'un réseau intranet : cas de CAMTEL

Nous disposons de dix secondes pour stopper le lancement de la configuration par défaut en tapant sur une touche. Lorsque ce choix n'est pas opéré, la machine démarre avec la configuration par défaut, c'est à dire celle nommée IPCop.

Les touches fléchées sont utilisées pour choisir une autre configuration du noyau parmi celles proposées.

Avant de sélectionner une autre configuration, on s'assure qu'elle est adaptée aux possibilités de la machine.

Configuration de secours

La configuration IPCop est une configuration universelle ou configuration de secours. Si vous rencontrez un problème dans le fonctionnement d'IPCop avec un autre choix, revenez à cette configuration de secours.

GRUB est paramétré de sorte que le choix est conservé d'un redémarrage à l'autre. En d'autres termes, GRUB lancera toujours la dernière configuration choisie jusqu'à ce que vous la changiez vous-même à l'aide des touches fléchées.

Quatre configurations de noyau sont disponibles :

Une fois trouvée la bonne configuration du noyau, pressez la touche Entrée pour lancer IPCop.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 74

Sécurisation d'un réseau intranet : cas de CAMTEL

3.6.4 Démarrage du noyau sélectionné.

Après la sélection du noyau, le système procède au démarrage normal et invite le super utilisateur à se connecter.

Dans le cas de l'espèce, ce super utilisateur est "root" et le mot de passe "bertadz"

Actuellement, il ne nous reste plus qu'à lancer le navigateur dans une machine du réseau VERT, de configurer le pare-feu IPCop selon les exigences de notre cahier de charge et puis le mettre à la disposition de l'entreprise CAMTEL.

3.6.5 Changer de configuration par défaut

La dernière configuration choisie devient la configuration par défaut, jusqu'à ce que l'administrateur en charge de la sécurité de CAMTEL la modifie.

CONCLUSION

En somme, nous avons dans ce chapitre d'analysé la faisabilité technique et présenté les différents cas d'utilisation possible du pare-feu IPCop de part son fonctionnement et son installation au sein de l'entreprise CAMTEL. Ainsi, Comment IPCop a été configuré pour résoudre les problèmes de sécurité réseau de transport de l'information dans l'entreprise CAMTEL ? Cette question trouvera sa solution au terme du chapitre Résultats et Commentaires ci-après.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 75

Sécurisation d'un réseau intranet : cas de CAMTEL

CHAPITRE 4: RESULTATS ET COMMENTAIRES

IPCop est une distribution Linux complète à noyau allégé orientée pour les objectifs de sécurité réseau. Sa convoitise tant suscitée par les experts en matière de sécurité relève d'énormes attentes qu'il comble, faisant de lui le système libre de sécurité des réseaux le plus recommandé aux grandes entreprises. Ainsi son illustration dans le cas de l'entreprise CAMTEL consistera en la présentation de ses caractéristiques, sa méthode d'accès, ses onglets ainsi que ses autres potentialités.

4.1 CARACTERISTIQUES D'IPCOP

IPCop se caractérise par [6]:

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 76

Sécurisation d'un réseau intranet : cas de CAMTEL

4.2 METHODES D'ACCES A IPCop :

Pour accéder à IPCOP, nous avons disposé de deux possibilités requises par ce système : i' A travers d'une ligne de commande

i' A travers une interface graphique tout en saisissant dans un navigateur l'adresse IP de l'interface VERTE suivi du numéro de port¹.

¹D'une autre façon, l'on pouvait rentrer à la place de l'adresse IF le nom de l' d'hôte du serveur IFCop

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 77

Sécurisation d'un réseau intranet : cas de CAMTEL

4.3 LES ONGLETS D'IPCOP:

Les pages web d'administration d'IPCop sont accessibles par des onglets; ce sont :

4.3.1 Menu système.

Il permet la configuration du système et fonctions associées à IPCop. Il est constitué de section notamment :

1' Section Accueil : c'est la première page affiché lorsqu'on accède à l'interface d'IPCOP. Cette page permet principalement de connecter/déconnecter la passerelle d'Internet.

1' Section Mise à jour : permet de savoir si une mise à jour est disponible. Si une mise à jour est disponible, il suffit de la télécharger et de la transférer à IPCOP grâce à cette même Section.

1' Section Mot de passe : permet de changer le mot de passe de l'utilisateur "admin" (qui est l'administrateur d'IPCOP) et le mot de passe de l'utilisateur "Dial" (utilisateur qui a simplement le droit de connecter/déconnecter Internet dans le cas d'une connexion par modem.

1' Section Accès SSH : permet d'activer ou de désactiver le serveur SSH sur la passerelle. Le serveur ssh peut être utile pour faire des choses qu'on ne peut pas faire directement sur le site web d'IPCOP (ex : changer une l'adresse IP d'une interface).

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 78

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Section Interface graphique : permet de choisir la langue des pages web et d'activer/désactiver les menu déroulant pour les navigateurs non compatible avec javascript.

1' Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration d'IPCOP.

Il est aussi possible d'effectuer une sauvegarde sur disquette pour restaurer cette configuration lors d'une réinstallation complète d'IPCOP.

- Section Arrêter : permet d'arrêter et de redémarrer la passerelle.

- Section Crédits : pour contacter les auteurs d'IPCOP

4.3.2 Menu Etat

Il permet la présentation détaillée de l'état de plusieurs éléments du serveur IPCop. Il comporte des sections notamment :

1' Section Etat du système : permet de connaître l'état de tous les services ainsi que l'utilisation de la mémoire et disque.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 79

Sécurisation d'un réseau intranet : cas de CAMTEL

? Section Etat du réseau : permet de visualiser l'adresse IP des interfaces réseau, de voir les clients DHCP et les tables de routages.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 80

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Section Graphiques système : permet de visualiser sous forme de graphique l'utilisation du processeur, de la mémoire et du disque dur sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année.

1' Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 81

Sécurisation d'un réseau intranet : cas de CAMTEL

1' Section Graphes du proxy : donne des graphiques sur l'utilisation du serveur mandataires.

1' Section Connexion : permet de visualiser le connections en cours sur la passerelle. 4.3.3 Menu Réseau

Il permet la configuration/Administration des paramètres de connexion. Il est constitué de sections notamment :

1' Section Connexion : permet de rentrer les paramètres de connexion fournie par le FAI. Il est possible d'avoir plusieurs profils de connexion (dans le cas où l'on a plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de « repli »).

Les connexions IPTables sont suivies soit par Trafic, soit par Etat. Nous avons ci-dessous le suivi des connexions IPTables par Trafic.

1' Section Chargement : permet de télécharger les drivers pour faire fonctionner certains modems.

1' Section Modem : permet de modifier les commandes pour les modems RTC.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 82

Sécurisation d'un réseau intranet : cas de CAMTEL

4.3.4 Menu Services

Il permet la configuration/Administration de nombreux services optionnels de du serveur IPCop. Il comporte des sections telles que :

? Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns).

Nous avons ci-dessous en image l'essentiel de la configuration du serveur mandataire.

Au niveau de la gestion de la cache, nous avons les potentielles configurations ci-dessous :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 83

Sécurisation d'un réseau intranet : cas de CAMTEL

La figure ci-dessous illustre d'éventuels cas de méthodes et paramètres globaux d'authentification

1' Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une).

1' Section DNS Dynamique : permet de mettre en place un client pour mettre à jour un dns dynamique (type dyndns.org, no-ip.com, ...).

1' Section Hôtes statiques : permet d'ajouter des hôtes avec IP statiques.

1' Section Serveur de temps : permet à la passerelle d'être un client NTP d'un part et d'être un serveur NTP pour le réseau interne d'autre part (attention : le serveur NTP met quelques heures avant de fonctionner).

1' Section Lissage de trafic : (voir paragraphe 4.4.2)

4.3.5 Menu Pare-feu (voir paragraphe 4.4.4)

4.3.6 Menu VPNs (voir paragraphe 4.4.3)

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 84

Sécurisation d'un réseau intranet : cas de CAMTEL

4.3.7 Menu Journaux

Il permet la consultation de tous les journaux d'évènements générés par le serveur IPCop (parefeu, sonde de détection d'intrusion, etc). Il comporte les sections :

1' Section Configuration des journaux : permet de choisir si les journaux doivent être affichés dans l'ordre chronologique ou chronologique inverse. On peut aussi choisir d'envoyer les journaux sur un serveur syslog et changer le niveau de verbosité.

1' Section Résumé des journaux : cour résumé des journaux du serveur mandataire, du système, du serveur sshd et de l'utilisation du disque.

1' Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a été activée).

1' Section Journaux du pare-feu : permet de visualiser les journaux d'accès au pare-feu.

1' Section Journaux système : permet de visualiser les journaux systèmes (systems, dns, dhcp, ssh, ntp, ...)

4.4 LES POTENTIALITES D'IPCOP:

4.4.1 Système de détection d'intrusion (IDS):

IPCop intègre un puissant système de détection d'intrusion nommé Snort. Il offre également la possibilité de contrôler les paquets réseau sur toutes les interfaces par activation des sondes de détection d'intrusion sur toutes les zones.

En effet, Snort est connu par sa capacité d'effectuer en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers, scans mais il faut toujours envisager une mise à jour régulière pour assurer sa fiabilité.

Ici, il nous a suffi juste de cocher ceci dans l'interface graphique système de détection des intrusions. [7]

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 85

Sécurisation d'un réseau intranet : cas de CAMTEL

4.4.2 Lissage de Traffic "Shaping" :

Il permet de limiter les débits montant et descendant des clients et employés qui vont sur internet. On peut aussi donner des priorités différentes selon les services pour faire de la QoS (Quality of Service).

IPCop minimise la latence au Ping et garantir les services interactifs. Il gère également ce phénomène tout en assignant des priorités aux flux. Les services sont regroupés en trois catégories de priorités à savoir : Haute, Moyenne et Basse.

Lors de nos configurations, le débit descendant a été fixé à 512 Kbps et le débit montant à 256 Kbps

4.4.3 Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) :

Un VPN est une extension des réseaux locaux qui procure une norme de sécurité en télécommunications. Il repose sur le protocole appelé "protocole de tunneling". Son principe consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel.

IPCop établi facilement des VPNs avec d'autres serveurs IPCop. Il suffit de saisir les différentes données utiles pour l'établissement de la connexion dans la section Paramètres régionaux ; rubrique Options avancées.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 86

Sécurisation d'un réseau intranet : cas de CAMTEL

Dans ce cas, la gestion des Autorités de certification se fera dans la section CA de l'onget

RPVs

4.4.4 Le pare-feu

Il a permis la configuration voire l'administration de la fonction pare-feu du serveur IPCop. Cet onglet nous a permis de présenter les fonctionnalités nécessaires au control des flux traversant notre pare-feu. Ici, le jeu a consisté à établir suivant des règles bien définies l'accès (ou non) aux employés CAMTEL (ou autre usagers) à des services ou groupe de services aux travers des ports bien spécifiés. Ainsi, bon nombre de cas étaient au rendezvous parmi lesquels :

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 87

Sécurisation d'un réseau intranet : cas de CAMTEL

i' Transferts de ports qui nous à permet juste d'ouvrir à l'extérieur les ports de notre machine IPCop mais pas notre réseau VERT.

i' Accès externes qui nous a permis de configurer l'accès à la maintenance de notre IPCop depuis l'extérieur.

i' Accès à la DMZ qui peut permettre le paramétrage les accès au réseau VERT depuis la DMZ.

i' Accès au réseau BLEU qui peut permettre la connexion d'un point d'accès sans fil à IPCop.

i' Des options du pare-feu qui nous a permis de configurer plus finement certains comportements du pare-feu.

La figure ci-dessous présente les configurations faites pour autoriser les accès SSH et HTTPs depuis le réseau VERT vers IPCop, ainsi que la restriction par administration de l'adresse MAC.

De même nous avons ci-dessous les stratégies d'interfaces où tout est "ouvert" sauf l'interface rouge ; et par defaut toute action est réfusée.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 88

Sécurisation d'un réseau intranet : cas de CAMTEL

La figure ci-dessous illustre quelques-unes des règles définies lors de la configuration de notre serveur IPCop

Cette figure nous renseigne selon les règles du pare-feu que :

? Au cas 1 (Trafic en sortie): tout trafic du réseau VERT franchissant l'interface VERT (INTRANET) vers l'interface ROUGE (INTERNET OU EXTRANET) au service "Ping" est accepté ;

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 89

Sécurisation d'un réseau intranet : cas de CAMTEL

i' Au cas 2 (Accès IPCop) : tout trafic du réseau VERT franchissant l'interface VERT (INTRANET) vers le serveur IPCop (LOOPBACK) au service "Ping" est accepté;

i' Au cas 3 (Trafic interne) : tout trafic de tunneling du RPV vers l'interface VERT (INTRANET) au service "Ping" est accepté ;

i' Au cas 4 (Transfert de port) : le pare-feu est ouvert à tout trafic de tout interface

réseau (VERT, ROUGE) vers l'interface VERT (INTRANET) au service "Ping";

i' Au cas 5 (Accès externe à IPCop) : le pare-feu est ouvert à tout trafic franchissant l'interface ROUGE (INTERNET OU EXTRANET) vers le serveur IPCop (LOOPBACK) au service "Ping".

CONCLUSION

Notre objectif dans ce chapitre a été de montrer que le firewall IPCop répond aux attentes de

l'entreprise CAMTEL en matière de sécurité réseau. Il en ressort au vu de

i' ses captivantes caractéristiques ;

i' ses méthodes d'accès au choix de l'administrateur selon ses compétences et désirs,

i' l'ergonomie dans la disposition de ses onglets motivant son exploration ;

i' des énormes potentialités (IDS, RPVs, "SHAPPING") qu'il offre ;

i' sans oublier son coût d'acquisition ;

que le firewall IPCop est la solution louable pour une sécurité réseau sans pareille de

l'intranet CAMTEL.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 90

Sécurisation d'un réseau intranet : cas de CAMTEL

CONCLUSION ET PERSPECTIVES

En somme, le travail à nous soumis étant celui du renforcement de la sécurité du réseau intranet CAMTEL par une solution libre, complète en fonctionnalités et surtout simple d'utilisation en vu de garantir la disponibilité, l'intégrité, la confidentialité ainsi que la détection des intrusions, nous nous sommes convenus après analyse des spécifications du cahier de charge et de la synthèse des solutions possibles que seul le pare-feu retiendrait notre attention. Face à cette situation, nous avons pu constater qu'il existait un grand nombre de pare-feu de gamme et type différents. Ainsi, Que l'on choisisse, un pare-feu matériel, logiciel ou même encore bridge, qu'il soit gratuit ou payants, de type filtrage de paquet ou proxy, l'essentiel est d'en choisir un qui satisfasse un maximum de critères de choix. De ce fait, IPCOP en tant qu'une distribution Linux complète à noyau allégé orientée pour les objectifs de sécurité fait sailli du tas et s'impose comme cerbère des réseaux.

Il en ressort par là qu'avoir un réseau ou un ordinateur à l'abri d'attaques ou de menaces n'est pas impossible. Il suffit aux jours d'aujourd'hui de le vouloir, ou d'y mettre les moyens.

Ce stage nous a permis d'avoir une idée plus claire sur les applications du domaine de la sécurité informatique et réseau. Nous avons également découvert le firewall IPCop et amélioré notre aptitude à utiliser le système d'exploitation Linux. Cependant, nous avons rencontré de nombreux problèmes au cours de l'élaboration de ce travail ; ces derniers lors de l'analyse contextuelle dus au fait qu'il n'existait pas encore un minimum de confiance entre les responsables en charge de la sécurité de l'entreprise CAMTEL et nous (STAGIAIRES).

En perspective, nous proposons d'améliorer si possible les performances de notre pare-feu

IPCop d'une part à travers l'exploitation des fichiers logs générés en alertant
l'administrateur réseau à chaque tentative d'intrusion de haut niveau par un mail ou un SMS ; et d'autre part par des éventuelles mises à jours du système.

Il faut bien signaler que ce stage en entreprise CAMTEL est une excellente initiation à la vie professionnelle car il offre un aperçu de ce que sera le travail au sein d'une équipe de sécurité informatique. Il a donc été une expérience enrichissante aussi bien sur le plan théorique que pratique.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 91

Sécurisation d'un réseau intranet : cas de CAMTEL

REFERENCES BIBLIOGRAPHIQUES

[1] Danis Michaël, Installation d'une Passerelle avec règles de filtrage et de sécurité, Mémoire de fin de formation de BTS IG, Lycée Monge, 2006, pages 8-9.

[2] Guy Pujolle, Les Réseaux, Edition Eyrolles, 75240 Paris Cedex 05, France, 2008, pp 867-932.

[3] Chantier national DRTIC, Les réseaux des EPLEFPA Guide « IpCop », Enseignement agricole, Formations grandeur nature, République française, Ministère de l'alimentation, de l'agriculture et de la pêche, 2010, page 3-4.

[4] Laurent Bloch Christophe Wolfhugel, Sécurité informatique : Principes et méthode, Edition Eyrolles, 75240 Paris Cedex 05, France.

[5] IPCop Firewall Distribution Linux - The bad packets stop here - Le Pare Feu digne de son nom, consulté le 31/08/2012, 20 heures.

[6] SECURINETS, Atelier IPCOP, pages 1-4.

[7] Bernard Boutherin, Benoit Delaunay, Cahiers de l'Admin Linux : Sécuriser un réseau, Edition Eyrolles, 75240 Paris Cedex 05, France, 2006.

[8] Developpez.com : Club des professionnels de l'informatique, consulté le 31/08/2012, 23 heures.

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 92

Sécurisation d'un réseau intranet : cas de CAMTEL

ANNEXE

Figure14 :Architecture du réseau intranet de CAMTEL

Mémoire présenté et soutenu par Bertrand MOHOTE TADZONG Page 93