MISE EN PLACE D'UN RESEAU VPN

AU SEIN D'UNE ENTREPRISE

Cas de la BRALIMA Sarl

2011-2012

REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE
ET DE RECHERCHE SCIENTIFIQUE

INSTITUT SUPERIEUR DE COMMERCE

« I.S.C »
Cycle de licence
SECTION : SCIENCES COMMERCIALES, FINANCIERES ET INFORMATIQUES

DEPARTEMENT : INFORMATIQUE DE GESTION

B.P 16 596 KIN I
KINSHASA/GOMBE

BAHATI - SHABANI Eric

Mémoire de Fin d'Etudes présenté et défendu en vue de l'obtention du titre de licencié en Informatique de Gestion

Option : RESEAU

Directeur : Prof. IVINZA LEPAPA A.C. Rapporteur : C.T. Jacques DISONAMA

EPIGRAPHE
"Les lionceaux éprouvent la disette et la faim, mais ceux quicherchent l'Eternel ne sont privés d'aucun bien".

Psaumes 34 : 11

DEDICACE

Ce travail, je le dédie à l'Eternel Dieu d'Abraham, d'Espérance MBAKADI, celui qui est la source de toute intelligence et du savoir et sa grace m'avait accompagnée tout au long de mon parcours estudiantin.

Je dédie également ce travail à toute ma famille et à tous ceux qui me sont chers, je dédie ce travail.

BAHATI - SHABANI Eric

[4]
REMERCIEMENT

Je remercie l'Eternel Dieu, l'auteur de mon souffle qui ne cesse de renouveler ses bontés chaque jour dans ma vie, pour m'avoir donné la force, la santé et l'intelligence nécessaires pour accomplir ce travail et son amour combien si grand qu'il m'a offert ds mon jeune age jusqu'à ce jour.

J'adresse mes remerciements aux autorités de l'Institut Supérieur de Commerce « I.S.C » en sigle, DG KABAMBA MUEU, SG Professeur Ordinaire MVIBUDULU KALUYITUKAKO ainsi que le corps académique pour les conseils et l'encadrement.

J'adresse mes remerciements à Monsieur Alphonse Christian IVINZA

LEPAPA, Professeur MIS des Universités qui a bien voulu assurer la direction de ce mémoire et qui a toujours été à l'écoute et tres disponible tout au long de la réalisation de ce travail. Ainsi, pour l'inspiration, l'aide et le temps qu'il a bien voulu me consacré et sans lequel, ce mémoire n'aurait jamais vu le jour.

Ainsi qu'à Monsieur Jacques DISONAMA, Ingénieur Civil, ICT à l'OCHA et Chef des Travaux, pour avoir accepté la tche de rapporteur et de ce travail tout au long de mes recherches. Une mention particulière à ces deux personnes pour leurs encouragements, leur compréhension et leur sympathie dans les moments difficiles.

Nous adressons nos sentiments de gratitude à nos enseignants : Professeur MBIKAYI MPANYA, Professeur KANGA MATONDO, Professeur MAKINDU MASSAMBA Hilaire, Professeur MAPHANA MA NGUMA, Professeur SABITI, Professeur KOLA, Professeur BOOTO, C.T. NKUSU NDONGALA, C.T. MADEKO MIBWEYELE Hilaire, C.T. MAYAMONA, pour la bonne formation.

Je remercie Monsieur Philémon Mizele pour m'avoir accueilli dans le Département Informatique au sein de l'entreprise Bralima Sarl.

J'exprime ma gratitude en particulier à Monsieur Robert MATENDO, ICT à la Bralima Sari malgré ces multiples occupations, qui a bien voulu assurer l'encadrement de ce mémoire, à qui nous disons un grand merci.

J'exprime ma gratitude envers messieurs Pierrot Ramazani Ingénieur Civii ICT à l'Action DAMIEN, Messieurs Roger MAYALA, Papy PAMBU et Michel ICT à la Bralima Sari pour m'avoir fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail.

J'exprime également ma gratitude en particulier aux Messieurs Fao KITSA et Ely KATEMBO SHABANI qui ont bien voulu me soutenir matériellement et financièrement afin que ce mémoire soit élaboré.

J'exprime également ma gratitude à Monsieur Jean-Claude KIZITO qui a bien voulu me soutenir matériellement afin que ce mémoire arrive à son terme.

Les mots me manquent pour exprimer ma profonde reconnaissance à ma cousine Joyce BIZIGE, pour m'avoir céder son laptop ; afin que ce mémoire soit élaboré.

Pour finir, une mention spéciale à tous mes collègues de service, Papy Mvondo, Yannick, Cédric, Baby GUBEGELA, Christian, Serge, etc., pour avoir su imposer une ambiance toute particulière à ces deux mois passés pour arriver à élaborer ce travail.

Un grand merci également à Madame KAT Matilde, Monsieur Potin FURUGUTA, Madame MADO MPAMBU, Monsieur Charles, Madame Clotilde, Monsieur Martin LUMBU, Monsieur TENDA, Monsieur BARUA, Monsieur Samy AKAFUMU, Monsieur Willy, Monsieur Emmanuel KABENGELE pour leurs aides et encouragement.

Aux freres, soeurs, amis et connaissances, pour tous les biens faits, nous citons ici, Tante KIZA et son mari, Oncle Jeannôt, Fabrice KAMBALE, Micheline KATUUTA, Grace SHABANI, Tom MANENO, Antho KIHUGHO, Junior MANENO, Jeffrey KATUUTA, Passy KIHUGHO, Anita KIHUGHO, Jean-Luc KATUUTA, Béni MANENO, Jean-Luc SHABANI, Josué SHABANI, Annie KATUUTA et son époux

Hilaire MAKENGO, Da Seina MATONDO et son époux, Ange MANENO, Harmonie SHABANI, Mireille SHABANI, MUSUBAO, Angel MAKAYA, Charly TABU, Chrispin ABEDI, Madame Espérance KAJEJE HAMULI, Rachel HAMULI, Blaise KABUYAYA, _Eric KAYUNGU, Junior KASUSULA, Hélène SHOTSHA, Arielle BINTA, Claudine KUMUGO, Cédric HAMULI, Dr. KABAMBA Paul, Madame Jolie, mon grand frère Ir. KENGAMU Elvis, LUMBU Willy, Ir. KAHEMULA Gédéon, etc.; sans oublié mes camarades de promotion, nous citons ici, Georges BUSHIRI, Papy NSHASHA, Alpha BALUME, Marchal KAMBALE, Patience KIMWESA, Sylvain KASONGA, Jean-Jacques MATA, BOBO, Aline PILA, Nana GEYANGALO, Nora MONFO, Marthe BUIKALA, Maman Marie -- Jeanne UMADJELA, Maman Marie-- Claire, Maman Nénette, Tina ANADEMADE, Rebecca WONGANOMBE, Nancy LUEMBA, Célestin MAYA, Jules ILONDO, Dicky YAMBA, WOOT-A-WOOT, Kabos Kabala.

Enfin, tous ceux que je n'ai pas pu citer qui ont contribué à la réalisation de ce travail, je pense notamment à mes fréres, soeurs, cousins et cousines, mes oncles et tantes, mes camarades de promotion, je les exprime ma gratitude.

BAHATI -- SHABANI Eric

INTRODUCTION GENERALE

Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier. Les organismes offrant la connexion Internet sont intéressés par la tarification où les clients payent pour les ressources qu'ils consomment.

Indéniablement, ce grand réseau est rentré dans nos moeurs. A travers, lui tout un monde parallèle s'est développé : des sites marchands ont fleuris, les services pour les particuliers comme les guides d'itinéraire pour nos voyages nous simplifient bien la vie.

En effet, on en vient à échanger des données à travers des programmes d'échange de fichiers et à « chater » entre internautes. Nous retiendrons de tout ça qu'Internet est un véritable outil de communication. A la fois High-tech et démodé par sa technique ; internet n'a pas su évoluer dans l'utilisation de ses protocoles, la plupart des protocoles utilisés ont plusieurs années d'existence et certains n'ont pas été créé dans une optique où le réseau prendrait une telle envergure. Les mots de passe traversent ainsi les réseaux en clair, et là où transitent des applications de plus en plus critiques sur le réseau, la sécurité, elle, a peu évoluée. Il y a peu de temps, les entreprises pouvaient encore se permettre de construire leurs propres LAN, supportant leurs propres systèmes de nommage, système de messagerie, voire même leur propre protocole réseau.

Enfin, cette solution peut être très couteuse, notamment si l'entreprise a plusieurs bureaux à travers tout un pays. De plus, les réseaux privés manque de souplesse par rapport aux situations que l'on peut rencontrer dans une entreprise.

En effet, si un représentant a besoin d'accéder à distance au réseau privé de son entreprise alors qu'il est à des milliers de kilomètres de celle-ci, le coût de l'appel téléphonique sera extrêmement élevé.

0.1. PROBLEMATIQUE

La nouvelle technologie de l'information et de la communication (NTIC) nous introduit dans un siècle de vitesse en communiquant l'information au sein de nos organisations (entreprises).

C'est l'univers immatériel du savoir, de la gestion, de la prise de décision par objectif, du contrôle, de la coopération, de la qualité et de la résolution des problèmes.

Aucune personne n'ignore l'importance de

l'information dans une organisation ou institution qui nécessite l'organisation, la fiabilité et le bon fonctionnement du système d'information par la capacité de traiter ses informations.

Les applications distribuées font de plus en plus partie intégrante du paysage d'un grand nombre d'entreprises. Ces techniques ont pu se développer grâce aux performances des réseaux locaux.

En effet, si les applications distribuées deviennent le principal outil du système d'information de l'entreprise. Voilà quelques questions que nous avons retenues qui traduisent et reflètent nos préoccupations :

o Comment assurer les accès sécuritaires au sein de structures parfois reparties sur de grandes distances géographiquement éloignés ?

o Concrètement, comment une succursale d'une entreprise peut - elle accéder aux données situées sur un serveur distant de plusieurs milliers de kilomètres ?

o Quel serait alors l'impact de ce nouveau système d'information ?

o Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à travers ces technologies ?

0.2. HYPOTHESE DU SUJET

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des informations afin que l'échange des ressources ne pose plus de problème au sein de l'entreprise.

Dans le cadre de notre travail, nous avons jugé bon de joindre au système d'information existant au sein de l'entreprise, les applicatifs de l'internet afin de lui permettre :

· Une bonne conservation et recherche aisée des informations en interne et externe ;

· L'échange des données entre les différentes directions de l'entreprise ;

· Enfin, une rapidité dans le traitement de l'information avec toutes les mesures de sécurité garantie ;

· La récupération de l'information en temps réel.

En vue de remédier toujours aux inquiétudes soulevées au travers des questions posées ci-haut, nous pensons qu'

o Il existerait un moyen d'échange de l'information qui serait adapté à la gestion efficace et efficiente de la Bralima ;

o Une configuration appropriée existerait et des systèmes d'exploitation tels que Windows Server, Unix, Linux...seraient mieux adaptés pour assurer l'accès sécurisé à l'information.

0.3. CHOIX ET INTERET DU SUJET

Vu l'objectif que l'entreprise a et l'estime qu'on lui accorde, nous avons jugé bon de porter notre choix sur ce sujet qui s'intitule : « Mise en place d'un réseau VPN dans une entreprise afin de faire profiter à l'entreprise cette étude et au monde scientifique nos connaissances acquises durant notre parcours universitaire.

0.4. DELIMITATION DU SUJET

Il est affirmé qu'un travail scientifique, pour être bien précis, doit être délimité. Raison pour laquelle, nous n'allons pas aborder toutes les questions liées à la conception d'un réseau VPN car elles paraissent une matière très complexe. Ainsi, nous avons pensé limiter notre étude par rapport au contenu, à l'espace et au temps.

+ Délimitation temporaire

Ce travail est le fruit de recherches menées au sein de l'entreprise Bralima Sarl durant la période allant de mai 2012 à d'Octobre 2012.

+ Délimitation spatiale

Nous avons effectué nos recherches au niveau de la Direction Financière plus précisément dans le Département Informatique, au sein de l'entreprise Bralima Sarl.

0.5. METHODES ET TECHNIQUES UTILISEES

Tout chercheur se focalise sur une méthode susceptible de l'orienter à atteindre son objectif au problème qu'il étudie dans son travail ; en d'autres termes, les méthodes sont des voies qui permettent au chercheur d'atteindre l'explication du phénomène à étudier.

En d'autres termes, une méthode est la mise en oeuvre d'un certain nombre d'étapes (méthodologiques), une démarche, des principes, des outils (traces, papiers standardisés, matériels informatiques, un vocabulaire, etc.).Pour mener à bien notre étude, nous avons choisi d'utiliser la méthode Merise pour la mise en place d'un système d'information au sein de la Bralima Sarl.

Pour recueillir les informations ayant servi à l'élaboration de ce mémoire, nous avons fait recours aux méthodes et techniques.

o Méthode : C'est un ensemble des démarches raisonnées suivies pour parvenir à un but.

o Technique : C'est un ensemble d'instruments ou d'outils

qu'utilise la méthode enfin de réaliser un travail scientifique.

+ Méthode historique: Elle consiste à étudier le passé d'une

entreprise pour mieux cerner sa situation actuelle afin de mieux

préparer son évolution future ;

+ Méthode analytique: Elle nous a permis d'analyser en détail le composant du système existant.

Elle consiste à décomposer les éléments du système existant enfin de le définir, les analyser et d'en dégager les spécificités auxquelles le nouveau système fera face ;

+ Méthode descriptive: Par cette méthode, certains principes et concepts ont été décrits tout simplement sans commentaire;

+ Technique d'observation: Elle consiste à faire une analyse personnelle après avoir observé et palpé les fonctionnements du système d'information. Grâce à cette dernière, nous sommes descendus personnellement sur terrain pour assimiler ce que font les acteurs pour comprendre et tirer les conséquences ;

+ Technique d'interview: Elle consiste à interroger en vue d'avoir des points de vue avec les différents employés du service qui nous a intéressé pour acquérir les informations dont on a besoin. Cette technique nous a permis d'obtenir les renseignements sur l'étude de l'existant, par un jeu des questionréponses ;

+ Technique documentaire: Elle a permis de consulter divers documents pour mieux appréhender les activités qui se déroulent dans la Direction Informatique.

0.6. SUBDIVISION DU TRAVAIL

Vu la grandeur du sujet que nous avons abordé, notre travail sera subdivisé en deux grandes parties et chaque partie est suivie de chapitres et des sections que nous allons développer dans les lignes ci-dessous.

De façon non exhaustive ce travail, présentera d'abord le concept et l'architecture des VPN, ensuite détaillera les fonctionnalités de différents protocoles de routage et leurs utilités dans la conception de réseau VPN et enfin nous expliquerons comment un client VPN distant peut s'authentifier sur une passerelle via le protocole IPSEC et comment on gérera son accès contrôlé au réseau Internet à partir d'un serveur de base de données par exemple qui, dans notre cas est NAVISION.

Chapitre I : GENERALITES SUR LES RESEAUX INFORMATIQUES

I.1. Introduction

Les réseaux sont nés du besoin d'échanger des informations de manière simple et rapide entre des machines. En d'autres termes, les réseaux informatiques sont nés du besoin de relier des terminaux distants à un site central puis des ordinateurs

entre eux, et enfin des machines terminales, telles que les stations de travail à leur serveur¹.

Dans un premier temps, ces communications étaient uniquement destinées au transport des données informatiques, mais aujourd'hui avec l'intégration de la voix et de la vidéo, elles ne se limitent plus aux données mêmes si cela ne va pas sans difficulté.

Avant de nous attaquer aux infrastructures réseaux, reprenons quelques notions théoriques de base sur les réseaux informatiques en général. Un réseau permet de partager des ressources entre des ordinateurs: données ou périphériques (imprimante, connexion Internet, sauvegarde sur bandes, scanner, etc.).

I.2. Definition

Selon TanenboumAndrew, nous pouvons définir un réseau informatique comme étant un ensemble de deux ou plusieurs ordinateurs interconnectés entre eux au moyen des médias de communication avec pour objectifs de réaliser le partage des différentes ressources matérielles et/ou logicielles².

Autrement dit, un réseau est une collection d'ordinateurs et périphériques interconnectés les uns aux autres afin qu'ils puissent partager des ressources c'est-à-dire des informations ou données, imprimantes, etc.

1 PujolleGuy, Les Réseaux, 3^e Edition mise à jour par Eyrolles, à Paris, 2000, Page 13

2 TanenbaumAndrew, Les réseaux, interdiction, 3^ème Edition, 1998, Page 1.

I.3. Topologie des réseaux

La topologie est une façon d'agencer les équipements (postes, imprimantes, serveur, etc.) interconnectés dans un réseau local. La topologie peut comporter deux aspects :

o La topologie logique:

Correspond à la manière de faire circuler le signal parmi les composantes physiques (on parlera des méthodes d'accès au canal). Par opposition à la topologie physique, représente la façon dont les données transitent dans les lignes de communication. Les topologies logiques les plus courantes sont Ethernet, Token Ring et FDDI.

o La topologie physique:

Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes de communication (câbles réseaux, etc.) et des éléments matériels (cartes réseau, ainsi que d'autres équipements permettant d'assurer la bonne circulation des données).Correspond à la façon dont les postes du réseau local sont câblés. Autrement dit c'est la configuration spatiale du réseau.

On distingue généralement les topologies suivantes : topologie en bus

topologie en étoile

topologie en anneau

topologie en arbre

topologie maillée

La topologie logique est réalisée par un protocole d'accès³. Les protocoles d'accès les plus utilisés sont:

3 www.commentcamarche.net

La façon de laquelle les ordinateurs sont

interconnectés physiquement est appelée topologie physique. Les topologies physiques basiques sont:

Topologie en bus

Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans une topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne physique qui relie les machines du réseau⁴.

Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement simple. En revanche, elle est extrêmement vulnérable étant donné que si l'une des connexions est défectueuse, l'ensemble du réseau en est affecté.

Topologie en étoile

Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel central appelé concentrateur (en anglais hub, littéralement moyen de roue)⁵.

Il s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle d'assurer la communication entre les différentes jonctions.

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en étoile sont beaucoup moins vulnérables car une des connexions peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce réseau est le concentrateur, car sans lui plus aucune communication entre les ordinateurs du réseau n'est possible.

En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie en bus car un matériel supplémentaire est nécessaire (le hub).

Topologie en anneau

Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une boucle et communiquent chacun à leur tour.

En réalité, dans une topologie anneau, les

ordinateurs ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU, Multi-station Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre-eux un temps de parole.

I.4. Caractéristiques physiques des réseaux

Il n'existe pas de classification générale des réseaux, mais deux critères importants permettent de les caractériser : la technologie de transmission utilisée et leur taille.

Selon TanenbaumAndrew, cité par Joseph Dimandja ; qui illustre d'une manière acceptable les différentes caractéristiques sur la classification des réseaux.

La distance entre les processus et leur localisation a constitué notre critère de base pour la classification physique des réseaux⁶.

Tableau n°1 : Classification d'un réseau I.4.1.Techniques de transmission

Du point de vue général, nous distinguons deux types de technologies de transmission largement répandues :

+ Les réseaux à diffusion

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous les équipements qui y sont connectés.

6 DimandjaJoseph, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007, Page 7

Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances, est reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet d'identifier le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si elle reconnait son adresse ou l'ignore dans le cas contraire. Cette transmission est appelée multicast.

+ Les réseaux point-à-point

Par opposition au système précédent, le réseau point-à-point consiste en un grand nombre de connexions, chacune faisant intervenir deux machines. Pour aller de sa source à sa destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission est appelée unicast.

A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise)

Le réseau local relie d'une manière générale des ordinateurs localisés dans une même salle, dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en tenant compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and Electronics Engineer) sous forme des normes⁷. Il s'agit de:

o IEEE 802.3: Ethernet (CSMA/CD);

o IEEE 802.4: Token bus (Jeton sur bus);

o IEEE 802.5: Token - ring (Jeton sur anneau); o IEEE 802.6: MAN (Metropol Area Network );

o IEEE 802.7: FDDI (Fiber Distributed Data Interface);

o IEEE 802.9: ISOEnet (Réseau local à haut débit, multimedia);

o IEEE 802.10: Sécurité dans les réseaux;

o IEEE 802.11: Réseaux locaux sans fil (WIFI); o IEEE 802.12: 100 VG - Any LAN.

7 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique, L2 info, ISC-GOMBE, 2011 - 2012

B. WAN (Wide Area Network)

Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux et qui se distingue des réseaux locaux et des réseaux métropolitains.

Il relie plusieurs ordinateurs notamment à travers une ville, un pays, continent ou encore toute la terre.

Ici la communication s'effectue grace aux réseaux privés et/ où aux réseaux publiques.

I.5. Caractéristiques logiques des réseaux

La conception des premiers ordinateurs ont connu le problème d'hétérogénéité où les concepteurs n'avaient tenu compte de l'aspect matériel au détriment de l'aspect logiciel en oublient que les données dans les réseaux devaient provenir des différentes applications qui pouvant être différent d'un ordinateur à un autre.

I.6. Modèle de référence OSI

Le modèle OSI (Open Systems Interconnection) a été adopté pour faciliter l'échange des données provenant des matériels des différents constructeurs. Ce modèle de référence a été défini en 7 couches pour communiquer entre elles. Il décrit le fonctionnement d'un réseau à communication des paquets.

1. Couche physique: Elle assure l'établissement, le maintien de la liaison physique et le transfert de bits sur le canal physique (support). Elle comprend donc les spécifications mécaniques (connecteurs) et les spécifications électriques (niveaux de tension);

2. Couche liaison de données : Elle assure le maintien de la connexion logique, le transfert des blocs de données (les trames et les paquets),le contrôle, l'établissement, le maintien et la libération du lien logique entre entités ;

3. Couche réseau : Assure des blocs de données entre les deux systèmes d'extrémités, le routage (choix du chemin à parcourir à partir des adresses), lors d'un transfert à travers un système relais, l'acheminement des données (paquets) à travers les

différents noeuds d'un sous - réseau (routage)Et elle définit la taille de ses blocs ;

4. Couche de transport est le pivot du modèle OSI. Elle assure le contrôle du transfert de bout en bout des informations (message) entre les deux systèmes d'extrémité.

Afin de rendre le transport transparent pour les couches supérieures.

Elle assure le découpage des messages en paquets pour le compte de la couche réseau et les reconstitue pour les couches supérieures. Elle utilise les protocoles TCP et UDP ;

5. Couche session : Elle assure l'échange des données, et la transaction entre deux applications distantes. C'est une interface entre les couches qui assurent l'échange de données (transaction) entre les applications distantes. La fonction essentielle de la couche session est la synchronisation et le séquencement de l'échange par la détection et la reprise de celui-ci en cas d'erreur ;

6. Couche présentation : Elle assure la mise en forme des données; elle est une interface entre les couches qui assurent l'échange de données et celle qui manipule, celle couche assure la mise en forme de données, les conversions de code nécessaires pour délivrer à la couche supérieure un message dans une syntaxe compréhensible par celle-ci ;

7. Couche application : Est la couche située au sommet des couches de protocoles TCP/IP.

Elle ne contient pas les applications utilisateurs, mais elle assure la communication, à l'aide de processus, un ensemble de fonctions (entités d'application) permettant le déroulement correct des programmes communicants (transferts des fichiers, etc.).

Ce modèle a pour objectifs, décomposer, structurer et assurer l'indépendance vis-à-vis du matériel et du logiciel.

I.7. Modèle de référence TCP/IP

Le protocole TCP/IP (Transmission Control

Protocol/Internet Protocol) est le plus utilisé des protocoles parce que c'est lui qu'on emploi sur les réseaux, c'est-à-dire Internet. Historiquement, le TCP/IP présente deux inconvénients majeurs, à savoir la taille et sa lenteur. Les principaux protocoles qui le composent : l'Internet protocole qui est un protocole de niveau réseau assurant un service orienté sous connexion : Transmission contrôle protocole « TCP » et un protocole de niveau transport qui fournit un service fiable avec connexion.

Le modèle de référence TCP/IP est un langage adopté dans l'internet pour communiquer entre machines est le langage réseau TCP/IP.C'est un protocole très novateur dans le sens où il est faiblement hiérarchisé.

Tous les ordinateurs sont égaux dans leurs possibilités. Le langage TCP/IP est très répandu dans le monde des systèmes Unix et il est très facile de trouver des sources pour réaliser un support TCP/IP sur n'importe quel système. TCP/IP est de fait le premier véritable langage réseau indépendant de tout constructeur d'informatique, ce qui en fait son succès. Cependant, Il faut distinguer les protocoles c'est à dire les « langages de réseau » et les entités administratives.

En effet si un réseau parle «TCP/IP», il n'est pas forcément connecté à l'internet. Ce n'est pas parce que je parle français que je suis français...Le réseau internet est en fait une fédération de réseaux qui mettent en place une organisation commune. Cette organisation est très fédérale.

I.8. Comparaison entre les modèles

Les modelés OSI et TCP ont les points commun au niveau des fonctionnalités des couches qui sont globalement les mêmes. Ils sont tous fondés sur le concept de pile de protocoles indépendants.

Au niveau des différences, l'on peut remarquer la chose suivante : le modèle OSI fait clairement la différence entre 3 concepts principaux, alors que ce n'est pas tout à fait le cas pour le modèle TCP/IP.

Ces 3 concepts sont les services, interfaces et protocoles. En effet, TCP/IP fait peu la distinction entre ces concepts ; et ce malgré les efforts des concepteurs pour se rapprocher de l'OSI.

Cela est dû au fait que pour le modèle TCP/IP, ce sont les protocoles qui sont d'abord apparus et ensuite le modèle ne fait finalement que donner une justification théorique aux protocoles, sans les rendre véritablement indépendants les uns des autres.

Le modèle TCP/IP utilise que 4 couches, à savoir : application, transport, réseau et hôte - réseau ; tant dis que le modèle OSI utilise 7 couches, à savoir : application, présentation, session, transport, réseau, liaison de données et physique.

I.9.Architecture des réseaux

a. Définition

Est un ensemble des règles de composition et d'agencement des noeuds et équipements connectés à un réseau informatique⁸.

b. Normalisation

Le modèle OSI offre des standards et protocoles pour se communiquer dans un réseau. Ce que l'OSI adopte dans la conception et de rendre le réseau le plus indépendant possible des supports physiques.

La normalisation émane de la volonté des gouvernements d'harmoniser les technologies afin d'assurer la compatibilité des équipements.

C'est l'ISO (International Standardisation

Organisation) qui édite les normes dans tous les domaines informatiques (Réseaux, applications, base de données, etc.).

8 MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, Page 17, 1996

c. Mode d'accès

Nous disons qu'il est impératif pour qu'il ait communication entre les noeuds ; ces derniers doivent utiliser le même support dont un câble ou un faisceau hertzien. Nous soulignons qu'il y a deux technologies qu'on utilise, à savoir : le Jeton et la contraction.

+ Le jeton est utilisé dans la topologie logique en anneau. Il

consiste à donner l'occasion d'émettre à chacun son tour.

Pour cela, une trame circule en permanence dans le même sens en passant par chaque noeud. Si une machine veut émettre, elle doit récupérer la trame, y ajouter ses données et l'adresse du destinataire; le jeton devient alors occupé jusqu'à ce qu'il soit transmis à son destinataire. Après l'envoi, le noeud émetteur attend un temps proportionnel au nombre total de noeuds avant de recevoir à nouveau le jeton. Cette méthode est dite déterministe⁹;

+ CSMA/CD (Carrier Sense Multiple Access/Collision Detection) a été conçu pour optimiser le rendement des réseaux à bus par une minimisation du temps d'attente d'une station faisant une requête d'émission¹⁰, permet de détecter les perturbations, collisions et d'attendre qu'elles se résorbent.

I.9.1. Architecture basée sur les Commutateurs

a. Introduction

Ce sont des architectures réseaux qui sont apparues suite à l'évolution de nouvelles technologies. Elles permettent de segmenter le plus possibles le réseau par le commutateur, ainsi ces derniers se comportent comme de pont, mais présentant plus les puissances et la capacité de s'interconnecter avec un réseau à haut débit, il est à signaler que les commutateurs remplissent le rôle de concentrateurs être celui de pont. Ils offrent ainsi :

9 ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998, Page 11

10 PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses, Paris, Page 41

o à la fois des ports Ethernet 10 bits et 100 bits ;

o des ports Token-ring,

o la commutation entre ses ports (10 bits, 100 bits, FDDI et ATM).

Cependant, pour ce dernier point, nous trouvons dans certaines organisations la présence de certains réseaux conçus sans un cahier de charge, donc, un amalgame d'appareils interconnectés sans une finalité bien définit et ceci pose un sérieux problème du point de vue gestion et même influence les décisions¹¹.

b. Un commutateur

Un commutateur est un équipement informatique doté de nombreux ports d'entrée et de sortie ; il transfert les paquets arrivant sur les ports d'entrée vers leur port de sortie¹².Autrement dit, un commutateur permet de relier divers éléments tout en segmentant le réseau. Un commutateur, capable de supporter à la fois des services à bande étroite et à large bande, doit satisfaire aux contraintes suivantes : très haut débit, très faible délai de commutation, très faible taux de perte de cellules, possibilité de communication en multipoint, modularité et extensibilité et enfin un faible coUt d'implémentation.

I.9.2.Architecture à longues distances

Les humains ont toujours voulu communiquer plus vite et plus loin. Les Gaulois, écrit Jules César dans "La guerre des Gaules", avec la voix, de champ en champ, pouvaient transmettre une nouvelle à 240 km de distance en une journée.

Dans les réseaux locaux, les exploitants sont, en général, propriétaires des lignes de transmission suivants les divers types de médias. Ce qui est concevable sur des petites distances. Mais lorsque les distances deviennent longues, il n'est plus possible de posséder les lignes. Pour connecter deux ou plusieurs ordinateurs, on fera appel aux services des opérateurs de télécommunication¹³.

11 PetitBertrand, Op. Cit, Page 21

12 PujolleGuy, Les Réseaux, 3^e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 23

13 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Info de gestion, ISC-KIN, 2011-2012, Page 85

Section I. : Interconnexion des réseaux I.1. Définition

L'interconnexion est un mécanisme qui consiste à mettre en relation, indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines appartenant à des réseaux physiquement distincts.

Selon LORENZ Pascal, cité par le Professeur MIS A.C. IVINZA LEPAPA dit que le domaine des réseaux locaux était limite à l' origine au partage des périphériques lourds (disques magnétiques, imprimantes), il a évolué aujourd'hui vers celui des applications distribuées.

Des plus en plus, le besoin se fait sentir de raccorder des stations à des serveurs, mais également des LAN voisins ou distincts, à travers des réseaux plus vastes (MAN, WAN)¹⁴.

La problématique de l'interconnexion consiste à déterminer la solution à mettre en oeuvre:

o Lorsque le réseau à créer dépasse les distances maximales imposées par la norme du réseau à mettre en place,

o Lorsqu'on doit relier deux réseaux utilisant des protocoles différents.

L'interconnexion de deux réseaux d'architectures différentes nécessite un équipement d'interconnexion spécifique dont la dénomination varie suivant les différentes couches de l'OSI. Cette interconnexion est possible grâceà un certain nombre de dispositifs, qui sont au nombre de quatre:

+ Répéteur

C'est un équipement servant à régénérer ou à remettre en forme un signal affaibli. Le répéteur ne modifie pas le contenu du signal et n'intervient qu'au niveau physique du modèle OSI. Les répéteurs sont des boitiers d'interconnexion qui n'apporte que des adaptations au niveau physique.

Ils sont principalement utilisés dans les réseaux IEE 802.3. Ils servent à raccorder deux segments de câbles ou deux

réseaux identiques (Ethernet) qui constituent alors un seul réseau logique¹⁵.

+ Pont

C'est un équipement permettant de relier plusieurs réseaux locaux de même typeou soit pour étendre le réseau d'établissement, soit pour constituer un réseau étendu multiétablissements. Le pont travail comme un filtre qui transmet d'un réseau à l'autre les trames dont l'adresse ne figure pas dans le premier réseau.

Principes:

· Le pont se présente généralement sous forme de boitier empilable disposant d'un nombre réduit d'interface: Ethernet, Token - ring et Wan. Certains ponts proposent un port RNIS configurable au choix en tant que liaison principale ou liaison de secours ;

· Le pont (bridge) fonctionne dans la couche liaison du modèle OSI et assure la conversion du format de la trame et adapte sa longueur. Il filtre les trames en fonction de l'adresse du destinataire, positionne certains bits, segmente le trafic et élimine la congestion sur une partie du réseau¹⁶.

+ Routeur

Il permet l'interconnexion de réseaux présentant des différences physiques des bits et de la composition des trames, couche 1 et 2 du modèle OSI. Ils gèrent les en-têtes des trames et des paquets jusqu'à la couche 3 (couche réseau).

15 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-2012

16 Idem

Permettant de relier de nombreux réseaux locaux de telle façon à permettre la circulation de données d'un réseau à un autre de la façon optimale. Contraire au pont, le routeur est concerné par le routage de niveau paquet, ce qui lui confère des propriétés très différentes.

Il ne permet pas de constituer un réseau unique à partir de plusieurs sous-réseaux ; il a comme fonction l'interconnexion de réseaux différents dans le sens où les adresses des utilisateurs des réseaux distants ne sont connues que par leur adresse de niveau paquet et non par une adresse de niveau physique¹⁷.

Outil logiciel ou matériel pour diriger les données à travers un réseau. Il s'agit souvent d'une passerelle entre plusieurs serveurs pour que les utilisateurs accèdent facilement à toutes les ressources proposées sur le réseau. Le routeur désigne également une interface entre deux réseaux utilisant des protocoles différents.

Principes

· Les routeurs agissent au niveau de la couche réseau et effectuent le routage de paquets, c'est-à-dire ils sont chargés de trouver le meilleur chemin pour acheminer les paquets vers le destinataire.

· Les routeurs relient des sous structures qui sont des réseaux différents.Le routeur intègre le plus souvent une fonction de passerelle (gateway) qui leur permet d'acheminer les paquets des différentes architectures, par exemple IP vers X25.

Il est composé de deux parties, à savoir : Partie logicielle et partie matérielle¹⁸.

La partie logicielle a pour but d'acheminer les paquets vers l'interface correcte du routeur, tandis que la partie matérielle du routeur est composée des ports appelés « interfaces » qui reçoivent et émettent les paquets au format correspondant à l'architecture du réseau destinataire (Ethernet, FDDI, Token Ring).

17 PujolleGuy, Les Réseaux, 3^e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 709

18 Prof. IVINZA LEPAPAA.C., OD. Cit., ISC-KIN, 2011-2012

+ Passerelle

Nous avons constaté que l'on ne peut pas concevoir aujourd'hui un réseau sans un passage vers l'extérieur, c'est pourquoi, nous disons que la passerelle permet de relier des réseaux locaux de types différents.

Il faut interconnecter les réseaux, pour qu'ils puissent s'échanger des informations. Le noeud qui va jouer le rôle d'intermédiaire s'appelle passerelle ou « gateway ».

C'est un système de programmes assurant la compatibilité entre deux environnements, logiciels ou matériels. En ce qui concerne l'interconnexion de réseaux, la passerelle met en oeuvre les couches hautes du modèle OSI, contrairement aux ponts et aux routeurs¹⁹.

+ Protocole

Un protocole est une méthode standard qui permet la communication entre des processus (s'exécutant éventuellement sur différentes machines), c'est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau. Il en existe plusieurs selon ce que l'on attend de la communication.

Certains protocoles seront par exemple spécialisés dans l'échange de fichiers (le FTP), d'autres pourront servir à gérer simplement l'état de la transmission et des erreurs (c'est le cas du protocole ICMP), etc.

Sur Internet, les protocoles utilisés font partie d'une suite de protocoles, c'est-à-dire un ensemble de protocoles reliés entre-deux. Cette suite de protocole s'appelle TCP/IP.

Elle contient, entre autres, les protocoles suivants: HTTP, FTP, ARP, ICMP, IP, TCP, UDP, SMTP, Telnet, NNTP.

19 LAROUSSE REFERENCES, de MorvanPierre, Dictionnaire de l'informatique, France, 1996

[28] Section II. Sécurité informatique II.1. Introduction

La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des réseaux d'entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet. La transmission d'informations sensibles et le désir d'assurer la confidentialité de celles-ci est devenue un point primordial dans la mise en place de réseaux informatiques.

La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. Il convient d'identifier les exigences fondamentales en sécurité informatique.

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

II.1.1. Sécurité physique et environnementale²⁰

La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des systèmes et de l'environnement dans lesquels ils se situent.

Cette sécurité repose sur:

( La protection des sources énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.) ;

( La protection de l'environnement (mesure ad hoc notamment pour faire face aux risqué d'incendie, d'inondation, etc.) ;

( Des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés d'accès aux locaux) ;

²⁰Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 7

" Le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.) des équipements ce qui relève également de la sécurité de l'exploitation des environnements ;

" Etc.

II.1.2. Sécurité logique et applicative²¹

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes et des services offerts.

Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de procédures de contrôle d'accès logique, d'authentification, de détection de logiciels malveillants, de détection d'intrusions et d'incidents, mais aussi sur des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables spécialement protégés et conservés dans des lieux sécurisés.

Cette sécurité repose sur :

o La robustesse des applications ;

o Des contrôles programmés ;

o Des jeux de tests ;

o Des procédures de recettes ;

o L'intégration de mécanismes de sécurité, d'outils

d'administration et de contrôle de qualité dans les applications ;

o La sécurité des progiciels (choix des fournisseurs, interfaces sécurité, etc.) ;

o Un plan d'assurances sécurité ;

o Etc.

²¹Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 8

II.1.1. La sécurité du système d'information²²

L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise.

Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre.

La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre.

Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une approche d'intelligence économique. Pour ce qui concerne les données et les logiciels, la sécurité informatique implique qu'il faille assurer les propriétés suivantes:

la confidentialité (aucun accès illicite): maintien du secret de l'information et accès aux seules entités autorisées; l'intégrité (aucune falsification): maintien intégral et sans altération des données et programmes; l'exactitude (aucune erreur); la disponibilité (aucun retard): maintien de l'accessibilité en continu sans interruption ni dégradation; la pérennité (aucune destruction): les données et logiciels existent et sont conservés le temps nécessaire; la non-répudiation (aucune contestation).

II.2. Mise en place d'une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.

Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend.

²²Ghernaouti-Hélie S., Stratégie et protection des systèmes d'information, Page 20

Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance.

C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :

o La confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations²³. Il existe deux types d'actions complémentaires permettant d'assurer la confidentialité des données :

( Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ;

( Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les utiliser.

²³Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3^emeédition, DUNOD, Page 4

o Intégrité

Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).

o Authentification.

L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être.

Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.

L'authentification doit permettre de vérifier l'identité

d'une entité afin de s'assurer entre autres, de l'authenticité de celleci et qu'elle n'a pas fait l'objet d'une usurpation d'identité²⁴.

Avant de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on communique et bien celle qu'elle prétend être. Plusieurs méthodes d'authentification sont possibles.

Il a été démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un message. De la même manière, il existe des algorithmes symétriques et asymétriques pour assurer l'authentification.

II.3. Chiffrement ou Cryptographie

Le chiffrement des données (la cryptographie) est l'outil fondamental de la sécurité informatique. En effet, la mise en oeuvre de la cryptographie permet de réaliser des services de confidentialité des données transmisses ou stockées, des services de contrôle d'intégrité des données et d'authentification d'une entité, d'une transaction ou opération²⁵. Le chiffrement est l'opération par laquelle on chiffre un message, c'est une opération de codage.

24 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique II, L2 info, ISC-GOMBE, 2011 - 2012, Page 4 ²⁵Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 131

Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un décodeur particulier.

La cryptographie est une science qui consiste à écrire l'information (quelle que soit sa nature : voix, son, textes, données, image fixe ou animée) pour la rendre inintelligible à ceux ne possédant pas les capacités de la déchiffrer²⁶.

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :

II.4. Algorithmes symétriques

Les algorithmes à clé symétrique ou secrète sont des algorithmes où la clé déchiffrement peut être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart des cas la clé de chiffrement et la clé de déchiffrement sont identiques. Pour de tels algorithmes, l'émetteur et le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des messages chiffrés.

²⁶Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, P. 132

[34] II.5. Algorithmes asymétriques

Les algorithmes asymétriques ou clé publique, sont différents. Ils sont conçus de telle manière que la clé de chiffrement soit différente de la clé de déchiffrement. La clé de déchiffrement ne peut pas être calculée à partir de la clé de déchiffrement.

Ce sont des algorithmes à clé public car la clé de chiffrement peut être rendue publique. N'importe qui peut utiliser la clé de chiffrement pour chiffrer un message mais seul celui qui possède la clé de déchiffrement peut déchiffrer le message chiffré.

La clé de chiffrement est appelée clé publique est la clé de déchiffrement est appelée clé privée. Dans les algorithmes à clé secrète, tout reposait sur le secret d'une clé commune qui devait être échangée dans la confidentialité la plus total, alors que la cryptographie à clé publique résout ce problème.

L'algorithme asymétrique permet de réaliser

plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la non-répudiation.

CHAPITRE II: VPN (Virtual Private Network) Section I. Généralités

I.1. Définition

a. Réseau privé

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces réseaux privés « intranet >>. Y sont stockés des serveurs propres à l'entreprise en l'occurrence des portails, serveurs de partage de données, etc.

En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

b. Réseau privé virtuel

Dans les réseaux informatiques et les

télécommunications, le réseau privé virtuel (Virtual Private Networking en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel >>. Nous parlons de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.

Il existe deux types de telles infrastructures partagées : les « Publiques >> comme Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des servicesde VPN aux entreprises.

C'est sur internet et les infrastructures IP que se sont développées les techniques de « tunnel >>²⁷.

Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui émule une liaison privée point à point.

27 http://fr.wikidedia.org/wiki/Réseau_privé_virtuel/2012/17h45'

Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée.

Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé.

I.2. Concept de VPN

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion.

Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même des personnels géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné.

Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux.

En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

I.3. Fonctionnement

Le VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes²⁸. Nous employons le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux extrémités du VPN).

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée.

L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à leur destination finale.

Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une connexion VPN.

Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par chacun.

En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.

Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau étendu.

I.4. Méthode de connexion I.4.1. Le VPN d'accès

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN.

Il existe deux cas:

o Bralima demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant :

o il communique avec le Nas du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée ;

o Bralima possède son propre logiciel pour le VPN auquel il établit directement la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée ce qui peut poser des problèmes de sécurité.

Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion²⁹. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée.

29 GHERNAOUTI HélieSolange, Guide de cyber sécurité pour les pays en développement, Edition DUNOD, 2008.

Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs.

Figure 1 : VPN connectant un utilisateur distant à un intranet privé I.5. Topologie des V.P.N

Figure 2 : VPN connectant un utilisateur distant à un intranet privé

Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et un protocole d'authentification, au niveau des topologies, on retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé.

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet.

Figure 4 : V.P.N maillé

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux.

I.5. Intérêt d'un VPN

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. Nous pouvons facilement imaginer un grand nombre d'applications possible:

o Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades.

o Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un réseau local à partir d'une machine distante ;

o Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet ;

o Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communications sécurisées, pour relier, par exemple des bureaux éloignés géographiquement ;

o Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu (WAN, Wide Area Network) dédiée.

Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés entre une machine locale et une machine distante.

Section II. Protocoles utilises et sécurité des VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des réseaux VPN à savoir :

Comme nous allons le voir, les technologies les plus utilisés pour la création de tunnels sécurisés pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec.

Pour la sécurisation par service, par application, nous pouvons aussi utiliser des solutions du type HTTPS. Toutes ces méthodes vont être détaillées dans ce qui suit.

Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données peuvent être des paquets ou des trames, qui seront encapsulés dans un entête supplémentaire par le protocole qui implémente le tunnel. Cet entête fourni les informations de routage pour l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels sont donc des chemins logiques emprunter au sein du réseau intermédiaire.

Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.

Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et la désencapsulation.

La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même protocole aux ordinateurs communicants (PPTP, L2TP, IPSec).Le tunnel peut être créé de deux manières différentes :

Le tunnel volontaire : crée sur demande explicite d'un client pour la mise en place d'un VPN, dans ce mode de tunnel le client est un point final du VPN.

Le tunnel d'office : Crée d'office par le serveur d `accès réseau qui implémente le protocole d'accès réseau VPN, dans ce cas l'ordinateur client n'est pas un point final du VPN. Le client est le serveur d'accès réseau.

Figure 5 : Entête du réseau de transition a. PPP (Point To Point Protocol)

Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standard garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.

Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP.

Les normes PPP autorisent également des fonctions avancées qui ne sont pas disponibles avec d'anciennes normes, notamment SLIP.

Le protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la compression des données et leur cryptage. La plupart des versions du protocole PPP permettent d'automatiser l'ensemble de la procédure d'ouverture de session.

Le protocole PPP prend également en charge plusieurs protocoles de réseau local. Nous pouvons utiliser TCP/IP ou IPX comme protocole réseau. Toutefois, le protocole IPX/SPX n'est pas disponible sur Windows XP 64-Bit Edition.

PPP est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la plupart des logiciels d'accès distant.

b. PPTP (Point To Point Tunneling Protocol)

PPTP est un protocole réseau permettant un transfert sécurisé entre un client distant et un serveur privé.

Ceci est réalisé à l'aide d'un VPN basé sur TCP/IP. La technologie utilisée est une extension du protocole PPP permettant l'accès à distance.

PPTP et les VPN :

PPTP permet la création de VPN sur demande à travers des réseaux basés sur TCP/IP. Il peut de même être utilisé pour créer VPN entre deux ordinateurs dans le même réseau local.

PPTP est un protocole qui encapsule les paquets PPP dans des datagrammes IP pour la transmission sur internet ou un autre réseau public basé sur IP. Il peut même être utilisé pour des liaisons LAN to LAN.Les différents rôles que le protocole PPTP peut assurer son listées ci- dessous :

a) PPTP permet la création des VPN sur demande sur des réseaux basé sur TCP/IP.

b) PPTP peut être utilisé sur un même réseau local entre deux machines.

c) PPTP peut utiliser comme support pour la création de VPN aussi bien Internet que le réseau téléphonique public (PSTN).

d) PPTP offre une communication encryptée, sûr à travers ces deux réseaux publics.

e)

PPTP simplifie les accès longs distances pour les utilisateurs distants.

Scénario typique d'une connexion PPTP.

a) Besoin d'un client (client PPTP), distant ou mobile de se connecter au réseau privé de l'entreprise

b) Connexion du client au serveur NAS de l'ISP (1^èreconnexion PPP).

c) Création de la liaison VPN appelé tunnel, avec le serveur PPTP, cette liaison est matérialisée par une deuxième connexion au PPP sur la première connexion déjà existante.

d) Envoi de donnée dans le tunnel sous forme de datagrammes IP, contenant des paquets PPP.

Figure 6 : Entête du réseau de transition

Le tunneling est le processus qui permet l'envoie de données dans un réseau public, depuis un client PPTP vers un serveur PPTP qui est connecté tant au réseau public qu'au réseau privé de l'entreprise.

Lorsque le serveur reçoit des paquets PPTP par le biais du réseau public, il les analyse et détermine dans le paquet PPP encapsulé, l'adresse de l'ordinateur à qui ils sont destinés. Les paquets encapsulés peuvent contenir plusieurs protocoles qui sont TCP/IP, IPX, etc.

Figure 7 : Entête du réseau de transition

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole PPTP (Point To Point Tunneling Protocol).

Le protocole PPTP autorise le transfert sécurisé des données d'un ordinateur distant vers un serveur privé en créant un réseau privé virtuel entre des réseaux de données TCP/IP. Le protocole PPTP prend en charge les réseaux privés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Développé en tant qu'extension du protocole PPP (Point To Point Protocol), PPTP lui confère un niveau supplémentaire de sécurité et de communication multi protocoles sur Internet.

Ainsi, grâce au nouveau protocole EAP (Extensible Authentication Protocol), le transfert des données par l'intermédiaire d'un réseau privé virtuel compatible PPTP est aussi sûr qu'au sein d'un réseau local d'entreprise.

PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des datagrammes PPP.

Autrement dit, nous pouvons exécuter à distance des programmes tributaires de protocoles réseau déterminés. Le serveur tunnel exécute l'ensemble des contrôles de la sécurité et des validations, et active le cryptage des données, rendant ainsi beaucoup plus sûr l'envoi d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP pour mettre en communication des réseaux locaux privés.

Figure 8: Illustration d'une connexion VPN utilisant PPTP

c. L2F (Layer TwoForwarding)

C'est un protocole de niveau 2, développé par Cisco Systems, Northern Telecom et Shiva. Il est désormais quasiobsolète.

d. L2TP (Layer Two Tunneling Protocol)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un protocole de tunneling standard utilisé sur Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To Point Tunneling Protocol).

La version de L2TP mise en oeuvre dans Windows XP est conçue pour s'exécuter en mode natif sur des réseaux IP. Cette version de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay ou ATM.

Sur la base des spécifications des protocoles L2F (Layer TwoForwarding) et PPTP (Point To Point Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des tunnels entre les réseaux concernés.

À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol)qui encapsulent ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des programmes qui sont tributaires de protocoles réseau déterminés.

Figure 9: Illustration d'une connexion VPN utilisant L2TP

e. IPSEC (Internet protocol security)

1) Présentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole fournissant un mécanisme de sécurisation au niveau de la couche réseau du modèle OSI. Il assure la confidentialité (grâce au cryptage), l'authentification (qui permet d'être certain de l'identité de l'émetteur) et l'intégrité des données permettant de s'assurer que personne n'a pu avoir accès aux informations. IPSec permet de protéger les données et également l'en-tête d'une trame, en masquant le plan d'adressage grace à l'ajout d'un en-tête IPSec à chaque datagramme IP³⁰.

IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une protection unique pour toutes les applications.

Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le fournisseur a choisi de l'implanter dans son produit³¹.

Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont proposé une solution en novembre 1998 afin de répondre aux besoins directs du développement des réseaux en matière de sécurité.

En effet, en sécurisant le transport des données lors d'échanges internes et externes, la stratégie IPSec permet à l'administrateur réseau d'assurer une sécurité efficace pour son entreprise contre toute attaque venant de l'extérieur.

2) Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité.

Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon adaptée aux besoins de chaque entreprise.

La stratégie IPSec permettant d'assurer la

confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et de protocoles :

o Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3.

o Confidentialité des données échangées : Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire.

o Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.

o Intégrité des données échangées :IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.

o Protection contre les écoutes et analyses de trafic : Le mode tunneling permet de chiffrer les adresses IP réelles et les en-têtes des paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.

o Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les lire sans que personne ne puisse altérer ou récupérer ces données.

3) Application de l'IPSec au modèle OSI

Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour sécuriser l'IP qui est de même couche.

Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP. Il s'étend également aux protocoles de couches 2 comme L2TP et PPTP.Il est utilisé:

o entre deux routeurs, il permet de créer des VPN

sécurisés, au-dessus d'un réseau public pas forcément réputé pour sa fiabilité (comme l'internet) ; par exemple pour protéger les échanges entre les différents sites ;

o entre un serveur et un poste individuel relié par

internet, il permet à un utilisateur d'accéder à des données internes sans réduire le niveau de sécurité; par exemple pour un administrateur désirant administrer ses machines lorsqu'il est en congé;

o En interne pour protéger une machine

particulièrement sensible et pour réaliser un contrôle d'accès fort; par exemple pour limiter l'accès à une autorité de certification à quelques postes de travail bien identifiés et en protéger les communications³².

4) Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

+ Le mode transport offre essentiellement une protection aux protocoles de niveaux supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport ;

+ Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même encapsulé dans un autre paquet.

32 http://www.ietf.org/html.charters/ipsec

On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que l'entête contenant les adresses IP publiques de l'émetteur et du destinataire.Le mode tunnel propose 2 protocoles de sécurité :

o PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge pour la première fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de compression et de cryptage que PPP.

o L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnellisation des paquets sur n'importe quel réseau IP. Leur association représente également une option garantissant la simplicité, la souplesse d'utilisation, l'interaction et la sécurité.

Figure10 : Principe d'encapsulation des paquets

5) Principe d'échange de clés Internet (IKE)

La gestion des clés et la négociation des paramètres de sécurité est faite par IKE (Internet Key Exchange). Dans le contexte des réseaux privés virtuels.

IPSec permet donc de garantir la confidentialité, l'authenticité ainsi que l'intégrité des données véhiculées à travers un tunnel³³.

Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE). La deuxième phase consiste à établir d'autres tunnels secondaires pour la transmission de données utilisateur entre les 2 machines.

L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et de destination s'approuvent mutuellement.

Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de l'utilisateur.

6) Le piloteIPSec

Nommé IPSEC.sys, le pilote IPSec doit également être présent sur chaque poste Windows Client. Il permet de contrôler les paquets IP et d'effectuer les vérifications avec les stratégies de sécurité locale et les filtres IP mis en place.

7) Processus d'établissement d'une connexion

Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas d'égal à égal :

L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers l'hôte B qui est un serveur de base de données interne à son entreprise. Cette connexion pour des raisons de confidentialité et de sécurité doit être protégée.

La sécurité IPSec est alors déployée afin de garantir le cryptage des données et l'authentification des 2 hôtes. La connexion va donc se dérouler en 6 étapes :

Figure 11 : Processus d'établissement d'une connexion

+ 1^ère étape : L'hôte A cherche à télécharger des données situées sur le serveur FTP. Pour ce faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hôte A signale au service ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec. On utilise alors les stratégies utilisées par l'agent de stratégie dans la base de registre ;

+ 2^ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une association de sécurité (contrat de confiance) ;

· :
· 3^ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association ;

· :
· 4^ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré par le pilote IPSec) ;

· :
· 5^ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui connaît la clé partagée et l'association de sécurité ;

+ 6^ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du modèle OSI).

f. Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous allons ici aborder les points forts et les points faibles de chacun de ses protocoles.

+ VPN-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de l'entreprise les VPN-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler.

De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins,...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une.

Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au VPN est leur spécificité au monde web. En effet par défaut un navigateur n'interceptera que des communications HTTPS ou éventuellement FTPS. Toutes les communications venant d'autre type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par exemple) ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une application dédiée dans le navigateur.

Mais ceci implique également la maintenance de cette application (s'assurer que le client possède la bonne version, qu'il peut la télécharger au besoin).

L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès VPN est donc sérieusement à nuancer.

+ PPTP

PPTP présente l'avantage d'être complètement intégré dans les environnements Windows. Cependant comme pour beaucoup de produits Microsoft, la sécurité est le point faible:

o Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT ;

o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute ») ;

o Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing »

+ L2tp / IPSec

Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que ceux mis en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole IPSec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un VPN L2tp implémente bien le protocole IPSec.IPSec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants.

Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent indispensable.

CHAPITRE III. : PRESENTATION DE L'ENTREPRISE

Notre ^3ième chapitre sera notre miroir en ce sens qu'il nous aidera à avoir une vision d'ensemble sur la BRALIMA. C'est dans cette partie que nous parlerons des points tels que : la situation géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la structure organique de l'entreprise Bralima.

Nous ne pouvons pas commencer avec tous ces détails sans vous signifier d'où est venu le mot « Bralima » ; en effet, BRALIMA signifie : Brasserie, Limonaderies et Malterie ».

III.1. Situation géographique et juridique

La BRALIMA est une industrie chimique alimentaire de 3^ème catégorie dont ses installations de Kinshasa sont situées au n° 1 de l'avenue du Drapeau dans la Commune de Barumbu.La BRALIMA est une société à caractère privé, à savoir une société par action à responsabiliser limité (Sarl).

III.2. Historique

Après la première guerre mondiale, quelques hommes d'affaires belges cherchent à placer des capitaux au Congo - Belge. Etant suffisamment informé du projet du gouvernement général qui consiste à l'introduction d'une boisson alcoolique adéquate aux indigènes afin de remplacer pour ainsi dire l'alcool distillé <notamment le lotoko, le Aggénet> se fermentant dans les conditions douteuses dont la consommation produit des effets nuisibles à l'organisme humain.

Avec l'appui de la Banque de Bruxelles, un capital de 4.000.000 Fc (franc congolais) fut financé en date du 23 octobre 1923 afin de créer une brasserie nommée « Brasserie de Léopoldville », le staff comptait 30 nationaux, 2 belges, 1 français, 1 suisse et Monsieur DUMOULAIN était le premier directeur.

Presque 3 ans après ces financements, les congolais du Congo - Belge pouvaient déjà siroter la première bière produite ici à Léopoldville dont la sortie officielle le 24 décembre 1926 avec une production de 35.000 bouteilles de bière par mois, chiffre qui est passé à 125.000 bouteilles à 1945. A partir de 1950, la BRALIMA subit une expansion spectaculaire en installant des brasseries à l'intérieur du pays avec des agences ci-après :

1. Bukavu en 1950

2. Kisangani en 1957

3. Boma en 1958

4. Mbandaka en 1972

5. Lubumbashi en 1992

Sans oublier que la société créa aussi d'autres brasseries en dehors du pays tels que : à Brazzaville (1952), à Bujumbura (1954), etc.

Nous avons précisé que la société était depuis sa création sous le contrôle d'industriels belges. Mais en 1987, cette société appartenait désormais au groupe Heineken (créé à Amsterdam, Pays-Bas, 15/2/1964 par Mr Gérard Adrian Heineken) ; qui est devenu actionnaire majoritaire.

Le progrès est tellement visible si bien que de 1992 à 1998, la BRALIMA achète d'autres sociétés concurrentes telles que :

La C.I.B (Compagnie industrielle de Boissons), embouteilleur des boissons Coca Cola en 1992 ; l'usine de l'UNIBRA de Kisangani en 1996, la société BONAL (Boissons nationales), embouteilleur des boissons Pepsi Cola et Mirinda en 1998.

A noter que malgré ces progrès, la société a enregistré aussi beaucoup de cas de difficultés depuis sa création jusqu'aux années 1933 dont nous allons brosser quelques cas échantillonnés :

Mais la situation changera avec l'arrivée du 2è Directeur de la société, Monsieur VISEZ qui dirigea la brasserie de 1933 à 1956. Il redressa la qualité, la bière fut désormais pasteurisée.

Il y a eu donc possibilité de la vendre à l'intérieur du pays. C'est ce qui a fait qu'on atteignit la production de 1.500.000 bières par an.

C'est pourquoi, malgré le mouvement de

l'indépendance des années 1960, les dirigeants de la BRALIMA comme un seul homme entonnèrent leur devise : « Nous sommes au Congo-Léopoldville à Brazzaville, au Rwanda et au Burundi pour y rester ». Par conséquent, l'outil doit être entretenu, les cadres encouragés, assuré le recrutement, faire prospérer les marchés et s'investir pour une période meilleure. Mais avec la zaïrianisation du système économique du pays des années 1970 les choses n'ont pas été aussi bonnes ainsi pour l'entreprise car il y a eu rétrocession.

III.3. Objectif et mission

La société BRALIMA Sarl a comme objectifs :

- la fabrication et la commercialisation de la bière (toute sa

gamme), des boissons gazeuses et de l'eau de table ;

- la production et la commercialisation des blocs de glace et

par la fermentation de la bière. Elle produit aussi le CO2

(gaz carbonique).

Par son bon fonctionnement et son activité, la BRALIMA contribue à soutenir l'économie et la politique nationale car pour la fabrication de ses produits, la BRALIMA utilise la main d'oeuvre locale, paie les impôts lui attribués à l'Etat congolais.

En outre, la BRALIMA par le souci du développement du grand Congo travaille en partenariat avec des prestataires des services qui évoluent dans le secteur de PME (petites et moyennes entreprises) qui lui fournissent des services et aussi des matières premières tels que : entretien de ses machines, la décoration des espaces publicitaires, riz, etc.

La BRALIMA assure un paiement régulier de salaire à ses agents et par cet acte elle coopère avec l'idée du gouvernement qui dans son plan a établi un plan dans la lutte contre le chômage et la pauvreté.

III.4. Activités

C'est dans cette rubrique que nous allons vous exposer ce que fait concrètement la BRALIMA.

Dans la gamme de ses produits de marque et vous allez y remarquer peut-être certaines précisions en rapport avec les dates de fabricants du produit.

En cela, nous avons souhaité vous présenter l'activité de la BRALIMA en 2 volets : le premier vous parlera sur son activité principale et le second sera consacré à son impact social que nous qualifierons ici de l'activité secondaire.

III.4.1. Activité principale

Comme nous l'avons dit ci-haut, la BRALIMA produit une diversité des boissons, telles que : les bières, les limonades, eau de table. Ajoutons à cela la fabrication et la commercialisation des blocs de glace. Dans sa gamme des bières elle produit les marques ci-après classées par leurs années de parution :

- Primus parue en 1926

- Mützig parue en 1989

- Guinness parue en 1993

- Amstel parue en 1995

- Légend parue en 2008

- Turbo King

- et la bière Heineken de la firme Heineken (bière importée).

Dans sa gamme des limonades, nous avons : Coca-Cola, Fanta ananas, Fanta rouge, Fanta grenadine, Sprite, Schweppes Soda, Schweppes Tonic, Vital'o grenadine, Maltina (2000), eau de table Vital'o et Fayrouz (Ananas et pommes) en mars 2012.

Les étapes du processus dans la fabrication sont assurées par des machines industrielles pilotées par des automates programmables industriels dont l'ensemble favorise et assure l'hygiène et la propreté des produits jusqu'à leurs étapes de finissage. La tâche du processus de la fabrication jusqu'à la livraison au magasin est appelée : Ligne, et la BRALIMA en compte 5 ici dans son emplacement actuellement à Kinshasa.

La 3^ème fut inaugurée par Monsieur GIZENGA, le premier Ministre honoraire du gouvernement de la 3^e République.

A titre d'information, pour fabriquer la bière, la

BRALIMA utilise des matières premières comme le malt, des céréales, du sucre, du houblon et de l'eau qui doivent passer en 4 stades afin d'avoir la bière en produit finie. Ces 4 étapes sont : le brassage, la fermentation, la garde et la filtration.

Le brassage : C'est l'opération qui consiste à concasser et à cuire le malt et les céréales afin d'obtenir un jus sucré, un peu amère stérile et stable qu'on appelle « Moût ».

La fermentation et la garde : Le moût est refroidi et oxygéné puis fermenté par la levure. La fermentation est anaérobie et exothermique et conduit à la formation de la bière.

Puis cette bière est dépouillée de levures et gardée en basse température afin d'affirmer son goUt.

III.4.2. Activité secondaire

Par activité secondaire, nous sous-entendons ce que la BRALIMA fait dans le cadre social. La BRALIMA oeuvrant en son sein avec un grand nombre d'ouvriers et ayant comme consommateurs de ces produits, la population ; ne reste pas insensible dans ce secteur social.

A part le paiement de salaires à ses travailleurs et le paiement de leurs avantages sociaux, la BRALIMA est parmi les entreprises premières dans la lutte contre le VIH/Sida.

La BRALIMA a initié un programme d'information et de sensibilisation des employés et des membres de leur famille contre le Sida et elle met en place des activités de prévention et assure la prise en charge des personnes séropositives.

La Bralima a mis à la disposition de tous ses employés et de leurs familles un centre médical moderne leur permettant de bénéficier des soins de qualité.

La présence de la Bralima se fait sentir aussi dans des dons en fournitures scolaires, dans l'aide aux nécessiteux (dans des orphelinats, hôpitaux, homes de vieillards, enfants de la rue) par le biais de la Fondation Bralima.

Depuis plusieurs années avec Primus, la BRALIMA sponsorise les plus grandes stars de la musique congolaise et s'investit dans la promotion des jeunes talents de la musique congolaise.

III.5. Structure organique de l'Entreprise :

La Bralima est dirigée par un Administrateur Délégué qui constitue l'organe de référence pour la bonne marche de la société. Dans l'exécution de ses multiples tâches.

Il est assisté et soutenu par différentes directions dont nous survolons les attributions.

III.6.Attribution et tâches

a) L'Administrateur Délégué :

Engage la société envers l'Etat, les entreprises étatiques et privées ainsi que les tierces, manage la politique de l'entreprise.

Contrôle la réalisation des objectifs.

b) La Direction Financière:

Gère les finances (entrées et sorties des fonds à assurer le paiement. C'est dans cette direction que se trouve le service de l'informatique où nous avions passé notre stage.

Achats, stockage et distribution des matières premières, pièces de rechange, emballage, équipement et divers à Kinshasa ainsi vers les sièges.

L'importation de certaines matières premières (houblon, le malt, etc.) et autres, vers l'intérieur (siège) la livraison.

c) La Direction Marketing et commerciale :

Fait l'étude du marché (proposition) et la promotion des produits finis

S'occupe de la vente et de la distribution commerciale des produits finis (chaîne commerciale, c'est-à-dire suivi de la commande au changement).

e) La Direction des ressources humaines S'occupe de:

La gestion du personnel et familles (salaires, congés et voyages) engagement, formation, licenciement, promotion et retraite des actes sociaux des agents : naissance, mariage et décès d'agents, membres de famille.

Sécurité des patrimoines (matériels et humains).

f) La Direction technique ou (technical management) :

g) La Coordination médicale:

La santé du personnel et les membres de leur famille. f) La Direction « Executive Engineering »:

Investissements et de tous les projets techniques (de la conception à la réalisation).

Suivi de l'exécution des travaux neufs liés aux projets, etc.

Toutes ces directions sont nettement classées par des liaisons hiérarchique et fonctionnelle comme le montre cet organigramme de la Bralima selon la révision du 4 février 2005 que nous avons reçue de la Direction de Ressources humaines.

[63]

ll

Cost Contr

Sp

rta

An

o

Na Te c.C M

Ma

Ma g on

vent

sse

Admo

III.8. Analyse de l'existant

Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet de conception d'une solution informatique.

En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix de la solution et de son déploiement. Cette étude consiste à mettre à découvert, de façon aussi claire que possible, l'analyse du fonctionnement actuel du réseau informatique.

Cette analyse a pour but de recueillir les données qui vont servir pour élaborer le diagnostic en vue de la recherche et de choix des solutions ou de la solution³⁴.

En d'autres termes, cette analyse de l'existant a pour but la recherche des points forts et des points faibles du système actuel, c'est-à-dire le système que la Bralima utilise.

III.9. Description des LANs existants

La Bralima Sarl manipule fortement et grandement dans son ensemble les données et les informations dont elle se sert entre ces différentes directions et départements, pour cela elle ne dispose pas malheureusement d'un réseau informatique fiable et sUr en son sein comme nous le remarquerons ici.

III.8.1. Topologie et type de média

Etant une société qui ne veut pas aussi être en déphasage en arrière par rapport aux avancées technologiques, la Bralima utilise la topologie en étoile avec son réseau Ethernet (IEEE 802.3) avec ses différents noeuds ou concentrateurs.

Et comme média, la Bralima utilise d'une part le cable T568B à paire torsadée catégorie 5 de la norme IEEE 802.3 10/100 base configurée en câble droit ou en câble croisé selon le besoin de l'utilisation qui se présente sur terrain.

Et d'autre part à certains endroits, il y a la présence du câblage en fibre optique multimédia accompagné des "convertisseurs FE 10/100 Tx-100 Base Fx3T" situés à des différents bâtiments où ils sont placés afin de procéder à la conversion du signal lumineux de la fibre optique en signal électrique de la paire torsadée et vice-versa. C'est à cause des avantages ci-après que la présente la fibre optique par rapport à l'UTP :

- une grande bande passante

- une faible alternation

- bonne adaptation de liaison entre répartiteur (liaison

centrale entre plusieurs bâtiments)

- immunité au bruit

- bon débit (100 Mbps)

- pas de mise sur écoute.

1. Câble coaxial³⁵

³⁵ANGELINE KONE., Mémoire : « Conception et déploiement d'une architecture réseau sécurisé», 2011.

Le câble coaxial est largement utilisé comme moyen de transmission. Ce type de câble est constitué de deux conducteurs concentriques : un conducteur central, le coeur, entouré d'un matériau isolant de forme cylindrique, enveloppé le plus souvent d'une tresse conductrice en cuivre.

L'ensemble est enrobé d'une gaine isolante en matière plastique. Il est utilisé pour les transmissions numériques en bande de base sur quelques kilomètres avec une impédance caractéristique de 50 Ohm. On en fait également usage de ce support pour les transmissions analogiques en mode large bande avec une impédance caractéristique de 75 Ohm. Deux types de ce support se distinguent:

> gros coaxial : 10 base 5 ; il peut faire cas d'une épine dorsale de 100 stations maximum par segment, 5 segments maximum, 500 m maximum et 2,5 m minimum ;

> coaxial fin : 10 base2 ; 230 stations maximum par segment, 5 segments maximum, 185 m maximum et 50 cm minimum.

Si vous câblez en coaxial fin, il faut vérifier que les cartes possèdent un connecteur BNC ou prise vampire.

Il faut placer un bouchon à chaque extrémité du réseau (donc deux bouchons) ils sont indispensables pour des raisons d'indépendance. Le câble coaxial offre de bons débits (de l'ordre des Gbits/s), une bonne immunité par contre les équipements utilisés sont onéreux et leur mises en place difficile.

2. Câble paire torsadée³⁶

Celui-ci est un ancien support de transmission utilisé depuis très longtemps pour le téléphone ; il est encore largement utilisé aujourd'hui.

Ce support est composée de deux conducteurs en cuivre, isolés l'un de l'autre et enroulés de façon hélicoïdale autour de l'axe de symétrie longitudinale.

Cet enroulement autour de l'axe de symétrie permet de réduire les conséquences des inductions électromagnétiques parasites provenant de l'environnement dans lequel la paire

torsadée remplit sa fonction de transmission. Couramment ; il est utilisé pour desservir les usagers du service téléphonique abonnées du service public ou usagers des réseaux privés. Les signaux transmis par l'intermédiaire des paires torsadées peuvent parcourir plusieurs dizaines de kilomètres sans amplification ou régénération.

Quand plusieurs paires torsadées sont rassemblées dans un même câble, les signaux électriques qu'elles transportent interfèrent plus ou moins les uns sur les autres par rayonnement : phénomène de diaphonie.

Elle est souvent blindée à fin de limiter les interférences, de ce fait on distingue cinq types de paires torsadées:

o Paire torsadée non blindée (UTP en anglais): Dénomination officielle (U/UTP); elle n'est pas entourée d'un blindage protecteur. Ce type de câble est souvent utilisé pour le téléphone et les réseaux informatiques domestiques ;

o Paire torsadée blindée (STP en anglais):Dénomination officielle U/FTP. Chaque paire torsadée est entourée d'une couche conductrice de blindage, ce qui permet une meilleure protection contre les interférences. Elle est fréquemment utilisée dans les réseaux token ring ;

o Paire torsadée écrantée (FTP en anglais) officiellement connu sous la dénomination F/UTP.

L'ensemble des paires torsadées ont un blindage commun assuré par une feuille d'aluminium, elle est placée entre la gaine extérieure et les quatre paires torsadées. On en fait usage pour le téléphone et les réseaux informatiques ;

o Paire torsadée écrantée et blindée (SFTP en anglais), nouvelle dénomination S/FTP. Ce câble est doté d'un double écran commun à toutes les paires ;

o Paire torsadée super blindée (SSTP en anglais), nouvellement connu sous la dénomination S/FTP. C'est un câble STP doté en plus d'un écran commun entre la gaine extérieur et les quatre paires.

La bande passante d'un câble à paire torsadée dépend essentiellement de la qualité de ses composants, de la nature des isolants et de la longueur du câble.

L'UTP est normalisé en diverses catégories qui sont ratifiées par les autorités internationales de normalisation ANSI/TIA/EIA. Ces catégories sont :

L'utilisation de la paire torsadée nécessite des connecteurs RJ45. Son câblage universel (informatique et téléphone), son faible coût et sa large plage d'utilisation lui permet d'être le support physique le plus utilisé.

3. Fibre optique³⁷

³⁷Documentation technique du Département Informatique à la Bralima Sarl

L'intégration de la fibre optique dans le système de câblage est liée au fait que celle-ci résout les problèmes d'environnement grâce à son immunité aux perturbations électromagnétiques ainsi qu'à l'absence d'émission radioélectrique vers l'environnement extérieur. De par ses caractéristiques, l'introduction de la fibre optique a été intéressante pour des applications telles l'éloignement des points d'utilisation, l'interconnexion des sites multibâtiments, la confidentialité pour des applications sensibles.

La fibre optique est composée d'un cylindre de verre mince : le noyau, qui est entourée d'une couche concentrique de verre : la gaine optique. Deux types de fibre optique:

+ La fibre multimode : composée d'un coeur de diamètre variant entre 50 et 62.5 microns. Principalement utilisée dans les réseaux locaux, elle ne s'étend pas sur plus de deux kilomètres. Sa fenêtre d'émission est centrée sur 850, 1300 nanomètres ; Elle supporte de très larges bandes passantes, offrant un débit pouvant aller jusqu'à 2.4Gbps ; aussi elle peut connecter plus de station que ne le permettent les autres câbles. L'inconvénient est qu'il est onéreux et difficile à installer ;

+ La fibre monomode : elle a un coeur extrêmement fin de diamètre 9 microns. La transmission des données y est assurée par des lasers optiques émettant des longueurs d'onde lumineuses de 1300 à 1550 nanomètres et par des amplificateurs optiques situés à intervalles régulier. Les fibres monomodes les plus récentes sont compatibles avec la technologie de multiplexage dense en longueur d'ondes DWDM. C'est celle que l'on utilise sur les liaisons à longue portée car, elles peuvent soutenir les hauts débits sur des distances de 600 à 2000 km par contre son câblage est onéreux et difficile à mettre en place.

certains cas la nécessité d'un autre support de communication se fait sentir. Ainsi, pouvons également utiliser une:

+ Liaison radio LAN (R-LAN - WIFI) qui utilise une bande de fréquence de 2.4 Ghz. Ce lien est utilisé dans des architectures en étoile où les stations sont équipées d'une carte PCMCIA et le concentrateur d'une antenne (borne sans fil), est connecté au réseau câblé. Ces liaisons sont régies par la norme IEEE 802.11 et la distance maximale station-borne se situe entre 50 et 200 m. En fonction des spécifications, les débits maximales sont de l'ordre de : 11 Mbits/s, partagé (802.11b) ; 54 Mbits/s (802.11a).

L'usage de ce type de support est fait à l'intérieur de bâtiment pour assurer une liaison provisoire (portables, salle de conférence), pour des locaux anciens où il est impossible d'effectuer un câblage). Les problèmes liés à ce support sont le débit limité qu'il offre et la sécurité qui n'est pas fiable (contrôle de l'espace de diffusion, etc.). Lorsque ce support est déployé pour les MAN, on parle de boucle local radio ;

+ Liaison laser : Il permet d'implémenter des liaisons point à point (interconnexion des réseaux), la distance entre les sites peut varier de 1 à 2 km sans obstacles ; les débits pouvant aller de 2 à 10 Mbits/s.

Elle n'est pas soumise à des conditions météorologiques par contre le réglage de la direction des faisceaux reste problématique ;

+ La liaison laser peut être mise place essentiellement dans le cas d'un environnement ouvert, sans obstacle. Tandis que la liaison radio s'applique à toute sorte de configuration.

Cette fibre optique relie les tronçons : de

l'informatique à : La Direction commerciale, la DRH, la DG/SEM jusqu'au Centre médical, Magasin logistique, Magasin pleins, Magasins vides, Garage, Mera, la fabrication, la Direction Technique, EBAC, la sécurité et au Mera où il y a un WLAN qui fait la liaison avec la Boukin.

III.8.2. Le Service Informatique :

De l'Administrateur délégué en passant par d'autres directions jusqu'à la sécurité (à la sortie du dépôt). Tous les bureaux de la Bralima sont reliés entre eux par un réseau local qui contribue grandement au progrès de cette société.

Le service informatique à sa dimension a un impact lié au destin de la société, car son apport est tellement présent et visible dans l'interchangeabilité des données et de l'information au sein de la Bralima, dans la conception et l'élaboration des programmes répondant au besoin de l'entreprise, etc.

III.8.3. Structure interne :

Le Service de l'informatique étant une entité travaillant au sein de la Bralima, il bénéficie en son sein d'une organisation bien élaborée que nous voulons présenter : A la tête du Service, il y a un ICT Manager dont le rôle sert à dicter la politique du département en matière de nouvelles technologies et implémentation de nouveaux progiciels.

Coordonne, centralise, supervise et rapporte auprès de la direction de finance et générale. Le service de l'informatique contient 4 sous services :

III.8.4. Organigramme :

Comme nous l'avons évoqué ci-haut, voici comment se constitue l'organigramme du Service de l'informatique :

III.10. Matériels et logiciels utilisés

Voici ci-dessous le tableau présentant les matériels utilisés dans différentes Directions, Départements et Services au sein de la Bralima.

III.9.1. Logiciels utilisés

Système d'exploitation : Windows Srvice Pack III ;

Pcs Marques Types HDD Imprimantes ^MémoiesSystème d'exploitation réseau : Windows 2003 Server ;

RAM

IV 40 GO 2 512 MB

Microsoft Office 2010 ;

Adobe Réader 9.0 ; Antivirus Norton ;

De P I
Microsoft Navision ; Lotusnotes.

III.11. Réseaux informatiques existants

III.12. Critiques de l'existant

La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de l'entreprise qui vient d'être présenté³⁸.

Comme nous pouvons le constater sur ce schéma décrit ci-haut, nous remarquons que cette architecture manque d'autres éléments importants et il est mal représenté par rapport à la réalité de l'entreprise.

Ce réseau doit être plutôt subdivisé en trois secteurs, à savoir : Bralima LAN, la DMZ et Kimpoko LAN. La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou de publier les services sur internet sur le contrôle de Pare-feu externe.

Dans notre cas, nous devons avoir un serveur de fichiers (FTP), un serveur de données, un serveur d'impression, un serveur d'antivirus, un serveur de DNS, un serveur de messagerie (lotusnotes) ils assurent tous l'échange des informations entre les employés de l'entreprise, un serveur de Navision, etc.

Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables.

Les informations de l'entreprise arrivent par l'antenne VSAT situé sur le bâtiment abritant la direction financière, elles sont directement envoyées au commutateur qui lui, les envoient à un serveur en fonction bien entendu de la nature de l'information (données, etc.) à son tour le serveur concerné route l'information à l'ordinateur au destinataire. Les informations provenant du réseau externe (internet) sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout simplement rejetée.

III.11.1. Besoins de l'entreprise

L'information est à la base de toutes prises de décisions que ce soit pour mesurer le taux de satisfaction de la clientèle et surtout d'accroitre la vente afin d'atteindre l'objectif. C'est la raison pour laquelle la Bralima ne peut que tirer avantage de se doter d'un réseau VPN site-à-site, moyen efficace dans le traitement de l'information.

III.13. Proposition des solutions retenues

Nous avons opté pour la solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la Bralima ; afin de résoudre au mieux aux différentes préoccupations manifestées par les responsables informatiques de la Bralima et aussi pour pallier aux différents problèmes relevés au niveau de la critique de l'existant.

Mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et le débit maximum à consommer.

Faire un monitoring des flux de données et une gestion des priorités doit s'adapter aux différents usages et aux remontées des utilisateurs ; la gestion de la bande passante et des équipements ; mettre en place un mécanisme de surveillance et de détection de connexion suspecte qui s'établie sur un lien VPN.

Il est néanmoins important de préciser que la solution retenue garantie la confidentialité, la sécurité et l'intégrité des données sur des canaux privés. Cette solution VPN site-à-site permet d'obtenir une liaison sécurisée à moindre coUt, si ce n'est la mise en oeuvre des équipements terminaux.

La solution VPN site-à-site permet de mettre à niveau, à moindre coût, les architectures multipoints utilisant le réseau commuté limité en bande passante et généralement obsolètes, employée par la Bralima.

La mise en place d'un VPN permettra de distribuer un accès à Internet et des applications Web depuis leurs emplacements. Les VPN site-à-site étendent le WAN à moindre coût et en toute sécurité vers des entités non desservies, telles que des succursales et des partenaires commerciaux (extranet).

La solution VPN site-à-site de Cisco, totalement intégrée et composée d'un équipement unique, peut être déployée et configurée en toute simplicité.

Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION

Lors de l'analyse de l'existant, notre souci majeur était celui de déceler les anomalies et de les corriger; c'est ce que nous venons de faire en concevant un nouveau système d'information.

IV.1. Les différents types de flux

Un réseau intersites est généralement amené à véhiculer des données issues de différentes applications générant plusieurs types de flux³⁹.

IV.2. Les flux de type conversationnels

Les applications conversationnelles sont les plus courantes dans les mondes Unix et TCP/IP. Le protocole de niveau session est Telnet. Le principe repose sur l'envoi d'un caractère avec écho distant. Une session étant établie entre un poste de travail et une machine, tout caractère frappé au clavier est envoyé à la machine, traité par cette dernière et enfin renvoyé tel quel pour affichage, et éventuellement avec d'autres attributs. Chaque caractère peut en effet déclencher une action comme l'affichage d'une fenêtre⁴⁰.

Figure n°12 : Les flux conversationnels

Le type de flux qui en résulte est par conséquent irrégulier, dépend de l'activité de l'utilisateur et est composé de trames courtes. Le temps de réponse est donc primordial pour ce type d'application. Celui-ci se doit d'être le plus régulier possible, le principe étant qu'un utilisateur s'habitue à un temps de réponse, même mauvais, pourvu qu'il soit régulier.

IV.2. Les flux de type transactionnels

Les applications transactionnelles sont les plus courantes pour les grandes applications ; historiquement elles sont les premières. La technique consiste à envoyer un écran de saisie vers un terminal, de réaliser la modification en local, puis de renvoyer les données modifiées vers le site central. Ces opérations sont contrôlées par un logiciel appelé moniteur transactionnel⁴¹.

Figure n°13 : Les flux transactionnels

Les flux générés sont caractérisés par un trafic descendant (site central vers terminal) plus important que le trafic montant (les données modifiées à destination du site central). La ligne est mobilisée peu souvent (une à trois transactions par minute) le transfert d'un écran (2 à 4 Ko) requiert la presque totalité de la bande passante pendant quelques millisecondes⁴².

IV.3. Les flux de type transferts de fichiers

Ces flux sont caractérisés par des échanges soutenus et des trames longues. Leurs occurrences peuvent être prévisibles, dans la mesure où la majorité des transferts de fichiers sont souvent associés à des traitements automatiques qui ont lieu en dehors des heures ouvrées, par exemple lors de la sauvegarde ou de la synchronisation de bases de données⁴³.

⁴¹ J.L. MONTAGNIER, Architectures des réseaux longues distances, Page, Page 297

⁴²Idem, Page 297

⁴³MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 97, Page 298

Flux contenu de données

Figure n°14 : Les flux de type transferts de fichiers

IV.4. Les flux clients/serveurs

Le concept client/serveur se décline en réalité en plusieurs modèles :

La base de données et la logique applicative sont situées sur le serveur. Le poste client soumet une requête et attend les résultats, qui, seuls, transitent par le réseau.

Le serveur héberge la base de données, et la logique applicative réside sur le poste client. La puissance de traitement est donc reportée sur les postes clients. Les échanges sur le réseau sont aussi fréquents que les manipulations de la base.

La logique applicative et les données sont réparties entre le serveur et le client. La procédure d'interrogation consiste à extraire tout ou partie de la base de données centrale, puis à opérer des traitements complexes sur la base de données locale.

Le réseau n'est sollicité que lors des extractions de la base de données. La synchronisation des bases peut intervenir en dehors des heures ouvrées⁴⁴.

1. Démarche pour la conception d'un réseau

Le choix d'un réseau dépend souvent d'un compromis coût/performance, les éléments techniques étant indissociables des éléments économiques, qui constituent des arguments décisifs pour le choix d'une solution⁴⁵.

⁴⁴ Idem, Page 298

⁴⁵J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.

2. Identification des applications

Cette phase consiste à synthétiser les résultats de l'analyse de l'existant et à traduire qualitativement ces données sous forme de flux prévisionnels. Il s'agit ici de caractériser les flux de chaque application (type, périodicité) et d'identifier les acteurs qui émettent et ceux qui reçoivent.⁴⁶

Tableau 1 : Caractériser les flux applicatifs

IV.1.2. Estimation de la volumétrie

Les flux doivent ensuite être quantifiés, soit à partir de données existantes, soit sur la base d'hypothèses. Si on part d'un réseau existant, soit pour l'optimiser, soit pour le faire évoluer, le consultant peut s'appuyer sur des statistiques indiquant les volumes échangés entre deux sites⁴⁷.

La volumétrie est calculée différemment selon le type de flux. Souvent, elle doit ~tre extrapolée à partir d'informations

D V bj T d Sè Pédiié
partielles.

Ce travail doit donc être réalisé indépendamment ase de Mse à jour TLN

pour chaque application que le réseau intersites sera susceptible de
Kimpoko ^référencevéhiculer. Ces résultats doivent ensuite être consolidés sous forme

nées Client /Seveur Unx, Win Consultation TLJ à DG

de matrice de flux présentant les volumes échangés entre chaque

SP2

site. L'échelle de temps généralement utilisée est le mois ; cette périodicité permet en effet de lisser les variations.

Intra-Région Gstion de Transfert de

La volumetrie globale pour un site est generalement issue d'une volumétrie unitaire estimée pour un utilisateur et Régions centralisée Excel, etc les min calculée par la formule⁴⁸ :

Vj = Vu x U

⁴⁷J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300.

Vj : est le volume journalier à calculer pour un site ; Vu: est le volume journalier estimé pour un utilisateur ; U : est le nombre d'utilisateurs pour un site donné.

Tableau 2 : Estimation de la volumétrie

IV.1.3. Volumétrie liée à la messagerie

Les volumes de données générés par une messagerie bureautique peuvent être modélisés sur la base des hypothèses suivantes :

Les messageries bureautiques transportent les messages sous forme de copies de fichiers entre les serveurs bureautiques. La périodicité des échanges dépend du paramétrage ; elle est généralement comprise entre 5 et 30 minutes.

Ces transferts de fichiers occupent donc

régulièrement la bande passante des liens.

IV.1.4. Volumétrie liée aux transferts de fichiers

La volumétrie liée aux transferts de fichiers dépend des applications présentes au sein de la société. Son évaluation repose donc sur une analyse précise de l'existant et/ou des besoins. Elle peut être modélisée sous la forme 60 % des utilisateurs réalisant l'équivalent d'un transfert de 6000 Ko par jour à destination d'un site distant.

IV.1.5. Volumétrie liée aux applications transactionnelles site central.

Dans la plupart des cas, on peut estimer qu'un utilisateur échange 100 à 200 écrans de 2 Ko à 4 Ko par jour avec le site central. Cette évaluation est bien sûr éminemment variable selon le contexte à considérer. La taille des écrans varie, par exemple, en fonction des applications, et la fréquence des échanges en fonction du type de travail de l'utilisateur (saisie intensive, consultation, etc.). Il convient donc d'estimer la volumétrie moyenne à partir de tests.

IV.1.6. Volumétrie liée aux applications transactionnelles

Même remarque que pour les applications

transactionnelles, sauf que la taille des pages varie entre 4 Ko et 100 Ko, une page pouvant contenir des images GIF (fixes ou animées).

En prenant en compte les fichiers GIF, JPG et HTML, la moyenne constatée est de 4 Ko. Si l'on se réfère aux transferts de fichiers réalisés à partir d'Internet (documents .pdf, .docx ou txt), la moyenne constatée est de 100 Ko.

IV.1.7. Volumétrie liée à d'autres services

Différents services peuvent emprunter le réseau intersites, notamment en provenance de sites rattachés dans le cas où les passerelles de communication sont centralisées.

IV.1.8. Dimensionnement des liens⁴⁹

Le mode de calcul de la bande passante requise pour une application dépend du type de flux qu'elle génère. Elle est basée sur la volumétrie estimée lors de la phase précédente.

Pour dimensionner une liaison, il convient tout d'abord d'estimer les besoins en termes de débit instantané. La formule généralement admise pour le calculer est la suivante :

Bp = Vj x Th x Ov x x x (8 x 1,024)

L'explication des paramètres est la suivante :

Bp : est la bande passante instantanée que l'on veut calculer

pour une liaison et qui est exprimée en Kilo bits par secondes (Kbps)

Vj : est le volume journalier estimé en kilo - octets (Ko). Cette

valeur est la somme des flux devant circuler sur le lien considéré et le maximum pris entre les flux montant et descendant.

Th : est le coefficient permettant de calculer le trafic ramené à

l'heure chargée.

Ov : est l'over Head dO aux protocoles de transport.

Tu : est le taux maximum d'utilisation de la bande passante du

lien.

Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes tandis que le rapport 8 * 1,024 permet de convertir les kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000 bits = 1Kb)⁵⁰.

Calculer les débits

Pour dimensionner une liaison, il convient d'estimer les besoins en termes de débit instantané. La formule de calcul généralement admise est la suivante :

⁴⁹J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 302 - 303
⁵⁰J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997,, Page 303

La signification des paramètres est la suivante :

Bp : est la bande passante instantanée calculée pour une liaison exprimée en Kbit/s.

Vj : est le volume journalier, estimé en Ko. Cette valeur représente la somme des flux devant circuler sur le lien considéré (le maximum pris entre les flux montants et descendants).

Th : est un coefficient permettant de calculer le trafic ramené à l'heure chargée. On considère généralement que le trafic journalier est concentré sur une heure chargée.

Cette hypothèse part du constat que, sur 8 heures de travail, les utilisateurs sont les plus actifs sur deux périodes de pointe, entre 08 h et 11 h, et entre 15 h et 16 h. Les valeurs généralement admises sont comprises entre 20 % et 30 % du trafic journalier concentré sur une heure.

Ov est l'overhead généré par les protocoles de transport (TCP, IP, PPP). Ce coefficient est généralement affecté d'une valeur de 20 %. Il tient compte des en-têtes et des paquets de service (acquittements, etc.).

Le taux maximal d'utilisation de la bande passante du lien. Cette correction permet de prendre en compte le fait que l'on utilise rarement 100 % du débit nominal d'un lien.

Ce taux est généralement fixé à 80 % de la bande passante, ce qui donne un surdimensionnement du lien de l'ordre de 25 %. Pour des liaisons à haut débit, ce taux peut atteindre 90 %.

Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes, tandis que le rapport 8*1024 permet de convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000 bits = 1 kilobit). Si l'on prend la valeur standard pour ces paramètres, la formule devient :

Bp : 7600 x 30% x 20% X (8x1,024)

Bp : 7600 x 0,3 x 0,2 x 1,25 x 0,00028 x 8,192 Bp : 1,307443 Kbps

Pour ce faire, la bande passante sera de 1,307443 Kbps.

En ce qui concerne le cas de notre réseau, il y aura un certain nombre des routeurs tout en sachant qu'un réseau VPN site-à-site, qu'il soit en mode infrastructure.

La communication entre les différentes la Direction générale et le site s'effectue par le moyen de la tunnellisation, configurée dans un réseau en mode infrastructure et au niveau des stations dans un réseau VPN site-à-site.

Le VPN IPsec, reposant sur le protocole de cryptage IPsec. Dans ce cas, il n'y a pas séparation logique, mais création d'un tunnel crypté qui garantit la confidentialité des informations vis-à-vis des autres utilisateurs.

IV.1.9. Choix du réseau de transport

Le choix d'un réseau de transport est souvent le résultat d'une étude de coUt. L'approche peut être réalisée de plusieurs façons.

Le choix d'un réseau de transport dépend essentiellement du mode de facturation (basé sur la volumétrie et/ou des temps de connexion), des débits souhaités et aussi de la topologie retenue⁵¹.

Etant donné que les fournisseurs du réseau de transport (Providers) en République Démocratique du Congo définissent ou proposent au préalable une bande passante eu égard au nombre des machines à utiliser, nous étions obligés dans le cadre de ce projet d'adopter cette façon de voir les choses.

Cela étant, nous avons pu visiter l'entreprise Fournisseur d'Accès Internet, qui est la Global Broadband Solutions ; qui a attiré notre attention par rapport aux renseignements qui nous ont été fournis lors de notre passage.

IV.1.10. Choix des matériels

Techniquement, la meilleure solution repose sur les routeurs Cisco dans le cas de notre projet, d'autant plus que ces matériels permettent également le pontage.

L'intérêt du routeur est de segmenter l'espace d'adressage des protocoles routables et de permettre un contrôle précis des flux grâce à ses fonctionnalités de filtrage et de priorité.

Ces dernières technologies apportent une nette amélioration dans l'efficacité du contrôle de flux réseaux.

Outre les mécanismes de filtrage, les routeurs Cisco peuvent également se voir dotés de mécanismes de sécurité permettant l'utilisation d'un réseau public non sûr comme lien de transit, tout en assurant la confidentialité, l'intégrité des informations et l'authentification de l'émetteur.

IV.3. Conception d'une solution d'administration

La mise en place d'une administration de réseau doit être menée comme tout projet, avec rigueur et méthode. Avant toute mise en oeuvre préalable doit répondre à la question : « l'administration, pour quoi faire ? »⁵².

⁵²MONTAGNIER J. L., Pratique des réseaux d'entreprise : Conception d'une solution d'administration, Eyrolles, Paris, 1997, Page 334

4.3.1. Administration des équipements

L'administration est une tâche qui requiert que le réseau soit fonctionnel et que les différents services soient implémentés. Avant d'entrer dans le vif du sujet il serait primordial de rappeler ce qu'il faut administrer dans le réseau : les hommes (administrateurs et utilisateurs), la configuration des équipements, le dépannage, les stations d'administration, la sécurité. Ces tâches d'administration peuvent être d'après l'ISO, reparties sur cinq axes :

o La gestion de la configuration réseau (configuration

management) : il convient de gérer la configuration matérielle et logicielle du réseau pour en optimiser l'utilisation ; de permettre des configurations à distance via des outils adéquats et le stockage des différentes configurations ; les serveurs ftp sont très souvent sollicités pour cette tâche ;

o La gestion des anomalies: l'administration a pour objectif d'avoir un réseau opérationnel sans rupture de service, ce qui définit une certaine qualité de service ; on doit être à mesure de localiser le plus rapidement possible toute panne ou défaillance pour pouvoir y remédier ;

o La gestion des performances (performance management) : consiste à contrôler à tout moment le réseau pour observer s'il est en mesure d'écouler le trafic pour lequel il a été conçu. Le délai, le débit, le taux d'erreur, la disponibilité sont autant des paramètres à prendre en compte pour l'évaluation ;

o La gestion de la sécurité (security management) : on gère ici les contrôles d'accès au réseau, la confidentialité des données qui y transitent, leur intégrité et leur authenticité pour pouvoir les protéger contre tout dysfonctionnement, toute inadvertance ou toute malveillance. Un enregistrement de l'activité des utilisateurs plus précisément les événements significatifs, les actions interdites ou sensibles peut s'avérer nécessaire ;

o La gestion de la comptabilité (accounting management) : Evaluation de la consommation des ressources réseaux en fonction de la durée, du volume à des fins de facturation ou d'identification des stations saturant la bande passante.

Dans un réseau d'envergure, l'administration est fondamentale. Lors de la surveillance sur le réseau, les relevés du trafic doivent rester confidentiels afin d'éviter toute atteinte à la vie privée des utilisateurs.

Nous pouvons utiliser des outils pour l'administration du réseau car il en existe une panoplie tant du domaine privé que public. Chaque outil ayant un but particulier, il incombe à l'administrateur de bien savoir ce qu'il veut obtenir.

1. Spécification technique

La mise en place d'un réseau VPN site-à-site doit être structurée et la plus simple possible. La vue topologique du réseau doit permettre de visualiser la constitution des réseaux et leurs interconnexions, d'un point de vue géographique par site. L'aspect opérationnel doit être également abordé, c'est-à-dire savoir quel est le volume des données échangées entre utilisateurs, etc.

2. Organisation de l'exploitation

La définition et la mise en place d'une structure d'exploitation est intimement liée au contexte de l'entreprise⁵³.

Le but est ici d'indiquer la manière d'appréhender les impacts techniques d'une organisation et non pas la définition ellemême.

3. Architecture du réseau

Nous avons jugé bon d'utiliser le réseau centralisé ou en étoile dans lequel tous les sites, qualifié de distants sont raccordés à un même site⁵⁴.Pour mettre en place cette architecture nous allons nous attarder sur deux grandes parties :

1. Les différentes configurations, à savoir : De Bralima (SITE1), de Kimpoko (SITE2), de l'interface WAN, de l'interface LANs, du NAT. Ici, nous utiliserons le protocole IPSec, principal protocole permettant d'implémenter et de déployer des VPN.;

⁵³MONTAGNIERJ.L., Architectures des réseaux longues distances, 1997, Paris, Page 350 ⁵⁴Idem, Page 285

2. La configuration du serveur DNS plus particulièrement son module « Active Directory » car c'est celui-ci qui nous permettra de gérer le temps de connexion des utilisateurs dans le système et à l'internet.

A. Aspects matériels

Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux ordinateurs à qui on donnera des rôles précis est à envisager.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN site-à-site dont l'avantage est la sécurité.

B. Aspects logiciels

Nous avons utilisé le système d'exploitation Microsoft Windows 2003 Serveur pour l'implémentation de la solution. Nous avons privilégié Microsoft Windows 2003 Serveur pour mettre en place nos serveurs à cause de sa simplicité.

Afin de communiquer sur le réseau la carte doit être configurée. Nous ne verrons ici que le paramétrage utilisant le protocole TCP/IPv4.

Pour ce qui concerne les systèmes d'exploitation utilisés, Microsoft® Windows 2003 Server^TM est actuellement installé sur les serveurs de messagerie, de Navision, de base de données et le Windows SPIII pour les différents postes clients. Concernant le progiciel utilisé; Microsoft Navision est un outil de base adapté dans un environnement distant.

C. Aspects techniques

Lorsque nous avons pris connaissance de matériels que la Bralima utilise dans son réseau, cela nous a amené à proposer un certain nombre d'équipements répondant aux aspects techniques pour que la solution VPN site-à-site puisse être mise en place afin que la fiabilité et la sécurité des informations échangées soient en permanence au sein de la Bralima.

Etude de faisabilité et configurations ; Etude de faisabilité

Pour avoir une interconnexion des réseaux à faible coût mais pour un fort niveau sécurité, nous choisirons de travailler avec un VPN site-à-site. Le coût d'un VPN est un avantage pour différentes raisons :

La réalisation de notre projet de mise en place d'un réseau VPN site-à-site dépend de plusieurs facteurs, humains, financiers, matériels et logiciels. Gérer ce projet nous amène à l'organiser avec la méthode appropriée, de sorte que l'ouvrage réalisé par le maître d'oeuvre réponde aux attentes du maître d'ouvrage et qu'il soit livré dans les conditions de coût et de délai prévus initialement. Pour ce faire, la gestion de projet a pour objectifs d'assurer la coordination des acteurs et des tâches dans un souci d'efficacité et de rentabilité.

a) Facteur humain

Le maître d'oeuvre est l'auteur du projet ; il assure la direction des travaux et peut en être l'architecte.

Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron, le maître d'oeuvre est responsable du bon déroulement des travaux et joue un rôle de conseil dans le choix des entreprises qui vont les réaliser.

Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier des clauses administratives particulières. Dans notre cas, à la Bralima, le Département Informatique de la Direction financière tient ce rôle pour ce qui est du projet réel de conception d'un réseau VPN site-àsite. Le maître d'ouvrage reviendra à la Bralima.

Dans le cadre de notre travail, le maître d'oeuvre est assuré par l'entreprise Global Broadband Solution Congo.

Le maître d'ouvrage est tenu par la Bralima, qui se comporte dans ce cas comme le commanditaire du projet. Une fois le projet réalisé et livré, il est important de déléguer la responsabilité du suivi du système mis en place à un personnel spécial du Département Informatique.

b) Contraintes matérielles

Pour mener à terme ce projet, plusieurs ressources matérielles seront sollicitées. Outre le dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de nouveaux ordinateurs à qui l'on donnera des rôles précis.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN site-à-site dont l'avantage est la sécurité.

Dans l'optique de prévenir des pannes liées au niveau des indicateurs de performance, les serveurs sur lesquels seront implémenter les opérations devront avoir un minimum de performances considérées comme ligne de base.

Il faudra aussi penser aux interruptions de courant électrique. Pour ce faire, l'achat d'onduleurs pour les ordinateurs et d'un groupe électrogène serait d'une grande nécessité.

d) Contraintes financières

Les difficultés financières dépendent des besoins matériels, logiciels et humains.

En effet, pour mener au bout un projet de réseau VPN site-à-site entre sites distants, il faut s'assurer de la possibilité du budget alloué de pouvoir entre autres :

+ avoir une connexion internet stable et constante ;

+ avoir un dispositif adéquat pour l'interconnexion ;

+ mettre en place une liaison permanente, distante et sécurisée ; + avoir des ordinateurs respectant une certaine ligne de base ;

+ un monitoring des flux et une gestion des priorités doit

s'adapter aux différents usages ;

+ avoir un personnel formé pour assurer la maintenance à la fois matérielle et logicielle de la solution ;

+ organiser les priorités des différents flux;

+ la gestion de la bande passante et des équipements.

Chapitre V : REALISATION DU PROJET

Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre étude. Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui nous a été confié.

L'infrastructure VPN site-à-site est de nos jours très peu répandu pourtant elle apporte une nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un caractère novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur information.

Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.

Section I : Cadrage du projet I.1. Identification du projet

A. Intitulé du projet :

Mise en place d'un réseau VPN site-à-site est une solution peut être déployée et configurée en toute simplicité.

B. Définition :

Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre deux hôtes différents avec la possibilité de gérer l'accès de connexion à l'internet des utilisateurs.

C. Cahier de charge

Définit comme un acte, le cahier de charge est un document de référence qui permet à un dirigeant d'entreprise, d'une organisation de préciser les conditions ou les exigences d'un projet à accomplir ou une tâche à exécuter par un consultant en vue de résoudre un problème spécifique ou améliorer une situation donnée tout en déterminant les résultats.

D. Motif :

L'engouement qu'engendre l'architecture VPN/IPSec se fait de plus en plus présent dans les entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en leur proposant un service toujours disponible et de meilleures qualités.

Il est nécessaire de noter ici que la solution VPN/IPSec ou plus précisément le protocole IPSecsera implémenter aux extrémités de chaque réseau sur le routeur servant de passerelle entre l'intranet et internet.

I.2. Objectifs

Notre projet vise plusieurs buts, mais il existe deux

principaux :

( Permettre à la Bralima Sarl d'échanger de manière fiable et sécurisée les informations entre ses différents réseaux à partir du serveur sur lequel les utilisateurs s'authentifieront ;

( Permettre aux clients de la Bralima Sarl ou aux clients VPN d'accéder au réseau internet de façon contrôlée.

La réalisation du projet soumis à notre étude s'échelonne sur une période de 16 semaines (4 mois) à compter du 1 mars 2011. Date de début : 1 Juillet 2012 et date de fin au plus tard : 31 Octobre 2012.

I.3. Les moyens

Ici, il est question de moyens financiers concernant le coût de réalisation de ce projet qui est reparti entre le coût des appels téléphoniques, les déplacements et le matériel indispensable.

Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels :

Le présent tableau apporte un résumé des dépenses effectuees pour la formation des agents de la Bralima Sarl.

Coût global du projet

IV o plus, ^Esp

D'une façon synthétique, nous présentons toutes les Windows

sommes que les autorités de la Bralima doivent mobiliser pour XP/NT/Vista/eve

ovider Global BroadBd Solution 1200

l'acquisition des matériels, logiciels et pour la formation des utilisateurs :

[98]
Coût total matériels : 66.120 $ USD

1. Coût total logiciels : 4.060 $ USD

2. Coût total formation : 2.500 $ USD

3. Total = 66.120 $ USD + 4.060 $ USD + 2.500 $ USD

72.680 $ USD

4. Imprévu 10 % du montant total = 7.268 $ USD

5. Total général = 79.948 $ USD

Le montant total en lettre : Septante neuf mille neuf cent quarante-huit dollars américains.

Rappelons que ce coût est dérisoire, car il ne prend pas en compte le coût de l'élaboration d'un cahier de charges de façon complète et professionnelle ainsi que celui du travail technique effectué. En effet, il s'agit ici d'un projet qui s'inscrit dans le cadre de la rédaction d'un mémoire académique de fin d'étude.

+ Les échéances intermédiaires

Pour mesurer l'évolution du projet, nous ferons des comptes rendus hebdomadaires.

I.3. La technique

Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les expériences acquises au cours de notre formation, de quelques personnes ressources, sur internet, mais aussi sur les forums ou la plupart de nos difficultés ont été étayés.

I.5. Management du projet

Maîtrise d'ouvrage : BRALIMA SARL

Maîtrise d'oeuvre : Global Broadband Solution

Experts : Monsieur Robert MATENDO

I.6. Planification

Le diagramme de GRANTT permet de planifier le projet et de rendre plus simple le suivi de son avancement. Cette méthode visuelle est efficace lorsqu'il s'agit de lister une vingtaine de tâches.

Nous avons utilisé GANTT pour notre planification, mais bien avant nous avons nommé les différentes tâches, leurs durées ainsi que leurs précédences. Le tableau ci-après illustre les dites tâches, il est suivi du tableau de niveaux ainsi que de celui de la répartition des ressources.

Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et par conséquent ne s'attache pas à l'ordonnancement des activités. Il permet une présentation analytique, le projet est décomposé jusqu'à obtention des activités bien définies et faciles à gérer.

I.7.Planning prévisionnel de la réalisation du projet

Il est important à tout ingénieur dans le domaine de réseau, de planifier les différentes tâches qui doivent être réalisées, afin de déterminer la date à laquelle le projet doit se réaliser, son délai d'exécution et par conséquent en connaitre le coUt⁵⁵.

55 Prof. MBIKAYIJeampy, Cours Inédit Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-2012

I.7.1. Ordonnancement

Pour mener à bon port notre travail, nous avons opté pour l'ordonnancement qui est un outil de la recherche opérationnelle nous permettant dans ce cas d'élaborer le planning, de déterminer l'intériorité des tâches, de définir la durée de chaque tâche⁵⁶.

A ce niveau, l'objectif est la minimisation de la durée de réalisation du projet, ceci aurait un avantage significatif en gain de temps et du coût. Pour ce faire, nous nous sommes servis de la méthode GANTT.

⁵⁶P.O. Mvibudulu A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012

I.7.2. Calendrier de réalisation du projet

[102]

I.7.3. Le diagramme de GANTT

ée

Début Termin

Section II : Conduite du projet II.1. Problématique

Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un autre, les communications téléphoniques, les services de colis postaux ou de télécopie ne sont pas sécurisés. Pourquoi ne pas mettre sur pied un système qui rendra plus fiable et sécurisé le transfert de ces informations entre utilisateurs ou avec nos correspondants?

Dès notre arrivée à la Bralima Sarl, nous avons constaté que le trafic inter-réseau était non sécurisé, toutes les informations du réseau de l'entreprise circulaient en claires sur internet et ont certainement pu être interceptées à un moment ou à un autre par des personnes non connues.

La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission.

Un bon compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole "d'encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du terme "tunnellisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coUt, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie, il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

II.2. Mise en place de l'architecture VPN

Comme mentionné plus haut, Global BroadBand Solution est une entreprise qui fournit la connexion et bien d'autres services, son but est d'offrir continuellement des services pour satisfaire sa clientèle en permettant à ses employés de communiquer et de partager les informations, mais aussi de satisfaire son environnement externe en proposant des technologies toujours innovatrices pour faciliter le développement et la croissance des entreprises. Notre principal boulot était dans un premier temps de mettre en place l'architecture VPN site-à-site pour permettre aux utilisateurs de l'entreprise d'échanger de façon sécurisée leurs données, mais aussi à travers cette architecture de permettre aux futurs utilisateurs du réseau internet d'avoir accès à internet et de manière contrôlée.

Nous devons mentionner ici que cette architecture est nouvellement déployer à la Bralima ; toutefois il est primordial pour nous d'étudier l'existant autrement dit la topologie du réseau en place et la disposition des différents équipements présents dans le réseau de l'entreprise pour mieux appréhender et anticiper les difficultés que nous pourrons rencontrer lors de la mise en place de la solution. L'implémentation du protocole IPSec se fera au niveau du routeur CISCO.

II.3.Architecture à mettre en place

Ce schéma très simplifié nous présente la manière

dont les utilisateurs pourront avoir accès aux ressources dont ils ont besoin. Les utilisateurs devront au préalable s'authentifier sur le serveur DNS avant d'avoir accès aux ressources situées derrière celui-ci.

Comme nous pouvons le constater sur ce schéma, le réseau de la Bralima est subdivisé en deux sites : La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement d'un serveur, des ordinateurs (Bralima LAN) et un réseau externe (Kimpoko LAN).

Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables. Les informations de l'entreprise arrivent directement par l'internet ce que nous voyons sur le schéma, elles sont directement envoyées au commutateur qui lui, les envoie à un serveur de données. La DMZ en fonction bien entendu de la nature de l'information (données, fichiers, etc.) à son tour le serveur concerné, route l'information à l'ordinateur destinataire.

Les informations provenant du réseau externe (internet) sont préalablement analysées par le firewall avant d'être acceptée dans le réseau ou tout simplement rejetée.

II.4. Installation et configuration

Dans la suite de notre travail, nous considérerons que les configurations de cette interconnexion sont faites et nous nous limiterons aux limites de l'étude de notre thème. Nous pourrons simplement montrer en pratique la procédure d'une connexion cliente à un réseau VPN site-à-site.

Pour parvenir à mettre en place la solution proposée, il y a de préalables qu'il faut remplir ou l'on disposer d'un certain nombre de composantes, à savoir :

La solution VPN site-à-site de Cisco, est totalement intégrée et composée d'un équipement unique, peut être déployée et configurée en toute simplicité.

II.4.1. Configurations

Site-to-Site IPsec VPN

Qu'il s'agisse de sécuriser une connexion ou encore de créer une liaison entre deux sites au travers d'un réseau non sécurisé tel qu'Internet, le passage par un tunnel VPN se révèle être une arme redoutable. Chaque site étant une image d'un petit réseau disposant d'un accès à internet au travers d'un NAT overload...Voilà comment se présente la topologie :

Configuration de base de SITE1 Configuration de l'interface WAN > interface Serial0/0

> ip address 80.1.0.2 255.255.255.252

> ip nat outside

> clock rate 2000000

Configuration de l'interface LAN

> interface Loopback0

> ip address 192.168.0.0 255.255.255.0 > ip nat inside

Configuration du NAT

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les communications entre les deux LANs de la règle NAT.

Configuration de la route par défaut

ip route 0.0.0.0 0.0.0.0 80.1.0.1

Configuration de base de SITE2 Configuration de l'interface WAN o interface Serial0/0

o ip address 80.2.0.2 255.255.255.252 o ip nat outside

o clock rate 2000000

Configuration de l'interface LAN o interface Loopback0

o ip address 172.16.0.1 255.255.255.192 o ip nat inside

Configuration du NAT

" access-list 100 deny ip 192.168.0.64 0.0.0.192 192.168.0.0

0.0.0.255

" access-list 100 permit ip 192.168.0.64 0.0.0.192 any

" ip nat inside source list 100 interface Serial0/0 overload

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les communications entre les deux LANs de la règle NAT.

o Configuration de la route par défaut o ip route 0.0.0.0 0.0.0.0 80.2.0.1

o Principe de mise en place du tunnel VPN

La mise en place du tunnel VPN peut paraître complexe, mais il s'agit plutôt d'une tâche qui demande beaucoup de rigueur.

En effet, il va falloir s'assurer qu'aux deux bouts du tunnel la configuration des différents paramètres soit identique.Voici le détail de la configuration sur SITE1:

Activation de ISAKMP (le protocole qui gère l'échange des clés,

etc.) SITE1 (config)# crypto isakmp enable

Création d'une stratégie de négociation des clés et d'établissement de la liaison VPN :

On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité de l'utilisation de la stratégie. Plus petit est ce nombre plus la priorité est grande. On défini ensuite les paramètres:

- Encryptage AES

- Authentification par clé pré-partagées

- Algorithme de hachage SHA (valeur par défaut)

Méthode de distribution des clés partagées DH-2 (Algorithme de clé asymétriques Diffie-Hellman 1024bits)

Durée de vie 86400 secondes (valeur par défaut)

On définit ensuite si on identifie le routeur par son adresse ou par son hostname (ici l'adresse), l'identification par hostname peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de modifications de configuration en cas de changement d'adresse.

SITE1 (config)# crypto isakmp identity address

On crée ensuite la clé pré-partagée, ici « CiscoLab » qu'on associe avec l'adresse de l'autre bout du tunnel donc 80.2.0.2

SITE1 (config) # crypto isakmp key 0 CiscoLab address 80.2.0.2

Le 0 indique qu'on définit la clé en texte clair, en opposition avec une clé déjà cryptée si on la copie d'un « show run » d'un routeur ou l'encryptage des mots de passe sont activé.

On a maintenant terminé la configuration de la partie qui gère la négociation des clés etc. La deuxième partie consiste à définir comment les données seront cryptées. Tout d'abord on crée la méthode de cryptage (transform-set) que l'on nomme VPNSET.

SITE1 (config)# crypto ipsec transform-set VPNSET esp-aes esp-

sha-hmac.

Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d'authentification. On définit ensuite la durée de vie de la clé de cryptage :

SITE1 (config) # crypto ipsec security-association lifetime kilobytes 4096

La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir une durée de vie en secondes (ex:crypto ipsec security-association lifetime seconds 3600).

Il faut maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel VPN. Pour SITE1, ce sera le traffic originaire de 192.168.0.0/24 à destination de 172.16.0.0/24. (Ce sera l'inverse pour SITE2). On crée donc une access-list étendue:

( SITE1(config)# ip access-list extended VPN

" SITE1 (config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 192.168.0.64 0.0.0.192

Reste maintenant à créer une Crypto-map dont le but est de rassembler les différents éléments configurés pour pouvoir les appliquer enfin à une interface.

" SITE1 (config)# crypto map VPNMAP 10 ipsec-isakmp ( SITE1(config-crypto-map)# match address VPN

( SITE1(config-crypto-map)# set peer 80.2.0.2

( SITE1(config-crypto-map)# set transform-set VPNSET

On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle on intègre une séquence 10 (une seule crypto-map par interface, mais on peut ajouter plusieurs maps en leur indiquant des numéros de séquence différents), avec les paramètres suivants:

La dernière étape consiste à appliquer cette cryptomap à l'interface WAN de SITE1.

( SITE1 (config)# interface serial 0/0

( SITE1(config-if)# crypto map VPNMAP

( SITE est prêt. Reste à faire l'équivalent sur SITE2. " Configuration sur SITE2:

Parmi les points important, SITE2 soit avoir une stratégie isakmp identique à celle de SITE1 et l'access-list qui identifie le trafic à traiter par le tunnel VPN est inversée d'un point de vue de la source et de la destination.

( SITE2 (config)# crypto isakmp enable

( SITE2(config)# crypto isakmp policy 10

( SITE2 (config-isakmp)# encryption aes

( SITE2(config-isakmp)# authentication pre-share ( SITE2 (config-isakmp)# hash sha

( SITE2 (config-isakmp)# group 2

( SITE2 (config-isakmp)# lifetime 86400

( SITE2(config)# crypto isakmp identity address

( SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2

( SITE2 (config)# crypto ipsec transform-set VPNSET esp-aes espsha-hmac

( SITE2(config)# crypto ipsec security-association lifetime

kilobytes 4096

" SITE2(config)# ip access-list extended VPN

" SITE2 (config-ext-nacl)# permit ip 172.16.0.0.255 192.168.0.0 0.0.0.255

" SITE2 (config)# crypto map VPNMAP 10 ipsec-isakmp

" SITE2(config-crypto-map)# match address VPN

" SITE2(config-crypto-map)# set peer 80.1.0.2

" SITE2(config-crypto-map)# set transform-set VPNSET

" SITE2 (config)# interface serial 0/0

" SITE2(config-if)# crypto map VPNMAP

Vérification du tunnel VPN, une fois le tunnel configuré, deux commandes permettent de vérifier si le tunnel

fonctionne:

Toutefois, pour que l'on puisse vérifier le

fonctionnement il faut que le VPN soit établi, et pour cela il faut que du trafic soit envoyé au travers de ce tunnel. Ici le test est effectué à l'aide d'un « ping » étendu:

· SITE1#ping

· Protocol [ip]:

· Target IP address: 172.16.0.1

· Repeat count [5]:

· Datagram size [100]:

· Timeout in seconds [2]:

· Extended commands [n]: y

Source address or interface: 192.168.0.1

· Type of service [0]:

· Validate reply data? [no]:

· Data pattern [0xABCD]:

Sending 5, 100-byte ICMP Echos to 192.168.0.64, timeout is 2 seconds:

Packet sent with a source address of 192.168.0.64!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 144/156/176 ms

SITE1#

On peut maintenant vérifier si le tunnel à bien

fonctionné :

o SITE1#sh crypto isakmp sa

o IPv4 Crypto ISAKMP SA

o dst src state conn-id slot status

o 80.2.0.2 80.1.0.2 QM_IDLE 1001 0 ACT

o IPv6 Crypto ISAKMP SA

o SITE1#

o SITE1#sh crypto ipsec sa

o interface: Serial0/0

o Crypto map tag: VPNMAP, local addr 80.1.0.2 o protected vrf: (none)

o local ident (addr/mask/prot/port):

(192.168.0.64/255.255.255.0/0/0)

o remote ident (addr/mask/prot/port):
(192.168.0.0/255.255.255.0/0/0)

o current_peer 80.2.0.2 port 500

o PERMIT, flags={origin_is_acl,}

o #pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19 o #pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19 o #pkts compressed: 0, #pkts decompressed: 0

o #pkts not compressed: 0, #pkts compr. failed: 0

o #pkts not decompressed: 0, #pkts decompress failed: 0 o #send errors 1, #recv errors 0

o local crypto endpt.: 80.1.0.2, remote crypto endpt.: 80.2.0.2 o path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0

o current outbound spi: 0xE912A86D(3910314093)

Les deux lignes en bleu indiquent les paquets reçus et envoyés par le tunnel VPN. Pour conclure voici une capture réalisée par WireShark sur la liaison entre SITE1 et VPN lors de l'envoi de requêtes ICP de 192.168.0.0 à 192.168.0.64:

Il est ici impossible de voir qu'il s'agit de paquets ICMP, la seule chose visible c'est qu'il y a un trafic crypté d'un bout à l'autre du tunnel.

CONCLUSION GENERALE

Le secteur des technologies de l'information étant en constante mutation, le présent travail fait état des résultats obtenus lors de la mise place d'un réseau VPN site-à-site à la Bralima. Nous avons en effet grâce à cette nouvelle technologie permis aux employés de partager de façon sécurisée leurs données via le protocole IPSec qui est le principal outils permettant d'implémenter les VPN, ce partage était possible en interne pour les utilisateurs du réseau local de l'entreprise, mais aussi en externe pour les utilisateurs dit « distants » situés en dehors du réseau local.

En effet, nous avons présenté un travail divisé en deux parties, à savoir l'approche théorique qui était subdivisé deux chapitres dont le premier a porté sur les généralités sur les réseaux informatiques ; le second a porté sur le VPN (Virtual Private Network) où nous avons brossé de façon claire les notions, le fonctionnement ainsi que les différents protocoles utilisés pour la mise en oeuvre de réseau VPN et la deuxième partie intitulée conception du nouveau système d'information qui était aussi subdivisé en trois chapitres dont le premier a porté sur l'étude préalable dans laquelle nous avons présenté l'entreprise et nous avons fait l'analyse de l'existant, critique de l'existant et proposé une solution VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la Bralima ; le second a porté sur conception du nouveau système d'information et enfin le troisième, la réalisation du projet.

En effet, la mise en place de VPN site-à-site permet aux réseaux privés de s'étendre et de se relier entre eux au travers d'internet. Cette solution mise en place est une politique de réduction des coUts liés à l'infrastructure réseau des entreprises. Il en ressort que la technologie VPN basé sur le protocole IPSec est l'un des facteurs clés de succès qui évolue et ne doit pas aller en marge des infrastructures réseaux sécurisés et du système d'information qui progressent de façon exponentielle.

En tout état de cause, dans le cadre d'un accès restreint et plus sécurisé à l'internet, nous pourrons nous retourner sur le VPN ou le cryptage du réseau.

En définitive, comme tout travail scientifique, nous n'avons pas la prétention de réaliser un travail sans critique et suggestion de la part de tout lecteur afin de le rendre plus meilleur.

LISTE DES ABREVIATIONS

ATM : Asynchronous Transfer Mode.

ADSL : Asymmetrical bit rate Digital Subscriber Line.

AES : Advanced Encryption Standard

ANSI : American National Standard Institute.

API : Application Programming Interface

ARP : Adress Resolution Protocol

ASP : Application Service Provider

ANSI : American National Standard Institute

ADSL : Asymmetrical bit rate Digital Subscriber Line

AES : Application Environment Service

BGP : Border Gateway Protocol

BOUKIN : Bouteillerie de Kinshasa

BRALIMA : Brasserie Limonaderies et Malterie CIB : Compagnie industrielle de Boissons

CDMA : Code Division Multiple Access

CSMA/CD : Carrier Sense Multiple Access / Collision Detection.

CBR : Constraint-Based Routing

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name System/Service

DMZ : DeMilitarized Zone

DES : Data Encryption Standard

DWDM : Dance Wavelength Data Multiplexing

EAP : Extensible Authentication Protocol

EDI : Electronic Data Interchange.

EIA : Electrical Industries Association

ERP : Enterprise Resource Planning

ETCD : Equipement Terminal de Circuit de Données

FAT : File Allocation Table

FDDI : Fiber Distributed Data Interface.

FDMA : Frequency Division Multiple Access

FAI : Fournisseur d'Accès Internet

FTP : File Transfer Protocol

GIF : Graphics Interchange Format

GBS : Global BroadBand Solution

JPG : Joint Photographic Group

HTTP : Hyper Text Transfer Protocol

HTML : Hyper Text Markup Language

IP : Internet Protocol

IKE : Internet Key Exchange

ISO : International Standards Organisation.

ISP : Internet Service Provider

IETF : Internet Engineering Task Force

IEEE : Institute of Electrical and Electronics Engineers

ICMP : Internet Control Message Protocol

IPX : Inter-network Protocol eXchange

IPSEC : Internet Protocol Security

ISAKMP :Internet Security Association and Key Management Protocol

LAN : Local Area Network ou réseau local)

L2F : Layer Two Forwarding

L2TP : Layer Two Tunneling Protocol

LSP : Label-Switched Path

LDP : Label Distribution Protocol

LIB : Label Information Base

MAC : Message Authentification Code

MAU : Multistation Access Unit

NT : New Technology

NAT : Network Adress Traduction

NAS : Network Attached Storage

NIC : Network Information Center

NNTP : Network News Transfer Protocol

NTIC : Nouvelles Technologies de l'Information et de la Communication

OSI : Open Systems Interconnection

PPP : Point To Point Protocol

PoE : Power over Ethernet

PKI : Public Key Infrastructure

PPTP : Point-to-Point Protocol

PDU : Protocol Data Unit

PING : Packet INternet Groper.

PKI : Public Key Infrastructure

PPTP : Point To Point Tunneling Protocol

PME : Petites et Moyennes Entreprises

PSTN : Public Switched Telephone Network

QoS : Quality Of Service

RA : Registration Authority

RFC : Request For Comments

RSA : Rivest Shamir Adleman

RIP : Routing Information Protocol

RNIS : Réseau Numérique à Intégration de Services

RTC : Real Time Clock

SHA : Secure Hash Algorithm

SSL : Secure Socket Layer

STP : Shielded Twisted Pair

SFTP : Simple File Transfer Protocol

SA : Security Association

SSL : Secure Socket Layer

SPX : Sequence Packet exchange

SPKI : Simple Public Key Infrastructure

SLIP : Serial Line Internet Protocol

SNMP : Simple Network Management Protocol.

SARL : Société par Actions à la Responsabilité Limité

TCP : Transport Layer Protocol

TLS : Transport Layer Security

TIA : Thanks In Advance

TCP/IP : Transmission Control Protocol/Internet Protocol

UDP : User Datagram Protocol

UTP : Unshielded Twisted Pair

VPN : Virtual Private Network

VSAT : Very Small Aperture Terminal

WAN : Wide Area Network ou réseau Etendu

WIFI : Wireless Fidelity

WWW : World Wide Web

BIBLIOGRAPHIE Les Ouvrages

1. Bertrand Petit, Op. Cit. ;

2. ERNYPierre, les Réseaux d'entreprises, Edition Ellipse, 1998 ;

3. Dromard Danièle et SERET Dominique, Architectures des réseaux, Pearson, Paris ;

4. Ghernaouti-HélieS., Stratégie et protection des systèmes d'information, Edition DUNOD, Paris, 2011 ;

5. Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011 ;

6. Ghernaouti-HélieS., Guide de cyber sécurité pour les pays en développement, EditionDUNOD, 2008 ;

7. LORENZ Pascal, Architectures des réseaux et
télécommunications, Ellipses, Technosup, Paris, 2001 ;

8. PujolleGuy, Les Réseaux, 3^e Edition mise à jour par Eyrolles, Paris, 2000 ;

9. TanenbaumAndrew, Les réseaux interdiction, 3^ème Edition, 1998 ;

10. MORVANPierre, LAROUSSE Références, Dictionnaire de l'informatique, 1996 ;

11. MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997 ;

12. MONTAGNIERJ.L., Architectures des réseaux longues
distances, 1997 ;

13. MONTAGNIERJ. L., Pratique des réseaux d'entreprise : Conception d'une solution d'administration, Eyrolles, Paris, 1997 ;

14. PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition Ellipses, Paris.

SITEWEBS CONSULTES

1. http://fr.wikidedia.org/wiki/Réseau_privé_virtuel;

2. http://www.ietf.org/html.charters/ipsec;

3. http://www.commentcamarche.net;

4. http://www.urec.cnrs.fr/ipv6;

5. http://www.cisco.com/go/evpn;

6. http://www.cisco.com/go/pix;

MEMOIRES CONSULTES

1. ANGELINE KONE, Mémoire : << Conception et déploiement d'une architecture réseau sécurisé», 2010 - 2011 ;

2. Joseph DIMANDJA, Mémoire, Conception et implémentation d'un intranet, ULK, 2006-2007;

3. MBOYO BOKEKE, Mémoire : << Projet de conception d'un intranet VPN au sein d'une entreprise publique», ULK, L2, 2007 - 2008.

NOTES DE COURS

1. IVINZA LEPAPA A.C., Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-2012 ;

2. MVIBUDULU KALUYIT A., Méthodes d'Analyse Informatique, ISC- Kinshasa, année 2004-2005 ;

3. MVIBUDULU KALUYIT A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012 ;

4. MBIKAYI Jeampy, Modèle Conceptuel de Projet, L2

informatique ISS/KIN, 2010-2011.

AUTRES DOCUMENTS

> Documentation technique du Département Informatique à la Bralima Sarl

[120]
TABLE DES MATIERES

INTRODUCTION GENERALE 7

0.1.PROBLEMATIQUE 7

0.2.HYPOTHESE DU SUJET 8

0.3.CHOIX ET INTERET DU SUJET 9

0.4.DELIMITATION DU SUJET 9

0.5.METHODES ET TECHNIQUES UTILISEES 10

0.6.SUBDIVISION DU TRAVAIL 11

Chapitre I : GENERALITES SUR LES RESEAUX INFORMATIQUES 12

I.1. Introduction 12

I.2. Définition 12

I.3. Topologie des réseaux 13

I.4. Caractéristiques physiques des réseaux 16

I.4.1.Techniques de transmission 16

A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise) 17

B. WAN (Wide Area Network) 18

I.5. Caractéristiques logiques des réseaux 18

I.6. Modèle de référence OSI 18

I.7. Modèle de référence TCP/IP 20

I.8. Comparaison entre les modèles 20

I.9. Architecture des réseaux 21

I.9.1. Architecture basée sur les Commutateurs 22

a. Introduction 22

b. Un commutateur 23

I.9.2. Architecture à longues distances 23

Section I. : Interconnexion des réseaux 24

I.1. Définition 24

Section II. Sécurité informatique 28

II.1. Introduction 28

II.1.1. Sécurité physique et environnementale 28

II.1.2. Sécurité logique et applicative 29

II.1.1. La sécurité du système d'information 30

II.2. Mise en place d'une politique de sécurité 30

o La confidentialité 31

o Intégrité 32

o Authentification. 32

II.3. Chiffrement ou Cryptographie 32

II.4. Algorithmes symétriques 33

II.5. Algorithmes asymétriques 34

CHAPITRE II: VPN (Virtual Private Network) 35

Section I. Généralités 35

I.1. Définition 35

a. Réseau privé 35

b. Réseau privé virtuel 35

I.2. Concept de VPN 36

I.3. Fonctionnement 37

I.4. Méthode de connexion 38

I.4.1. Le VPN d'accès 38

I.5. Topologie des V.P.N 39

I.5. Intérêt d'un VPN 40

Section II. Protocoles utilises et sécurité des VPN 41

a. PPP (Point To Point Protocol) 42

b. PPTP (Point To Point Tunneling Protocol) 43

c. L2F (Layer TwoForwarding) 46

d. L2TP (Layer Two Tunneling Protocol) 46

e. IPSEC (Internet protocol security) 47

f. Comparaison des différents protocoles 52

CHAPITRE III. : PRESENTATION DE L'ENTREPRISE 55

III.1. Situation géographique et juridique 55

III.2. Historique 55

III.3. Objectif et mission 57

III.4. Activités 58

III.4.1. Activité principale 58

III.4.2. Activité secondaire 60

III.5. Structure organique de l'Entreprise : 60

III.6. Attribution et tâches 61

a) L'Administrateur Délégué : 61

III.9. Description des LANs existants 64

III.8.1. Topologie et type de média 64

III.8.2. Le Service Informatique : 71

III.8.3. Structure interne : 71

III.8.4. Organigramme : 72

III.10. Matériels et logiciels utilisés 72

III.9.1. Logiciels utilisés 73

III.11. Réseaux informatiques existants 74

III.12. Critiques de l'existant 74

III.11.1. Besoins de l'entreprise 75

III.13. Proposition des solutions retenues 75

Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION 77

IV.1. Les différents types de flux 77

IV.2. Les flux de type conversationnels 77

IV.2. Les flux de type transactionnels 78

IV.3. Les flux de type transferts de fichiers 78

IV.4. Les flux clients/serveurs 79

IV.1.3. Volumétrie liée à la messagerie 82

IV.1.4. Volumétrie liée aux transferts de fichiers 83

IV.1.5. Volumétrie liée aux applications transactionnelles site central. 83

IV.1.6. Volumétrie liée aux applications transactionnelles 83

IV.1.7. Volumétrie liée à d'autres services 83

IV.1.8. Dimensionnement des liens 84

IV.1.9. Choix du réseau de transport 86

IV.1.10. Choix des matériels 86

IV.3. Conception d'une solution d'administration 87

4.3.1. Administration des équipements 88

1. Spécification technique 89

2. Organisation de l'exploitation 89

3. Architecture du réseau 89

A. Aspects matériels 90

B. Aspects logiciels 90

C. Aspects techniques 91

Etude de faisabilité et configurations ; 91

Etude de faisabilité 91

Chapitre V : REALISATION DU PROJET 94

Section I : Cadrage du projet 94

I.1. Identification du projet 94

A. Intitulé du projet : 94

B. Définition : 94

C. Cahier de charge 94

D. Motif : 94

I.2. Objectifs 95

I.3. Les moyens 95

I.3. La technique 98

I.5. Management du projet 98

I.6. Planification 99

I.7.Planning prévisionnel de la réalisation du projet 99

I.7.1. Ordonnancement 100

I.7.2. Calendrier de réalisation du projet 101

I.7.3. Le diagramme de GANTT 102

Section II : Conduite du projet 103

II.1. Problématique 103

II.2.Mise en place de l'architecture VPN 104

II.4. Installation et configuration 106

II.4.1. Configurations 106

CONCLUSION GENERALE 114

LISTE DES ABREVIATIONS 115

BIBLIOGRAPHIE 118

Les Ouvrages 118

SITEWEBS CONSULTES 118

MEMOIRES CONSULTES 119

NOTES DE COURS 119

AUTRES DOCUMENTS 119

Table des matières .121