Академический Документы
Профессиональный Документы
Культура Документы
Sous la direction de :
M. SOUARE Samba
Ingnieur en rseaux et
systmes
Ddicace
Ce mmoire est ddi ma mre Patrocinia G. RILOHA. Surtout pour son soutien moral
intellectuel et financier et pour cette confiance quelle a place en moi. Tout le mrite de
laccomplissement de ce travail lui est d. Son soutien a t dune grande contribution pour
moi.
II
Remerciements
En prambule ce mmoire, je souhaitais adresser mes remerciements les plus
sincres aux personnes qui mont apport leur aide qui ont contribu
llaboration de ce mmoire ainsi qu la russite de cette formidable anne
acadmique.
Je tiens remercier dabord le Dieu tout puissant pour la force, le souffle de vie
quil maccord pour pouvoir raliser ce travail. Jadresse aussi mes sincres
remerciement M. SOUARE SAMBA, qui, en tant quencadreur de mmoire,
sest toujours montr lcoute et trs disponible tout au long de la ralisation de
ce mmoire, ainsi pour linspiration, laide et le temps quil a bien voulu me
consacrer et sans qui ce mmoire naurait jamais vu le jour.
Mes remerciements les plus sincres nos professeurs qui nous ont soutenu durant
ces trois ans :
M.MASSAMBA LO, M. YOUSSEF, M. RACINE etc...
En suite tous nos collgues Ismal, Maniche, Fleury, Justice, Helena, sans
oublier Arielle, Promesse, Merveilles, Daniella, Thony, Cdric avec qui nous
avons partage ces beaux moments ensemble.
Je tiens les remercier tous pour leurs encouragements car sans eux ce travail
devrait tre inadquat sans possibilit profonde de le raliser.
III
AVANT PROPOS
Les rseaux locaux interconnectent des stations de travail, des priphriques, des terminaux et
d'autres quipements dans un seul immeuble ou toute autre zone gographique limite. Les
technologies de rseaux locaux offrent des vitesses de transmission toujours plus leves et des
mcanismes dits intelligents , conduisant les entreprises dans lre de lInternet et leur
permettant de dployer des services valeur ajoute pour leurs salaris, leurs clients et leurs
partenaires (formation, vente et collaboration en ligne), et ce, laide dune infrastructure
rseau solide et extensible.
Sil est trs facile de se connecter Internet, le partage de ressources (partage de la connexion
par exemple) ou la mise en place dun rseau sans fil scuris ncessitent un certain nombre de
comptences et de connaissances pralables.
Ce document vous prsente les possibilits quoffrent les technologies de rseaux locaux. Il
sarticule autour de La mise en place dun rseau LAN avec connexion Internet .
IV
Tables de matires
Ddicace .................................................................................................................................................. II
Remerciements ...................................................................................................................................... III
AVANT PROPOS ...................................................................................................................................... IV
Tables de matires .................................................................................................................................. V
LISTE DES FIGURES................................................................................................................................ VIII
Liste des tableaux ................................................................................................................................... IX
LISTE DES SIGLES ET ABREVIATIONS ........................................................................................................ X
INTRODUCTION GENERALE ..................................................................................................................... 1
PARTIE I : CADRE THEORIQUE ET METHODOLOGIQUE ........................................................................... 2
Chapitre 1 : Cadre thorique .................................................................................................................. 2
1.1.
La problmatique ................................................................................................................ 2
1.2.
1.4.
1.5.
2.2.
2.3.
Dfinition : ........................................................................................................................... 6
3.2.
3.2.1.
3.2.2.
3.2.3.
3.3.
3.3.1.
3.3.2.
3.3.3.
3.3.4.
3.3.5.
La topologie hirarchique.............................................................................................. 10
3.4.
3.4.1.
Rpteur ........................................................................................................................ 10
3.4.2.
Hub ................................................................................................................................ 11
3.4.3.
Pont ............................................................................................................................... 11
3.4.4.
Switch ............................................................................................................................ 11
3.4.5.
Routeur .......................................................................................................................... 12
3.4.6.
3.4.7.
Le modem ...................................................................................................................... 12
3.4.8.
La passerelle .................................................................................................................. 13
3.4.9.
Proxy .............................................................................................................................. 13
3.4.10.
3.4.10.1.
3.4.10.2.
3.4.10.3.
3.5.
3.6.
3.6.1.
3.6.2.
3.7.
LADRESSAGE IP ................................................................................................................. 22
3.8.
3.9.
4.1.1.
4.1.2.
4.2.
4.3.
4.4.
4.5.
4.6.
pare-feu ............................................................................................................................. 33
5.1.1.
5.1.2.
5.1.2.1.
5.1.2.2.
VI
5.1.3.
5.2.
Cryptographie .................................................................................................................... 37
5.3.1.
Cryptographie symtrique............................................................................................. 37
5.3.2.
5.3.3.
6.2.
VII
IX
INTRODUCTION GENERALE
Aujourd'hui, Internet est largement utilis dans le monde et est plus orient mtier. Les organismes
offrant la connexion Internet sont intresss par la tarification o les clients payent pour les ressources
qu'ils consomment. Indniablement, ce grand rseau est rentr dans nos murs. A travers, lui tout un
monde parallle s'est dvelopp : des sites marchands ont fleuris, les services pour les particuliers
comme les guides d'itinraire pour nos voyages nous simplifient bien la vie.
En effet, les rseaux sont devenus des cibles favorites des pirates informatiques.
Si vous installez un rseau dans vos locaux, les pirates pourraient y accder sans avoir besoin dentrer
physiquement.
Ils pourraient ainsi obtenir laccs vos ressources rseau internes, couter vos communications et se
faire passer pour vous afin dattaquer dautres ordinateurs via internet.
Dans cette logique, il est donc ncessaire de dfinir pour ces rseaux une politique de scurit stricte
reposant sur les mcanismes de portail captif, le contrle dintgrit et la traabilit. Cest dans cette
optique que nous avons abord ce sujet intitul Etude dun rseau LAN avec connexion Internet .
Pour dvelopper notre sujet, nous avons rparti le travail en trois parties.
> La premire partie sera compose dun cadre thorique et mthodologique ;
> La deuxime partie nous prsenterons une tude dtaille sur les rseaux informatiques ;
> La troisime partie sera consacre limplmentation du contrle daccs Internet au sein dun
rseau LAN
informatiques. Actuellement, le problme est de correctement dfinir les risques engendrs par la
criminalit informatique. Il faut pour cela avoir une vision globale du problme et connaitre
globalement les techniques utilises par les nouveaux flibustiers. Il sagira ensuite danalyser
correctement les vulnrabilits propres chaque site, de dfinir le niveau de scurit requis et enfin de
mettre en place une politique de scurit acceptable. Lors de cette tape il faut bien veiller examiner
le problme tant du ct de ladministrateur que de celui du simple utilisateur afin de ne pas en crer
de nouveaux. . . . Dans ce livre, on constate que la scurit est un point crucial lors de linstallation des
infrastructures rseaux, mais cela nempche aux administrateurs de mettre en place des systmes de
scurit pour pouvoir lutter contre les attaques ventuelles dans les rseaux informatiques. De nos jours,
cette lutte continue avec la mise en place de plusieurs mcanismes de scurit comme celui
dauthentification. Loin dtre exhaustif sur ce point, nous voquerons le cadre mthodologique.
Nous allons nous baser sur mise en place dune solution avec un serveur zentyal (routeur/pare- feu)
qui va jouer le rle de pare-feu (portail captif) au sein dun rseau LAN. Cette solution consiste limiter
les accs au sein du rseau et dauthentifier les accs aux utilisateurs sur ce rseau laide dun portail
captif.
rseaux et aussi pour protger l'accs de chacun d'eux suivant des conventions pralables
Rseau MAN Peut tre priv ou public. Utilise un ou deux cbles de transmission. Pas
dlments de commutation (routage). Norme spciale IEEE-802.6. Pour envoyer une
information a un ordinateur droite, utiliser le bus A ; sinon utiliser le bus B.
3.2.3. Les WAN : Wide Area Network
WAN (Wide Area Network= rseau grande distance), appel Rseau tendu, est un rseau
informatique couvrant une grande zone gographique, typiquement l'chelle d'un pays, d'un
continent, voire de la plante entire. Le plus grand WAN est le rseau Internet.
WAN reprsente dans notre cas la connexion Internet principale utilise par tous les usagers
du site.2
3.3. Les Topologies des rseaux informatiques
Un rseau informatique est un ensemble des quipements relies entre eux grce des lignes des
communications (cbles rseaux, etc....) et des matriels (carte rseau, ainsi que dautres
quipements permettant dassurer la bonne circulation des donnes). Ces topologies sont :
La topologie physique concerne la faon dont les machines sont connectes (Bus, Anneau,
Etoile ). ET la topologie logique qui montre comment les informations circulent sur les
rseaux (diffusion ou point point).
3.3.1. La topologie en bus
Une topologie en bus est lorganisation la plus simple dun rseau. En effet, dans cette
topologie chaque machine est relie un cble appel bus.
du rseau, ne filtre pas les collisions, n'augmente pas la bande passante et n'offre pas de
possibilit de rseau virtuel.
3.4.2. Hub
Le hub est un rpteur qui transmet le signal sur plus d'un port d'entre-sortie. Lorsqu'il reoit
un signal sur un port, il le retransmet sur tous les autres ports. Il prsente les mmes
inconvnients que le rpteur. Il assure en fonction annexe une auto-ngociation du dbit
entre 10 et 100 Mbits/s, il est utilis en extrmit du rseau et doit tre couple en un nombre
maximum de 4 entre deux stations de travail.
3.4.3. Pont
Il est aussi appel rpteur filtrant ou bridge en anglais. Le pont peut servir la segmentation
du rseau LAN pour rduire la congestion au sein de chaque segment. Les quipements de
chaque segment se partagent la totalit de la bande passante disponible. Les ponts sont des
quipements de couche 2 qui transmettent des trames de donnes en fonction de l'adresse
MAC. Les ponts lisent l'adresse MAC de l'metteur des paquets de donnes requis sur les
ports entrants pour dcouvrir les quipements de chaque segment. Les adresses MAC sont
ensuite utilises pour crer une table de commutation qui permet au point de bloquer les
paquets qu'il n'est pas ncessaire de transmettre partir du segment local.
3.4.4. Switch
Aussi appel commutateur, en gnral, les stations de travail d'un rseau Ethernet sont
connectes directement lui. Un commutateur relie les htes qui sont connectes un port en
lisant l'adresse MAC comprise dans les trames. Intervenant au niveau de la couche 2, il ouvre
un circuit virtuel unique entre les nuds d'origine et de destination, ce qui limite la
communication ces deux ports sans affecter le trafic des autres ports. En plus de ces
fonctions, il offre des avantages suivants ;
> Rduction du nombre de collision,
> Multiples communication simultanment,
> Amlioration de la rponse du rseau (augmentation la bande passante disponible),
> Hausse de la productivit de l'utilisateur,
II convient de savoir les critres de choix techniques (performances) lors de l'achat de celui- ci
:
3.4.8. La passerelle
La passerelle est un systme matriel et logiciel qui sert relier deux rseaux utilisant deux
protocoles et/ou architecture diffrents, par exemple un rseau local et internet. Lorsquun
utilisateur distant contact un tel dispositif, celui-ci examine sa requte, et si celle-ci
correspond aux rgies que ladministrateur rseaux a dfini, la passerelle cre un pont entre
les deux rseaux. Les informations ne sont pas directement transmises. Elles sont plutt
traduites pour assurer la transmission tout en respectant les deux protocoles.
3.4.9. Proxy
Proxy server, appel aussi server mandataire, est lorigine une machine faisant fonction
dintermdiaire entre les ordinateurs dun rseau local (utilisant parfois des protocoles autres
que le protocole TCP/IP) et internet. La plupart du temps le serveur proxy est utilis pour le
web, il sagit alors dun proxy http. Toutefois il peut exister des serveurs pour chaque
protocole applicatifs(FTP). Le principe de fonctionnement basique dun serveur proxy est
assez simple : il sagit dun serveur proxy mandataire par une application pour effectuer
une requte internet a sa place. Ainsi, lorsquun utilisateur se connecte internet laide
dune personne application cliente configure pour utiliser un serveur proxy, celle-ci va
connecter en premier lieu le serveur proxy et lui donner sa requte. Le serveur proxy alors se
connecte au serveur que lapplication cliente cherche joindre et lui transmettre la requte. Le
serveur ensuite donne sa requte au proxy, qui va son tour la transmettre lapplication
cliente.
3.4.10. Les supports de transmission
Lobjectif de la couche 1 du modle OSI est aussi de fixer les caractristiques des matriels utiliss
pour relier physiquement les quipements dun reseau.il existent de nombreux types supports de
transmission :
> Les cbles paires torsades
> Les cbles coaxiaux
> La fibre optique
3.4.10.1. Les cbles paires torsades
Le cble a paire torsades (en anglais Twished-pair cble) est le support le plus simple, donne
le moins cher ? il est constitu de paires de fils lectriques (gnralement 4 paires). Les fils de
cuivre ou daluminium des diffrentes paires sont les uns des autres par du plastique et enfermes
Soutenu par : Jos Armando Dansu Riloha
Page 13
dans un cble. Chaque paire est galement torsades sur elle-mme, ceci afin dviter les
phnomnes de diaphonie (interfrence entre conducteurs).
On distingue deux types de cble a paires torsades :
> Les cbles paire torsades blindes (STP : Shieled Twisted-pair) ;
> Les cbles paire torsades non blindes (UTP : Unshieled Twisted-pair).
Les cbles paire torsades blindes (STP) :
Les cbles paire torsades blindes, offrent une meilleure protection contre les parasites
lectromagntiques.
Les cbles paire torsades non blindes (UTP) :
Cest les plus gnralement utilise cause de leur faible cout. Ils offrent un certain nombre
davantages comme une rduction accrue des couts du rseau, de mme quune meilleure
protection envers les autres ordinateurs lors dune dconnexion, intempestive ou non, de lun
dentre eux du rseau
3.4.10.2. Les cbles coaxiaux
Le cble coaxial est utilis galement en tlphonie et en tlvision, il est constitu dun fil de
cuivre.il est dans une gaine isolante elle-mme entoure par une tresse de cuivre, le tout est
recouvert dune gaine isolante.
3.4.10.3. Fibre optique
La fibre optique fait circuler un faisceau lumineux qui est le support de linformation, ce que
permet au signal dtre isole des perturbations extrieures. Son dbit est de lordre de 500
Mgabits/s. le signal circule sur le media uni directionnellement et sa bande passante est de
plusieurs Gigahertz.la distance maximum sans rpteur est de 70kilometres.
3.5. Quapportent les rseaux ?
De nos jours vivre sans rseaux cest vivre comme un oiseau quun qui na pas des ails, les
rseaux ont une grande importance dans la vie actuelle par ce quils nous rendent de multiples
services tels que :
> Rduire le cout de la communication
7. Application
Donnes
6. Prsentation
5. Session
Couches matriels
Segment/datagramme
4. Transport
Paquet
3. Rseau
Trame
2. liaison
Bit
1. Physique
exemple).
La couche liaison de donnes
Son rle est un rle de liant : elle va transformer la couche physique en une liaison a priori
exemple derreurs de transmission pour la couche rseau. Elle fractionne les donnes dentre
de lmetteur en trames, transmet ces trames en squence et gre les trames dacquittement
renvoyes par le rcepteur. Rappelons que pour la couche physique, les donnes nont aucune
signification particulire. La couche liaison de donnes doit donc tre capable de reconnaitre
les frontires des trames. Cela peut poser quelques problmes, puisque les squences de bits
utilises pour cette reconnaissance peuvent apparaitre dans les donnes.
La couche liaison de donnes doit tre capable de renvoyer une trame lorsquil y a eu un
problme sur la ligne de transmission. De manire gnrale, un rle important de cette couche
est la dtection et la correction derreurs intervenues sur la couche physique. Cette couche
intgre galement une fonction de contrle de flux pour viter lengorgement du rcepteur.
La couche rseau
Cest la couche qui permet de grer le sous-rseau, cest--dire le routage des paquets sur ce
sous-rseau et linterconnexion des diffrents sous-rseaux entre eux. Au moment de sa
conception, il faut bien dterminer le mcanisme de routage et de calcul des tables de routage
(tables statiques ou dynamiques...).
La couche rseau contrle galement lengorgement du sous-rseau. On peut galement y
intgrer des fonctions de comptabilit pour la facturation au volume, mais cela peut tre dlicat.
La couche transport
Cette couche est responsable du bon acheminement des messages complets au destinataire. Le
rle principal de la couche transport est de prendre les messages de la couche session, de les
dcouper sil le faut en units plus petites et de les passer la couche effectue donne aussi le
rassemblage du message la rception des morceaux.
Cette couche est galement responsable de loptimisation des ressources du rseau : en toute
rigueur, la couche transport cre une connexion rseau par connexion de transport requise par
la couche session, mais cette couche est capable de crer plusieurs connexions rseau par
processus de la couche session pour repartir les donnes, par exemple pour amliorer le dbit.
A linverse, la fois grce au multiplexage. Dans tous les cas, tout ceci doit tre transparent
pour la couche session.
La couche session
Cette couche permet aux utilisateurs de machines distantes d'tablir des sessions entre eux, ceci
leurs permettant ainsi le transport de donnes. Elle permet notamment les transferts de fichiers
en contrlant et grant les erreurs. Elle offre galement l'accs des services volues utiles
certaines applications comme le transfert de fichiers entre 2 postes. Elle assure aussi le "contrle
du jeton" : cette couche fournit un "jeton" que les interlocuteurs s'changent et qui donne le
droit d'effectuer une opration. Enfin, cette couche gre la "Synchronisation". C'est dire qu'elle
insre des points de reprise dans le transfert des donnes de manire ce qu'en cas de panne,
l'utilisateur ne reprenne le transfert qu'au niveau du dernier point de repre.
La couche prsentation
Cette couche s'occupe de la partie syntaxique et smantique de la transmission de l'information.
Elle s'occupe aussi par exemple du codage des caractres permettant ainsi deux systmes
htrognes de communiquer. C'est le systme d'encodage, qui traduit les informations pour
qu'elles soient comprhensibles indpendamment du systme utilise. Elle accomplit les taches
courantes et rptitives pour dlester l'utilisateur. Contrairement aux autres couches, celle-ci ne
s'intresse pas au transfert fiable de bits d'un point A a un point B. En revanche, elle s'attache
la smantique et la syntaxe de l'information transmise.
La couche application
Cette couche gre les applications qui communiquent ensemble, le courrier lectronique, les
terminaux virtuels. Elle gre aussi une partie des transferts de fichiers en permettant la
compatibilit des donnes en milieu htrogne.
3.6.2. LE MODELE TCP/IP
Le modle de rfrence TCP/IP qui est le nome historique et technique dinternet. Le ministre
amricain de la Dfense a cr le modle de rfrence TCP/IP parce quil avait besoin de
concevoir un rseau pouvant rsister les conditions mme une guerre nuclaire. Dans un
monde connecte par diffrents types de mdias de communications tels que les fils de cuivre,
micro-ondes, fibres optiques et liaisons satellite, le ministre de la dfense souhaitait une
transmission de paquets capable daboutir coup sr et sous nimporte quelle condition. Ce
problme de conception extrmement ambitieux a conduit la cration du modle TCP/IP.
Contrairement aux technologies rseau propritaires mentionnes prcdemment TCP/IP a t
dveloppe en tant que norme ouverte. Cela voulait dire que nimporte qui pouvait utiliser
Soutenu par : Jos Armando Dansu Riloha
Page 17
4
3
2
Application
Transport
Internet
Accs rseau
MODELE OSI
TCP/IP
APPLICATION
PRESENTATION
SESSION
TRANSPORT
RESEAU
LIAISON DE DONNEE
PHYSIQUE
INTERNET
INTERFACE RESEAU
bail Le serveur passe en paramtres au client toutes les informations dont il a besoin. C'est quoi un bail
? Il s'agit d'un "contrat" passe entre le serveur et le client qui inclue notamment la dure de vie de
l'adresse IP qu'attribue le serveur au client. Une fois le serveur dmarre, un client voulant se connecter,
diffuse un message DHCP- discover pour "trouver" un serveur DHCP. Lorsque le client trouve le
serveur DHCP, ce dernier lui attribue automatiquement une adresse IP.
Le protocole DNS
Dans le monde de l'Internet, les machines du rseau sont identifies par des adresses IP. Nanmoins,
ces adresses ne sont pas trs agrables manipuler, c'est pourquoi, on utilise les noms. L'objectif a alors
t de permettre la rsolution des noms de domaines qui consiste assurer la conversion entre les noms
d'htes et les adresses IP. La solution actuelle est l'utilisation des Dns (Le Domain Name System
(systme de noms de domaine) est un service permettant de traduire un nom_ de domaine en
informations de plusieurs types qui y sont associes, notamment en adresses IP de la machine portant
ce nom (Domain Name System) . Un serveur DNS assure la rsolution de noms des rseaux TCP/IP.
En dautres termes, il permet aux utilisateurs dordinateurs clients dadopter des noms a la place des
adresses IP numriques pour identifier les htes distants. Un ordinateur client envoie le nom dun hte
distant a un serveur DNS, lequel rpond avec ladresse IP correspondante. Lordinateur client peut alors
envoyer des messages directement ladresse IP de lhte distant. Si le serveur DNS ne dispose pas
dune entre dans sa base de donnes pour lhte distant, il peut rpondre au client avec ladresse dun
serveur DNS qui a plus de chances de possder des informations sur cet hte distant, ou il peut interroger
lautre serveur DNS.
Le protocole HTTP
L'HyperText Transfer Protocol, plus connu sous l'abrviation http littralement protocole de transfert
hypertexte est un protocole de communication client-serveur dveloppe pour le World Wide Web.
HTTPS (avec S pour secured, soit scuris ) est la variante du HTTP scurise par l'usage des
protocoles SSL ou TLS.
HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion
fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise
alors par dfaut le port 80 (443 pour HTTPS).
Les clients HTTP les plus connus sont les navigateurs Web permettant un utilisateur d'accder un
serveur contenant les donnes. Il existe aussi des systmes pour rcuprer automatiquement le contenu
d'un site tel que les aspirateurs de site Web ou les robots d'indexation.
Ces clients se connectent a des serveurs HTTP tels qu'Apache HTTP Server ou Internet Information
Services.
Soutenu par : Jos Armando Dansu Riloha
Page 20
Le Protocole TCP est orient connexion.il maintient un dialogue entre lordinateur source et lordinateur
de destination pendant quil prpare les informations de couche application en units, appeles
segments. Un protocole oriente connexion ne signifie pas quil existe un circuit entre les ordinateurs en
communication. Ce type de fonctionnement indique quil y a un change de segments de couche 4 entre
les deux ordinateurs htes afin de confirmer lexistence logique de la connexion pendant un certain
temps.
Lobjectif de la couche internet est de deviser les segments TCP en paquets et de les envoyer depuis
nimporte quel rseau.
Les paquets arrivent au rseau de destination indpendamment du chemin quils ont emprunt pour y
parvenir. Le protocole qui rgit cette couche est appele protocole IP (Internet Protocol). La
dtermination du meilleur chemin et la commutation de paquets ont lieu au niveau de cette couche.
Modle TCP/IP Couche
Application TCP ou UDP
Couche Internet IP, ARP,
RARP Couche Accs rseau
Soutenu par : Jos Armando Dansu Riloha
Page 21
Url : dsigne une chaine de caractres utilise pour adresser les ressources du World Wide Web.
ENCAPSULATION DES DONNEES
Lors d'une transmission, les donnes traversent chacune des couches au niveau de la machine mettrice.
A chaque couche, une information est ajoute au paquet de donnes, il s'agit d'un en-tte, ensemble
d'informations qui garantit la transmission. Au niveau de la machine rceptrice, lors du passage dans
chaque couche, l'en-tte est lu, puis supprime. Ainsi, la rception, le message est dans son tat originel.
Figure 3- 6 Encapsulation
3.7. LADRESSAGE IP
> IPV4
Sur un rseau TCP/IP, chaque machine se voit attribuer une adresse IP en principe unique.
Les adresses sont codes sur 32 bits soit 4 octets reprsentes en dcimal et spares par des Points. Ces
adresses comportent 2 parties : l'adresse du rseau (net) et l'adresse de l'hte (host) Dsignant une
machine donne.
Suivant l'importance du rseau, plusieurs classes sont possibles :
> La classe A : pour les rseaux de grande envergure ;
> La classe B : pour les rseaux moyens (universits,centres de recherches ...)
> La classe C : pour les petits rseaux comprenant moins de 254 machines (PME/PMI)
> La classe D
rseau, mais
partager
la mme adresse
(Multicast).
> La classe E : classe exprimental, exploite de faon exceptionnelle.
Les adresses IP se rpartissent principalement en 3 classes dadresses, chaque classe comportant un
masque de sous-rseau par dfaut :
Soutenu par : Jos Armando Dansu Riloha
Page 22
Classe
De 0 127
255.0.0.0
De128 a 191
255.255.0.0
De192 a 223
255.255.255.0
tableau 3- 5: L'adressage IP
> IPV6
L'adresse IPv6 est une adresse IP, dans la version 6 du protocole IP (IPV6). Une adresse IPv6 est longue
de 128 bits, soit 16 octets, contre 32 bits pour IPv4. On dispose ainsi d'environ 3,4^1038 adresses. Cela
quivaut un nombre illimit puisque pour saturer le systme, il faudrait placer plus de 667 millions de
milliards d'appareils connectes internet sur chaque millimtre carre de surface terrestre.
IPv6 a t principalement dveloppe en rponse la demande d'adresses Internet qu'IPv4 ne permettait
pas de contenter. En effet, le dveloppement rapide d'Internet a conduit la pnurie du nombre
dadresses IPV4 disponibles.
Notation dune adresse IPV6
La notation dcimale pointe employe pour les adresses IPv4 (par exemple 172.31.128.1) est
abandonne au profit d'une criture hexadcimale ou les 8 groupes de 2 octets (soit 16 bits par groupe)
sont spars par un signe deux points :
2001 :0db8 :0000 :85a3 :0000:0000:ac1f:8001
La notation complte ci-dessus comprend exactement 39 caractres.
Il est permis d'omettre de 1 3 chiffres zros non significatifs dans chaque groupe de 4 chiffres
hexadcimaux. Ainsi, l'adresse IPv6 ci-dessus est quivalente : 2001 :db8 :0:85a3:0:0:ac1f:8001
De plus, une unique suite dun ou plusieurs groupes conscutifs de 16 bits tous nuls peut tre omise, en
conservant toutefois les signes deux-points de chaque ct de la suite de chiffres omise, c'est--dire une
paire de deux points (::). Ainsi, l'adresse IPv6 ci-dessus peut tre abrge en :
2001:db8:0:85a3:ac1f:8001.
Le prfixe de sous-rseau est fixe 64 par la RFC 4291, ce qui laisse un choix de 264, soit 18*1018
adresses par sous-rseau.
> Le client met une requte vers le serveur grce son adresse IP et le port, qui
dsigne un service particulier du serveur.
Action physique
Intrusion
Soutenu par : Jos Armando Dansu Riloha
Page 26
Ecoute : coute passive et clandestine sur le rseau dans le but de rcuprer des
informations (analyse de rseau, sondes)
Le dni de service : les attaques par dni de service ont pour seul but dempcher le bon
fonctionnement dun systme et non de rcuprer des informations. Elles utilisent une faiblesse
de larchitecture dun rseau. Il est ainsi possible denvoyer des paquets de taille anormalement
importante. Le systme victime reoit des paquets IP quil ne peut grer et fini par stopper tous
les services (saturation mmoire).
Le SNIFFING : cette attaque correspond lcoute passive par surveillance des paquets IP
qui transitent sur un rseau. Lun des buts finals est de rcolter illgalement des mots de passe.
Les logiciels, qui permettent danalyser le trafic sont trs utiliss des fins de gestions rseau ;
ils sont disponibles gnralement avec divers systmes dexploitation, ou en freeware sur le
rseau. Ils sexcutent sur nimporte quel PC en sniffant et en analysant les donnes en transit
sur les lignes, pour en extraire les mots de passe transmis par lutilisateur lors de sa demande de
connexion
Attaque par le protocole RIP : ce protocole peut tre utilis pour dtourner des
communications : limposteur se fait passer pour lmetteur autoris, envoie de fausses
informations de routage aux passerelles et aux destinataires, qui utiliseront ladresse IP donn
par le paquet RIP de limposteur pour transmettre des donnes destination de lmetteur, qui
est en fait le rcepteur.
Attaque par requtes ARP : une requte ARP peut tre diffus jusqu ce quune machine
se reconnaissant, et renvoie son adresse Ethernet. Mais si une requte ARP est mise avec une
adresse IP inexistante, on peut gnrer des temptes de diffusion (broadcast Storm), ce qui
provoque la saturation de la bande passante, et rend indisponible le rseau (effondrement du
rseau, dni de service)
Attaque ICMP : le protocole ICMP contrle lacheminement des paquets de donnes IP, et
si un problme de transmission est dtect par un routeur, celui-ci informe lmetteur du paquet
en lui envoyant un paquet ICMP
Par exemple des faux messages ICMP peuvent tre gnrer pour surcharger le rseau, le rendre
inutilisable, et entrainer certains dnis de service.
Attaque par tromperie UDP : le protocole UDP neffectue pas de contrle (contrle de
flux, contrle derreur et contrle dauthentification) lors de transfert de donnes entre deux
correspondants. Nimporte qui peut donc utiliser une adresse IP dune machine autorise se
connecter un systme, et le pntrer. Ces vols de sessions UDP peuvent avoir lieu sans que le
serveur sen rende compte.
Attaque par inondation de messages : le submerger la boite aux lettres dun utilisateur
par un grand nombre de mails entraine des dnis de service. Lattaque est gnre par
linscription de lutilisateur son insu des listes de diffusion. Les firewalls et les serveurs de
messagerie peuvent tre configurs de manire bloquer les messages selon certains critres.
Attaque par dbordement de tampon (buffer over flow) : cette attaque vise les systmes
informatiques en exploitant leurs caractristiques internes de fonctionnement, notamment celles
de leur systme dexploitation, et non celles lies aux protocoles quils supportent.
Par exemple, lattaquant fait subir des dpassements de capacits de certaines zones tampon
entrainant des dysfonctionnements graves pouvant entrainer larrt des systmes par exemple,
le port 80 ntant pas filtr par le pare-feu, un dbordement de la mmoire tampon du serveur
web via une longue requte http est possible, et elle peut contenir un bout de code trafiqu qui
sera excut par le serveur. Celui-ci coutera le trafic et excutera les commandes transmises
par le hacker
Attaques par virus : un virus est un programme, sous quelque forme que ce soit, capable
de se reproduire par lui-mme
Les virus ont pour caractristiques commune une volont de nuire. Cette volont peut prendre
la forme dune routine ou dun programme, qui, une fois active, use de tous les moyens sa
disposition pour empoisonner la vie de lutilisateur
Les principaux impacts rseau recherchs par les virus sont les suivant :
Perturber lutilisation de la machine en faisant apparaitre, par exemple, des images
lcran ou en modifiant constamment le design de linterface graphique
Consommer inutilement toutes les ressources mmoires et de calcul de la machine
Se reproduire autant que possible sur le disque dur de lutilisateur, consommant le
processeur et lespace disque de celui-ci
Se reproduire sur les disques durs des autres utilisateurs par lintermdiaire du partage
fichiers en rseau
Se reproduire senvoyant des courriers lectroniques mis au nom de lutilisateur attaqu
aux contacts prsents dans son carnet dadresses.
Attaques des cartes mres et flash de leur BIOS.
Effacement des donnes, soit en plaant en squence alatoire sur le disque, soit en
effaant des fichiers au hasard, dune manire plus ou moins rapide. Dans certains cas,
il nest pas possible de rcuprer les perdues.
Reproduction des virus une cadence folle via le rseau, saturant celui-ci, malgr les
technologies au gigabit par seconde. Les virus attaquent des serveurs rseau, sinstallent
sur ceux-ci et les utilisent pour de reproduire. Le nombre de sources de propagation
augmente de faon exponentielle, saturant non seulement les rseaux locaux mais
galement les rseaux WAN dentreprise et mme Internet
Installation des virus sur les machines afin de permettre leurs auteurs den prendre le
contrle (chevaux de Troie). Dans certains cas, le virus prvient son auteur par e-mail,
message ICMP, etc., afin que celui-ci sache o se trouve les machines infectes.
Les virus ont donc un degr de nuisance variable. Quel que soit ce dernier, ils doivent
tre radiqus, car ils font peser une menace constante sur les systmes informatiques
La multiplication est utilise ici pour une raison trs spcifique. Ds que l'un des deux termes
vaut zro, le rsultat devient nul. Autrement dit, il n'y a aucun risque s'il n'y a pas de menace
ou de vulnrabilit. Une formule plus labore inclut l'impact ou le cot :
Risque = Menace x Vulnrabilit x Cout
Un firewall est un lment du rseau informatique, logiciel et/ou matriel, qui a pour fonction
de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de
communications autorises ou interdites.
5.1.1. Les pare-feu matriels
Prinstalles ou Intgres directement dans des machines, souvent sur des routeurs vendus sur
les marches et fabriques par de grands constructeurs comme Cisco ou Nortel, ces pare-feu
font office de boite noire , et ont une intgration parfaite avec le matriel. Leur
configuration est souvent relativement ardue, mais leur avantage est que leur interaction
avec les autres fonctionnalits du routeur est simplifie de par leur prsence sur le mme
quipement rseau. Souvent relativement peu flexibles en terme de configuration, ils sont
aussi peu vulnrables aux attaques, car prsent dans la boite noire qu'est le routeur. De
plus, tant souvent trs lies au matriel, l'accs leur code est assez difficile, et le
constructeur a eu toute latitude pour produire des systmes de codes signes afin
d'authentifier le logiciel (systme RSA ou assimiles). Ce systme n'est implant que dans
les firewall haut de gamme, car cela vite un remplacement du logiciel par un autre non
produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall trs
sr. Son administration est souvent plus aise que les firewall bridges, les grandes marques
Soutenu par : Jos Armando Dansu Riloha
Page 33
de routeurs utilisant cet argument comme argument de vente. Leur niveau de scurit est de
plus trs bon, sauf dcouverte de faille ventuelle comme tout firewall. Nanmoins, il faut
savoir que l'on est totalement dpendant du constructeur du matriel pour cette mise jour,
ce qui peut tre, dans certains cas, assez contraignant. Enfin, seules les spcificits prvues
par le constructeur du matriel sont implmentes.
Cette dpendance induit que si une possibilit nous intresse sur un firewall d'une autre
marque, son utilisation est impossible. Il faut dabord bien dterminer l'avance ses besoins
et choisir le constructeur du routeur avec soin.
Avantages
Ils sont assez souvent commerciaux et ont pour but de scuriser un ordinateur
particulier, et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre
contraignants et quelque fois trs peu scuriss. En effet, ils s'orientent plus vers la
simplicit d'utilisation plutt que vers l'exhaustivit, afin de rester accessible
l'utilisateur final.
Avantages
Scurit en bout de chaine (le poste client)
Personnalisable assez facilement
Inconvnients
Facilement contournable
Difficiles dpartager de par leur nombre norme.
5.1.2.2.
Ces derniers sont relativement rpandus. Ils agissent comme de vrais cbles rseau avec la
fonction de filtrage en plus, d'o leur appellation de firewall. Leurs interfaces ne possdent pas
d'adresse IP, et ne font que transfrer les paquets d'une interface a une autre en leur appliquant
les rgles prdfinies. Cette absence est particulirement utile, car cela signifie que le firewall
est indtectable pour un hacker lambda. En effet, quand une requte ARP est mise sur le cble
rseau, le firewall ne rpondra jamais. Ses adresses Mac ne circuleront jamais sur le rseau, et
comme il ne fait que transmettre les paquets, il sera totalement invisible sur le rseau. Cela
rend impossible toute attaque dirige directement contre le firewall, tant donn qu'aucun paquet
ne sera traite par ce dernier comme tant sa propre destination. Donc, la seule faon de le
contourner est de passer outre ses rgles de drop. Toute attaque devra donc faire avec ses
rgles, et essayer de les contourner.
Avantages
Impossible de l'viter (les paquets passeront par ses interfaces)
Peu couteux
Inconvnients
Possibilit de le contourner (il suffit de passer outre ses rgles)
Configuration souvent contraignante
Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le
plus souvent en Statel.
Avantages
Zentyal
-Support "multi-WAN" : capable de grer -Ne peut pas tre dployer dans les grandes
entreprises.
plusieurs passerelles/connexions Internet
-Load balancing : Equilibre la charge rseau
entre les diffrentes connexions Internet.
-Load balancing intelligent : un systme qui
ne bascule pas une session SSH en cours ou - Logiciel, donc sensible
bien une visite sur un site en HTTP(S).
-Support des VLAN/802.1Q : La machine
n'ayant que 2 cartes rseau, toutes les
connexions Internet arriveront sur un port.
-Installation rapide
-Noyau kernel dpouille pour rduire les
possibilites dattaque
-Interface graphique conviviale.
Ipcop
Inconvenient
Kaspersky
Internet Security
.
Tableau 5- 1: Tableau comparatif des pare feu
> Notre choix de Zentyal se base sur les avantages voqus ci-dessus
Soutenu par : Jos Armando Dansu Riloha
Page 36
Au sens linguistique :
Nom driv du verbe <<authentifier>>, qui veut dire certifier la vrit, lexactitude de quelque
chose.
(cas du RSA).
A et B ont chacun leur paire de cl, A veut envoyer un message confidentiel B, elle prend la
cl publique de A, chiffre le message avec et lenvoie. B pourra lire le message aprs lavoir
dchiffr avec sa cl prive. Dans un tel systme nimporte qui peut intercepter le message mais
ne pourra le lire except B qui connait la cl prive de B
Le Protocole SSL
Soutenu par : Jos Armando Dansu Riloha
Page 39
Le protocole SSL (Secure Socket Layer) dvelopp par Netscape Communications Corp. avec
RSA Data Security Inc. permet thoriquement de scuriser tout protocole applicatif sappuyant
sur TCP/IP i.e. HTTP, FTP, LDAP, SNMP, Telnet, etc. mais en pratique ses implmentations
les plus rpandues sont LDAPS et HTTPS.
Le protocole SSL permet non seulement de fournir les services dauthentification du serveur,
dauthentification du client (par certificat partir de SSL version 3) mais galement les services
de confidentialit et dintgrit.
Le principe dune authentification du serveur avec SSL est le suivant :
1. Le navigateur du client fait une demande de transaction scurise au serveur
2. Suite la requte du client, le serveur envoie son certificat au client.
3. Le serveur fournit la liste des algorithmes cryptographiques qui peuvent tre utiliss
pour la ngociation entre le client et le serveur.
4. Le client choisit lalgorithme
5. Le serveur envoie son certificat avec les cls cryptographiques correspondantes au
client
6. Le navigateur vrifie que le certificat dlivr est valide
7. Si la vrification est correcte alors le navigateur du client envoie au serveur une cl
secrte chiffre laide de la cl publique du serveur qui sera donc le seul capable
de dchiffrer puis dutiliser cette cl secrte. Cette cl est un secret uniquement
partag entre le client et le serveur afin dchanger des donnes en toute scurit.
Le Protocole WTLS
Le protocole WTLS (Wireless Transport Layer Security) est la transposition du protocole TLS
dans le monde des rseaux sans fil. Cependant, les ngociations entre le client et le serveur ont
t adaptes afin de rpondre aux contraintes du rseau Wireless . Ainsi le nombre den-ttes
du protocole WTLS est rduit par rapport aux protocoles SSL et le taux de compression est
suprieur pour le protocole WTLS puisque la bande passante est plus faible.
Le principe dune authentification utilisant WTLS est le suivant :
Les donnes changes entre la passerelle WAP et un serveur Web sont codes en utilisant le
protocole SSL ou TLS. La passerelle WAP gre la conversion entre WTLS et SSL/TLS. Cette
tape de conversation est considre comme critique car les donnes au format SSL/TLS sont
Soutenu par : Jos Armando Dansu Riloha
Page 40
dcodes par la passerelle WAP qui les code ensuite au format WTLS. Les donnes entre le
terminal mobile (PDA, tlphone GSM, etc.) et la passerelle WAP sont codes au format WTLS.
La passerelle WAP tant le cur des changes, il est essentiel den garantir la scurit non
seulement sur le plan logiciel mais galement physique.
Protocole 802.1X-EAP
Le protocole 802.1X-EAP cre une structure standardise pour lauthentification mutuelle entre
un poste client et un lment du rseau tel quun commutateur rseau (hub), un point daccs
sans fil, etc. en sappuyant sur un serveur dauthentification (souvent de type RADIUS) et lun
des protocoles EAP (Extensible Authentication Protocols, RFC 2284 et 2716) possibles. Aprs
mutuelle authentification entre le client et le serveur, une cl est drive pour le chiffrement de
la communication. Comme une nouvelle cl est drive par 802.1X pour chaque nouvelle
session entre le client et le serveur, cela sapparente une gestion dynamique des cls.
Le Protocole PAP : le protocole PAP utilise des mots de passe en texte brut et constitue le
protocole dauthentification le moins scuris, il est gnralement ngoci lorsque le client
daccs distant et le serveur daccs distant ne disposent daucun moyen de validation plus sr
Notre travail consiste configurer un portail captif sur le serveur zentyal afin de pourvoir
authentifier les accs des utilisateurs au sein de ce rseau ; pour cela nous allons devoir passer
par deux tapes, la premire cest linstallation du serveur zentyal et la deuxime consiste
configurer le serveur zentyal (routeur/pare-feu).
Lorsque nous essayons de nous connecter avec un utilisateur inscrit dans la base de
donnes nous constaterons que laccs nous sera accord cette fois ci.
Une fois lauthentification effectue avec une machine du LAN nous constatons que nous
avons effectivement accs Internet.
CONCLUSION GENERALE
Pour proposer un bon mcanisme de scurit dun rseau comme solution contre les points
faibles dont souffre un rseau, il nous a fallu penser une issue qui sadapte avec larchitecture
du rseau existant, en tenant compte de la durabilit, lvolution et la fiabilit de cette solution.
Ceci considrant aussi bien en terme technique quconomique. Pour cela, nous avons pens
mettre en place un serveur de portail captif en utilisant lapplication zentyal pour scuriser notre
petit rseau de dveloppement avant de penser le mettre en uvre sur notre rseau.
Dans ce travail, nous avons pass en revue le fonctionnement gnral du rseau sans fil en
particulier le Wi-Fi, puis son mcanisme de scurit avec tous les protocoles mis au point dans
le but de le scuriser.
Ce travail a t men bien. Aprs plusieurs problmes de gestion et dinstallation, nous avons
fini par scuriser un rseau de test constitu dun PC, et dune solution de portail captif.
En conclusion, ce travail trs intressant et enrichissant du point de vue exprience acquise, peut
tre amlior en ne se contentant pas seulement dune solution de portail captif, filtrage web, de
pare-feu, mais aussi en ajoutant lauthentification par certificats.
REFERENCES
BIBLIOGHAPHIE
Les rseaux, Guy Pujolle, Edition Eyrolles, 7e dition, 2 dcembre 2010
Rseaux, Andrew Tanenbaum et David Wetherall, Edition Pearson Education, 5e dition,
26 aot 2011
WEBOGRAPHIE
https://fr.wikipedia.org/wiki/Zentyal (03-2016)
https://www.youtube.com/watch?v=PG7pcYmBkw4 (03-2016)
https://www.youtube.com/watch?v=j6p9c6uL-Kc (04-2016)
http://www.zentyal.org/server/ (02-2016)
https://doc.ubuntu-fr.org/zentyal (05-2016)
http://www.sky-future.net/2013/06/comment-installer-un-firewall-zentyal/ (19-032016)
http://www.tecmint.com/install-zentyal-as-primary-domain-controller-andintegrate-windows-system/
(23-06-2016)
ANNEXES
Installation de zentyal
Ensuite nous installons les modules quon aura a utilis dans le cadre de notre travail.
A continuation nous allons configurer les deux cartes rseaux, celle qui sera destin au rseau
LAN, et celui qui sera destin au rseau WAN. Eth0 sera notre interface LAN et eth1 sera notre
interface WAN.
A continuation nous allons crer les groupes et les utilisateurs. Dans un premier temps nous devons
nous assurer que notre serveur Windows ait les services DNS et active directory bien installs et
quils soient fonctionnels
Dans un premier temps on cre une unit dorganisation dans notre serveur Windows
A continuation nous allons crer le lien entre notre serveur Windows 2012 comportant le service
active directory lintrieur duquel nous avons notre utilisateur et notre serveur zentyal laide
de loutil zentyal migration Tools.
Nous devons nous assurer de mettre ladresse IP de notre serveur zentyal ainsi quun mot de
passe partag entre notre serveur zentyal et notre serveur active directory.
Par la suite au niveau de notre serveur zentyal on va le configurer de sorte ce que les
utilisateurs soient au niveau dun serveur active directory de Windows
Nous allons ensuite appliquer les paramtres de filtrage de certaines pages web comme
www.facebook.com de sorte que les utilisateurs de notre rseau LAN puisse pas accder ces
pages, ainsi que les paramtres de la bande passante et les paramtres du portail captif.
RESUME
Les rseaux rencontrent aujourdhui un succs important car ils permettent de dployer des
moyens de transmission sans contrainte dimmobilit lie aux cblages et aux prises. La
promotion actuelle de ce type de solution est uniquement axe sur les avantages quelle procure :
facilit et rapidit dinstallation, cot infrieur un systme filaire, mobilit, accs partag des
services de haut dbit.
Bien que cette technologie semble de prime abord efficace et performante, elle est tout de mme
remise en cause par le problme de protection des rseaux contre les pirates. Cest lobjet de
notre tude qui a consist tudier et analyser lesdites solutions pour choisir et dployer la
technologie la plus efficace sur un rseau test.
Dans cette optique, nous avons tudi le rseau de faon dtaille, avec son fonctionnement ainsi
que ses protocoles et mcanismes de scurit. Nous avons ensuite opt pour lutilisation dun
serveur zentyal en mettant en avant la fonction de portail captif pour lauthentification des
utilisateurs au sein de notre rseau LAN pour enfin permettre ces utilisateurs de se connecter
Internet.
ABSTRACT
The networks face today an important success because they can deploy without constraint
immobility transmission means related to wiring and jacks. The current promotion of this type of
solution is only focused on the benefits it provides: ease and speed of installation, cost lower than
a wired system, mobility, shared access to broadband services.
While this technology initially seems effective and efficient, it is still challenged by the problem
of network protection against pirates. This is the purpose of our study was to investigate and
analyze said solutions to select and deploy the most effective technology on a test network.
In this context, we have studied the network of detail with its operation and its protocols and
security mechanisms. We then opted for the use of a Zentyal server by highlighting the function
of captive portal to authenticate users within our LAN to finally allow these users to connect to the
Internet.