Professional Documents
Culture Documents
INTRODUCTION
1
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
2
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
PROBLEMATIQUE
3
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
4
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
PREMIERE PARTIE :
ENVIRONNEMENT ET
CONTEXTE D’EXECUTION
5
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Depuis donc cette date le Ministère est connu sous le nom Ministère de
l’Education Nationale et ce jusqu’en 1981 .A partir de 1983, la dénomination
va changer et devenir Ministère de l’Education Nationale et de la Recherche
Scientifique. En 1986, il devient Ministère de l’Education Nationale chargé de
l’enseignement secondaire et supérieur. Il faut signaler que le Ministère avait
en charge la gestion de trois entités de l’enseignement à savoir :
- l’enseignement primaire ;
- l’enseignement secondaire ;
- l’enseignement supérieur ;
6
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
7
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
< Notre thème à étudier intitulé « mise en place d’une solution de sécurisation
du réseau du Ministère de l’Education Nationale» présente trois (3) grands
termes qui sont :
- Solution de sécurisation
- Réseau informatique
8
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
9
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
consignée dans une fiche d'intervention (voir annexe) remplie et signée par
l'utilisateur et l’intervenant.
Service Système et Développement Applicatif (SSDA)
Définir une politique de gestion optimale et de sécurisation des données.
Gère les serveurs d'application et de Base de données en mettant en place
différentes politiques en matière de sauvegarde, de planification et de la
gestion des incidents. Ce service est assuré par un administrateur de base de
données.
Service Gestion du Changement et Planification Stratégique (SGCPS)
Ce service assure la formation des utilisateurs à l’utilisation des logiciels
développés et à la confection de guide utilisateur. Faire la promotion de
l’Intranet, assure la mise à jour des connaissances des utilisateurs de la
nouvelle technologie et la veille technologique.
Il procède à l’initiation des utilisateurs aux matériels informatiques et à
l’utilisation du système installé au sein du Ministère.
Service de gestion administrative (SGA)
Ce service est chargé de l’administration du CRIMEN. Il s’assure du bon
fonctionnement des différents pôles. Il définit la politique de la gestion
globale du réseau informatique en fonction des besoins exprimés par toutes
les structures centrales ; manage tous les équipements du réseau (routeurs,
Switch, serveurs) pour s'assurer de leur disponibilité. Cette mission est
accomplie par le chef de service et l’un de ses collaborateurs.
11
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
<
12
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Web Server
Backbone APC
Switch
14
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Routeur
Web server
Mail Server
3
5
4
Test Server
Back up Server
DB Server
15
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
N° SERVEUR CARACTERISTIQUE OS
1 2IIS, SQL server IBM System x3650 2008
Biprocesseur 6Gb (RAM) 32-bit Operating Server
System
Bat F
AP AP
Bat H
Switch L3
Bat C
Switch L2
AP
AP
AP
AP
AP Bat B
Bat A
16
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
AP
Switch L3
AP Switch L2
La Tour A
AP
AP
AP
SWITCH L3 AP
AP
SWITCH AP
AP L2
SWITCH AP
AP L2
AP
SWITCH AP
AP
L2
AP
SWITCH
AP L2
AP
AP SWITCH
L2
AP
AP
AP
La Tour B
SWITCH L3 AP
SWITCH L2
AP AP
18
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
19
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
20
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
22
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
a) Telnet
L'identifiant et le mot de passe Telnet circulant en clair sur le réseau, il faut
demander aux utilisateurs d'employer des mots de passe différents de ceux
utilisés pour se connecter à des applications utilisant des protocoles mieux
sécurisés interceptés, l'identifiant et le mot de passe pourront, en effet, être
utilisés par un intrus pour se connecter à des applications dont les mots de
passe sont, en ce qui les concerne, chiffrés.
De plus, les données sont véhiculées sous une forme non structurée, tâche
qui est laissée à l'initiative de l'application. II est donc très facile de transférer
toutes sortes de données en profitant d'une session Telnet.
Client Serveur
TCP
>1023 23
>1023 23
23
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
b) FTP
L'identifiant et le mot de passe circulant en clair, les recommandations
énoncées pour Telnet s'appliquent également à FTP.
Le mode passif est beaucoup plus sûr que le mode normal, car il évite
d'autoriser les connexions entrantes. Cependant, toutes les implémentations ne
sont pas compatibles avec ce mode. Si tous vos clients et serveurs FTP
supportent le mode PASV, il est recommandé d'interdire le mode normal.
c) DNS
La recherche de noms et le transfert de zone utilisent généralement les
ports UDP (53 53), mais si ces requêtes échouent, elles sont relancées via
TCP (>1023 53). Certaines implémentations, ce qui est le cas avec les
machines AIX, utilisent exclusivement TCP.
TCP/UDP
>1023 53 UDP
TCP/UDP 53 53
>1023 53 UDP Requête (ex : SOA)
33333 333 53
ask 53
33
33
33333 TCP 53
333 33 >1023 Transfert de zone
2
33 3 TCP 53 ou requête (ex :
>1023
33333
ask 33 SOA)
33333 33
33
kkkk
33
3
kkkk
3 ou
333 24
33
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Aucun mot de passe n’est requis pour ces échanges automatiquement entre
machines et ce, de manière transparente pour l'utilisateur. Par ailleurs, la
commande nslookup permet à tout utilisateur de consulter la base de données.
La base de données du DNS est particulièrement sensible, car elle contient
l'ensemble des adresses IP de nos serveurs et équipements réseaux, voire plus
puisque nous utilisons Active Directory de Microsoft. Elle doit donc être
protégée et en particulier être inaccessible depuis l'extérieur.
d) HTTP
Les serveurs Web peuvent répondre sur des ports spécifiques, autres que
80, tels les 8000, 8080, 8010 ou encore 81, pour ne citer que les plus courants.
Ces ports non-standards ne présentent aucun intérêt en termes de sécurité, car
les scanners permettent de les trouver rapidement.
e) NetBIOS
Le protocole NetBIOS (Network Basic Input Output System) est difficile à
contrôler, car il transporte de nombreux protocoles propres à Microsoft: il
s'agit de SMB (Server Message Block) de NCB (Network Control bloc) et de
25
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
toute une série de RPC (Remote Procédure Calls), qui sont utilisés par les
environnements Windows.
Client
Serveur Client Serveur Client Serveur
UDP UDP
>1023 137 >1023 138 >1023 TCP 139
UDP UDP TCP
>1023 137 >1023 138 >1023 139
f) SNMP
Pour les requêtes « get » et « set » le client est la plate-forme
d'administration tandis que pour les messages « traps », le client est le
matériel (réseau, serveur, etc.). Il est donc recommande de cantonner ce
protocole entre les stations d'administration et les équipements à surveiller :
• La plupart des implémentations utilisent UDP, et il faut l'autoriser dans
les deux sens.
• Les noms de communauté circulent en clair
Les possibilités d'action offertes sont importantes (la commande « get »
permet de faire un dump complet d'une configuration et la commande «set»
permet de modifier la configuration).
Get / Set Traps
26
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
On peut donc envisager de laisser passer les messages SNMP en filtrant les
adresses sources et destinations. La politique de filtrage peut cependant être
plus souple au sein d'un même domaine de confiance ou dans le cas de
réseaux entièrement commutés reposant sur des VLAN, pour ce qui concerne
Internet, le protocole SNMP doit être interdit.
h) NSF
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094
indique que ce n'est pas une obligation. Certaines implémentations utilisent en
fait le Portmapper.
Un problème de sécurité important posé par NFS est celui lié au numéro de
handle :
27
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
i) ICMP
De nombreux services ICMP peuvent renseigner un intrus, comme par
exemple « destination unreachable », qui comporte des informations indiquant
la cause du problème ou encore « écho request » et « écho reply », qui
indiquent si un nœud est actif.
Les seuls paquets ICMP, qu'il est envisageable de laisser passer vers un
autre domaine de confiance, sont les suivants :
• type 4 « source quench », qui permet de contrôler le flux entre un client et
un serveur :
• Type 11 « time to live exceeded », qui évite le bouclage des paquets IP ;
• Type 12 « parameter problem », qui indique une erreur dans un en-tête ;
• Type 8 «écho request» et type 0 «écho reply», utilisés pour vérifier
l'activité des nœuds pour des opérations de supervision et de diagnostic.
Vis-à-vis d'Internet, tous les services ICMP doivent être interdits : ils ne
sont pas nécessaires et peuvent donner trop d'informations aux intrus.
Après lecture de tous ces protocoles il revient de nous interroger aussi sur
les différents types d’attaques que pourraient rencontrer à un réseau
informatique.
28
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
29
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
SYN
Client Serveur
ACK, SYN
ACK
30
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
e) Le rebond
Cette technique est la plus simple puisqu'elle consiste à profiter d'une faille
de sécurité pour investir un serveur, puis, à partir de là, à se connecter à
d'autres machines en utilisant les droits accordés à ce serveur.
La protection contre ce type d'attaque relève de la sécurisation des serveurs
(mots de passe et correctifs) et de l'architecture (voir plus loin). En
positionnant les serveurs les plus exposés sur un segment dédié, différent de
celui hébergeant les machines les plus sensibles, un firewall peut contrôler les
flux.
f) Les chevaux de Troie
Un cheval de Troie est un programme, importé sur une machine à l’insu de
ses utilisateurs, qui se substitue à un programme normal, par exemple, au
client FTP. Quand l'utilisateur lancera la commande FTP, au lieu d'utiliser son
programme habituel, il lancera le faux FTP, dont l'interface utilisateur
ressemble au vrai programme, à la différence qu'il ouvrira une session
parallèle sur un serveur appartenant au pirate.
32
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
33
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
(type browser, logiciel de mail, etc...) pour exécuter un code arbitraire qui
compromettra la cible (acquisition des droits administrateur, etc...).
Le fonctionnement général d'un buffer overflow est de faire crasher un
programme en écrivant dans un buffer plus de données qu'il ne peut en
contenir (un buffer est un zone mémoire temporaire utilisée par une
application), dans le but d'écraser des parties du code de l'application et
d'injecter des données utiles pour exploiter le crash de l'application. Le
problème réside dans le fait que l'application crashe plutôt que de gérer l'accès
illégal à la mémoire qui a été fait. Elle essaye en fait d'accéder à des données
qui ne lui appartiennent pas puisque le buffer overflow a décalé la portion de
mémoire utile à l'application, ce qui a pour effet (très rapidement) de la faire
planter. Une attaque par buffer overflow signifie en général que l'on a affaire
à des attaquants doués plutôt qu'à des "script kiddies".
35
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Il est à noter qu'à cette fonction de cache, vient s'ajouter celle déjà gérée au
niveau de chaque navigateur Web.
36
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
37
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Cette technique est souvent utilisée en complément des relais applicatifs, plus
particulièrement pour les protocoles non supportés par les relais, mais n'est
jamais employée seule.
38
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
39
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Dans les grandes entreprises aussi bien que les petites, le réseau permet
l'échange de données de natures très diverses entre des populations aussi
diverses que géographiquement dispersées. Dans tous les cas, la
problématique reste la même ainsi que les moyens mis en œuvre pour la
résoudre. En effet, la sécurité est un vaste sujet, qui dépasse le cadre du réseau
tant sur les plans technique que méthodologique. Car dès lors qu'il permet à
des centaines, voire à des milliers d'utilisateurs de communiquer et d'échanger
des informations, le réseau pose inévitablement le problème de la sécurité :
les informations qu'il véhicule possèdent de la valeur et ne doivent pas être
accessibles à tout le monde. Vu que, dans un réseau wifi, notre cadre d’étude,
les ondes radios ne pouvant être confinées dans un espace délimitée,
n'importe quelle personne se trouvant à portée de ces ondes peut s'y connecter
et utiliser le réseau à des fins pas toujours catholiques (voir annexe 4). Alors,
étant donné que notre réseau s’inscrit dans ce cadre d’ouverture sur le monde
extérieur, voyons quelle est la solution à apporter pour le protéger contre les
attaques.
V.2 La confidentialité
La sécurité, exprimée en termes de confidentialité, recouvre plusieurs
fonctionnalités :
- L’authentification forte permettant de s'assurer de l'identité de
l'utilisateur ;
- Le chiffrement des données afin d’assure la confidentialité face aux
réseaux externes traversés (réseau téléphonique, ADSL, etc.) ;
- L’intégrité des données, qui consiste à vérifier que les données
reçues sont bien celles qui ont été originellement émises ;
- La signature, qui consiste à s'assurer qu'un objet a bien été émis par
celui qui prétend l'avoir fait ;
- Le certificat, qui consiste à s'assurer que la clé publique du
destinataire est bien la sienne.
40
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Les mécanismes mis en œuvre pour ces fonctionnalités reposent sur les
algorithmes de chiffrement. Des protocoles intègrent ensuite ces algorithmes
dans des applications telles que les échanges réseau au sens large, les cartes
bancaires, le paiement électronique, etc.
L’étude faite de ce deuxième point nous ont permis d’aboutir à la phase
pratique de notre travail.
41
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Notre réseau d'entreprise étant relié à l'Internet, il est donc plus vulnérable
aux attaques venant de l'extérieur. Dans ce cas, pour surveiller et contrôler les
données qui entrent et qui sortent de notre réseau, il est primordial d'utiliser
un pare-feu.
Il existe 2 types de pare-feu: le pare-feu logiciel et le pare-feu matériel.
Pour une sécurité accrue, nous avons choisir de combiner les 2 types.
noter qu’il est à la fois propriétaire et libre car il présente trois (3) systèmes de
management que sont :
- Le DOS ;
- L’interface web ;
- le système d’exploitation watchguard System Manager (WSM)
l’interface utilisateur graphique qui installé sur une machine
gère cent (100) firewalls au moins.
C’est pour ce faire que nous le proposons dans sa version : firebox X1250e
UTM BUNDULE. En effet, cette version présente plusieurs avantages qui
sont les suivants :
Sécurité complète du réseau en une seule application (paramétrage) qui
inclut tout ce dont on a besoin pour gérer et administrer le réseau de façon
efficiente. Il s’agit :
Du firewall lui-même ;
De son système de gestion qui contient :
Une Application de bloqueur de spam ;
Une Application de bloqueur web ;
Une application VPN
Gateway AV/IPS : l’anti-virus de passerelle et le service prévention
d’intrusion
Une application anti-virus dont LiveSecurity qui demeure la meilleure
solution en termes de sécurité sur les firewalls.
Le support en ligne gratuit.
Une telle architecture se présente comme suit :
43
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
44
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
45
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Filtrage des paquets IP sur la base des adresses et des ports source et
destination ;
Translation d'adresses IP (NAT) et des ports TCP/UDP (PAT) ;
Filtrage des commandes applicatives (HTTP, FTP, DNS, etc.) ;
Authentification des utilisateurs, permettant ainsi de filtrer les sessions par
utilisateur et non plus sur la base des adresses IP sources.
• Chiffrement et intégrité des données à l'aide du protocole IP sec ;
• Décontamination anti-virus, le plus souvent en liaison avec un serveur dédié
à cette tâche ;
• Filtrage des URL, soit directement, soit en liaison avec un serveur dédié ;
• Filtrage des composants actifs (ActiveX, applet Java, Java scripts, etc.).
Il appartient à l'étude d'architecture de déterminer si toutes ces fonctions
doivent être ou non remplies par un seul équipement et à quel endroit du
réseau.
VI.4 Architecture
46
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Le module de filtrage IP, qui réside au niveau du noyau Unix, est intercalé
entre le driver de la carte et les couches IP. Tous les paquets entrants et
sortants passent obligatoirement par le module de filtrage IP et, en fonction du
protocole, sont ensuite transmis au relais applicatif correspondant. La partie
rélayage applicatif de watchguard est constituée de plusieurs relais (démon
Unix ou service NT), un par type d'application à relayer (Telnet, SMTP, etc.)
dérivés des sources du kit TIS (Trusted Information Systems) et de Netscape
Proxy Server pour le relais HTTP.
Les relais sont lancés dans un environnement restreint (chroot) et sans
les privilèges superviseur (root) ils ne reçoivent jamais les flux directement.
VI.4.1 Fonctionnement
Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont
obligatoirement traités par le relais applicatif correspondant. Si un relais
47
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
48
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
49
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
VI.4.4 Authentification
<<
50
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
51
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
52
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
53
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
54
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
55
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
56
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
accident d’utilisation -
lié à l’environnement :
57
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
58
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Hormis ces éléments terminaux qui composent le local technique, nous avons aussi les liaisons qu’il faut sécuriser. Elles
servent à véhiculer les éléments actifs du réseau contenus soit dans le réseau local technique, soit dans le poste de travail de
l’utilisateur (exemple : carte modem). Elles peuvent aussi être des éléments internes (câbles, fibre optiques, ondes, laser,
infrarouge, etc.) présent dans tous les locaux de l’entreprise qui les rend facile d’accès et donc à sécuriser. Voici présenté le
tableau ci- dessous :
59
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
60
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Tableau5 : Liaisons
61
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Un réseau Wifi porte toujours un nom d'identification afin que les ordinateurs
puissent le détecter et se connecter dessus. Ce nom, SSID (Service Set IDentifier)
est défini par défaut. Ainsi donc, il convient de le modifier, afin de le cacher aux
éventuels pirates pour les empêcher d’identifier facilement notre réseau.
Le SSID est une information importante pour se connecter au réseau sans fil.
Le point d'accès diffuse continuellement cette information pour permettre aux
ordinateurs de le détecter. Le SSID n'est pas une fonction de sécurisation mais
permet de rendre "caché" son point d'accès à la vue de tout le monde. Il va suffire
configurer le réseau avec les ordinateurs, et activer la fonction "cacher le SSID",
62
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
63
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
DNS
Réseau
MEN … HTTP,FTP HTTP,FTP
Réseau …
Partenaires
Segment
Groupe
(1)
Case vide = aucun service accessible. Pour la population des exploitants
uniquement.
La mise en place de relais ne se justifie pas sur un réseau interne, car d'une
part nous exerçons un contrôle sur les acteurs avec qui nous sommes en relation
(nos utilisateurs, les partenaires), et d'autre part la diversité et la complexité des
64
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
65
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
à partir du DOS
Si la station est déportée, les sessions avec Watchguard sont authentifiées via
DES et l'intégrité des données est contrôlée par une signature DES. Les paquets
en eux-mêmes ne sont pas chiffrés. Les accès au firewall peuvent être contrôlés
via les mécanismes propres à ISM/Access Master. Les statistiques affichées en
temps réel comprennent le nombre de paquets traités et rejetés ainsi que les
ressources système utilisées. L'administrateur peut, à travers l'interface graphique,
modifier des paramètres système tels que la taille des caches, les files d'attente et
les tampons utilisés pour la fragmentation.
VIII.2 Remarques sur l'administration des firewalls
Il faut souligner que, dans tous les cas de figure, la sécurité réclame une
administration continue. Une équipe d'exploitation doit être formée
spécifiquement aux techniques liées à la sécurisation des réseaux IP et au firewall
lui-même. Les tâches sont notamment les suivantes :
• positionnement des règles de filtrage ;
• analyse de toutes les règles de filtrage (une règle peut en effet mettre en
défaut toutes les autres) ;
• gestion des autorisations d'accès ;
• analyse et purge des logs.
VIII.3 Log et audit
L'audit de sécurité s'entend tout d'abord comme une évaluation des procédures
mises en place pour assurer la sécurité du système. Il va être effectué à l'aide
d'outils informatiques permettant de détecter les failles du système en générant
automatiquement des tentatives de pénétration selon diverses méthodes
préprogrammées et reprenant en général les techniques utilisées par les hackers.
66
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Comme pour les autres fonctionnalités, les événements sont générés à deux
niveaux : relais applicatifs et module de filtrage IP. Ils sont enregistrés dans deux
types de fichiers : audit et alertes.
Le module de filtrage IP enregistre dans le fichier d'audit les adresses IP
source et destination, les ports, l'en-tête du paquet (mode détaillé), le contenu du
paquet (mode trace) et la date de l'interception. Le fichier des alertes contient les
adresses IP source et destination, les ports, les protocoles et la date de
l'événement.
Les relais enregistrent des informations propres à leur application (FTP,
Telnet, HTPP, etc.) : heure de début et durée de la session, nombre d'octets
échangés, adresses source et destination, nom de l'utilisateur et informations sur
les sessions d’authentification. En mode trace, le contenu du paquet est également
enregistré. Les alertes peuvent être déclenchées à partir d'un événement simple
(rejet d'un paquet, refus d'authentification) ou sur des conditions spécifiques
fondées sur le nombre d'occurrences d'un événement ou sa fréquence (nombre
d'occurrences de l'événement pendant une période donnée).
67
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Le firewall est compatible avec les VPN (Virtual Privat Network) IP sec. Pour
des débits supérieurs à quelques Mbit/s, mieux vaut utiliser un boîtier dédié
appelé SecureWarc.
68
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
69
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
et 2612
• La longueur de la clé : 40, 56, 128 et 1024 étant des valeurs courantes.
Le tableau suivant présente le temps mis pour trouver une clé DES. Il est
extrait d'un rapport rédigé en 1996 par sept spécialistes parmi lesquels Rivest (de
70
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
BUDGET MATERIEL
TEMPS MIS POUR TROUVER LA CLE DES
EN $ UTILISE
40 BITS 56 BITS
71
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Tout organisme privé ou public peut investir dans la production d'un ASIC
spécialisé. La hauteur de son investissement dépend simplement du gain qu'il peut
en tirer, d'où l'intérêt de bien évaluer la valeur commerciale de l'information à
protéger.
En conclusion, les clés à 40 bits sont aujourd'hui considérées comme non sûres
et l'algorithme DES comme obsolète.
IX.3 Les protocoles de sécurité
72
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Ces protocoles définissent les échanges, le format des données, les interfaces
de programmation et l'intégration dans un produit. Par exemple, SSL (Secure
Socket Layer) et SHTTP sont destinés aux navigateurs Web alors que S/Mime et
PGP/mime s'intègrent à la messagerie Internet.
L'intégration de ces algorithmes est décrite par le standard PKCS sous la forme
de profils décrits dans le tableau suivant :
<
(a) Profil
PKCS #
Syntaxe
indépendante des
algorithmes
Signature X X
numérique des
messages
Enveloppe X
numérique des
messages
Demande de X
certificat X
Certificats étendus
X X
Liste de certificats
révoqués
73
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Échange de clés
Syntaxe dépendant
des algorithmes
Algorithmes
Message digest :
MD2, MD5 RFC 1319, 1321
Chiffrement à clé
privée DES RFC 1423
Chiffrement à clé
publique RSA X
Signature: MD2,
MD4. MD5 w/RSA X
Chiffrement des
mots de passe
X
Échange de clés
Diffie-Hellman X
74
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
connaître la clé utilisée par l'émetteur, la clé devant demeurer secrète. Le moyen
le plus simple est l'échange direct ou via un support autre qu'informatique. Outre
les problèmes de confidentialité, des problèmes pratiques peuvent survenir,
surtout s'il faut changer souvent de clé.
Afin d'éviter cela, d'autres algorithmes ont été développés. Il s'agit de :
- Diffie-IIellman ;
- SKIP de SUN ;
- PSKMP (Photuris Secret Key Management Protocol);
75
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Émetteur A Destinataire B
77
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
• ECDSA (Elliptic Curve de DSA) qui est analogue à DSA mais se base sur un
algorithme ECC
• Rabin Digital Signature qui repose sur la racine carrée des nombres modulo
Zn où n est le produit de 2 grands nombres premiers : la racine carrée de Zn est
difficile à trouver (la racine carrée de X modulo Zn est très difficile à trouver
quand on ne connaît pas n).
<
opérateur, mais sur le chiffrement des données. Il est d'ailleurs possible d'utiliser
IP sec au-dessus d'un VPN de niveau 2 ou de niveau 3 et de toute liaison WAN
ou LAN en général. La notion de VPN appliquée à IP sec ne vient qu'avec le
chiffrement des données ; il est donc possible de créer un réseau privé au-dessus
d'Internet, qui est un réseau public résultant de la concaténation de réseaux
opérateur.
D'une manière générale, le chiffrement permet de renforcer la sécurité pour les
données sensibles circulant dans un domaine de non-confiance. Si le niveau de
sécurité l'exige, il peut s'appliquer :
• aux accès distants qui empruntent le réseau téléphonique d'un boitier VPN
(mode pc-to-Lan) ;
Serveur d’accès
VPN IPsec distants
RTC
Boîtier VPN
Chiffrement /déchiffrement opérés
Par le boîtier et le logiciel sur le PC
Firewall
• ou entre deux sites interconnectés par un réseau opérateur, que ce soit une LS,
un VPN de niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN).
79
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
VPN IPsec
Chiffrement / déchiffrement
Opérés par les boîtiers
80
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Ce type de protection peut aussi bien s'appliquer à des utilisateurs qu'à des
protocoles réseau tels qu'OSPF, afin de s'assurer que seuls les routeurs dûment
identifiés soient habilités à échanger des informations de routage.
XI.1 Les mécanismes d'authentification
La connexion d'un utilisateur sur un ordinateur implique la saisie d'un nom de
compte et d'un mot de passe. Deux mécanismes de protection sont mis en œuvre à
cette occasion :
• Le chiffrement du mot de passe à l'aide d'un algorithme quelconque ;
• La génération d'un mot de passe différent à chaque tentative de
connexion.
Le premier mécanisme utilise les algorithmes classiques symétriques et
asymétriques. Le deuxième mécanisme, appelé “ One Time Password“, peut être
réalisé de deux manières :
- Par défi/réponse (challenge/ response) ;
Les mots de passe à usage unique (one time password ou OTP en anglais) sont un
système d'authentification forte basés sur le principe de challenge/réponse. Le
concept est simple : Utiliser un mot de passe pour une et une seule session. De
plus, le mot de passe n'est plus choisi par l'utilisateur mais généré
automatiquement par une méthode de précalculé (c'est à dire que l'on précalcule
un certain nombre de mot de passe qui seront utilisés ultérieurement). Cela
supprime les contraintes de :
- Longévité du mot de passe. Le mot de passe est utilisé une seule fois
- Simplicité du mot de passe. Le mot de passe est calculé par l'ordinateur et
non pas choisi par un utilisateur
- Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker
un mot de passe obsolète ?
81
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
- La liste des clés est générée à partir d'une clé initiale : la clé N s'obtient en
appliquant MD5 à la clé N-l et ainsi de suite,
- Le serveur qui connaît la clé N+l demande la clé N (codée à partir de la clé
initiale).
- Soit l'utilisateur possède la liste des clés codées, soit il utilise un
programme qui la génère à la demande à partir de la clé initiale.
- Le serveur applique MD5 à n et le résultat est comparé avec la clé N+l.
- Le serveur enregistre la clé n et demandera la prochaine fois la clé N-l.
- Arrivé à la clé 1, il faudra régénérer une nouvelle liste.
Le problème de S/Key est la gestion de cette liste. De plus, il est relativement
facile de se faire passer pour le serveur (technique du spoofing : voir Annexe 3) :
- Le vrai serveur demande ta clé N à l'utilisateur.
- Le faux serveur détourne la communication et demande la clé N-10 à
l'utilisateur.
- L’utilisateur consulte sa liste (ou génère la clé) et renvoie la réponse au
faux serveur.
- Disposant de la clé N-10, il suffit alors d'appliquer MD5 à N-10 pour
obtenir la clé N-9, et ainsi de suite.
- II suffit alors de lancer MD5 de 2 à 10 fois sur cette clé pour obtenir les
réponses pour les clés N-l à N-10 que le vrai serveur demandera aux
prochaines demandes de connexion.
La calculette SecureID repose cette fois sur un microprocesseur qui génère un
mot de passe temporel toutes les 60 secondes. Celui-ci dérive de l'horloge et d'une
clé secrète partagée par la carte et le serveur :
- L’utilisateur saisit son PIN (Personnal Identification Number) sur sa carte.
La carte génère un mot de passe en fonction du temps et de la clé secrète (seed)
contenue dans la carte.
- L'utilisateur envoie au serveur le mot de passe affiché par la carte.
83
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
84
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
85
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Radius est le plus utilisé. Kerberos a été le premier standard en la matière, mais
sa mise en œuvre trop complexe a freiné son utilisation. Le support de Kerberos
par Windows 2000 pourrait annoncer cependant la résurgence de ce standard qui
n'a jamais réellement percé. Tacacs est plus simple mais présente trop de lacunes.
Tacacs+ a été développé par Cisco mais n'est pas réellement un standard.
XI.4 Exemple d'authentification forte pour les accès distants
86
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
PC client
Serveur d’accès
distants 1 Authentification CHAP
(mot de pas du client)
Firewall
Segment accès distants
2 Authentification par
Serveur d’authentification calculette
Radius
Réseau interne
88
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Nous avons voulu en premier lieu mettre l’accent sur la nécessité qu’il ya à
préserver les équipements physiques. Dans notre cas ici, nous utiliserons quelques
exemples cités des tableaux, car nous signalons qu’une partie de notre travail a
déjà été élaboré par nos prédécesseurs qui dès le départ ont eu pour souci la
sécurité de ces équipements.
C’est pourquoi, nous garderons toujours en ligne ces mêmes précautions
adoptées pour en ajouter que quelques uns que nous jugeons aussi capitale.
Compte tenu de ce que nous avons devoir de maintenir la sécurité de notre réseau
à un niveau élevé, nous avons prévu un système de détection et de protection
contre l’incendie avec un retour d’alarme vers un poste permanent (voir Annexe5)
afin d’évité l’indisponibilité partielle ou totale du réseau. Pour la nuisance liée à
l’environnement et au vieillissement, nous avons prévu une étude
d’implémentation et en cas de perturbation de celle-ci de l’environnement nous
envisageons une implémentation dans un autre site. Ceci pourra freiner le
dysfonctionnement des équipements dû à la poussière, à la température,
l’hygrométrie et les vibrations. Notons qu’il nous a suffit d’apporter ces deux
solutions vu que tout le reste se trouvant dans les tableaux est correctement
respecté (suivi).
89
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
90
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Nous précisons que les détails d’installation ne seront pas abordés ici ; vu que
notre travail en lui-même ne porte pas exclusivement sur la mise en œuvre
d’Active Directory (AD).
Conçu afin d’organiser les ressources informatiques de l’entreprise, Active
Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des
ressources et de la sécurité de façon centralisée, dans le cadre d’un domaine. La
création du domaine va permettre de faciliter l’administration du réseau, sa
supervision, une meilleure exploitation des ressources et des données, mais aussi
la maintenance à distance. En d’autre terme, avec Active Directory, nous avons
une gestion centralisée des ressources de notre entreprise.
Nous allons essentiellement nous attacher à la sécurité liée à l’AD dans notre
réseau.
En effet, les différents outils présents sur le contrôleur de domaine vont nous
permettre de pouvoir administrer de nombreux paramètres concernant les
informations d’authentification, les droits d’accès, et la sécurité. Ce qu’il faut
comprendre par la sécurité de façon centralisée, c’est le faite qu’avec l’AD, nous
91
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
avons une prise de contrôle à distance des postes clients qui permet d’avoir accès
à toutes les ressources de ces postes. Contrairement à ce qu'on pourrait croire,
nous avons une meilleure garantie de la sécurité interne.
Cette solution complète a été ajoutée eu égard à sa gratuité et les nombreuses
solutions qu’elle propose. L’AD est administrable via une interface web ou
encore à travers les fichiers de configuration de l’application. Il se présente sous
cette forme :
92
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
Configuration Ordinateur
Paramètres Windows
Scripts
Démarrage (STARTUP)
Arrêter le système (SHUTDOWN)
Configuration Utilisateur
Paramètres Windows
Scripts
Ouverture de session (LOGON)
Fermeture de session (LOGOFF)
XI.3 RECOMMANDATION
> Il est utile de former les agents du MEN car ils n'ont pas conscience que
certaines attitudes habituelles de leur part peuvent être au détriment de la qualité
de notre réseau. D'où la nécessité de la sensibilisation. Voici les points sur
lesquels il faudra insister :
- Scanner les disques amovibles avant de les ouvrir. Car même si l'antivirus
n'arrive pas à détruire le virus, il arrive parfois qu'il détecte et avertit d'une
possible infection virale ;
Il faut éviter l’accès à la salle serveur au risque d’endommager les équipements
qui sont sensible au toucher ;
>Il serait bon d’utiliser le second firewall au réseau interne vu tout ce qu’il
renferme comme atouts. Sachant que le Men se verra désormais s’ouvrir à
d’autre réseau tel qu’internet ; par conséquent, ouvert à toutes sortes d’agression.
>Il est aussi bon de pendant le recrutement des employés chargés
d’administrer le système et sa sécurité d’exiger une procédure, en plus du support
technique qui sera élaboré.
>Il est souhaitable qu’en plus de Active Directory, de disposer d’autre logiciel
tel qu’un proxy pour assurer la maintenance à distance.
93
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
XI.4 EVALUATION
Pour les caractéristiques du firewall énoncées plus hauts, nous pouvons
quantifier financièrement ce matériel de la manière suivante :
Licence pour 1an :5.499,00$
Licence pour 2ans :6.820,00$
Licence pour 3ans :7.730,00$
Notons que la durée de ces licences détermine le temps d’utilisation gratuit du
support en ligne. Au- delà de cette durée de vie la mise à jour s’obtient contre
rétribution à hauteur de 600$ équivalent à 300.000 FCFA.
Coût du firewall en FCFA
94
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
200 2 400
95
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
CONCLUSION
Ce stage, nous a permis d'apprécier le travail dans une «société» tournée vers
l'informatique. Vers la fin de la présentation de notre travail de session, il
conviendrait d’affirmer que l’essentiel du travail confiné par le cahier des
charges qui nous a été confié est réalisé.
En effet, les études que nous avons menées nous ont permis de définir tout
d’abord une politique de sécurité qui est avant tout un gage de cohérence et donc,
d'une réelle protection. Toutefois, ces réflexes sécuritaires nous ont conduits à
l’analyse des vulnérabilités du protocole IP, et ensuite aux différents types
d’attaques, qui nous ont orientés dans notre choix.
Après appréciation de notre analyse, nous avons opté pour le choix d’un
deuxième firewall afin de garantir au mieux la libre circulation des données sur
le réseau. En vu d’assurer pleinement son fonctionnement, le firewall a besoin
d’autres protocoles tels que : le protocole d’authentification, le chiffrement des
données afin de maintenir à un niveau élevé la sécurité de notre réseau
informatique.
Cependant, d’autres sont encore en phase d’étude. Par conséquent, il ne sera
pas surprenant si l'on se retrouve confronté à certains problèmes d’insécurité que
nous auront pas prévu, vu que la sécurité en elle-même (est relative) n’est jamais
totale. Il faudra alors déployer des utilitaires de sécurité (journalisation) qui
seront nécessaires. Mais cela ne change rien à la crédibilité des résultats que nous
avons fournis.
Il faut noter tout de même que ce stage nous a été d’un apport considérable,
en d’autres termes, nous avons touché des domaines assez variés comme les
bases de données, le modèle client/serveur très enrichissant. Ainsi donc, cette
expérience nous a permis d'avoir une bonne maîtrise d'un grand nombre de
96
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
technologies dont nous ignorions certaines vertus. Aussi, nous avons découvert le
travail d'entreprise avec toute la pression, la rigueur et l'organisation qu'il exige.
Bref, ce stage nous a permis de parfaire notre formation et a aussi fait office de
première expérience professionnelle dans le monde de l'informatique. Cette
première expérience s'est bien passée, ce qui est positif pour un bel avenir.
97
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
BIBLOGRAPHIE
Ouvrages de Jean-Luc MONTAGNIER, solution réseaux, Réseaux d’entreprise par
la pratique. Edition EYROLLES, Juillet 2004 pages 470-513.
98
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
WEBOGRAPHIE
Http/ www.mémoire online.com (par Ludovic Blin Université Paris Dauphine DESS
226) (26 / 11 /09 ; 15 :38).
Http/www.memoireonline.com/07/09/2372/m_Amelioration-des-performances-dun-
reseau-informatique.htm (28 / 01 /10; 14:32)
Http/www.memoireonline.com/07/09/2367/m_Gestion-du-spectre-de-frequence-et-
implementation-des-reseaux-de-telecommunications-cas-dun-res16.html#toc44
(10/ 02 / 10; 18:27)
file:///C:/Documents%20and%20Settings/Administrateur/Bureau/securite-
informatique-ibm.html (09/02/10 ; 16 :25).
http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fi-
avec-authentification-basee-sur-des-certificats5.html#toc65 (09/04/10 ; 17 :52).
99
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
GLOSSAIRE
Listes des Sigles et Abréviation
AP Access Point
IP Internet Protocol
100
Mise en place d’une solution de sécurisation du réseau informatique du MEN 2007 -2008
ANNEXES
101