SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix-travail-patrie Peace-Work-Fatherland

---------- ---------
Ministère des enseignements supérieurs Ministry of high education

--------- ---------

CYCLE DE BREVET DES TECHNICIENS SIANTOU HIGHER INSTITUTE

SUPERIEUR (B.T.S)
--------
------------ HIGHER NATIONAL DIPLOMA
Filière: gestion
--------
------------

RAPPORT DE STAGE ACADEMIQUE

SECURISATION D’UNE CONNEXION SITE A SITE

CAS D’ICES SARL

Stage effectué à ICES SARL de la période du 1er juin au 31 juillet 2019

en vue de l’obtention du brevet des techniciens supérieur (BTS)

Spécialité : Gestion des Systèmes d’informations

Rédigé et présenté par :

NGOMBY AUDREY STEPHANE

Etudiant 2ème année B.T.S Commerce et Gestion

Sous l’encadrement

Encadrant professionnel : Encadrant académique :

M. BENGA FRANCIS M. SADIE JUVET KARNEL
IT / administrateur réseau et système Enseignant de l’IUS

Année académique
2019 - 2020

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE i

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

Sommaire

Sommaire..........................................................................................................................................................ii
DEDIDCACE...................................................................................................................................................iii
REMERCIEMENTS......................................................................................................................................iv
AVANT- PROPOS...........................................................................................................................................v
RESUME..........................................................................................................................................................vi
ABSTRACT....................................................................................................................................................vii
ABREVIATIONS..........................................................................................................................................viii
FICHE SIGNALETIQUE D’ICES SARL....................................................................................................ix
INTRODUCTION GENERALE....................................................................................................................1
PREMIERE PARTIE : PRESENTATION GENERALE D’ICES SARL ET DEROULEMENT DU STAGE
............................................................................................................................................................................2
CHAPITRE I : PRESENTATION GENERALE D’ICES SARL......................................................................3
SECTION 1 : ICES SARL dans son environnement interne......................................................................3
SECTION 2 : L’ICES Sarl dans son environnement externe......................................................................5
CHAPITRE II : DEROULEMENT DU STAGE...............................................................................................7
SECTION 1 : la prise de contact et les activités au sein de l’entreprise.....................................................7
DEUXIEME PARTIE : DE l’ETUDE D’UNE SECURISATION DE LA CONNEXION SITE A SITE A
SA MISE EN PLACE……..............................................................................................................................10
CHAPITRE I : NOTION DE BASE DES VPN (Virtual private network).....................................................11
SECTION 1 : présentation des VPN site à site et a accès distance............................................................11
SECTION 2 : Présentation du protocole GRE de site à site et IP sec.......................................................15
CHAPITRE II: PROCESSUS DE CONFIGURATION D’UN VPN IPsec....................................................25
CHAPITRE III : CONFIGURATION D’UN VPN (GRE IPSEC) STATIQUE : Cas D’ICES Sarl...............32
CHAPITRE IV : ESSAI CRITIQUE DE LA SECURISATION D’UNE CONNEXION SITE A SITE VIA
(VPN) ET PROPOSITION DE SOLUTION...................................................................................................37
Section 1 : Avantages et inconvénients d’une solution VPN site a site......................................................37
Section 2 : suggestion pour une amélioration de la sécurité d’une connexion.........................................38
CONCLUSION GENERALE.......................................................................................................................54
BIBLIOGRAPHIE.........................................................................................................................................55
LISTE DES ANNEXES.................................................................................................................................56
TABLE DES MATIERES...............................................................................................................................63

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE ii

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

DEDIDCACE
A

MES PARENTS
Monsieur Lindjeck Jean Marc

Et
Madame Ngo Banolok Rachel épouse Lindjeck.

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE iii

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

REMERCIEMENTS

Nous ne saurons commencer sans dire merci au Seigneur Tout Puissant pour le souffle de vie et la
santé qu’il nous procure afin de mener à bien notre formation et réaliser ce rapport .

Nos sincère remerciements à :

 Monsieur WANTOU SIANTOU Lucien, fondateur et président du
groupe Universitaire Siantou.
A tous mes enseignants pour leur contribution à notre formation ; plus particulièrement à Monsieur
BENGA Francis, pour sa disponibilité et encadrement ;
 Monsieur Joseph KOBE, Directeur d’ICES Sarl
 Monsieur SANDJO Yves, IT / administrateur réseau et système à ICES
Sarl
 Monsieur SADIE Juvet Karnel, enseignant de l’institut universitaire
Siantou, encadrant académique

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE iv

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

AVANT- PROPOS

Aujourd’hui, l’utilisation de la technologie pour développer et renforcer notre capacité de

communication arrive à un tournant. La généralisation de l’utilisation d’internet à l’échelle mondiale s’est
opérée plus vite que quiconque aurait pu l’imaginer. L’évolution rapide de ce réseau mondiale induit un
bouleversement des interactions sociales, commerciales, politiques, et mêmes personnelles. L’étape suivante
de notre développement verra les novateurs se servir d’internet comme d’un tremplin pour créer de
nouveaux produits et services spécialement conçus pour l’ exploitation, la sécurisation et la résolution des
problèmes liés aux réseaux alors que administrateurs réseaux et développeurs repoussent les limites de ce
qu’il est possible d’accomplir, les capacités des réseaux interconnectés qui forment Internet sont appelées à
jouer un rôle croissant dans le monde contemporain.
C’est dans cette dynamique que l’institut universitaire SIANTOU accueille les titulaires du
baccalauréat général, technique ou du General certificate of education Advanced level pour les préparer au
B.T.S (Brevet des techniciens supérieur) ou au H.N.D (Higher National Diploma) dans un éventail de
spécialités dont l’option Gestion Des Systèmes D’ information.
Il s’agit en fait d’un cycle court d’étude théorique et pratique étalée sur deux années, au sortir de la
première année l’étudiant doit satisfaire à l’exigence d’une pratique de deux mois en milieu professionnel.
A la fin de cette expérience, il rédigera un rapport de stage qu’il soutiendra le moment venu devant
un jury.

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE v

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

RESUME

La sécurité informatique est un ensemble de mesure consistant à s’assurer que les ressources
matérielles (hardware) ou logicielles (software) d’une entreprise sont uniquement utilisées dans le cadre
prévu et aussi accessible. Pour être précis sur le sujet deux aspects sont envisagés à savoir :
 Aspect théorique
 Aspect pratique
En théorie, à l’origine le terme « sécurité  » a pour objet l’information, le système, le réseau et
recouvre trois domaines qui sont la fiabilité de fonctionnement, la confidentialité de l’information et
l’intégrité des données où interviennent les techniques de la cryptographie. Aujourd’hui, celle-ci est une
partie intégrante des réseaux informatiques, qu’il s’agisse d’un simple environnement domestique avec une
seule connexion à internet ou d’une entreprise avec des milliers d’utilisateurs, sa mise en œuvre doit prendre
en compte son milieu, ainsi que les outils et les besoins du réseau. En pratique, la réflexion est menée à un
cadre particulier à l’international computer and electronics systems (ICES) Sarl en vue de vérifier la
concordance entre théorie et pratique. Alors, quels types de sécurité réseau adopter et comment
l’implémenter ? Pour répondre à cette question, nous avons mené une étude auprès des personnes ayant
l’expertise sur ce domaine. En effet, la mise en œuvre de la sécurité réseau des entreprises implique
généralement de nombreux composants intégrés dans le réseau afin de contrôler et de filtrer le trafic.

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE vi

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

ABSTRACT

It Security is a set of measures consisting in ensuring that the material resources hardware or software of
a company are only used within the Framework provided and also accessible. To be precise on the subject
two aspect are envisaged namely :
 Theoretical aspect
 Pratical aspect
In theory, orginally the term « security » has for object the information, the system, the network and
covers three domain which are the reliability of operation, the confidentiality of the information and the
integrity of the data where the interveners cryptographics technics. Today , it is an integral part of computer
network whether it is a simple domestic environment with a single connection to the internet or a company
with a thousands of users, its implementation must take into account their environment, as well as the tools
and needs of the network. In practice reflection is carried out in a particular Framework at the international
computer and electronics system (ICES) Sarl in order to check the concordance between theory and
practice. So, what type of network security should be adapted and how to implement it ? To answer this
question we conducted a study with people with expertise in this area indeed the implementation of
corporate network security generally insolves many components integrated into the network in order to
control and filter traffic.

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE vii

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

ABREVIATIONS

VPN : Virtual Private Network

ESP : Encapsulation Security Payload
AH : Authentification Header
RSA : Rivest Shamir Adeiman
IT : Information Technology
RADIUS : Remote Authentication Dial-in User Service
DMZ : Demilitrized Zone
NAP : Network Access Protection
DHCP : Domain Host Configuration Protocol
GRE : Generic Routing Encapsulation
IP sec : Internet Protocol Security
PSK : Pre-shared Key
SOHO : Small Office Home Office
AES : Advanced Encryption Standard
3DES : Triple Data Encryption Standard
BYOD : Bring Your Own Device
SHA : Secure Hash Algorithm
GRE : Generic Routing Encapsulation

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE viii

 SECURISATION D’UNE CONNEXION SITE A SITE : CAS D’ICES SARL

RAISON SOCIALE INTERNATIONAL COMPUTER AND ELECTRONIC

SYSTEMS

FICHE SIGNALETIQUE D’ICES SARL

SIGLE ICES-SARL
YAOUNDE (BATA NLONGKAK)
SIEGE SOCIAL
YAOUNDE (ENTREE ECOLE PUBLIQUE CAMP SIC
DIRECTION GENERALE NLONGKAK)
BOITE POSTAL 11102 YAOUNDE, CAMEROUN

TELEPHONE (+237) 622-01-03-86 / 673-64-61-75

EMAIL [email protected]
WEB
www.icesinternational.com
FORME JURIDIQUE SOCIETE A RESPONSABILITE LIMITE
CAPITAL SOCIAL 1.000.000 FCFA
NUMERO DE CONTRIBUABLE M041912759786H

REGIME FISCAL REEL

16 EMPLOYES
NOMBRE D’EMPLOYE
JOSEPH KOBE
DIRECTEUR GENERAL
INTEGRATION DES SOLUTIONS ET SERVICES
ACTIVITE PRINCIPALE INFORMATIQUES

SECTEUR D’ACTIVITE TERTIAIRE

NOMBRE D’AGENCE
2 AGENCES

RAPPORT PRESENTE ET SOUTENU PAR : NGOMBY AUDREY STEPHANE ix

 La sécurisation d’un réseau implique l’utilisationGENERALE
INTRODUCTION de protocoles, de technologies, de périphériques,
d’outils, et de techniques pour sécuriser les données et limiter les risques d’intrusion non autorisée dans
l’intranet de l’entreprise. S’agissant du maintien de l’intégrité du réseau informatique, nous nous sommes
appesantis sur la question de l’implémentation d’une solution Virtual Private Network (VPN) pour la
sécurité, la facilité d’accès au réseau et la réduction des coûts de faisabilité et d’entretien. Pour mieux
l’appréhender de manière pratique, nous avons sollicité et obtenu un stage à l’ICES SARL pour une période
allant du 1er juin au 31 juillet 2019. Nous avons effectué un stage académique dans la direction en charge
des systèmes d’informations, notamment le service s’occupant de la partie mise en œuvre des systèmes et
réseaux.
Il nous a également permis de nous familiariser avec les aspects pratiques de la mise en œuvre d’une
protection d’accès réseau à travers l’implémentation d’un Virtual Private Network (VPN) tel que se
présente dans cette entreprise de prestation des services. Tout au long de ce stage, nous avons effectué les
tâches à caractère théorique et pratique ; et avons échangés avec plusieurs employés sur la complexité de
maintenir sain le réseau d’entreprise qui est le leur. C’est cet ensemble de divergence qui nous à orienter à
l’étude à la « SECURISATION D’UNE CONNEXION SITE A SITE : cas de ICES SARL ». En matière
de sécurité informatique, l’implémentation d’une solution VPN  est-il un moyen efficace? Notre rapport se
présentera ainsi qu’il suit :
 Présentation générale de l’ICES SARL et du déroulement du stage qui sera constitué de
l’historique, l’organisation, son fonctionnement ainsi que son organigramme.
 Etude et procédé de configuration de la technologie VPN
 Configuration d’un VPN (GRE IP sec) cas de l’ICES SARL.
 Essai critique et apport de suggestions
 Configuration et test, qui est notre partie pratique où nous allons concevoir une architecture
réseau et faire les configurations nécessaires au niveau des routeurs afin de créer les VPNs
entre les sites.
 PREMIERE PARTIE : PRESENTATION GENERALE D’ICES SARL
ET
DEROULEMENT DU STAGE

Dans une économie moderne, les entreprises sont les principaux agents de production de biens et
services de toute sorte mais celles-ci sont aussi des organisations de nature et de forme diverses, de plus
elles opèrent dans des environnements variés et évolutifs. Il en résulte qu’une approche efficace de l’ICES
Sarl, entreprise commerciale spécialisée en la production des services dans le domaine informatique doit
commencer par l’étude tour à tour de :
 La présentation dans son environnement (chapitre I)
 Déroulement du stage (chapitre II)
 CHAPITRE I :
PRESENTATION GENERALE D’ICES SARL

L’entreprise est une unité économique dotée d’une autonomie juridique qui combine des facteurs de
production (capital et travail) pour produire des biens et/ou services destinés à être vendus sur un marché. A
cet effet, une meilleure connaissance du fonctionnement de l’entreprise d’accueil passe au préalable par une
étude de son histoire, de son environnement interne et externe.

SECTION 1 : ICES SARL dans son environnement interne

1- Historique 

Crée en 2002 par monsieur joseph Kobe, ingénieur polytechnicien de conception en

électromécanique et professionnel certifié Microsoft. ICES SARL est une entreprise spécialisée dans
l’intégration de solution et de services informatiques, commence son activité sur le plan légal en se faisant
enregistrer à la chambre de commerce et a acquis un numéro au registre du commerce et du crédit mobilier
(RCCM), ainsi qu’un numéro de contribuable lui donnant une capacité juridique. La jeune et dynamique
l’entreprise camerounaise basée à dans deux régions du pays à savoir Yaoundé et Douala, fort du caractère
conquérant indispensable à tout projet d’avenir, elle s’est progressivement consolidés pour devenir une
entreprise internationale.
Aujourd’hui, pour s’imposer comme un des leaders dans l’intégration des solutions informatiques en
Afrique et à l’international s’est fixé les objectifs suivant :
 Accroitre son chiffre d’affaire
 Satisfaire de façon continuelle les besoins de sa clientèle
 Avoir une couverture optimale du territoire national
 Fournir un service de qualité premium
A ce jour, elle évolue dans la mesure où elle fait dans la formation (certifications Microsoft).
a. Structure organisationnelle : fonctionnement des services

 Direction générale

 Service financier et comptable

Il est le gérant de l’entreprise, chargé de coordonner toutes activités ou département. Ses attributions
peuvent se résumer ainsi :

- Contrôler le personnel de l’entreprise ;

 - Etablir des états financiers mensuels. Il dresse un document incluant les
entrées et les sorties de fonds d’une part, et dégager un solde de l’autre ;
- Gérer les transferts de fonds (surtout les mouvements bancaires) ;
- Virement de fonds de la caisse à la banque après conformité des documents
y afférents ;
 Le service commercial
Charger d’exécuter les tâches suivantes :
- Prospecter les clients ;
- Effectuer des commandes aux fournisseurs au moyens d’internet ou par
téléphone ;
- Ainsi tient des bons de commande ;

 Direction des systèmes des informations

Composé des experts en informatique participant à la production et à la fourniture de service, en réalisant ou
en adoptant des solutions d’infrastructures et en assurant le fonctionnement optimal des équipements. En
celle-ci est divisé en deux sections à savoir : celle dite système et réseau et la section conception et
réalisation disposant respectivement un ingénieur réseau, deux techniciens d’infrastructure, trois agents de
terrain et un chef de projet informatique, deux responsable d’exploitation, quatre développeurs.
(Voir organigramme annexe 2 et 3)

2 - Présentation des activités de l’entreprise et des ressources disponibles

a. Présentation des activités

ICES Sarl a plusieurs activités qui concourent à atteindre son objectif, il a fallu à la structure de se
doter d’employés à diverse tâches, l’effectifs actuel est de 21 employés. En effet celle-ci a pour activité
principale l’intégration de solution et de services informatiques.
Les services qu’offre l’entreprise sont les suivantes :
o Formation

- Formation de standard (bureautique, Maintenance et réseau, webdesign, développement

d’application)
- Formation certifiée Microsoft, Oracle, Unix

o Maintenance
o Conception des applications et sites web
o Configuration et virtualisation des serveurs
o Accompagnement dans l’implémentation des solutions
informatiques
o Conception, déploiement et administration des réseaux
 Malgré sa diversité, ICES Sarl met tout en œuvre pour bien fonctionné. S’agissent de son
fonctionnement, chaque employé à une tâche précise, mais en générale, tous travaillent en étroite
collaboration dans l’objectif des différents besoins exprimés par le client.

b. Les moyens disponibles à l’ICES

Il s’agit notamment de l’ensemble des moyens (matériels ; humaines) dont dispose l’entreprise pour
le bon fonctionnement et de l’activité principale de celle-ci.

o Les moyens humains

L’ICES Sarl dispose d’un grand nombre de travailleurs qualifiés parmi lesquels ; 16 à la direction
générale de Yaoundé en fonction de leur tâche. Il est important de noter que l’entreprise se partage les idées
dans le but d’accroitre la rentabilité de celle-ci.

o Les moyens matériels

L’ICES Sarl dispose de quelques équipements lui servent à son exploitation, au service de
l’entreprise, il dispose de : plusieurs ordinateurs, du matériels de réseau, câblés et sans fils lui servant de
liaison de ses services sous la forme Intranet et Internet pour sa communication avec les clients et/ou
partenaires. Notons également que le personnel de l’ICES Sarl fonctionne le plus souvent dans le système de
BYOD (Bring Your Own Devise) en ce sens que chacun d’eux le plus souvent apporte son propre outil de
travail à l’instar des ordinateurs portables.

SECTION 2 : L’ICES Sarl dans son environnement externe

1- L’environnement de l’entreprise
L’environnement d’une entreprise est un ensemble des données et variables externes à l’entreprise
qui ont une influence sur son fonctionnement et qu’elle doit intégrer à sa stratégie. L’environnement externe
c’est l’ensemble des éléments externes à l’entreprise qui influencent son évolution. Parmi ces éléments nous
pouvons cités : les partenaires et concurrents.

- Les partenaires

L’entreprise ne peut évoluer seule, elle a besoin de partenaire. L’ICES Sarl n’échappe pas à cette
règle et ses partenaires sont entre autre :
- Microsoft, en sa qualité de Microsoft Gold Certified Partner ;

- Le groupe JYGA LTD dans l’échange de compétence Microsoft :

- AB Technologie et DISTECH Sarl dans la distribution des équipements
informatiques
  L’Etat
Qui joue un rôle de régulateur de l’activité économique, à trouver une réglementation de secteur. Il
collecte également les impôts

 Les clients

De par son évolution et la place qu’elle tient à savoir sur le marché, l’ICES Sarl a de nombreux
clients provenant de divers horizon entre autre du : secteur privé (NSIA Assurance, CCA Bank …), IPES
(Instituts Professionnelles Enseignement Supérieur) (biens, offre et la demande), administrations publiques,
organismes et institutions internationales et gouvernementales. Ces derniers constituent la composante
essentielle du chiffre d’affaire de l’entreprise.

 Les fournisseurs
Ce sont des personnes physiques et morales qui mettent à la disposition de l’entreprise des produits
dont elle a besoin pour fonctionnement. Dans le but de satisfaire sa nombreuse clientèle, l’ICES Sarl
s’approvisionne chez divers fournisseurs locaux en fonction des services.

 Les concurrents
C’est l’ensemble des entreprises de la même branche d’activité que l’ICES Sarl capable d’attirer et
de conserver une grande partie de la clientèle. Cette concurrence lui permet de mesurer son efficacité et
stratégies de lutte concurrentielle ; elle peut être directe et indirecte.

Au terme de ce chapitre, nous avons présenté les différents éléments internes et externes de
l’environnement de l’entreprise. Dans un autre prisme, nous allons parler du déroulement du stage.

CHAPITRE II
DEROULEMENT DU STAGE
 L’objet de ce chapitre à la présentation des activités qui ont été réalisées pendant le stage et la
justification du thème.

SECTION 1 : la prise de contact et les activités au sein de l’entreprise

1- La prise de contact

Notre stage a débuté le 01 juin 2019 à l’ICES Sarl à la direction générale. Nous avons été accueillis
par le directeur avec qui nous avons fait le tour des services de l’entreprise. Puis nous avons été présenté à
notre encadrant professionnel. Ce dernier est l’administrateur système et réseau, il nous a entretenu sur les
règles de fonctionnement de cette structure et nous a présentés à ses collaborateurs qui devaient nous
accorder du temps pour répondre à d’éventuelles préoccupations.

2- Les activités menées

Les premières semaines du stage furent une période d’imprégnation qui nous a permis de nous
habituer à ce nouvel environnement. Durant ce temps, il était question de prendre acte des différentes
activités qu’ils réalisent et auprès de cela nous imprégner des documents de l’entreprise. Par la suite nous
avons subi une mise à niveau au travers d’une initiation au réseau informatique, il était question de situer
notre niveau ; nous avons notamment était évalué sur les préoccupations relatives suivantes :
- Les fondamentaux des réseaux informatiques
- Les réseaux Internet Protocol (IP) – classe + sous réseau
- Les protocoles de routages : OSPF, RIP, BGP
- NAT - PAT - ACL
- DHCP (Domain Host Configuration Protocol)
- VLAN (Virtual Local Area Network)
- La sécurité des réseaux

Ensuite nous avons également effectués deux sorties avec notre encadrant question de voir comment
ça se passe en clientèle dans l’optique d’observer la manière de ce comporte et la présentation devant la
clientèle ce qui est primordiale dans le domaine des prestations des services (les rapports avec autrui) sans
toutefois négliger l’aspect qualité des services. De ceci découle donc les sortis en clientèle suivantes :

- L’entreprise d’assurance NSIA sis à la montée Anne rouge, Essos, et

Tsinga
- La COMIFAC (Commission Des forêts d’Afrique Centrale)
- Le british Council
 Nous avons travaillé sur un projet mettant en exergue la sécurité du réseau local de l’entreprise à
travers l’adoption d’une nouvelle technologie notamment le NAP (Network Access Protection) , celle est
d’autant plus nécessaire que les employés de cette entreprise utilisent plus la tendance du BYOD ( Bring
Your Own Devise ) concept de tous les périphériques, tous les contenus et toutes les méthodes de
connexion ; tendance majeure qui nécessite des modifications importantes au niveau de l’utilisation des
périphériques .NAP qui a pour but de vérifier l’état de santé des ordinateurs ou autres équipements
embarqués qui se connectent au réseau satisfont aux conditions définies par l’administrateur du dit réseau
d’entreprise.

Figure 1: Architecture NAP (Network Access Protection)

L’architecture et les composantes NAP sont les suivantes :

Figure 2: composants de l'architecture

Notons que la technologie NAP sert à vérifier état de santé des postes qui se connectent à un réseau
privé.

Cette première partie consacrée à la présentation du cadre de l’activité et l’entreprise dans laquelle
nous avons effectués notre stage et sur l’activité menée dans ladite entreprise, ce qui nous aidera à mieux
voir la portée et la faisabilité de la solution proposée à savoir la mise en place d’une architecture VPN
sécurisé.
 DEUXIEME PARTIE : DE l’ETUDE D’UNE SECURISATION DE LA
CONNEXION SITE A SITE A SA MISE EN PLACE

La sécurité est un problème lorsque les entreprises utilisent le réseau Internet public pour mener à
bien leurs activités. Les réseaux privés virtuels sont utilisés pour garantir la sécurité des données sur
Internet. Un réseau privé virtuel sert à créer un tunnel privé sur un réseau public. Les données peuvent être
sécurisées à l’aide du chiffrement dans ce tunnel via Internet et en utilisant une méthode d’authentification
destinée à protéger les données de tout accès non autorisé.
En effet, cette partie décrira les concepts et les processus relatifs aux réseaux privés virtuel (VPN),
les avantages des implémentations de VPN, des protocoles meublant le côté sécurisé des VPN, processus de
configuration d’un VPN (IP sec), configuration d’une VPN (GRE IP sec) statique cas d’ICES Sarl ensuite
les critiques et les suggestions et enfin des configurations et test.

CHAPITRE I
NOTION DE BASE DES VPN (Virtual private network)

SECTION 1 : présentation des VPN site à site et a accès distance

 Les entreprises ont besoin de moyens à la fois sécurisés, fiables et économiques permettant
d’interconnecter plusieurs réseaux, par exemples pour que les filiales et les fournisseurs puissent se
connecter au réseau du siège. de plus, avec l’augmentation du nombre de télétravailleurs, les entreprises ont
un besoin croissant de moyens sécurisés, fiables et économiques de connecter aux ressources présentes sur
les sites de l’entreprise les employés travaillants dans de petites structures ou des bureaux à domiciles
(SOHO) Small office/home office, ainsi qu’à d’autres emplacement distants.
La figure ci-dessous illustre les topologies utilisées par les réseaux modernes pour connecter des
emplacements distants. Dans certains cas, les sites distants sont uniquement connectés au siège, alors que
dans d’autres cas, ils sont connectés à divers sites.

Les entreprises utilisent des VPN pour créer une connexion sécurisée de bout en bout par réseau
privé sur des réseaux tiers, comme Internet ou des extranets. Le tunnel supprime la barrière de distance et
permet aux utilisateurs distants d’accéder aux ressources réseau du site central.
Un VPN est un réseau privé créé par tunneling sur un réseau public, généralement Internet.
Communication dans lequel l’accès est strictement contrôle de manière à autoriser les connexions
homologue au sein d’une communauté définie d’intérêt.
En effet, les premiers VPN étaient exclusivement des tunnels IP qui n’incluaient ni authentification
ni le chiffrement des données. Par exemple, le protocole GRE ; protocole de tunneling développé par Cisco,
capable d’encapsuler une large variété de types de paquets de protocole de couche réseau au sein de tunnels
IP. Cela crée une liaison point à point vers des routeurs au niveau de points distants sur un inter réseau IP. A
l’heure actuelle, l’implémentation sécurisée de VPN avec chiffrement tels que des VPN IP sec, est ce qu’on
entend habituellement par une mise en réseau privé virtuel.
Une passerelle VPN est requise pour l’implémentation de celui-ci. La passerelle VPN peut être un
routeur, un pare-feu ou un périphérique ASA (Adaptive Security Appliance). Ce périphérique est un pare-feu
autonome qui allie un pare-feu, un concentrateur VPN ainsi qu’un système de protection contre les
intrusions en une seule image logicielle.
 1. Avantages des réseaux privés virtuel

 Réductions des coûts

Les VPN permettent aux entreprises d’utiliser un transport Internet tiers et économique pour la
connexion des bureaux et des utilisateurs distants au site principal, éliminant par conséquent le
besoin de disposer de liaisons WAN et de banc de modem dédiés et onéreux. De plus, avec
l’apparition de technologie économiques haut débit, telles que la technologie DSL, les entreprises
peuvent utiliser les VPN pour diminuer leurs coûts de connectivité tout en augmentant en même
temps la bande passante de connexion à distance.
 Evolutivité
Les VPN permettent aux entreprises d’utiliser l’infrastructure d’Internet des FAI et des
périphériques, ce qui permet d’ajouter facilement de nouveaux utilisateurs. Les grandes entreprises
peuvent ajouter volumes importants de capacité sans ajouter d’infrastructure importante.
 Compatibilité avec la technologie haut débit
Ils permettent aux travailleurs mobiles et aux télétravailleurs de bénéficier d’une connectivité haut
débit rapide, comme la technologie DLS et les câbles, pour accéder au réseau de leur entreprise. La
connectivité haute débit offre flexibilité et efficacité. Les connexions haut débit rapides peuvent
également être une solution rentable pour connecter des bureaux distants.
 Sécurité
Ceux-ci peuvent inclure des mécanismes de sécurité offrant un niveau de sécurité très élevé grâce à
l’utilisation de protocole de chiffrement et d’authentification avancés qui protègent les données de
tout accès non autorisé.

2. Types de réseau privé virtuel

Il existe deux types de réseaux privés virtuels :
 Site à site
 Accès à distance

 VPN (Virtual Private Network) de site à site

Un VPN de site à site est créé lorsque les périphériques situés des deux côtés de la connexion VPN
connaissent par avance la configuration VPN, comme l’illustre la figure ci-après. Le VPN reste statique et
les hôtes internes ne savent pas qu’un VPN existe ; en effet dans celui-ci, les hôtes finaux envoient et
reçoivent le trafic TCP/IP normal par l’intermédiaire d’une « passerelle » VPN. La passerelle est
responsable de l’encapsulation et du chiffrement de la totalité du trafic sortant issu d’un site spécifique ;
celle-ci envoie ensuite ce trafic sur Internet par le biais d’un tunnel VPN jusqu’à une passerelle VPN
homologue au niveau du site cible. Lors de la réception, la passerelle élimine les en-têtes, déchiffre le
contenu et relaie le paquet vers l’hôte cible au sein de son réseau privé.
 De prime à bord, un VPN site à site est une extension d’un réseau étendu classique. Les VPN site à
site connectent entre eux des réseaux entiers. Ils peuvent par exemple connecter un réseau de filiale au
réseau du siège d’une entreprise. Par le passé, une connexion par ligne louée ou Frame Relay était requise
pour connecter des sites, mais comme la plupart des entreprises disposent aujourd’hui d’un accès Internet,
ces connexions peuvent être remplacées par des VPN site à site.

 VPN d’accès à distance

Lorsqu’un VPN de site à site est utilisé pour la connexion de réseaux entiers, un VPN d’accès à
distance prend en charge les besoins en matière de télétravailleurs, d’utilisateurs mobiles, d’extranet et de
trafic entre les consommateurs et les entreprises, il est créé lorsque les informations sur le VPN ne sont pas
configurées de manière statique, mais qu’elles permettent au contraire des modifications dynamiques.

Ce VPN d’accès distant peut également être activé et désactivé, ils prennent en charge une
architecture client-serveur, dans laquelle le client VPN (hôte distant) obtient un accès sécurisé au réseau
de l’entreprise par l’intermédiaire de serveur VPN à la périphérie du réseau.
Les VPN d’accès à distance sont utilisés pour la connexion d’hôtes individuels devant accéder en
toute sécurité au réseau de leur entreprise via Internet. La connectivité Internet utilisée par les
télétravailleurs est généralement une connexion haut débit, DSL (Digital Subscriber Line), sans fil ou câble,
comme le montre la figure ci-dessous.
 Il se peut qu’un logiciel client VPN doive être installe sur le périphérique final de l’utilisateur
mobile, par exemple le logiciel Cisco AnyConnect Secure Mobility Client sur chaque hôte. Lorsque l’hôte
tente d’envoyer du trafic, le logiciel encapsule et chiffre ce trafic ; les données chiffrées sont ensuite
envoyées via Internet vers la passerelle VPN située à la périphérie du réseau cible. Dès réception, la
passerelle de VPN adopte le même comportement que pour des VPN site à site.
NB : nous nous appesantirons sur le VPN site à site.

SECTION 2 : Présentation du protocole GRE de site à site et IP sec

I. Notions de base de l’encapsulation GRE

Le protocole GRE (Generic Routing Encapsulation) est un exemple de protocole de tunneling VPN
de site à site de base, non sécurisé. En effet c’est un protocole capable d’encapsuler une large variété de
types de paquet de protocoles au sein de tunnels IP. Ce protocole créé une liaison point à point vers des
routeurs au niveau de point distant distants sur un inter réseau IP.
 Le protocole GRE est conçu pour gérer le transport du trafic multi protocole et multidiffusion IP
entre deux ou plusieurs sites, qui peuvent ne posséder que de la connectivité IP. Il peut également encapsuler
plusieurs protocoles au sein d’un tunnel IP.
Comme l’illustre la figure ci-dessous

Une interface de tunnel prend en charge un en-tête pour chacun des éléments suivants :
 Un protocole encapsulé (ou protocole de passager), comme IPv4
 Un protocole d’encapsulation (ou protocole porteur), tel que GRE
 Un protocole d’acheminement de couche transport, par exemple IP

1- Caractéristiques de GRE
Le tunneling IP à l’aide du protocole GRE permet l’extension du réseau au sein d’un environnement
fédérateur à protocole unique. Il possède les caractéristiques suivantes :

 Il est défini en tant que norme IETF (RFC 2784).

 Dans l’en-tête IP externe, la valeur 47 est utilisée dans le champ de protocole afin d’indiquer qu’un
en-tête GRE va suivre.
 L’encapsulation GRE utilise un champ de type de protocole dans l’en-tête GRE afin de prendre en
charge l’encapsulation de n’importe quel protocole OSI de couche 3.
 La fonctionnalité de GRE est sans état et ne comporte aucun mécanisme de contrôle de flux par
défaut.
 N’inclut aucun mécanisme de sécurité fort destiné à protéger ses données utiles.
 II. présentation d’IP sec

1- Sécurité de protocole Internet

Ce protocole très populaire est un des plus robustes et des plus versatiles mais il est aussi un des plus
complexes. Plusieurs versions se sont succédé et divers éléments additionnels ont été définis. Un très grand
nombre d’équipements réseaux, en particulier les routeurs et les pare-feu, permettent l’utilisation d’IP sec.
De même, les principaux systèmes d’exploitation pour micro-ordinateurs ou ordi phones (téléphone
intelligent) prennent en charge IP sec nativement
Le dialogue IP sec est généralement possible entre ces différents systèmes et équipements dans de
nombreux cas, l’utilisation d’IP sec présente un rapport « bénéfice en sécurité » sur « coût » appréciable
dans la mesure où cette technologie est prise en charge nativement part la plus des systèmes clients et
équipement réseau et ne nécessite dont généralement pas d’investissements lourds.
Les VPN IP sec offrent une connectivité à la fois flexible et évolutive. Les connexions de site à site
peuvent assurer une connexion à distance fiable, rapide et sécurisée. Avec un VPN IP sec, les informations
issues d’un réseau privé sont transportées en toute sécurité sur un réseau public. Cela permet d’obtenir un
réseau virtuel au lieu d’utiliser une connexion dédiée de couche 2, comme l’illustre la figure ci-après. Pour
rester privé, le trafic est chiffré pour que les données restent confidentielles.
 IP sec est le cadre standard ouvert qui compose en toutes lettres les règles pour des communications
sécurisées. Il n’est lié à aucun algorithme de chiffrement, d’authentification et de sécurité spécifique, ni à
aucune technologie d’utilisation de clés. En revanche, le protocole IP sec se base sur des algorithmes
existants pour mettre en œuvre des communications sécurisées, il autorise l’implémentation d’algorithmes
plus récents et plus performants, sans toutefois modifier les IP sec existantes.
IP sec fonctionne au niveau de la couche réseau, en protégeant et en authentifiant les paquets IP entre
les équipements IP sec participants (homologues), celui sécurise un chemin entre une paire de passerelles,
une paire d’hôtes ou une passerelle et un hôte. En conséquence, le protocole IP sec peut en théorie protéger
tout trafic d’applications, car cette protection peut être implémentée de la couche 4 à la couche 7.
Toutes les implémentations du protocole IP sec possèdent un en-tête de couche 3 en texte clair, et ce,
afin d’éviter tout problème de routage. IP sec fonctionne sur l’ensemble des protocoles de couche 2tels
qu’Ethernet, Frame Relay.

2- Caractéristiques du protocole IP sec

Les caractéristiques du protocole IP sec peuvent se résumer comme suit :
 Le protocole IP sec est un cadre de normes ouvertes qui est indépendant de l’algorithme.
 Permet la confidentialité, l’intégrité et l’authentification de la source des données.
 IP sec agit comme la couche réseau, qui protège et authentifie les paquets IP.

3- Services de sécurité IP sec

Les services de sécurité IP sec offrent quatre fonctions critiques à savoir :

- Confidentialité (chiffrement)
Le chiffrement permet de garantir la confidentialité du trafic VPN. Les données en textes clair qui
sont transportées sur Internet peuvent être interceptées et lues. Chiffrez la date afin que celle-ci reste privée.
Le chiffrement numérique des données rendent celles-ci illisibles avant leur déchiffrement par le destinataire
autorisé. En effet, pour que la communication chiffrée fonctionne, l’expéditeur et le destinataire doivent
connaitre les règles utilisées pour le codage du message d’origine. Ces règles se basent sur des algorithmes
et des clés associés. Dans le cadre du chiffrement, un algorithme est une séquence mathématique d’étapes
combinant un message, du texte, des chiffres ou les trois, avec une chaine de chiffres, le tout étant appelé
une clé. En résulte une chaine chiffrée illisible.
 Dans la figure ci-dessus, Gail souhaite envoyer à Jeremy un EFT (Electronic Funds Transfer) via
Internet. A l’extrémité locale, le document est associé à une clé et soumis à un algorithme de chiffrement. Le
résultat est du texte chiffré ; le texte chiffré est ensuite envoyé via Internet. A l’extrémité, le message est
reconstitué avec une clé et renvoyé via l’algorithme de chiffrement. Le résultat est le document financier
d’origine.
La confidentialité est obtenue par le biais du chiffrement du trafic traversant un VPN. Le degré de
sécurité dépend de la longueur de clé de l’algorithme de chiffrement ainsi que de la complexité de celui-
ci. Si un pirate informatique tente de décoder la clé lors d’une attaque en force, le nombre de possibilités à
essayer dépend de la longueur de clé. Le temps nécessaire au traitement de l’ensemble de ces possibilités
dépend de la puissance de l’ordinateur utilisé par le pirate informatique. Plus la clé est courte, plus elle est
facile à décoder ; par exemple si un ordinateur relativement puissant prendrait environ un pour décoder la
clé 64 bits, ce même ordinateur prendre de 10 à 19 ans pour décoder une clé de 128 bits.

- Algorithme de chiffrement

Le degré de sécurité dépend de la longueur de la clé de l’algorithme de chiffrement. Plus la longueur

de clé augmente, plus il devient difficile de décoder le chiffrement. Toutefois, une clé plus longue nécessite
plus de ressources processeur lors du chiffrement et du déchiffrement des données. En effet, nous
dénombrons deux types de chiffrement à savoir :
 Chiffrement symétrique
Les algorithmes de chiffrement, tels qu’AES, nécessitent une clé secrète partagée pour le chiffrement
et le déchiffrement. Chacun des deux périphériques réseau doit connaitre la clé afin de pouvoir décoder les
informations. Dans le cas d’un chiffrement à clé symétrie, également appelé chiffrement à clé secrète,
chaque périphérique chiffre les informations avant de les envoyer à l’autre périphérique sur le réseau. En cas
de chiffrement à clé symétrique, il est nécessaire de savoir quels périphériques communiquent entre eux, de
telle sorte que la même clé puisse être configurée sur chacun de ces périphériques comme le montre la figure
ci-dessous.

Alors, les algorithmes symétriques :

 Utilisent la cryptographie à clé symétrique,

 Le chiffrement et le déchiffrement utilisent la même clé,

 Utilisées pour chiffrer le contenu du message

 Exemples algorithme symétrique (DES, 3DES, AES).

 Chiffrement asymétrique
Le chiffrement asymétrique utilise des clés différentes pour le chiffrement et le déchiffrement. Même
si un pirate informatique connait une clé, cela n’est pas suffisant pour en déduire la deuxième et ainsi
décoder les informations. L’une des clés chiffre le message, tandis que seconde le déchiffre, vous ne pouvez
pas procéder au chiffrement et au déchiffrement en utilisant la même clé.
Le chiffrement à clé publique est une variante du chiffrement asymétrique qui utilise la combinaison
d’une clé privée et d’une clé publique. Le destinataire distribue une clé publique à tout expéditeur avec
lequel s’effectueront les échanges. L’expéditeur utilise une clé privée qui est associée à la clé publique du
destinataire pour déchiffrer le message. De déchiffrer un message, le destinataire utilisera la clé publique de
l’expéditeur avec sa propre clé privée.
Alors, les algorithmes asymétrique :

 Utilisent la cryptographie à clé publique,

 Le chiffrement et déchiffrement utilisent une clé différente,
 Utilisés dans le cas des certificats numériques,
Exemple : RSA

- Intégrité des données (avec échange de clés DH)

Le destinataire peut vérifier que les données ont été transmises via Internet sans modification ni
altération d’aucune sorte. S’il est important que les données soient chiffrées sur un réseau Public, il l’est
autant de vérifier que ces données n’ont pas été modifiées durant leur transfert.
Le protocole IP sec possède un mécanisme permettant de s’assurer que la partie chiffrée du paquet,
ou l’en-tête complet et la partie de données du paquet, n’ont pas été modifiées. Le protocole IP sec garanti
l’intégrité des données grâce à l’utilisation de somme de contrôle, ce qui constitue un simple contrôle par
redondance. Si une quelconque altération est détectée, le paquet est supprimé.
L’algorithme DH (Diffie-Hellman) n’est pas un mécanisme de chiffrement et n’est généralement pas
utilisé pour le chiffrement de données. Il s’agit en revanche d’une méthode d’échange sécurisé des clés
utilisées pour chiffrer des données. Ils permettent à deux parties d’établir une clé secrète partagée utilisée
par des algorithmes de chiffrement et de hachage.
Mis au point par Whitfield Diffie et Martin Hellman en 1976, le système DH fut le premier à utiliser
des clés cryptographiques publiques ou asymétriques Celui-ci spécifie une méthode d’échange de clé
publique qui permet à deux homologues d’établir une clé partagée qu’ils sont les seuls à connaitre, bien
qu’ils communiquent sur un canal non sécurisé. Comme pour tous les algorithmes cryptographiques,
l’échange de clés est basé sur une séquence mathématique d’étape.
- intégrité (avec les algorithmes de hachage)
L’intégrité et l’authentification du trafic VPN sont gérées par des algorithmes de hachage. Les
hachages assurent l’intégrité et l’authentification des données en empêchant aux personnes non autorisées
d’altérer les messages transmis. Un hachage, également appelé Message Digest, est un nombre généré à
partir d’une chaine de texte. Il est plus petit que le texte lui-même.
Les données de VPN sont transportées via l’Internet public. Comme l’illustre la figure ci-dessous,
ces données risquent d’être interceptées et modifiées. Pour se prémunir contre cette menace, les hôtes
peuvent ajouter un hachage au message. Si le hachage transmis correspond au hachage reçu, l’intégrité du
message a été préservée ; dans le cas contraire le message a été modifié, confère figure ci-dessous :

A ce niveau, les VPN utilisent un code d’authentification de message permettant de vérifier

l’intégrité et l’authenticité d’un message, sans l’utilisation de mécanismes supplémentaires.

Un code d’authentification du message basé sur le hachage (HMAC) est un mécanisme utilisant des
fonctions de hachage. Il existe deux algorithmes HMAC à savoir :

 MD5 : utilise une clé secrète partagée de 128 bits. Le message de longueur variable et la
clé secrète partagée de 128 bits sont combinés et soumis à l’algorithme de hachage
HMAC-MD5. Le hachage est ajouté au message original et transféré à l’extrémité distant.

 SHA : contrairement au MD5, il utilise un message de longueur variable et la clé secrète

partagée de 160 bits sont combinés et soumis à l’algorithme de hachage HMAC-SHA1.

- Protection anti-reprise

La protection anti-reprise est la capacité à détecter et à rejeter des paquets rediffusés, ce qui contribue
à empêche l’usurpation. Elle vérifie que chaque paquet est unique et qu’il n’a pas été dupliqué. Les paquets
Ipsec sont protégés en comparant le numéro de séquence des paquets reçus avec une fenêtre glissante sur
l’hôte de destination sur la passerelle de sécurité. Un paquet dont le numéro est situé avant la fenêtre
glissante est considéré comme étant en retard ou dupliqué ; ces paquets sont abandonnés.

- Authentification IP sec
Les VPN IP sec prennent en charge l’authentification. En cas de relations professionnelles établies
sur de longues distances, il est nécessaire de connaître l’identité de la personne qui est à l’autre extrémité du
téléphone, de l’e-mail ou du télécopieur. Il en est de même pour les réseaux privés virtuels. Le périphérique
situé à l’autre extrémité du tunnel VPN doit être authentifié avant que le chemin de communication ne
puisse être considéré comme étant sécurisé, comment le montre la figure ci-après

Il existe deux méthodes d’authentification des homologues :

 PSK (clés pré-partagées)
Clé secrète devant être partagée entre les deux parties par le biais d’un canal sécurisé avant son
utilisation. Les clés pré-partagées utilisées des algorithmes cryptographiques à clé symétrique.
 Signatures RSA

Des certificats numériques sont échangés pour l’authentification des homologues. Le périphérique
local calcule un hachage et le chiffre avec sa clé privé. Le hachage chiffré, ou signature numérique, est
attaché au message et transmis à l’extrémité distante. A l’extrémité distante, le hachage chiffré est déchiffré
à l’aide de la clé publique du périphérique local. Si le hachage déchiffré correspond au hachage recalculé, la
signature est authentique.
Le protocole IP sec utilise la technologie RSA (cryptographie à clé publique) pour l’authentification
dans le cadre d’IKE. La méthode de signature RSA utilise la configuration d’une signature numérique au
cours de laquelle chaque périphérique signe numériquement un ensemble de données, puis envoie celles-ci à
l’autre partie. Les signatures RSA utilisent une autorité de certification pour générer un certificat numérique
d’identité unique, qui est attribué à chaque homologue à des fins d’authentification.
En outre, le cadre du protocole IP sec décrit les messages de sécurisation des communications, mais
il se base sur des algorithmes existants. Nous noterons deux principaux protocoles IP sec à savoir :
 En-tête d’authentification : (AH) est le protocole approprié à utiliser
lorsque la confidentialité n’est pas requise ou autorisée. Il permet
l’authentification et l’intégrité des données des paquets IP qui sont transmis
entre deux systèmes

 Technologie ESP (Encapsulating Security Payload)

Protocole de sécurité permettant la confidentialité et l’authentification grâce au chiffrement

du paquet IP. Le chiffrement des paquets IP masque les données et l’identité de leur source
et de leur destination.
 CHAPITRE II:
PROCESSUS DE CONFIGURATION
D’UN VPN IPsec

Il s’agira dans ce chapitre de mettre en place une topologie et de décrire les différentes étapes de
configuration des routeurs de telle sorte qu’ils prennent en charge un VPN IP sec de site a site pour le trafic
issu de leurs LAN respectifs.

1- Objectifs :

 Activation des fonctions de sécurité

 Configuration des paramètres IP sec sur le routeur 1(R1)
 Configuration des paramètres IP sec sur le routeur 3(R3)
 Vérification du VPN IP sec
 2- Scenario :
Nous allons configurer deux routeurs de telle sorte qu’ils prennent en charge un VPN IP sec de site à
site pour le trafic issu de leur LAN respectifs. Le trafic VPN IP sec passera par un autre routeur qui n’a pas
connaissance du VPN. En cela, IP sec va permettre la transmission sécurisée d’informations sensibles sur
des réseaux non protégés tels qu’internet. IP sec agit en tant que couche réseau, qui protège et authentifie les
paquets IP entre les périphériques IP sec participants (homologue).

Partie 1 : Activation des fonctions de sécurité

Etape 1 : Activez le module securityk9.
La licence du pack technologique de sécurité doit être activée.
Remarque : le mot de passe du mode d’exécution utilisateur et celui du mode d’exécution privilégié sont
tous les deux (class).
a. Exécutez la commande show version en mode d’exécution utilisateur pour vérifier que la licence
du pack technologique de sécurité est activée.

b/si ce n’est pas le cas, activez le module secutityk9 pour le prochain démarrage du routeur, acceptez la
licence, enregistrez la configuration et redémarrez.

c/Après le redémarrage, exécutez à nouveau la commande show version afin de vérifier l’activation de la
licence du pack technologique de sécurité. Comme montre la figure ci-après.
d/Répétez les étapes 1a à 1c avec R3

Partie 2 : Configuration des paramètres IP sec sur R1

Etape 1 : Tester de connectivité
Envoyez une requête Ping de PC-A vers PC-C

Etape 2 : Identifiez le trafic intéressant sur R1

Configurez la liste de contrôle d’accès 110 afin d’identifier le trafic issu du LAN sur R1 vers le LAN
sur R3 comme étant le trafic intéressant. Ce trafic intéressant déclenchera le réseau privé virtuel IP sec à
implémenter, pour autant qu’il y ait du trafic entre les LAN de R1 et R3. Tout autre trafic provenant des
LAN ne sera pas chiffré.

Etape 3 : Configurez les propriétés ISKAMP de phase 1 sur R1

Configurez les propriétés 10 de la stratégie de chiffrement ISAKMP sur R1 avec la clé de

chiffrement partagée soutenance. Référez-vous au tableau ISAKMP de phase 1 pour connaitre les
paramètres spécifiques à configurer. Les valeurs par défaut ne doivent pas être configurées et par conséquent
seules les méthodes de chiffrement, d’échange de clés et DH doivent être configurées. Illustration ci-après
Etape 4 : configurez les propriétés ISAKMP de phase 2 sur R1
Créez le transform-set VPN-SET de matière à utiliser esp-3des et esp-sha-hmac. Créez ensuite la
carte de chiffrement VPN-MAP qui lie ensemble tous les paramètres de phase 2. Utilisez le numéro d’ordre
10 et identifiez-le comme étant une carte ipsec-isakmp.

Etape 5 : configurez la carte de chiffrement sur l’interface de sortie

Enfin, liez la carte de chiffrement VPN-MAP à l’interface Serial 0/0/0 de sortie.

Partie 3 : Configuration des paramètres IP sec sur R3

Etape 1 : configurez le routeur R3 de manière à prendre en charge un VPN de site à site avec R1.
Configurez maintenant les paramètres réciproques sur R3. Configurez la liste de contrôle d’accès 110
en identifiant le trafic issu du LAN sur R3 vers le LAN sur R1 comme étant le trafic intéressant.

Etape 2 : configurez les propriétés ISAKMP de phase 1 sur R3

 Configurez les propriétés 10 de la stratégie de chiffrement ISAKMP sur R3 avec la clé chiffrement
partagée Cisco.

Etape 3 : configurez les propriétés ISAKMP de phase 2 sur R1

Comme nous l’avons fait sur R1, créez le transform-set VPN-SET de manière à utiliser esp-3des et
esp-sha-hmac. Créez ensuite la carte de chiffrement VPN-MAP qui lie ensemble tous les paramètres de
phase 2. Utilisez le numéro d’ordre 10 et identifiez-le comme étant une carte ipsec-isakmp.

Etape 4 : configurez la carte de chiffrement sur l’interface de sortie.

Enfin, liez la carte de chiffrement VPN-MAP à l’interface Serial 0/0/1 de sortie.

Partie 4 : Vérification du VPN IP sec

Etape 1 : Vérifiez le tunnel avant le trafic intéressant.
Exécutez la commande show crypto ipsec sa sur R1. Notez que le nombre de paquets encapsulés,
chiffrés, décapsulés et déchiffrés est défini à 0.
Etape 2 : créez du trafic intéressant.
Envoyez une requête Ping de PC-C à PC-A
Etape 3 : Vérifiez le tunnel après le trafic intéressant.
Sur R1, ré exécutez la commande show crypto ipsec sa. Notons maintenant que le nombre de paquets
est supérieur à 0, ce qui indique que le tunnel VPN IP sec fonctionne.
Etape 4 : créez du trafic non intéressant.
Envoyez une requête Ping de PC-B vers PC-A

Etape 5 : vérification du tunnel.

Sur R1, ré exécutez la commande show crypto ipsec sa. Remarquons pour terminer que le nombre de
paquets n’a pas changé, ce qui prouve que le trafic qui n’est pas intéressant n’est pas chiffré.
 CHAPITRE III
CONFIGURATION D’UN VPN (GRE IPSEC)
STATIQUE : Cas D’ICES Sarl

Nous allons procéder de la manière suivante pour opérer une configuration d’un tunnel GRE sur IP
sec vers des bureaux distants. En effet, tous les réseaux sont configurés localement et ils n’ont besoin que du
tunnel et du chiffrement. D’abord établir les objectifs et ensuite La procédure à suivre :
Objectifs :
 Vérification de la connectivité du routeur
 Activation des fonctions de sécurité
 Configuration des paramètres IP sec
 Configuration de tunnels GRE sur IP sec
 Vérification de la connectivité

Partie 1 : Vérification de la connectivité du routeur

 Etape 1 : Envoie d’une requête Ping à R2 et R3 à partir de R1.
a / à partir de R1, envoyez une Ping à l’adresse IP de S 0/0/0 sur R2
b / à partir de R1, envoyez une requête Ping à l’adresse IP de S 0/0/0 sur R3
Etape 2 : Envoie d’une requête Ping au serveur 1 à partir de L2 et de PC3.
Etape 3 : Envoie d’une requête Ping à PC3 à partir de L2

Partie 2 : Activation des fonctions de sécurité

Etape 1 : Activation du module securityk9
a/ Exécution de la commande show version en mode d’exécution utilisateur ou en mode d’exécution
privilégié pour vérifier que la licence du pack technologique de sécurité est activée.

b/ Si ce n’est pas le cas, activez le module securityk9 pour le prochain démarrage du

routeur, acceptation de la licence, enregistrement de la configuration et redémarrage.
d/ Répétition des étapes 1a à 1c avec R2 et R3

Partie 3 : Configuration des paramètres IP sec

Etape 1 : Identification du trafic intéressant sur R1.
a/ Configuration de la liste de contrôle d’accès 102 afin d’identifier le trafic issu LAN sur R1 vers le LAN
sur R2 comme étant le trafic intéressant. Ce trafic intéressant déclenchera le réseau privé virtuel IP sec à
implémenter, pour autant qu’il y ait du trafic entre les LAN de R1 et de R2. Tout autre trafic provenant des
LAN ne sera pas chiffré.

b/ répétition de l’étape 1a pour configurer la liste de contrôle d’accès 103 en vue d’identifier le trafic sur le
LAN de R3 comme étant le trafic intéressant.

Etape 2 : Configuration des propriétés ISAKMP de phase 1 sur R1.

a/ Configuration des propriétés 102 de la stratégie de chiffrement ISAKMP sur R1 avec la clé de
chiffrement partagée Cisco. Les valeurs par défaut ne doivent pas être configurées et par conséquent seules
les méthodes de chiffrement, d’échange de clés et DH doivent être configurées.
b/ répétition de l’étape 2a afin de configurer la stratégie 103. Modifiez l’adressage IP, le cas échéant.

Etape 3 : Configuration des propriétés ISAKMP de phase 2 sur R1

a/ Créez le transform-set VPN-SET de manière à utiliser esp-aes et esp-sha-hmac. Créez ensuite la
carte de chiffrement VPN-MAP qui lie ensemble tous les paramètres de phase 2. Utilisation du numéro
d’ordre 10 et identifiez le comme étant une carte ipsec-isakmp.
b/ répétition de l’étape 3a afin de configurer R1_R3_Set et R1_R3_Map. Modifiiez l’adressage, le
cas échéant.

Etape 4 : Configuration des paramètres IP sec sur R2 et R3

Répétition les étapes 1 à 5 sur R2 et R3. Utilisez les mêmes listes de contrôle d’accès, paramètres et
noms de cartes que pour R1. Remarquez que chaque routeur ne nécessite qu’une seule connexion chiffrée à
R1. Il n’y a aucune connexion chiffrée entre R2 et R3.

Partie 4 : Configuration de tunnels GRE sur IP sec

Etape 1 : Configuration des interfaces de tunnel de R1
Etape 2 : Configuration de l’interface du tunnel 0 de R2 et R3.
a/ Répétition des étapes 1a-e avec R2. Veillez à modifier l’adressage IP, selon le cas.
b/ Répétition des étapes 1a-e avec R3.veillez à modifier l’adressage IP, selon le cas.

Etape 3 : Configuration d’une route pour le trafic IP privé

a/ Définir une route à partir de R1 vers les réseaux 172.16.0.0 et 172.16.4.0 en utilisant l’adresse de
tronçon suivant de l’interface de tunnel.
b/ Définir une route à partir de R2 et R3 vers le réseau 10.0.0.0 en utilisant l’adresse de tronçon
suivant de l’interface de tunnel.
Partie 5 : Vérification de la connectivité
Etape 1 : Envoie d’une requête Ping au serveur 1 à partir de L2 et de PC3.

Descriptions des commandes de tunnel GRE individuelles

NB : la fonctionnalité GRE n’offre toutefois aucun chiffrement ni autre mécanisme de sécurité. Par
conséquent, les données qui sont envoyées sur un tunnel GRE ne sont pas sécurisées. Si des communications
de données sécurisées sont nécessaires, un VPN IP sec doit être configurés.

CHAPITRE IV : ESSAI CRITIQUE DE LA SECURISATION D’UNE

CONNEXION SITE A SITE VIA (VPN) ET PROPOSITION
DE SOLUTION

Ici, il s’agira de diagnostiquer la sécurisation d’une connexion site a site via une solution de réseau
privé virtuel (VPN) a caractère sécurisée à travers : les forces et les faiblesses et d’apporter les améliorations
aux insuffisances trouvées.
 Généralement ce type de VPN est mis en place par l’interconnexion de deux éléments matériels
(routeurs ou pare-feu) situés à la frontière entre le réseau interne et le réseau publique de chaque site. Ce
sont ces matériels qui prennent en charge le cryptage, l’authentification et le routage des paquets. Les
avantages d’une telle solution sont les suivantes.

Section 1 : Avantages et inconvénients d’une solution VPN site a site

Parmi les avantages procurés par cette solution nous pouvons citer :
 Réductions des coûts :
La bande passante de connexion à distance peut être augmentée, tout en diminuant également les
coûteuses liaisons WAN et les bancs modem
 Evolutivité :
Il est aisé d’ajouter des utilisateurs supplémentaires au réseau
 Compatibilité avec la technologie haut débit
 Sécurité :
Les protocoles de chiffrement et d’authentification avancée sont utilisés pour la protection des
données et accès à celle-ci.
 Une grande facilité pour le contrôle de trafic autorisé
 Aucun impact sur les performances des poste puisque ceux-ci ne font pas de cryptage
Mais cette solution présente aussi quelques inconvénients :
 L’établissement des VPN nécessite que les extrémités soient bien identifiées par une adresse IP
publique fixe, d’où la configuration statique utilisée pour la connexion au réseau
 Aucune protection de données entre les postes et les firewalls puisque le tunnel n’est établi qu’entre
les routeurs
 Solution défavorable pour les télétravailleurs
 Routage statique implémenté

Section 2 : suggestion pour une amélioration de la sécurité d’une connexion

Réseau à l’ICES Sarl
Les suggestions ci-dessous citées n’ont nullement l’intention d’être une panacée mais ont pour tout de
contribuer à l’amélioration de la sécurité d’une connexion réseau à l’ICES Sarl.

 Utilisation du système RADIUS, protocole client/serveur permettant de centraliser des données,

d’authentification et de définir les accès d’utilisation au réseau

 Adoption d’une solution favorable aux télétravailleurs et la connexion des équipements embraqués à
travers l’implémentation d’une solution VPN d’accès distant
  Opérer une protection des données entre postes et serveurs à travers l’installation d’antivirus, des
logiciels anti-espions

 L’ajout d’autre l’élément d’architecture que sont : les DMZ (Zone de Démilitarisation), les pare-
feu, l’IDS (système de détection d’intrusion) etc…..

 Implémentation du routage dynamique

 Configuration du NAP (Network Access Protection) qui permettra de vérifier l’état de santé des
postes qui se connectent au réseau privé.

 Installation de la contrainte de mise en conformité par DHCP ; cette contrainte permet l’attribution
dynamique des adresses IP aux postes ou équipements embarqués qui se connectent au réseau privé
d’entreprise, si et seulement si ceux-ci répondent aux exigences établies par l’administrateur du dit
réseau.

CONFIGURATION ET TESTS

Ici, on entamera l’exécution de la configuration VPN du chapitre V et IV mettant en exergue le

réseau de l’entreprise avec des tests qui démontreront son bon fonctionnement et déploiera l’architecture
permettant de relier les différents sites de l’entreprise.
L’outil de réalisation sera Packet Tracer  qui est un simulateur de réseau graphique qui permet de
concevoir facilement les topologies de réseau, exécuter des simulations sur eux.
 Configuration d’un tunnel GRE sur IP sec sous Packet Tracer (1)

L’architecture ci-dessus relie trois sites représentés par des routeurs situés dans différents zone de la
ville disposant chacun d’un réseau local que nous avons défini une adresse de classe B et A respectivement
(172.16.0.0/22, 172.16.4.0/22 et 10.0.0.0/8).
 adressage d’interface des routeurs
Après attribution des différentes adresses IP aux routeurs conformément à la disposition du tableau
d’adressage (voir annexe 4).
Figure 1 : attribution adresse IP au routeur (R1) du site 1
Figure 2 : attribution adresse au routeur (R2) site 2

Les interfaces (G0/0 et S0/0/0) des routeurs R1, R2 ci-dessus et R3 ci-dessous respectivement d’adresse
IP et de masque de sous réseau :
- G0/0 : 10.0.0.1/8 (255.0.0.0) R1
- S0/0/0 : 209.165.118.2/30 (255.255.255.252)

- G0/0 : 172.16.0.1/22 (255.255.252.0) R2

- S0/0/0 : 64.100.13.2 /30 (255.255.255.252)

- G0/0 : 172.16.4.1/22 (255.255.252.0) R3

- S0/0/0 : 64.102.46.2/30 (255.255.255.252)

Sont activées à travers la commande no shutdown

Figure 3 : attribution adresse IP au routeur (R3) site 3

- teste de connectivité
Nous allons tester la connectivité des différents équipements réseaux et finaux question de voir s’ils
parviennent à communiquer. Pour ce faire nous utiliserons la commande PING
- Envoi d’une requête Ping à R2 et R3 à partir de R1
- Envoi d’une requête Ping au serveur à partir de L2 et de PC3
- Envoi d’une requête Ping à PC3 à partir de L2
Figure 4 : test de connectivité R2 et R3 à partir de R1

Figure 5 : test connectivité serveur à partir de L2

Ici, la communication n’est pas totalement établie, le Ping statique vers le serveur d’adresse IP
(10.0.0.2) n’aboutit pas, car nous observons que 04 paquets sont envoyés, aucun n’est reçu d’où la valeur 0,
par la suite nous avons la perte de la totalité des paquets 04.

Idem pour la figure ci-dessous

Figure 6 : test connectivité L2 à partir de PC3

Malgré l’attribution des adresses IP aux différentes interfaces des équipements réseaux et finaux,
nous avons observés que les requêtes opérées les équipements réseaux et finaux à travers une commande
appropriée n’aboutissent pas. Nous recommencerons le test après avoir configurés le tunnel GRE sur IP sec.

 activation des fonctions de sécurité

Ceci sera fait par le biais de deux commandes à savoir 
- Show version
- License boot module c (valeur) technology-package securityk9
Respectivement l’une pour vérifier que le pack technologique de sécurité est activé et l’autre pour
l’activé.
Figure 7 : vérification de l’activation du pack technologique de sécurité
- Pack sécurité inactif

Figure 8 : procédé d’activation

Figure 9 : activation du pack technologique de sécurité

 configuration des paramètres Ipsec

- Ceci passera par la création des access-lists qui serviront à définir le trafic à trier par le tunnel VPN
Figure 10 : identification des trafics intéressant sur R1
- Configuration des propriétés ISAKMP de phase 1 et 2 sur R1
La création Policy et Map mettent en exergue une stratégie de gestion de négociation des clés et
l’établissement de la liaison VPN ; pour ceci il faut prendre en considération les éléments suivants :
- Policy : qui définit la politique de connexion pour les SA (Security Association) de ISAKMP. Un
numéro indiquant la priorité de l’utilisation lui est attribué à la fin de la commande.
- Encryption : l’algorithme de chiffrement utilisé aes.
- Pre-share : utilisation d’une clé pré-partagée comme méthode d’authentification.
- Sha : l’algorithme de hachage.
- Groupe 5 : l’algorithme d’échange de clé Diffie-Hellman est utilisé, par défaut c’est le groupe 1 qui
est utilisé (768 bits)

Figure 11 : configuration des paramètres IP sec

Figure 12 : carte de chiffrement sur interface de sortie

- configuration de tunnels GRE sur IP sec

Figure 13 : activation du tunnel 0 sur R1
NB : les parties 2 à 4 seront répercutées sur les routeurs du site 1 et 2. Ceux-ci en modifiant l’adressage IP.
- Vérification de l’activation de l’interface du tunnel
A l’aide de la commande « show interface tunnel 0», nous allons pouvoir tester la création du tunnel 0,
cette commande vérifie l’état d’un tunnel GRE.

Figure 14 : vérification de la création du tunnel

- Vérification de la connectivité
La connectivité est effective.

Configuration d’un VPN sécurisé (2)

L’architecture ci-dessus relie trois sites représentés par des routeurs situés dans différents zone de la
ville disposant chacun d’un réseau local que nous avons défini une adresse de classe C et A respectivement
(192.168.1.0/24, 192.168.1.0/24 ,192.168.2.0/24, 10.1.1.0/30 et 10.2.2.0/30).
 adressage d’interface des routeurs
Après attribution des différentes adresses IP aux routeurs conformément à la disposition du tableau
d’adressage (voir annexe 5)
Figure 15 : attribution d’adresse IP du routeur R1 (2)

Cette configuration sera répercuté sur les deux autres routeurs R2 et R3, les commandes suivantes : interface
(mentionné port virtuel), IP address + le subnet mask, no shutdown (pour activer l’interface) seront tapés
en mode configuration dans l’interface en ligne de commande du routeur.
 Activation de la licence du pack technologique de sécurité à travers la commande ci-
après

Figure 16 : activation du module securityk9

 Utilisation de la commande show version pour voir le résultat de la commande précédente.

Figure 17 : activation du module de sécurité

L’on constate que la fonction de sécurité est activée. Les commandes issues de la figure 16 doivent être
implémentées sur les autres routeurs R2 et R3.
 Configuration de la liste de contrôle d'accès 110 afin d'identifier le trafic issu du LAN
sur R1 vers le LAN sur R3 comme étant le trafic intéressant

Figure 18 : trafic intéressant

 Configuration les propriétés ISAKMP de phase 1 et 2 sur R1.

Figure 19 : propriétés ISAKMP de phase 1 sur R1

 Création du transform-set VPN-SET de manière à utiliser esp-3des et esp-sha-hmac.
ensuite de la carte de Chiffrement VPN-MAP qui lie ensemble tous les

 paramètres de phase 2. Utilisation du numéro d'ordre 10 et de l’identifier comme étant

une carte ipsec-isakmp.

Figure 20 : propriétés ISAKMP de phase 2 sur R1

 Enfin, liez la carte de chiffrement VPN-MAP à l'interface Serial 0/0/1 de sortie.

Figure 21 : Configuration la carte de chiffrement sur l'interface de sortie.

 Vérification du VPN IP sec à travers Exécution de la commande « show crypto ipsec
sa » sur R1
Figure 21 : vérification du VPN IP sec

Notez que le nombre de paquets encapsulés, chiffrés, décapsulés et déchiffrés est défini à 0.

 Vérification du tunnel, après création du trafic intéressant à partir de la requête PING

de PC-C à PC-A, Sur R1, réexécution de la commande show crypto ipsec sa.
Figure 22 : vérification du tunnel après trafic intéressant
Maintenant que le nombre de paquets est supérieur à 0, ce qui indique que le tunnel VPN IP sec
fonctionne.
Nous avons configuré une liaison VPN site à site sécurisé grâce au protocole IP sec , le chiffrement
des données avec AES, tunneling et les clés pré-partagées entre les différents des topologies mises en
exergues plus haut ; après avoir bien ces topologies du réseau et le routage a trafic privé.
Cette solution est réalisée sous l’émulateur PACKET TRACER qui permet l’utilisation des
équipements réseaux réel (routeurs).

CONCLUSION GENERALE
 Lors de la transmission et la réception de données entre des différentes entités, sois au sein d’une
même entreprise ou avec l’extérieur, garantir la transparence et le concept de confidentialités devient un
enjeu majeur. Dans notre travail, nous avons abordés évoqué la notion de VPN et ces fonctionnalités, ainsi
que le protocole de sécurité le plus utilisé, en l’occurrence IP sec, ainsi que l’utilisation d’un tunneling
qu’on a implémenté plus haut.
Ce travail a fait l’objet d’une expérience intéressant, et a eu énormément d’apport sur nos
connaissance et nos compétences en termes de configuration dans un environnement PACKET TRACER.
De plus nous avons enrichi nos connaissances déjà requise dans le domaine de la sécurité informatique
notamment la sécurité d’un réseau d’entreprise grâce à l’implémentation d’un réseau privé virtuel (VPN).
Par contrainte de temps nous avons seulement implémenté le protocole IPSEC (site_to_site). En
termes de perspective, nous envisageons d’implémenter le protocole L2TP/IPSEC pour l’accès à distance
que nous souhaitons réaliser. Nous visons aussi l’utilisation de système RADIUS qui est un protocole
client /serveur permettant de centraliser des données d’authentification et de définir les accès d’utilisation
au réseau.
Cependant, il faudrait remarquer qu’aucun mode de sécurisation informatique notamment des accès
réseau n’est exempt d’insuffisance surtout dans un environnement instable , en évolution perpétuel et de
haute concurrence. Ce n’est que la remise en cause permanente des méthodes qui permet de se rapprocher de
l’idéal qu’est une bonne protection réseau.

BIBLIOGRAPHIE

Ouvrage:
J.P ARCHIER, « Les VPN, fonctionnement et mise en œuvre », éditions eni, 2011 ;
A.VAUCAMPS, « Sécurité des routeurs et contrôle du trafic réseau », éditions eni, 2010 ;

Joseph Gehring, « Software Projects with Computer Networks », CNT 4104, Florida Gulf Coast University,
Fall 2011 ;
A.ROUX, D.SEBA, « Cisco, Maitrisez la configuration des routeurs et des commutateurs », éditions eni,
date de parution 19/12/2005 EAN : 9782746030630503

Sites Web :
http://WWW.cisco.com /c/en/us/products/switches/index.html. 25 /06/2019
http://WWW.cisco.com/assets/sol/sb/isa5oo_emulator/help/guide/ad1681599.html. 15/07/2019

LISTE DES ANNEXES

ANNEXE 1 : PLAN DE LOCALISATION

ANNEXE 2 : ORGANIGRAMME DE L’ENTREPRISE
ANNEXE 3 : ORGANIGRAMME DU SERVICE
ANNEXE 4 : TABLE D’ADRESSAGE (configuration VPN GRE sur IP sec)
ANNEXE 5 : TABLE D’ADRESSAGE, PARAMETRE DE STRATEGIE ISAKMP PHASE 1ET 2
(Configuration VPN IP sec)

Plan de localisation
Vers MESSASI
(Annexe 1)

Assurance futurix

ICES Sarl
 En venant d’Elig-dzao

En venant de BASTOS

Collège- Advantis

Venant de nlongkak

Pharmacie

DIRECTION
GENERALE

DIRECTION DES PROJETS

 ORGANIGRAMME D’ICES SARL
(annexe 2)

DIRECTION SYSTEME
D’INFORMATION

DEPARTEMENT
DEPARTEMENT SECURITE
INFRASTRUCTURE
ORGANIGRAMME DU SERVICE
(annexe 3)
Table d’adressage VPN GRE sur IP sec
(Annexe 4)
Table d’adressage VPN IP sec
(annexe 5)
(Suite annexe 5)

TABLE DES
Sommaire..........................................................................................................................................................ii
DEDIDCACE...................................................................................................................................................iii
REMERCIEMENTS......................................................................................................................................iv
AVANT- PROPOS...........................................................................................................................................v
RESUME..........................................................................................................................................................vi
ABSTRACT....................................................................................................................................................vii
ABREVIATIONS..........................................................................................................................................viii
FICHE SIGNALETIQUE D’ICES SARL....................................................................................................ix
INTRODUCTION GENERALE....................................................................................................................1
PREMIERE PARTIE : PRESENTATION GENERALE D’ICES SARL ET DEROULEMENT DU STAGE
............................................................................................................................................................................2
CHAPITRE I : PRESENTATION GENERALE D’ICES SARL......................................................................3
SECTION 1 : ICES SARL dans son environnement interne......................................................................3
1- Historique.......................................................................................................................................................3
2 - Présentation des activités de l’entreprise et des ressources disponibles..............................................4
a. Présentation des activités..............................................................................................................................4
b. Les moyens disponibles à l’ICES....................................................................................................................5
SECTION 2 : L’ICES Sarl dans son environnement externe......................................................................5
1- L’environnement de l’entreprise..................................................................................................................5
CHAPITRE II : DEROULEMENT DU STAGE...............................................................................................7
SECTION 1 : la prise de contact et les activités au sein de l’entreprise.....................................................7
1- La prise de contact...........................................................................................................................................7
2- Les activités menées........................................................................................................................................7
DEUXIEME PARTIE : DE l’ETUDE D’UNE SECURISATION DE LA CONNEXION SITE A SITE A
SA MISE EN PLACE……..............................................................................................................................10
CHAPITRE I : NOTION DE BASE DES VPN (Virtual private network).....................................................11
SECTION 1 : présentation des VPN site à site et a accès distance............................................................11
1. Avantages des réseaux privés virtuel.........................................................................................................12
2. Types de réseau privé virtuel......................................................................................................................13
SECTION 2 : Présentation du protocole GRE de site à site et IP sec.......................................................15
I. Notions de base de l’encapsulation GRE...................................................................................................15
1- Caractéristiques de GRE...........................................................................................................................16
II. présentation d’IP sec...............................................................................................................................16
 1- Sécurité de protocole Internet....................................................................................................................16
2- Caractéristiques du protocole IP sec..........................................................................................................17
CHAPITRE II: PROCESSUS DE CONFIGURATION D’UN VPN IPsec....................................................25
1- Objectifs :.....................................................................................................................................................25
2- Scenario :......................................................................................................................................................25
CHAPITRE III : CONFIGURATION D’UN VPN (GRE IPSEC) STATIQUE : Cas D’ICES Sarl...............32
CHAPITRE IV : ESSAI CRITIQUE DE LA SECURISATION D’UNE CONNEXION SITE A SITE VIA
(VPN) ET PROPOSITION DE SOLUTION...................................................................................................37
Section 1 : Avantages et inconvénients d’une solution VPN site a site......................................................37
Section 2 : suggestion pour une amélioration de la sécurité d’une connexion réseau.............................38
CONCLUSION GENERALE.......................................................................................................................54
BIBLIOGRAPHIE.........................................................................................................................................55
LISTE DES ANNEXES.................................................................................................................................56
TABLE DES MATIERES...............................................................................................................................63