Chapitre 1 : PRESENTATION DU PROJET

i. Mise en place d'un réseau sans fil sécurisé pour les invitées et les employées

Un réseau sans fil est, comme son nom l'indique, un réseau dans lequel au moins deux
terminaux (ordinateur portable, PDA, etc.) équipé d'un adaptateur wifi peuvent communiquer
sans liaison filaire.
Grâce aux réseaux sans fil, un utilisateur a la possibilité de rester connecté tout en se
déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle
on entend parfois parler de "mobilité".
Les réseaux sans fil permettent de relier très facilement des équipements distants d'une
dizaine de mètres à quelques kilomètres. De plus l'installation de tels réseaux ne demande pas
de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux
filaires (creusement de tranchées pour acheminer les câbles, équipements des bâtiments en
câblage, goulottes et connecteurs), ce qui a valu un développement rapide de ce type de
technologies.
En contrepartie se pose le problème de la réglementation relative aux transmissions
radio-électriques. En effet, les transmissions radio-électriques servent pour un grand nombre
d'applications (militaires, scientifiques, amateurs, ...), mais sont sensibles aux interférences,
c'est la raison pour laquelle une réglementation est nécessaire dans chaque pays afin de définir
les plages de fréquence et les puissances auxquelles il est possible d'émettre pour chaque
catégorie d'utilisation.
De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique
restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en
clair (c'est le cas par défaut). Il est donc nécessaire de mettre en place les dispositions
nécessaires de telle manière à assurer une confidentialité des données circulant sur les réseaux
sans fil.
Actuellement, ces réseaux (sans fil) sont devenus une des piliers indispensable de
chaque entreprise compris (les administrations publiques, les écoles, etc.). Dû ses
caractéristiques. Ainsi que la sécurité de ses réseaux est maintenant réalisable grâce aux outils
permettant une sécurité sans fil très fiable (chiffrement des données échangé, filtrage des
paquets, etc.).
Et d’après une étude faite par Cisco IT Case Study l’implémentation d’un réseau sans
fil rend Les employés gagnent en moyenne près de 90 minutes par jour de temps productif,
soit l’équivalent de plus de 24 000 dollars de bénéfices de productivité par utilisateur et par
an.
 ii. Problématiques

Le réseau de l’école supérieure de technologie Salé (ESTS), comme n'importe quel

autre réseau n'est pas sans faille en termes de sécurité car ses utilisateurs sont de diverses
origines.
Cela veut dire qu’il n’existe pas une séparation du réseau des employés qui ont une
autorisation d’accéder à certain service au sein de notre réseau et les invités qui ont juste le
droit d’accéder à Internet.
iii. Objectifs

Notre objectif est la mise en place d'un réseau sans fil sécurisé.
Ce réseau serait séparé en deux réseaux virtuelles l'un pour les invités et l'autre pour
les employés. Le but de cette séparation est de garantir un premier niveau de sécurité, c'est
d'éviter les interférences entre les invités et les employés car ces derniers ont des autorités
plus élevés, en contrepartie les invités vont avoir droit à accéder à l'internet.
La prochaine étape est la sécurisation de chaque réseau virtuel :
Commençant par la sécurisation du réseau des employés grâce à un serveur
d'authentification permettant d'identifier les utilisateurs sur le réseau et de définir leurs droits
d'accès. Ce qui permet un contrôle d'accès de chaque utilisateur au sein du même réseau à
travers l'attribution du droit d'accès grâce au serveur d'authentification.
Après l'implémentation d'un portail captif au sein du réseau des invités ce qui permet
de créer une passerelle entre le réseau interne et le réseau Internet. Ainsi que le portail sera
doté de fonctionnalités d'authentification qui permettent d'identifier les usagers du service à
des fins de traçabilité.
Et comme l'accès à internet est partagé entre les deux réseaux, Alors l'implémentation
d'un pare-feu est indispensable. Ce qui crée un système de filtrage d'adresses internet
permettant d'éviter l'utilisation des sites indésirables. Un filtrage applicatif sera également mis
en place afin de limiter l'utilisation de certains logiciels.
N'oublions pas la supervision réseau, qui porte sur la surveillance de manière continue
de la disponibilité des services en ligne, du fonctionnement, des débits, de la sécurité mais
également du contrôle des flux. Ainsi que la supervision des applications permettant de
connaître la disponibilité des machines en termes de services rendus en testant les applications
hébergées par les serveurs.
 Chapitre 2 : Etude technique
Dans cette partie Nous allons étudier l’architecture réseau proposée par les encadrants,
en proposant les meilleures solutions selon nos besoins.
Et à travers une étude de marché, nous allons proposer des équipements convenables
et les comparer. Enfin nous allons choisir l’équipement idéal pour remplacer l’existant. La
figure ci-dessous représente l’architecture réseau.

i. Etude de l’architecture réseau

L’architecture globale du réseau (Figure 1)

Comme il est indiqué dans Figure 1 notre réseau va être séparé en deux réseaux
virtuels VLAN 10 pour les employées et VLAN 20 pour les invitées. Chaque VLAN contient
une point d’accès afin d’étendre notre réseau filaire en un réseau sans fil WLAN.
Pour le VLAN 10 (les employées) : on a un serveur DHCP afin d’attribuer à chaque
machine qui vient à se connecter les informations nécessaire pour qu’il puisse joigne le
réseau. Ainsi qu’on a un serveur d’authentification avec une base de données MYSQL pour
qu’on puisse authentifier les utilisateurs de notre réseau. Et un serveur de supervision pour
une surveillance continue de la disponibilité du réseau.
Pour le VLAN 20 (les invitées) : on a un Portail captif + firewall pour qu’on puisse
contrôler l’accès à internet.
 Les deux VLANs sont créé grâce à un switch manageable. Mais aussi un routeur pour
le routage vers le réseau commun entre VLAN 10 et 20 qui est internet. Cette accès et bien
contrôler par un firewall matériel qui existe entre le routeur de notre LANs et le point d’accès
3G ‘qui est pour accès à internet’.
ii. Etude comparative des équipements

a. Commutateur
Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs
segments (câbles ou fibres) dans un réseau informatique et qui permet de créer des circuits
virtuels. Et qui a comme rôle principal l’analyse des trames arrivant sur ses ports d'entrée et le
filtrage des données afin de les aiguiller uniquement sur les ports adéquats (on parle de
commutation ou de réseaux commutés). C’est-à-dire qu'il s'agit d'un élément actif agissant
au niveau 2 du modèle OSI.

a. Comment choisir un commutateur ?

La différence s'explique par des performances et des fonctionnalités plus ou moins

élevées.
Par exemple, pour une utilisation domestique (mise en réseau de trois pc et d'une
imprimante) un commutateur 5 ports non manageable suffit. Par contre, s'il s'agit de connecter
100 téléphones IP et 200 pc en réseau, on choisira un switch manageable avec des
fonctionnalités de vlan, qos, ... et un niveau de performance adapté au besoin.

b. Quels éléments prendre en compte dans le choix d'un switch ?

Le premier critère à prendre en compte est bien évidemment le nombre de poste.

C’est principalement le nombre de ports qui va déterminer le prix du Switch. Il est parfois
difficile de prévoir l’avenir les prix peuvent rapidement s’envoler. Sachez qu’il est très
d’augmenter le nombre de ports tout simplement en chaînant plusieurs Switch. Ce n’est pas
très élégant mais ça fonctionne très bien et c’est parfaitement transparent.
Le second est la vitesse du réseau :
La vitesse requise par votre switch dépendra de la typologie de votre réseau
informatique.
- L'Ethernet : c'est le protocole "de base" permettant de se connecter à Internet. Sa
vitesse peut aller jusqu'à 10Mbit/s.
- Le Fast Ethernet : évolution de l’Ethernet, le fast Ethernet permet des transferts de
données allant jusqu'à 100 Mbits/s.
- Le Gigabit Ethernet : le Gigabit permet lui un taux de transfert de 1000 Mégabits par
seconde.
 Utilisation Vitesse conseillée
Usage internet / intranet, mail, conversation 10 Mbits
instantané
Transfert de fichier léger (1-100 Mo), 100 Mbits
streaming
Plusieurs PC et serveurs, transfert de fichier 1 Gbits et plus
lourd

Le troisième critère est votre besoin d’administrer votre réseau. Certains Switch
permettent de surveiller le trafic et ajuster des priorités.
Il existe 2 types de switch : les switch non manageables et les switch manageables.
Pour relier quelques ordinateurs entre eux, un switch non vite manageable suffira amplement.
Passé 30 à 40 ordinateurs, la gestion "manuelle" peut vite devenir chronophage.
L'administration par switch manageable se révèle alors indispensable. Vous pourrez surveiller
votre réseau, effectuer des statistiques, mais aussi gérer les priorités au niveau trafic. Le
Switch manageable est programmable à distance. Vous pourrez ainsi définir des autorisations
ou des restrictions d'accès à des machines faisant partie d'un sous-réseau local ou VLAN (voir
plus loin : technologie VLAN).

c. Connectiques switch et fonctions avancées

Le stack
Le stack est une connectique permettant à un ensemble de Switchs
interconnectés entre eux en "cascade" d'être reconnus comme une seule et même
machine.
Le module SFP ou ports GBIC
Le module SFP ou GBIC est un module permettant de convertir le signal d'une
fibre optique en un signal Ethernet gigabit. La fibre optique se généralisant dans les
immeubles de bureau, cette conversion est de plus en plus utile.
Le POE, ou comment remplacer une prise de courant par une prise réseau !
Le POE ou Power Over Internet permet d'alimenter en courant un appareil
électrique relié au switch par un câble réseau. Le POE utilise pour ce faire deux fils
inexploités par le câble et y fait passer une tension de 48 V.
Autre avantage de cette technologie, un seul onduleur situé à la source du POE
suffira à protéger l'ensemble des appareils alimentés par cette source de courant.
 Le VLAN : Virtual LAN
Le VLAN ou "réseau virtuel" est un ensemble de machines gérées de manière
logique.
Cette "logique" est définie par des critères administrateur (adresse IP, adresse
MAC, ou autre protocole). L'administrateur peut autoriser ou restreindre la
communication entre certains groupes d'utilisateurs connectés au même switch.
La technologie VLAN permet ainsi d'accéder à un stade supérieur en terme de
sécurité des données.
Enfin, prenez en compte la marque. Globalement toutes les marques proposent des
produits de qualité. Les ténors du marché que sont TP-Link, Netgear, Linksys… proposent
des produits les plus innovants à des prix corrects.

b. Routeur

Un routeur est un équipement d'interconnexion de réseaux informatiques permettant

d'assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le chemin qu'un
paquet de données va emprunter.
Les routeurs vont plus loin que les Switch :
Tout d’abord, ils peuvent jouer le rôle de serveur DHCP (Dynamic Host Configuration
Protocol). C’est le système qui assigne une adresse IP à chaque appareil connecté sur le
réseau.
Le routeur intègre un système NAT (Network Address Translator) qui permet
d’assigner une liste d’adresse IP sur le réseau local (LAN). C’est grâce au NAT par exemple
que vous pourrez assigner une adresse à votre serveur domotique pour qu’il ne change plus
d’adresse lors d’un redémarrage.
Enfin il intègre un Firewall pour protéger le LAN

c. Routeur sans fil

Le principe d'un routeur sans fil est le même que celui d'un routeur classique, si ce
n'est qu'il permet à des dispositifs sans-fil (stations Wifi par exemple) de se connecter aux
réseaux auxquels le routeur est connecté par des liaisons filaires (généralement Ethernet).
 a. Comment choisir un Routeur sans fil

Choisir la bonne norme réseau

Evoquons maintenant les caractéristiques et fonctionnalités qui semblent absolument
nécessaires dans un routeur sans fil. Et là les normes de connectivité Wi-Fi sont importantes.
Les normes 802.11g (débit max. 54 Mbit/s, portée intérieure ~25 m, portée extérieure ~75 m),
802.11n (débit max. 450 Mbit/s, portée intérieure ~50 m, portée extérieure ~125 m), et
802.11ac (débit max. 1300 Mbit/s, portée intérieure ~20 m, portée extérieure ~50 m) par
exemple définissent le débit sans fil théorique maximum proposé par les routeurs sans fil,
mais aussi leur portée.
Le choix de la norme, au-delà du prix du matériel, va donc définir les applications qui
transiteront par le réseau sans fil. Streamer de la vidéo tout en effectuant un backup de
données avec du 802.11g risque par exemple d'être compliqué.

La sécurité des données sur les réseaux sans fil

N'importe quel routeur que nous achetons doit embarquer au moins la norme WPA2
(Wi-Fi Protected Access Protocol). Mais la conséquence n'est que tous les appareils qui se
connectent à notre réseau doivent également supporter cette norme de sécurité WPA2 pour
fonctionner. La norme WPA peut faire l'affaire, mais elle n'est pas idéale. Evitons la norme
WEP, facilement cassées par des outils que tout un chacun peut télécharger gratuitement. Au-
delà, n'oublions pas que notre réseau est aussi sécurisé que l'appareil le moins sécurisé qui y
est connecté.

De combien de bandes avons-nous besoin ?

Pendant des années, les fabricants ont vendu des routeurs dual-band, mais désormais
ce sont les routeurs tri-bande qui ont la cote. Bi-bande (ou dual band) signifie que le routeur
est équipé de deux émetteurs radio, une qui fonctionne sur une bande de fréquences du 2,4
GHz, et l'autre sur 5,0 GHz. Cela permet de mettre en place deux réseaux sans fil distincts,
pour accueillir plus de monde par exemple. Les routeurs tri-bande comprennent une deuxième
bande de 5,0 GHz. Bien pratique entreprise pour améliorer encore la disponibilité du réseau.
Sachez cependant lire les petits caractères des notices. Certains routeurs bi-bande ne
peuvent faire fonctionner qu'une fréquence à la fois.

La fonctionnalité Smart Wireless Management

L'un des défis de la gestion du réseau sans fil est la question des interférences.
Certaines solutions utilisent des processus dits « intelligents » qui identifient les appareils et
les zones mortes ou moins couvertes. Ils ciblent alors ces appareils pour leur garantir une
connexion. De quoi améliorer la couverture de votre réseau sans fil sans passer par des
amplificateurs de signal ou multiplier les points d'accès sans fil.
 Chapitre 3 : Les serveurs d’authentification
L’authentification est une procédure qui consiste, pour un réseau de communication, à
vérifier l’identité d’une entité (personne, groupe, ordinateur…), afin d’autoriser l’accès de
cette dernière à des ressources (systèmes, réseaux, applications…). L’authentification, dans
son sens technologique, permet donc de valider l’authenticité de l’entité en question. Alors
que l’identification revient simplement à soumettre une identité que l’authentification est à
même de prouver.
Au niveau d’un réseau sécurisé, un utilisateur non-identifié ne doit pas pouvoir se
connecter ; on doit alors utiliser un protocole d’authentification pour lui vérifier l’identité des
entités autorisées à utiliser les ressources protégées. Sécuriser le système d’information est de
plus en plus difficile, surtout à l’heure où le nombre d’applications et le degré d’ouverture
vers l’extérieur croissent. Définir les entités autorisées à accéder au système d’information
constitue l’une des bases de la sécurité. Une telle procédure, dite contrôle d’accès, est
étroitement liée à l’authentification dans la mesure où l’identité des entités autorisées doit être
vérifiée afin de faire face aux usurpateurs. L’authentification englobe souvent des concepts et
des approches différentes. Il y a plusieurs moyens d’authentification, qui sont généralement
regroupés en trois grandes catégories :
 Ce que l’on connaît : un mot de passe, un code PIN …
 Ce que l’on a : une carte à puce, un certificat …
 Ce que l’on est : la biométrie.
L’authentification par mot de passe est utilisée en grande majorité dans les systèmes
sécurisés, car elle est la plus simple à mettre en place. Nous verrons néanmoins les autres
possibilités d’authentification et les avantages. Sachant que les services définissent l’ensemble
des opérations accessibles par des protocoles, les services d’authentifications regroupent donc
l’ensemble des opérations pour s’authentifier, quel que soit le protocole et quelle que soit la
couche OSI.
I. Fonctionnement général du serveur d’authentification 

Ce protocole répond au modèle AAA. Ces trois initiales résument en quelques mots les
fonctions de ce protocole:
 Authentification : Ce processus permet de garantir que la personne qui essaye
d’accéder à Internet possède un compte valide. Le mot de passe va être comparé et
validé en fonction des entrées de la base de données.
 Autorisation : Processus qui va permettre de définir les services réseau dont les
utilisateurs ont le droit d’accès. Par exemple, la Croix-Rouge veut autoriser les
privilèges administrateur à certain groupe de l’Active Directory ou alors spécifier une
plage d’adresse IP pour autoriser les clients Radius.
 Accounting : ou Comptabilisation : Processus qui va permettre à celui qui gère le
serveur Radius d’avoir un compte rendu des connexions faites sur le réseau, on parle
souvent de «logs» les fichiers contenant ces informations.
 II. Avantages d'utilisation du serveur d’authentification 

 Une implication minime pour les utilisateurs

Une fois le certificat installé aucune autre action n'est nécessaire. Lorsqu'un utilisateur
tente de se connecter ou d'accéder à un réseau ou à une application, il doit sélectionner son
certificat dans une liste donnée.
Ce qui signifie :
 Processus d'intégration et de formation minimal
 Nombre réduit de demandes d'assistance technique

 Aucun équipement supplémentaire nécessaire

A l'inverse des autres solutions, y compris les mots de passe uniques et la biométrie,
aucun équipement supplémentaire n'est nécessaire pour utiliser un certificat numérique.
Le certificat est conservé sur l'ordinateur de l'utilisateur, il n'y a donc aucun risque d'oubli
ou de perte du jeton d'authentification indispensable pour la création d'un mot de passe
unique. Les certificats numériques peuvent être exportés sur d'autres appareils
Ce qui signifie :
 Aucun jeton d'authentification à distribuer ou gérer
 Aucun plan de secours à mettre en place si oubli ou perte du jeton
Les utilisateurs peuvent travailler sur plusieurs appareils sans interruptions
 Une solution facile à gérer
La plupart des solutions d'authentification au moyen d'un certificat sont gérables à partir
d'une plate-forme cloud qui facilite l'émission, le renouvellement et la révocation des
certificats.
Ce qui signifie :
 Fonctionne avec très peu de ressources internes
 Identifiants faciles à émettre ou révoquer selon le renouvellement du personnel
 Solution évolutive s'adaptant à la croissance de l'entreprise

 Une reconnaissance automatique des certificats numériques par la plupart des

applications et des réseaux des entreprises
La plupart des applications et des réseaux des entreprises reconnaissent les certificats
numériques X.509, le format standard des certificats numériques à clé publique. Cela signifie
que quelques changements minimes de configuration suffisent pour activer l'authentification
au moyen d'un certificat pour de nombreux cas d'utilisation, tels que la connexion aux
systèmes Windows, l'accès aux applications Google, à Salesforce ou à SharePoint, ou encore
l'accès à des serveurs à distance grâce aux portails Citrix ou SonicWall.
 Ce que cela signifie pour vous :
 Implémentation ne nécessitant qu'une configuration minimale
 Authentification à 2 facteurs facile à activer pour de nombreux réseaux et applications
 Solution idéale pour les employés travaillant à distance ou sur leurs appareils portables

III. Les services d’authentification applicatifs 

RADIUS

Schéma du Serveur d’Authentification Radius (Figure 2)

Définition 

Le protocole Radius (Remote Authentification Dial-In User Service) est un protocole

d’authentification standard basé sur un système client/serveur qui permet de sécuriser des
réseaux contre des accès à distance non autorisés. C’est le protocole d’authentification le plus
utilisé et le plus implémenté par les équipements réseaux et notamment par les FAI
(Fournisseur d’accès à internet) qui utilisent des serveurs Radius avec des connexions par
ligne téléphonique (numérique ou analogique).

Fonctionnement

Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci :

Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance, Le
NAS achemine la demande au serveur RADIUS, Le serveur RADIUS consulte la base de
données d'identification afin de connaître le type de scénario d'identification demandé pour
l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est
demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes
pour ce qui est de l’authentification :
ACCEPT : l'identification a réussi.
REJECT : l'identification a échoué.
CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la
part de l'utilisateur et propose un défi « challenge ».
 CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau
mot de passe.
Suite à cette phase dite d'authentification, débute une phase d'autorisation où le serveur
retourne les autorisations de l'utilisateur. Dans le cas des implémentations de RADIUS, ces
deux étapes d’authentification et d’autorisation sont regroupées en une seule phase.

Avantages

 Sécurité
 Fiabilité
 Centralisation de l’authentification

Inconvénients

o Lourd à mettre en place

o Limité à 254 octets par attribut

Pourquoi Radius
Les avantages d'un serveur RADIUS sur l'efficacité d'un réseau entier sont vastes.
Bien que certaines entreprises ne connaissent pas les avantages d'un serveur RADIUS par
opposition à une clé pré-partagée, d'autres ont depuis longtemps bénéficié de la vitesse accrue
des serveurs RADIUS, ainsi que de leur capacité à renforcer la sécurité, Pour personnaliser les
restrictions basées sur l'utilisateur.
Voici quelques-uns des principaux avantages d'un serveur RADIUS:
Chaque session utilisateur individuelle est cryptée de façon unique, ce qui empêche les
autres utilisateurs d'acquérir des informations privées. Cela diffère d'un réseau PSK, dans
lequel chaque utilisateur partage la même clé de cryptage.
Un utilisateur ou un dispositif particulier peut facilement être dés autorisé en
désactivant la clé de cryptage unique correspondante. Cette simple désactivation garantit que
l'utilisateur dés autorisé ne peut accéder au réseau avec aucune autre clé et n'affecte pas les
clés de sécurité pour les autres utilisateurs.
Les autorisations réseau, telles que la stratégie de pare-feu, la planification et les
paramètres de Qos, peuvent être attribuées dans un profil d'utilisateur particulier, en fonction
de l'identité de l'utilisateur.
Un serveur RADIUS ne nécessite pas de puissance de serveur significative et peut être
installé de manière à ce qu'il corresponde le mieux à vos besoins sans changer votre système
actuel.
Installation et configuration

Installation du packages nécessaire pour free radius sur Ubuntu Server (Figure 3)

Configuration d’un mot de passe pour le serveur MySQL (Figure 4)

 Configuration de la base de données pour phpmyadmin (Figure 5)

Fichier de configuration manuel des clients radius ‘point d’accès’ (Figure 6)

Configuration du fichier de connexion avec le serveur MySQL et la base de données
radius (Figure 7)

Création d’une base de données qui porte le même nom configuré dans le fichier qui
précède ‘radius’ (Figure 8)
Copier des tables du serveur Radius sur la base de données qu’on a créé ‘radius’ (Figure
9)

La base de données ‘radius’ après la copie des tables du serveur Radius (Figure 10)
 La table nas pour la configuration des clients radius ‘les point d’accès qui vient
d’utiliser wpa2/entreprise comme protocole de chiffrement’ (Figure 11)
La table nas contient des champs obligatoires comme nasname qui est l’adresse IP du
client radius, ainsi que le port qui est en général 1812. Et le plus important c’est le secret qui
une clé partager entre le client radius et le serveur.

La table radcheck pour la configuration des utilisateurs de notre réseau (Figure 12)
 TACACS

Définition 

TACACS+ (Terminal Access Controller Access Control System Plus) est un protocole
de sécurité inventé dans la fin des années 90 par CISCO Systems. Il permet de vérifier
l’identité des utilisateurs distants mais aussi, grâce au modèle AAA, d’autoriser et de
contrôler leurs actions au sein du réseau local.
Il a fini par remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas
basé sur ces derniers TACACS+ est un serveur d’authentification permettant de centraliser les
autorisations d’accès (Les mots de passe utilisés sont gérés dans une base de données
centrale).

Fonctionnement :

Authentification

TACACS accomplit l’authentification via un identifiant et un mot de passe fourni par

l'utilisateur. TACACS sépare les processus d'authentification, d'autorisation et de
comptabilité, offrant un niveau de granularité et de flexibilité ne trouve pas dans RADIUS.
TACACS chiffre également le nom d'utilisateur et mot de passe, offrant un niveau de sécurité
plus élevé.

Autorisation 

TACACS fournit une gestion centralisée d'autorisation et de renforcement de la

sécurité en vérifiant chaque commande émise contre la base de données de configuration de
l'autorisation. Cela garantit que l'utilisateur est seulement autorisé à exécuter des commandes
et à émettre. Cette méthode nécessite plus de bande passante et parce que TACACS utilise le
protocole TCP, les frais généraux inhérents. Cela pourrait provoquer des problèmes de
performances si TACACS est largement utilisé.

Comptables 

Auditeurs réseau nécessitent des parcours ludiques pour faire leur travail correctement,
ce qui signifie qu'ils ont besoin de journaux d'activité. Inconvénient majeur de TACACS est
qu'il manque des services de comptabilité. Cet inconvénient critique peut être surmonté en
utilisant TACACS + ou XTACACS, versions améliorées qui offrent des services de
comptabilité.
En plus d'ajouter la fonctionnalité de comptabilité de TACACS, TACACS + est
soutenu par de nombreux fournisseurs d'équipement de réseau. Cependant, parce que la base
de données de l'utilisateur ne réside pas sur le serveur TACACS +, la performance peut être
lente. TACACS étendues (XTACACS) fournit également des services de comptabilité et de
soutien de protocole multiple, et n'est pas propriétaire, comme c'est TACACS +.
Description d'un paquet TACACS+ 

La taille de l’entête d’un paquet TACACS+ est de 12 Octet

Paquet TACACS+ (Figure 13)

Major version : donne le Numéro de la version Majeure de TACACS+.
Minor version : donne le Numéro de la version Mineure de TACAS+.
Type : définit s’il s’agit d’un paquet d’authentification, d’autorisation, ou de comptabilisation
(conformément à AAA).
Seq_no : numéro de séquence s’incrémentant de 1 pour chaque paquet envoyé lors d’une
session.
Flags : différents drapeaux permettant entre autre de crypter le paquet entier grâce à
l’algorithme MD5.
Length : taille du paquet.

Gestion de la session TACACS+ :

Le protocole TACACS+ utilise la notion de session pour ses communications entre le

client et le serveur. Une session ne contient qu’un échange qui peut être un échange
d’authentification, d’autorisation, ou de rapports. Les échanges TACACS+ peuvent
éventuellement être chiffrés (l’identifiant des sessions est alors utilisé pour chiffrer
l’intégralité des paquets).

 Mécanismes d’authentification TACACS+ :

Les implémentations TACACS+ peuvent aussi bien utiliser des techniques

d’authentification classiques type login/mot de passe statique, ou bien des procédés plus
évolués à base de challenge avec authentification réciproque, par exemple.
Mécanismes d’autorisation TACACS+ :

Lors d’une nouvelle demande d’authentification, le client émet un message START au

serveur décrivant le type d’authentification à utiliser. En retour, le serveur envoie un message
REPLY, indiquant que l’authentification est terminée, ou bien qu’elle doit continuer, auquel
cas, le client récupère l’information manquante et la retourne dans un message CONTINUE.

 Mécanismes de rapport TACACS+ :

Le type de requête provenant du serveur peut être une demande GETDATA,

GETUSER ou GETPASS. GETDATA est une requête générique de récupération
d’information du profil utilisateur.
Lors d’un accès à un service particulier, le client ouvre une session d’autorisation.
Cette session consiste juste en l’échange d’une paire de messages (Requête / Réponse). La
requête décrit l’authentification pour l’utilisateur ou le processus qui demande l’accès au
service.
La réponse du serveur contient un ensemble d’attributs pouvant restreindre ou
modifier les actions du client, plutôt qu’une simple réponse affirmative de type oui/non.
 KERBEROS

Définition

Kerberos est un protocole d'authentification réseau créé par MIT qui utilise une
cryptographie à clés symétriques pour authentifier les utilisateurs auprès des services réseau,
éliminant par là même la nécessité de transmettre des mots de passe sur le réseau. Lorsque les
utilisateurs s'authentifient auprès des services réseau au moyen de Kerberos, les utilisateurs
non-autorisés tentant d'intercepter des mots de passe en surveillant le trafic sur le réseau
voient leurs desseins contrecarrés.

Fonctionnement

Maintenant, détaillons ce processus afin de bien comprendre les mécanismes de

sécurité de Kerberos.
Note : Le chiffrement sera noté comme suit Kclé {partie chiffrée par la clé}

L’utilisateur s’authentifie en entrant un couple login/password (généralement à

l’ouverture de session sur la machine). Le client Kerberos de la machine dérive à l’aide d’un
algorithme de hash le mot de passe de l’utilisateur en clé secrète Kutilisateur.
Le client Kerberos va maintenant contacter l’AS pour authentifier l’utilisateur. Il
envoie pour cela à l’AS l’identité de l’utilisateur (en clair) ainsi que Kutilisateur {message
authentifiant définie dans le protocole Kerberos, timestamp}. L’utilisateur n’aura pas à
renouveler son authentification durant plusieurs heures (variable selon les réglages).
Remarque : Le mot de passe n’est pas transmis à travers le réseau. Il sert uniquement à
générer Kutilisateur. De même, Kutilisateur servira à chiffrer une partie du message et ne sera
jamais transmise à travers le réseau. Il n’y a donc pas de possibilité d’interception. Seule une
compromission de la machine cliente ou un brute force peut permettre à une personne
malveillante de récupérer ces informations.

L’AS lit l’identité de l’utilisateur (envoyé en clair). L’AS connait le mot de passe de

l’utilisateur, car c’est lui qui gère la base de données utilisateur.
Il peut donc obtenir Kutilisateur. Grâce à Kutilisateur il va déchiffrer le message
authentifiant envoyé par l’utilisateur. Si une fois celui-ci déchiffré il correspond, c’est qu’il a
bien été chiffré avec Kutilisateur. L’AS vérifie ensuite le timestamp pour éviter tout rejoue de
l’authentification.
 L’AS retourne maintenant au client Kutilisateur {TGT, KsessionTGS}. C’est-à-dire un
Ticket TGT et une clé de session entre l’utilisateur et le TGS, le tout chiffré par la clé secrète
de l’utilisateur pour que personne n’ait accès à ces informations.

Remarque : Kutilisateur n’est connu que du serveur et du client et n’a jamais été

communiqué à travers le réseau. Cette communication ne peut donc être lue par aucune tierce
partie malveillante.

L’utilisateur déchiffre la réponse de l’AS. Il récupère le TGT et la clé de session pour

communiquer avec le TGS.
Le TGT est un ticket contenant trois éléments chiffrés avec Ktgs : une date
d’expiration, le nom de l’utilisateur et KsessionTGS.
Donc TGT = Ktgs {date d’expiration, nom d’utilisateur, KsessionTGS}.
L’utilisateur envoie au TGS : le TGT, un KsessionTGS {timestamp} (permet d’assurer
l’unicité de la requête, antirejeu) ainsi que le service auquel il souhaite accéder. Cet envoi
correspond à une demande d’accès à un service donné.
Remarque : le TGT n’est pas lisible par l’utilisateur puisqu’il est chiffré avec la clé
secrète Ktgs connue uniquement de l’AS et du TGS.

Grâce au TGT, le TGS connait l’identité du sujet et la clé de session à utiliser pour

chiffrer la communication avec l’utilisateur. Il vérifie grâce à KsessionTGS la valeur du
timestamp (permet d’éviter le rejoue et de signer en quelque sorte la requête de l’utilisateur).
En fonction des droits du sujet, il va accepter ou refuser la demande d’accès au service.
 Dans le cas où le sujet possède les droits d’accès au service, le TGS va lui
envoyer KsessionTGS {timestamp, Ksession, service à joindre, TicketService}.
Le TicketService est un ticket à transmettre au service pour assurer la connexion avec
celui-ci. TicketService = Kservice {Ksession, identité sujet, date d’expiration}.

Remarque : KsessionTGS a été transmise au TGS via le TGT, donc de manière sécurisée.

Ainsi, seuls le TGS, l’utilisateur et l’AS (fournis Ksession) connaissent la clé. Cette
communication ne pourra toujours pas être lue par une personne externe au procédé.

Le sujet déchiffre la réponse du TGS. Il transmet ensuite TicketService au service pour

initialiser la connexion. TicketService = Kservice {Ksession, identité sujet, date
d’expiration}.

Remarque : TicketService est chiffré avec Kservice une clé secrète connue uniquement du

service et du TGS. L’utilisateur ne peut donc pas lire ou modifier son contenue.
 Le service déchiffre TicketService et récupère Ksession. Il renvoie Ksession
{timestamp}.
 Le sujet déchiffre le timestamp, vérifie que le temps écoulé entre l’envoi et la
réception de la réponse n’est pas trop long. Ksession {timestamp}.

Remarque : L’utilisation de timestamp permet de s’assurer que les parties connaissent la clé
et d’éviter qu’une personne mal intentionnée rejoue une séquence d’accès intercepté.
Les versions du Kerberos
version1-2-3

Les versions 1, 2 et 3 du protocole sont internes au MIT et auront servi à expérimenter

de nouveaux concepts, pour finalement concevoir un système stable. Elles sont donc plutôt
considérées comme des versions de test du protocole.

Version 4

Des origines à la version 4 Mise à disposition le 24 janvier 1989, la première version

publique du protocole a été rapidement approuvée et mise en œuvre par plusieurs concepteurs
de systèmes d'exploitation. En réponse à la législation américaine leur interdisant l'exportation
de leur produit, en particulier à cause de l'utilisation de DES (algorithme de cryptographie),
une version spéciale dédiée à l'exportation a été conçue. Surnommée Bone, elle ne contient
donc plus aucun code de cryptage. Dans l'université australienne Bond, Errol Young
développe sa propre implémentation de l'algorithme DES et l'intègre à la version Bones. Cela
va donner eBones qui, développée en dehors des Etats- Unis, ne tombe plus sous sa législation
et peut être librement exportée. Plusieurs implémentations du protocole Kerberos 4 ont été
développées. Même si certaines sont encore assez activement utilisées, la version 4 de
l'implémentation du MIT est dorénavant en phase de maintenance, et peut être considérée
comme terminée. Il est aujourd'hui recommandé d'utiliser la version 5, dernière en date.

Version 5

La version 5 du protocole Kerberos a été développée afin d'apporter de nouvelles

fonctionnalités et de nouvelles améliorations du point de vue de la sécurité. La nouveauté la
plus importante pour la pérennité du protocole est sa documentation dans la RFC1510. Ont été
améliorés : – la délégation des tickets – des types de cryptage extensibles – des
authentifications inter- royaumes améliorées

Avantages et inconvénients
Avantages

La plupart des services réseau conventionnels utilisent des procédures

d'authentification basées sur des mots de passe. Dans ce cadre, un utilisateur doit s'authentifier
auprès d'un serveur réseau précis en fournissant son nom d'utilisateur et son mot de passe.
Regrettablement, la transmission des informations d'authentification pour de nombreux
services s'effectue de façon non-cryptée. Pour qu'une telle procédure soit sécurisée, il est
essentiel que le réseau soit inaccessible aux utilisateurs externes d'une part et d'autre part, que
tous les ordinateurs et utilisateurs du réseau soient dignes de confiance.
Même si c'est le cas, une fois qu'un réseau est connecté à l'Internet, on ne peut plus
supposer que le réseau soit sécurisé. Il suffit à tout pirate obtenant l'accès au réseau d'utiliser
un simple analyseur de paquets (aussi connu sous le nom de renifleur de paquets) pour
intercepter des noms d'utilisateurs et des mots de passe envoyés en texte clair. Dans de telles
circonstances, les comptes utilisateur et l'intégrité de toute l'infrastructure de sécurité sont
remis en cause.
Le but essentiel de Kerberos est d'éviter la transmission de mots de passe non-cryptés
à travers le réseau. Lorsque Kerberos est utilisé correctement, il élimine de façon efficace la
menace que représentent les renifleurs de paquets pour un réseau.

Inconvénients

 La migration de mots de passe utilisateur d'une base de données de mots de passe

UNIX standard, comme /etc/passwd ou /etc/shadow, vers une base de données de mots
de passe Kerberos peut être relativement longue car il n'existe aucun mécanisme
automatique permettant d'effectuer cette tâche.
 2Kerberos n'est que partiellement compatible avec le système d'authentification PAM
(de l'anglais Pluggable Authentication Modules) utilisé par la plupart des serveurs
exécutant Red Hat Enterprise Linux.
 Kerberos suppose certes que tout utilisateur soit digne de confiance mais utilise un
hôte non-sécurisé sur un réseau non-sécurisé. Son but primaire est d'empêcher que des
mots de passe en texte clair ne soient envoyés à travers ce réseau. Toutefois, si
quelqu'un d'autre que l'utilisateur lui-même a physiquement accès à l'hôte qui émet les
tickets utilisés pour l'authentification — appelé centre de distribution de
clés (ou KDC de l'anglais Key Distribution Center) — l'ensemble du système
d'authentification Kerberos est menacé d'être compromis.
 Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin
d'effectuer les appels appropriés dans les bibliothèques Kerberos. Les applications
modifiées de la sorte sont considérées comme étant kerberisées. Pour certaines
applications, ceci peut poser de nombreux problèmes en raison de la taille et de la
conception de l'application. Pour d'autres applications qui ne sont pas compatibles, des
modifications doivent être apportées à la manière selon laquelle les serveurs et les
clients communiquent entre eux. Là encore, il se peut que des modifications
importantes soient nécessaires au niveau de la programmation. Les applications dont
les sources ne sont pas accessibles et dont la prise en charge de Kerberos n'est pas
disponible par défaut sont celles posant généralement le plus de problèmes.

 Avec une solution Kerberos, c'est tout ou rien. Une fois que Kerberos est utilisé sur le
réseau, tout mot de passe non-crypté transmis à un service non- kerberisé risque d'être
intercepté. Dans de telles circonstances, le système ne tirera aucun avantage de
l'utilisation de Kerberos. Afin de sécuriser votre réseau avec Kerberos, vous devez soit
utiliser des versions kerberisées de toutes les applications client/serveur qui envoient
des mots de passe en texte clair, soit n'utiliser absolument aucune application
client/serveur.
 Installation et configuration

Installation
Pour installer Kerberos :

 apt-get
sudo apt-get install krb5-kdc krb5-admin-server

Configuration
Lors de la configuration de Kerberos, installez tout d'abord le serveur. S'il est
nécessaire de configurer des serveurs esclaves, les informations détaillées relatives à la
configuration de relations entre les serveurs maîtres et esclaves sont présentées fournies dans
le guide d'installation de Kerberos V5 (Kerberos 5 Installation Guide) qui se trouve dans le
répertoire /usr/share/doc/krb5-server-5
Pour installer un serveur Kerberos, suivez les étapes suivantes :
1. Avant d'installer Kerberos 5, assurez-vous que la synchronisation de l'horloge et que le
DNS fonctionnent sur tous les ordinateurs clients et serveurs. Prêtez une attention
toute particulière à la synchronisation du temps entre le serveur Kerberos et ses
différents clients. Si l’horloge du serveur et celle des clients diffèrent de plus de cinq
minutes (cette durée par défaut est configurable dans Kerberos 5), les clients Kerberos
ne pourront pas s'authentifier auprès du serveur. Cette synchronisation de l'horloge est
nécessaire pour empêcher un agresseur d'utiliser un ancien ticket afin de se faire
passer pour un utilisateur valide.
2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine
choisie pour l'exécution du KDC. Cette machine doit bénéficier d'une sécurité très
élevée — dans la mesure du possible, elle ne devrait exécuter aucun service autre que
le KDC.
Si une interface utilisateur graphique (ou GUI) est nécessaire pour l'administration de
Kerberos, installez le paquetage gnome-kerberos. Celui-ci contient krb5, un outil
graphique permettant la gestion des tickets.
3. Éditez les fichiers de
configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils
correspondent aux mappages nom de zone et domaine-à-zone. Une simple zone (aussi
appelée realm) peut être construite en remplaçant des instances
de EXAMPLE.COM et example.com par le nom de domaine correct — en vous
assurant de bien respecter le format approprié des noms contenant des lettres
majuscules et de ceux avec des minuscules — et en remplaçant le
KDC kerberos.example.com par le nom de votre serveur Kerberos. Par convention,
tous les noms de realm sont en lettres majuscules et tous les noms d'hôtes et de
domaines DNS sont en lettres minuscules. Pour obtenir des informations plus
 détaillées sur les différents formats de ces fichiers, consultez leurs pages de manuel
respectives.
4. Créez la base de données en utilisant l'utilitaire kdb5_util à partir de l'invite du shell :

/usr/kerberos/sbin/kdb5_util create -s

5. La commande create crée la base de données qui stockera les clés pour votre realm
Kerberos. L'option -s permet la création forcée d'un fichier stash dans lequel la clé du
serveur maître est conservée. En l'absence d'un fichier stash à partir duquel la clé peut
être lue, le serveur Kerberos (krb5kdc) enverra une invite pour que l'utilisateur saisisse
le mot de passe du serveur maître (qui permet de recréer la clé) chaque fois qu'il est
lancé.
6. Éditez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilisé
par kadmind d'une part afin de déterminer les éléments principaux devant avoir un
accès administratif à la base de données de Kerberos et d'autre part, afin de définir leur
niveau d'accès. Une seule ligne suffit à la plupart des sociétés, comme dans l'exemple
ci-dessous :

*/[email protected]  *

7. La plupart des utilisateurs seront représentés dans la base de données par un seul
principal (avec une instance NULL ou vide, tel que [email protected]). Avec
cette configuration, les utilisateurs ayant un second principal avec une
instance admin (par exemple, niggas/[email protected]) peuvent exercer un
pouvoir total sur la base de données Kerberos du realm.
8. Une fois que kadmind est lancé sur le serveur, tout utilisateur peut accéder à ses
services en exécutant kadmin sur un client ou serveur quelconque du realm. Toutefois,
seuls les utilisateurs spécifiés dans le fichier kadm5.acl peuvent modifier le contenu de
la base de données, à l'exception du changement de leur propre mot de passe.

Remarque

L'utilitaire kadmin communique avec le serveur kadmind sur le réseau et

utilise Kerberos pour effectuer l'authentification. Pour cette raison, il est
nécessaire que le premier principal existe avant d'effectuer une connexion
  au serveur sur le réseau afin de l'administrer. Pour créer le premier
principal, utilisez kadmin.local, une commande conçue spécifiquement
pour être utilisée sur le même hôte que le KDC et qui ne nécessite pas
Kerberos pour l'authentification.

9. Tapez la commande kadmin.local suivante sur terminal KDC afin de créer le premier

élément principal :

/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"

 10. Lancez Kerberos à l'aide des commandes suivantes :

/sbin/service krb5kdc start

/sbin/service kadmin start
/sbin/service krb524 start

11. Ajoutez des principaux pour les utilisateurs à l'aide de la

commande addprinc avec kadmin. Les commandes kadmin et kadmin.local sont des
interfaces de ligne de commande vers le KDC. En tant que telles, de nombreuses
commandes sont disponibles après le lancement du programme kadmin. Reportez-
vous à la page de manuel de kadmin pour obtenir de plus amples informations.
12. Vérifiez que le KDC émet bien des tickets. Tout d'abord, exécutez kinit pour obtenir
un ticket et stockez-le dans un fichier de cache de certificats d'identité. Utilisez
ensuite klist pour afficher la liste des certificats d'identité présents dans votre cache et
utilisez kdestroy pour détruire le cache et les certificats qu'il contient.

Remarque

Par défaut, kinit tente une authentification en utilisant le même nom

d'utilisateur que celui servant à la connexion au système (pas le serveur
Kerberos). Si ce nom d'utilisateur ne correspond pas à un principal de la
 
base de données Korberos, kinit émet un message d'erreur. Dans ce cas,
donnez à kinit le nom du bon principal en l'insérant comme argument sur
la ligne de commande (kinit <principal>).

Une fois les étapes ci-dessus accomplies, le serveur Kerberos devrait être opérationnel.
IV. Conclusion

Exemple de trafic TACACS+ (Figure 13)

Exemple de trafic RADIUS (Figure 14)

 Exemple de trafic KERBEROS (Figure 15)

V. Solution choisie

Après une étude comparative des trois serveurs d’authentification RADIUS,

KERBEROS et TACACS+. On a choisi RADIUS en raison de sa simplicité, rapidité
ainsi qu’il est un outil très puissant en cas des petite et moyenne entreprise. Ce qui
compatible avec notre cas. N’oublions pas que RADIUS est un outil qui ne demande
pas beaucoup de ressource en termes de matériel ou logiciel ce qui lui donne un grande
avantage d’être le serveur d’authentification principale dans notre réseau.
 Chapitre 4 : Les portails captifs
Dans cette partie en détaillera plus la notions de portal captif qu’est-ce que c’est,
pourquoi on l’utilise (les fonctionnements des portal captif), les avantages et l’inconvénient
I. Le portal captif qu’est-ce que c’est ?

Un portail captif est un élément matériel ou software qui vient s’intégrer dans votre
réseau et qui, pour chaque nouvelle connexion va rediriger les utilisateurs vers une page
d’accueil ou ils devront entrer un nom d’utilisateur et un mot de passe. Une fois ces
informations récupérés, le portail captif comme alcasar.net et pfsense.org les stocke sur le
serveur et autorise la connexion. Au-delà de l'authentification, les portails captifs permettent
d'offrir différentes classes de services et tarifications associées pour l'accès Internet (Par
exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela est obtenu en interceptant tous
les paquets quelles que soient leurs destinations jusqu'à ce que l'utilisateur ouvre son
navigateur web et essaie d'accéder à Internet. Lors de l'établissement de la connexion, aucune
sécurité n'est activée. Cette sécurité ne sera active que lorsque l'ordinateur connecté tentera
d'accéder à Internet avec son navigateur web. Le portail captif va, dès la première requête
HTTP, rediriger le navigateur web afin d'authentifier l'utilisateur, sans quoi aucune demande
ne passera au-delà du serveur captif. Une fois l'utilisateur authentifié, les règles de firewall le
concernant sont modifiées et celui-ci se voit autorisé à utiliser son accès Internet pour une
durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemander ses
identifiants de connexions afin d'ouvrir une nouvelle session.
Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter
la politique de filtrage web de l'entreprise grâce à un module proxy et permet aussi grâce à un
firewall intégré d'interdire l'accès aux protocoles souhaités.
II. Les portails captif comment se fonctionne

Schéma général d’un portail captif (Figure 16)

 Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point
d'accès pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramètres de la configuration du réseau.
A ce moment-là, le client a juste accès au réseau entre lui et la passerelle, cette
dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le client va effectuer
sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page
web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe.
Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot
de passe. Le système d'authentification va alors contacter une base de données contenant la
liste des utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification

Fonctionnement d’un portail captif (Figure 17)

Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point
d'accès sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramètres de la configuration du réseau. A ce moment-là, le client a juste accès au réseau
entre lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau.
 Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la
passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier
grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour
sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors
contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau.
Enfin le système d'authentification indique, plus ou moins directement selon les
portails captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau.
Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le
réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers
mécanismes comme une fenêtre pop- up sur le client rafraîchie à intervalles réguliers ou des
requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est toujours connecté au
réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet
utilisateur.
III. Les avantages de portail captif

L'avantage majeur du portail captif par rapport au 802.1x (Radius, Taccas) est pour le
client : il doit uniquement disposer d'un navigateur Web supportant le SSL.
Le portail captif est donc facile à implémenter du côté client, contrairement au 802.1x
(Radius, Taccas…) qui nécessite un logiciel particulier sur chaque poste.

Limiter l’utilisation de la bande passante :

La fourniture d’Internet gratuitement ou de façon onéreuse est un nouveau service
rendu à votre clientèle. Cependant, lorsque le nombre d’utilisateur simultané est important, il
faut freiner l’utilisation du réseau car la bande passante disponible de par la technologie
ADSL, est limitée. Pour éviter les abus, il faut impérativement limiter le temps de connexion
avec des tickets de durée variable mais maîtrisée. En hôtellerie de plein air, nous préconisons
de faire payer  la connexion Internet.

Le coût serveurs/matériels
L'implémentation du 802.1x requiert du matériel compatible. Cette architecture
représente donc un coût supplémentaire par rapport à du matériel « classique ».
Le portail captif présente l'avantage de reposer sur des serveurs « classiques » ou
même d'être embarqué dans du matériel de type routeur (il existe des codes binaires gratuits
pour les routeurs Linksys par exemple). Il ne remet donc pas en cause l'infrastructure
existante, ce qui se traduit par des coûts plus faibles. De plus, il existe des solutions de portail
captif gratuites (comme par exemple NoCatAuth qui sera étudié par la suite).
Ainsi, l'utilisation des portails captifs nécessite moins de complexité dans les points
d’accès ou les commutateurs utilisés, celle-ci étant reportée soit dans des serveurs soit dans
des routeurs embarquant des portails captifs.
IV. Les inconvénients de portal captif

Le plus important est qu'il détourne le trafic normal : en cela, le portail captif est une
attaque de l'Homme du Milieu et a donc de graves conséquences en termes de sécurité. Il
éduque les utilisateurs à trouver normal le fait de ne pas arriver sur l'objectif désiré, et facilite
donc le hameçonnage.
Le portail captif ne marche pas ou mal si la première connexion est en HTTPS, ce qui
est de plus en plus fréquent. Là encore, il éduque les utilisateurs à trouver normaux les
avertissements de sécurité (« mauvais certificat, voulez-vous continuer ? »).
Le portail captif n'est pas authentifié, lui, et l'utilisateur est donc invité à donner ses
informations de créance à un inconnu.
En Wifi, comme l'accès n'est pas protégé par WPA, le trafic peut être espionné par les
autres utilisateurs.
Spécifique au Web, le portail captif ne marche pas avec les activités non-Web (comme
XMPP). Même les clients HTTP non-interactifs (comme une mise à jour du logiciel via
HTTP) sont affectés.
 V. ETUDE DES PORTAIL CAPTIF
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)

ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au

Réseau) est un projet français essentiellement dédié aux fonctions de portail captif. Cet
applicatif s'installe via un script supporté par la distribution Linux Mandriva, les
configurations se font via .me interface de gestion sécurisée (HTTPS) ou bien en ligne de
commande directement sur le Serveur Mandriva. Une sauvegarde de la configuration est prise
en charge via la création d'un ghost système (fichier système) dans le panneau
d'administration, ce qui engendre tout de même un fichier d'une certaine taille. Les mises à
jour régulières assurent la pérennité de la solution.
L'authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de
passe.
Une documentation assez complète est disponible pour l'installation et la configuration
et la communauté est active. Tout comme PFsense, ALCASAR est compatible avec de
nombreuses plates-formes, la personnalisation des pages utilisateurs et la simplicité
d'utilisation sont présentes.

PFSENSE

PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est
d'assurer les fonctions de pare-feu et de routeur mais l'engouement généré par cet applicatif
lui a permis d'étendre ses fonctionnalités et présente maintenant les fonctions de portail captif,
serveur proxy, DHCP ...
Son installation se fait facilement via une distribution dédiée et toutes les
configurations peuvent se faire soit en ligne de commande (SSH) ou via l'interface web
(HTTPS). La sauvegarde et la restauration de configuration est disponible à travers l'interface
web et permet de générer un simple fichier d'une taille raisonnable. Le portail assure une
évolution constante grâce à des mises à jour régulières dont l'installation est gérée
automatiquement dans une partie du panneau d'administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et un
couple utilisateur / mot de passe.
 ZeroShell

ZeroShell est une distribution Linux conçue pour mettre en place une sécurité globale
au sein d'un réseau (Pare-Feu, VPN, portail captif...). Son installation est simple via une
distribution dédiée. Elle présente une interface de gestion web simple d'utilisation qui permet
entre autres de sauvegarder la configuration du portail captif ou encore de personnaliser les
pages de connexion et déconnexion dans un éditeur HTML intégré.
Comme les deux autres solutions la page d'authentification est sécurisée et la connexion se
fait via un couple utilisateur / mot de passe. On retrouve assez peu de documentation pour la
gestion du système mais la communauté à l'air tout de même bien présente. Son utilisation
reste identique aux autres solutions présentées.

Etude comparative des portails captifs

Pour faire c’étude on mais des critères qu’est on a besoin pour l’implémentation de
notre réseau sécurisé et que doivent prendre en compte les différentes solutions :

Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot

de passe sur le réseau ;
Présence d'une documentation complète: pour assurer la rapidité de mise en place
de la solution;
Simplicité d'administration: pour permettre à différentes personnes d'administrer le
logiciel;
Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de
se connecter au réseau Wi-Fi ou filaire;
Compatibilité multiplate-formes : pour permettre la connexion depuis les
Smartphones, différents navigateurs web et différents système d'exploitation.
Présence de sauvegarde et restauration de configuration : pour permettre un
redémarrage du système très rapidement en cas de problèmes;
Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la
charte graphique de l'entreprise et ainsi le rendre plus convivial
Pare-feu : les types des filtrages existant
Administration : les interfaces graphique les autres services (DHCP, DNS)
Comparaison des trois portails captifs (Figure 18)
 Critères PFsense ALCASAR ZeroShell

Sécurité HTTPS HTTPS HTTPS

Authentification

Documentation ++ +++ +

Personnalisation + + -

Facilite d’administration Installation via une Installation via script Installation

distribution dédiée automatise via une
distributio
n dédiée

Facilite d'Utilisation +++ +++ +++

Sauvegarde Restauration + + +

configuration

Pérennité de la solution + + -

Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer,
l'étude théorique permet de retenir les deux premières solutions à savoir PFsense et
ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer
sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot
de passe, contrôle de la bande passante, facilité d'administration, d'installation et de
configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de
mises à jour, etc.
 ETUDE THECHNIQUE D’ALCASAR

Définition

ALCASAR est un contrôleur sécurisé d'accès à Internet pour les réseaux publics ou
domestiques. Il authentifie et protège les connexions des utilisateurs indépendamment de leurs
équipements (PC, tablette, smartphone, console de jeux, TV, etc.). Il intègre plusieurs
mécanismes de filtrage adaptés aux besoins privés (contrôle parental et filtrage des objets
connectés) ou aux chartes et règlements internes (entreprises, associations, centres de loisirs et
d'hébergement, écoles, bibliothèques, mairies, etc.).
Installé sur un réseau public, il protège le responsable du réseau en journalisant et en
attribuant (imputation) toutes les connexions afin de répondre aux exigences légales et
réglementaires*.
Au-delà de ces aspects, ALCASAR est utilisé comme outil pédagogique dans le cadre
de diverses formations : "sécurité des réseaux", "contrôles et éthique", "respect de la vie
privée", etc. La documentation complète de ce projet est disponible dans la section
"Téléchargement" de ce site Web.
ALCASAR est un projet indépendant, libre (licence GPLv3) et gratuit. L'équipe de suivi
de projet (alcasar team) est conduite par Richard Rey "rexy" et Franck Bouijoux "3abtux".
Elle est constituée de développeurs "seniors" (Pascal Levant "angel95" et Stéphane Weber
"Ste web"), de développeurs «juniors», de rédacteurs/traducteurs, de graphistes et de testeurs
identifiables sur le forum.
Aperçu des fonctionnalités et services d’ALCASAR et aussi les versions de logiciel

En fonction de la version du logiciel, le nombre de services et/ou de fonctionnalités peut

varier, pour cela nous avons présenté ce tableau qui nous donne un vue globale sur toutes les
versions d’alacasar et leurs fonctionnalités :
MISE EN PLACE DE LA SOLUTION ALCASAR

Nous allons maintenant mettre en place la solution Alcasar dans un environnement de test. En
premier lieu nous définirons l’architecture réseau utilisée pour le maquettage. En second lieu nous
procéderons à l’installation de la solution. Ensuite, nous effectuerons la configuration des différents
éléments.

L’architecture de réseau

Le but est de simuler une configuration réseau simple mais réaliste par rapport au matériel
actuellement déployé dans les infrastructures publiques.

Afin de perfectionner la maquette, il est nécessaire de configurer 2 éléments :

~ Le point d’accès Wifi LINKSYS
~ Un serveur DHCP sur le Portail Captif pour gérer les adresses IP du réseau
INSTALLATION DE MANDRIVA

PROBLEME RENCONTRE

(a) ECHECS D’INSTALLATION DE MANDRIVA

Lors de l’installation de Mandriva, on a rencontré des problèmes d’échecs
d’installations. En effet selon les essais, plusieurs paquets étaient impossibles à installer.

(b) SOLUTION
On a finalement résolu le problème, qui semblait venir du partitionnement. En effet,
on a choisi de découper le disque dur en 3 partitions :
• Une partition obligatoire, « SWAP », pour le fichier d’échange (Taille : environ 2
fois la quantité de mémoire vive)
• Une partition pour le système Mandriva (plus que 5GB – point de montage : /)
• Une partition pour la sauvegarde des LOG (plus que 10GB de l’espace – point de
montage : /var)

Partitionnement du disk (Figure 19)

 (c) Echecs dans le boot de system
Alcasar ne démarre pas il reste dans cette étape

(d) Solution
Après des multiples recherches, on a trouvé que ce problème est un bug dans le
système Mandriva et pour résoudre ce problème, nous devons supprimer une ligne qui
contient "VGA = 791" de ‘/mnt/boot/grub/menu.list ‘ et pour ce faire, nous avons Démarré
sur le système de secours (rescue system)
 Apres ça en va la console mode

Premièrement on va la commande line on va à la direction suivante : /mnt/boot/grub

Secondement on entre au fichier menu. 1er par un éditeur de texte quelconque dans
notre je travaille avec `nano` comme ci-dessus :
Apres ça en supprimer tous ligne qui contient ‘VGA=791’ ;

Et après ça on redémarre notre machine.

INSTALLATION D’ALCASAR

IMPORTATION DE L’INSTALLATEUR SUR LA MACHINE

Afin d’installer Alcasar, il est nécessaire de décompresser l’archive du programme «
alcasar-1.8.tar.gz » dans le dossier /root de la machine. J’implémente le programme à l’aide
De serveur ftp, voici les différentes étapes effectuées afin d’importer Alcasar :
#lftp ftp.alcasar.net/pub
• Connectez-vous au serveur FTP avec la commande « lftp »
#cd stable
#ls
• déplacez-vous dans le répertoire « stable » et listez son contenu
#get alcasar-x.y.tar.gz
• Récupérez le fichier
Extraire le fichier .gz
# tar -xvf alcasar-3.0.1.tar.gz
X : Extraire
V: Affichage du traitement effectué
F : utilisation

Placement dans le dossier du logiciel

# cd alcasar-3.0.1

Lancement de l’installation
# Sh alcasar.sh -install
Lors de l’installation d’Alcasar, plusieurs paramètres sont demandés afin de préconfigurer les
différents modules.
NOM DE L’ORGANISME

PLAN D’ADRESSAGE RESEAU

Le plan d’adressage réseau défini pour la maquette est le suivant : 192.168.1.0/24 Au début.
PARAMETRAGE DU COMPTE ADMINISTRATEUR

FIN DE L’INSTALLATION

Maintenant qu’Alcasar est installé, la machine doit être redémarrée. Nous allons
procéder aux derniers paramétrages de la machine.

VERIFIER QU’INSTALLATION BIEN FAIT

Une fois le système relancé, vous pouvez vérifier que tous les composants
d’ALCASAR sont bien lancés en vous connectant et en lançant le script « alcasar-daemon.sh
».
CONFIGURATION D’ALCASAR
L’installation d’Alcasar et la configuration du système est effectuée, les incidents ont
été réglés. Nous allons maintenant procéder à la configuration de la solution via l’interface
Graphique
COMMENT ACCEDER A LA PAGE DE CONFIGURATION
La page d’accueil du portail est consultable à partir de n’importe quel équipement
situé sur le réseau de consultation. Elle est située à l’URL http://alcasar (ou
http://alcasar.localdomain). Elle permet aux usagers de se connecter, de se déconnecter, de
changer leur mot de passe et d’intégrer le certificat de sécurité dans leur navigateur. Cette
page permet aux administrateurs d’accéder au centre de gestion graphique « ACC »
(ALCASAR Control Center) en cliquant sur la roue crantée située en bas à droite de la page
(ou via le lien : https://alcasar.localdomain/acc).
Ce centre de gestion est exploitable en deux langues (anglais et français) via une
connexion chiffrée (HTTPS).
 Une authentification est requise au moyen d’un compte d’administration lié à l’un des
DEUX profils suivants:
● Profil « admin » permettant d’accéder à toutes les fonctions d’administration du
portail ;
● Profil « manager » limité aux tâches de gestion des usagers du réseau de
consultation ;
Apres cette authentification une interface Web doit s’afficher sur le browser comme
l’exemple ci-dessus :

Paramétrage d’alcasar

Avant entrer a les détaillé de paramétrages en fait un rappelle sur l’architecture de le

projet :

Le réseau LAN :
Adresse IP du réseau : 192.168.1.0/24 (masque de réseau : 255.255.255.0) ;
• Nombre maximum d’équipements : 253 ;
• Adresse IP de la carte réseau interne d’ALCASAR : 192.168.1.4/24 ;
 • Paramètres des équipements :
• Adresses IP disponibles : de 192.168.1.3 à 192.168.1.254 (statiques ou
dynamiques);
• Adresses du serveur DNS : 192.168.1.4 (adresse IP de la carte réseau interne
d’ALCASAR);
• suffixe DNS : localdomain (ce suffixe doit être renseigné pour les
équipements en adressage statique);
• Adresse du routeur par défaut (default Gateway) : 192.168.1.4 (adresse IP de
la carte réseau interne d’ALCASAR) ;
• masque de réseau : 255.255.255.0

Le réseau WAN:
Adresse IP du réseau : 172.25.0.0/24 (masque de réseau : 255.255.255.0) ;
• Nombre maximum d’équipements : 253 ;
• Adresse IP de la passerelle par default : 172.25.0.1/24 ;
• Adresse IP de la carte réseau interne d’ALCASAR : 172.25.0.3/24 ;
• Paramètres des équipements :
• Adresses IP disponibles: de 172.25.0.3 à 172.25.0.254 (statiques ou
dynamiques) ;
• Adresses du serveur DNS : 172.25.0.2
• suffixe DNS : niggas (ce suffixe doit être renseigné pour les équipements en
adressage statique) ;
• masque de réseau : 255.255.255.0

Configuration IP
Interface graphique
Le menu « système » + « réseau » vous permet de visualiser et de modifier les
paramètres réseau d’ALCASAR.

Ps : Si vous modifiez le plan d'adressage du réseau de consultation, vous devrez relancer tous
les équipements connectés à ce réseau (dont le vôtre).
LINE DE COMMANDE (mode console)
Vous pouvez aussi modifier ces paramètres en mode console en éditant le fichier «
/usr/local/etc/alcasar.conf» puis en lançant la commande «alcasar-conf.sh -apply».

1 : les interfaces d’ALCASAR

EXTIF : interface WAN
INTIF : interface LAN
2 /4 : les adresses IP utiliser pour le WAN et LAN
PPUBLIC_IP : L’ADRESSE IP WAN de alcasar
GW : la passerelle pare default du réseau WAN
PRIVATE_IP : L’ADRESSE IP LAN de alcasar
3 : l’adresse de DNS premières et secondaire d’ALCASAR
5 : configuration de DHCP de ALCASAR
CONFIGURATION DE DHCP

Le serveur DHCP (Dynamic Host Control Protocol) fournit de manière dynamique les
paramètres réseau aux équipements de consultation.
Vous pouvez réserver des adresses IP pour vos équipements exigeant un adressage
fixe (ou statique) comme vos serveurs, vos imprimantes ou vos points d’accès WIFI.
ALCASAR doit être le seul routeur et le serveur DHCP sur le réseau de consultation.
Dans le cas contraire, assurez-vous de bien maîtriser l’architecture multiserveur DHCP.
PS : Le serveur DHCP est activer par default dans ALCASAR pour et aussi la configuration faite
automatiquement.

Les utilisateurs
Nous allons configurer un usager afin de pouvoir constater les fonctionnalités offertes
par Alcasar. On accède à la page de création d’usagers dans le menu : USAGERS Créer
Usager.
 On a créé un usager de test, niggas. On peut spécifier un grand nombre de paramètre
concernant cet usager. Le cahier des charges spécifie uniquement le nom et prénom de la
personne mais nous pouvons également spécifier :
• Son adresse Email • Son Services • Ses Coordonnées • Des règles d’utilisation (durée
de session, plages horaires…)

La casse est prise en compte

pour l'identifiant et le mot de
passe (« Dupont » et « Dupont »
Appartenance éventuelle
sont deux usagers différents)
à un groupe. Dans ce cas,
l'usager hérite des
attributs du groupe*.

Une fois l'usager créé, un

ticket au format PDF est généré. Il vous est
présenté dans la langue de votre choix

Si vous créez plusieurs

utilisateurs, il peut être
intéressant de définir une
date d'expiration

L’interface de gestion permet également de créer des groupes de manière à pouvoir

appliquer des paramètres à plusieurs utilisateurs. Ce sont les paramètres soulignés en bleu qui
sont configurables pour les groupes.
PARE-FEU

Le Pare-Feu est l’un des points faible de la solution Alcasar. En effet, elle ne contient
pas de filtrage de protocoles comme les solutions PFsense ou ZeroShell mais se contente d’un
filtrage classique basé sur les ports.
Néanmoins au final, ce ne représente pas un handicap pour la solution étant donné que
nous avons choisi d’autoriser uniquement les protocoles HTTP, HTTPS et SSH pour la prise
en main à distance.
 ETUDE THECHNIQUE De ZEROSHELL

Définition

ZeroShell est une distribution Linux créée dans le but d'être très complète conçue pour
fournir des services réseaux sécurisés dans un réseau local. Elle a été développée par Fulvio
Ricciardi pour être totalement administrable via une interface web. Fournie sous forme de
Live CD, elle s'initialise en insérant le CD dans la machine cible et en la redémarrant. La
connexion à l’interface d’administration se fait via un navigateur web pour ensuite configurer
les services réseaux.

Fonctionnement

Les principales fonctionnalités de ZeroShell sont les suivantes:

 Administration web (sécurisée);
 Routeur avec routes statiques et dynamiques;
 NAT pour utiliser le réseau local de classe privée adresses cachées sur le WAN avec des
adresses publiques;
 Serveur DHCP pour assigner automatiquement des adresses IP aux postes clients qui le
demandent;
 Serveur DNS pour définir sa propre zone et les enregistrements associés;
 Serveur et le client NTP (Network Time Protocol) pour maintenir l'accueil des horloges
synchronisées;
 Client DNS dynamique utilisé pour rejoindre facilement même lorsque l'IP WAN est
dynamique. Une gestion dynamique des enregistrements MX DNS pour acheminer des e-
mails sur le serveur mail SMTP avec IP variable;
 Authentification Kerberos 5 en utilisant un KDC intégrée et l'authentification entre
domaines;
 VPN LAN-to-LAN, pour interconnecter deux réseaux locaux via Internet en encapsulant
les trames Ethernet;
 VPN Host-to-LAN, pour permettre à des postes clients de se connecter au réseau local via
internet;
 Serveur proxy avec fonction de proxy transparent, intégrant un anti-virus;
 Serveur RADIUS pour l'authentification et la gestion automatique des clés de chiffrement
pour réseaux sans fil supportant de nombreux protocoles;
 Firewall avec des filtres applicables dans les deux routages et de pontage sur tous les types
d'interfaces, y compris VPN et VLAN; et de classification Qos du trafic de type partage de
fichiers Peer-To-Peer (P2P);
 Captive Portal pour soutenir la connexion Internet sur les réseaux câblés et sans fil.
ZeroShell agit comme une passerelle pour le réseau sur lequel le portail captif est actif et sur
lequel les adresses IP (généralement appartenant à des particuliers) sont allouées
dynamiquement par DHCP. Un client qui accède à ce réseau privé doit s'authentifier à l'aide
d'un navigateur Web en utilisant Kerberos 5 avec un nom d'utilisateur et mot de passe
qu’avant le pare-feu ZeroShell lui permet d'accéder au réseau public.
 L’intégration entre Unix et Windows Active Directory sur un seul système
d'authentification et d'autorisation en utilisant LDAP et Kerberos 5.

Avantages et inconvénients du ZeroShell

 Avantages :

◦ Gestion des usagers

◦ Gestion des logs (Archivage/Compression/Suppression)
 Inconvénients :

◦ Filtrage Web à implémenter en parallèle

◦ Peu de documentation
Pourquoi on a choisir ZeroShell
 Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer,
l'étude
Théorique permet de retenir les deux premières solutions à savoir ZeroShell et
ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer
sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot
de passe, contrôle de la bande passante, facilité d'administration, d'installation et de
configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de
mises à jour, etc. 
Installation du ZeroShell

Prérequis:
- Une machine (serveur ZeroShell) avec au moins deux (2) cartes réseau; - Un CD
d’installation de ZeroShell

- Une connexion Internet (pour tester toutes les fonctionnalités)

- Un réseau local

 On télécharge d’abord le fichier d’installation, qui est un fichier compressé avec l’extension
.iso.
 Ensuite, on crée un CD Bootable, c’est-à-dire un CD de démarrage.
 Enfin, on insère le CD pour lancer l’installation qui sera de façon automatique.
À la fin du lancement, nous aurons un écran comme suit:

N: pour afficher les interfaces réseau

P: pour changer le mot de passe de l’administrateur
T: pour afficher la table de routage
F: pour afficher les règles du pare-feu
I: pour gérer les adresses IP

ETH0: cette interface a l’adresse 192.168.0.75 obtenue de façon automatique lors de

l’installation de ZeroShell. On peut toutefois la modifier.
ETH1: cette interface n’a pas encore d’adresse. Cependant, on lui en attribuera une en
interface graphique.
Configuration du ZeroShell

Pour la configuration des différents services, sur un poste client, nous utiliserons un
navigateur web (Internet Explorer, Mozilla Firefox, Safari…) pour accéder à l’interface
graphique avec l’adresse : 192.68.0.75

Par défaut:
Username: admin
Password: zeroshell
 Création d’une partition pour stocker notre configuration (Figure 20)
Il est très important d’enregistrer nos fichiers de configuration dans une partition de
notre disque dur. Pour se faire, nous allons créer une nouvelle partition.

1 - on clique sur Setup pour accéder au menu.

2- on clique sur Profiles pour voir les différents profils (s’il en existe).
3- on choisit le disque dur sur lequel on veut créer la partition.
 4- on clique sur New partition pour créer une nouvelle partition.
Une nouvelle fenêtre apparaitra dans laquelle nous indiquerons les informations de la
partition.
5- on spécifie la taille de la partition ou utiliser le disque en entier (option par défaut)

6- on choisit le type de système de fichier (ext3 dans notre cas)

7- on renseigne le nom de la partition et on clique sur Create Partition.
Une fois notre partition créée, nous allons ajouter un profil à cette dernière.

8- on choisit notre partition nouvellement créée.

9- on clique sur Create Profile. Une nouvelle fenêtre apparaitra, comme suit:
10- on renseigne les différentes informations relatives à notre profil
11- on clique sur Create.

12- On choisit notre nouveau profil

13- on clique sur Activate pour l’activer. Ceci va redémarrer le système ZeroShell.

Configuration réseau
Après avoir créé notre partition et notre profil, nous allons configurer les adresses IP de notre
réseau.
1- on clique sur Network pour afficher nos interfaces réseau. ETH00 est l’interface de notre
réseau local avec une adresse par défaut 192.168.0.75.
2- on choisit l’interface ETH01 pour lui attribuer une adresse IP, 192.168.1.5 3 on clique sur
Add IP. Une nouvelle fenêtre apparaitra.

4- on entre l’adresse et le masque de sous réseau.

5- on clique sur OK pour valider.

Nous allons ensuite ajouter une passerelle par défaut (Default Gateway), 192.168.1.154
 6- on clique sur GATEWAY pour ajouter la passerelle. Une nouvelle fenêtre
apparaitra.

7- on indique l’adresse IP de la passerelle par défaut.

8- on clique sur OK pour valider.

Une fois tout ceci fait, il nous affichera les routes statiques:

9- affiche la table de routage

10- affiche le journal (les logs)
DHCP
ZeroShell peut aussi être un serveur DHCP (Dynamic Host Configuration
Protocol), les clients du réseau local n’auront pas besoin d’adresses IP statiques.

1- on clique sur DHCP

2- on clique sur New, une nouvelle fenêtre apparaitra.

3- on choisit l’interface sur laquelle on veut activer le DHCP

4- on clique sur OK pour valider
5- on spécifie la plage d’adresses
6- on renseigne la passerelle et les serveurs DNS (Domain Name System)
7- on clique sur Save pour enregistrer le serveur DHCP

Surfer sur Internet

Pour permettre aux clients internes d’utiliser la connexion Internet, nous devons
activer le NAT (Network Adresse Translation).
 1- on clique sur Router.
2- on clique sur NAT pour faire la translation d’adresse. Une nouvelle fenêtre
apparaitra.

3- on choisit l’interface parmi la liste Avaible Interfaces (ETH01 dans notre cas), puis on
l’ajoute dans la liste NAT Enabled Interfaces, avec le bouton .
4- on clique sur Save pour valider.

Portail Captif

Le portail captif (captive portal) consiste à forcer les clients HTTP d'un réseau à
afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder
à Internet normalement.
 Avant d’activer cette fonction, nous allons d’abord créer des utilisateurs.

1- on clique sur Users.

2- on clique sur Add pour pouvoir ajouter un nouvel utilisateur. Une nouvelle fenêtre
apparaitra.

1- on renseigne les informations de l’utilisateur (nom d’utilisateur, répertoire, groupe…)

2- on lui attribue un mot de passe
3- on clique sur Submit pour valider la création.
 1- on clique sur Captive Portal.
2- on active la passerelle par défaut.
3- on choisit l’interface du réseau local (ETH00 dans notre cas).
4- on clique sur Save pour valider.
5- on clique sur Authentication pour activer l’authentification des utilisateurs. Une
nouvelle fenêtre apparaitra.

6- on coche Status pour activer l’authentification.

7- on clique sur Save pour valider les modifications.
 Une fois tout ceci fait, on peut déjà se connecter avec l’utilisateur que nous avons
créé précédemment

HTTP Proxy

Les pages Web sont de plus en plus souvent les moyens par lesquels les vers et les
virus se propagent sur Internet. Pour pallier à ce problème, des techniques sont adaptées telles
que le proxy. Un des plus gros problèmes lorsqu’on utilise un serveur proxy est la
configuration de tous les navigateurs Web pour l'utiliser. Il est donc nécessaire de spécifier
son adresse IP ou nom d'hôte et le port TCP sur lequel il répond (généralement le port 8080).
Cela pourrait être lourd dans le cas des réseaux locaux avec de nombreux utilisateurs, mais
pire encore, les utilisateurs pourront supprimer cette configuration pour avoir Internet. Pour
résoudre ce problème, ZeroShell utilise un proxy transparent qui consiste à capturer
automatiquement les demandes des clients. ZeroShell est en mesure de saisir ces requêtes
web, pour se faire il doit être configuré comme une passerelle réseau, afin que le trafic
Internet client passe au travers. ZeroShell permet également de bloquer l’accès à certaines
pages web, c’est ce qu’on appelle Black List ou Liste Noire.
Exemple: www.exemple.com: bloque la page d’accueil du site alors que
www.exemple.com/* bloque tout le contenu.
1- on clique sur HTTP Proxy pour accéder à l’interface de configuration. 2- on ajoute les
différentes adresses IP auxquelles on veut restreindre l’accès. Une nouvelle fenêtre apparaîtra.

1- on renseigne l’action à effectuer, l’interface réseau, l’adresse IP source et/ou de

destination.
2- on clique sur Save pour enregistrer les modifications
 ETUDE THECHNIQUE DE PFSENSE

Définition

Pfsense est un OS transformant n'importe quel ordinateur en routeur/pare-feu. Basé sur

FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit Open Source
adapté à tout type d'entreprise.

Fonctionnalités

- Gestion complète par interface web

- Pare-feu stateful avec gestion du NAT, NAT-T

- Gestion de multiples WAN

- DHCP server et relay

- Failover (possibilité de monter un cluster de pfsense)

- Load balancing

- VPN Ipsec, OpenVPN, L2TP

- Portail captif

-Superviser son réseau

Cette liste n'est pas exhaustive et si une fonction vous manque, des extensions sont
disponibles directement depuis l'interface de Pfsense, permettant notamment l'installation d'un
proxy ou d'un filtrage d'URL, très simplement.

En plus d'être disponible en version 32 et 64 bits, Pfsense est également disponible

pour l'embarqué, il fonctionne très bien sur des petits boitiers Alix.

Dernière chose, Pfsense nécessite deux cartes réseaux minimum (une pour le WAN et
une pour le LAN).

Avantages et inconvénients

Comme toute solution de routeur/pare-feu, Pfsense possède son lot d'avantages et

d'inconvénients. Mais sa polyvalence et le nombre conséquent de fonctionnalités font de cet
outil une solution fiable pour les entreprises, et ce, quelles que soient la taille et l'activité de
ces dernières.
 Le coût est un élément à prendre en compte, car comme vous le savez, les PME pour
qui les systèmes d'informations ne sont pas le cœur de métier n'ont pas des budgets
importants pour ce genre de solutions.
Comme nous le verrons par la suite, il existe plusieurs façons de mettre en place
Pfsense, en passant par une plateforme virtuelle (ESXi par exemple) ou en faisant
l'acquisition d'un routeur sur lequel la distribution est déjà installée.

Enfin, il est important de souligner que Pfsense est très peu gourmand en termes de
ressources. En effet, la configuration minimale requiert un processeur équivalent ou
supérieur à 500Mhz quand la mémoire exigée est de 256Mo. Vous n'aurez donc aucune
difficulté à mettre en place cette solution !
En revanche, et malgré les nombreux avantages de cette solution, il faudra s'assurer
que la personne en charge de gérer le parc informatique ait les connaissances nécessaires pour
déployer cette solution.
En effet, de nombreuses PME font confiance à des opérateurs qui disposent d'un
service entreprise (comme Orange, SFR ou encore Numéricâble) pour la mise en place d'une
connexion internet dans leurs locaux.
Les box possèdent donc des interfaces simplifiées avec un support adapté à leurs
besoins afin de faire face aux problèmes de tous les jours.

Installation et configuration
Téléchargez l’image de Pfsense dans la section « Download » de Pfsense
(http://www.pfsense.com).
Démarrez votre ordinateur à partir du cd de l’image de Pfsense ; l’installation va alors
commencer.
 Laissez alors le compte à rebours se terminer (10 secondes) ou appuyez
directement sur « Entrée ». Le démarrage par défaut est choisi.
Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-
dessous que FreeBSD détecte le nombre de carte réseau, et y attribue des noms (em0 et
em1 dans notre cas).
Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN  : em1,
WAN : em0).
Les VLAN ne seront pas utilisés.

Nous allons à présent choisir quelle interface appartient au LAN, au WAN.

Une fois les interfaces assignées, nous arrivons enfin au menu.

 L’adresse par défaut du LAN est 192.168.1.1. Nous allons la modifier en
172.16.0.16 pour que Pfsense soit sur le même réseau. Saisir l’option « 2 ».

Nous voilà de nouveau au menu. Nous allons à présent installer réellement

pfSense sur le disque dur. Saisir alors le choix « 99 ».
 L'installation qui va suivre se fait en acceptant toutes les options par défaut. Il
suffit d'accepter toutes les demandes (formatage si nécessaire et création de la
partition).

On choisit d’installer Pfsense facilement et rapidement.

 Nous allons ici créer le swap. Le swap sert de partition d'échange pour
FreeBSD. Elle utilisé comme une mémoire RAM, mais sur le disque dur Une fois
appuyée sur OK on a ceci :
Si tout c'est bien passé, Pfsense s'installe
 Si Pfsense s'est installé correctement, vous pouvez retirer le cd et redémarrer la
machine en allant sur reboot

Configuration du portail captif

Pfsense est désormais disponible à l’adresse du LAN :

http://pfsense.groupe6.esgis
-login : admin ;
-mot de passe : Pfsense (par défaut)
C’est à partir de cette adresse que toutes les manipulations vont se dérouler
Lors de la connexion à l’adresse de Pfsense, une aide à la configuration
apparaît. Elle permet de configurer la base de Pfsense. Il est conseillé de l’utiliser
même si par la suite les informations renseignées peuvent être changées.
Nous voilà enfin sur la page par défaut d’administration de Pfsense
 Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la
machine, le domaine et l'IP du DNS. Attention, il vous faut décocher l'option se
trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En
effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense,
mais un DNS du WAN inaccessible par le LAN.
Ensuite, modifiez le nom et le mot de passe du compte permettant de se
connecter sur Pfsense. Vous pouvez ensuite activer l'accès à ces pages, via une
connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui
port (correspondant à SSL).
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler
votre horloge. Enfin, nous vous conseillons de changer le thème d'affichage de
Pfsense.
En effet, le thème par défaut (metallic), comporte quelques bugs (problème
d'affichage, lien disparaissant). Mettez donc le thème "Pfsense".
Vous devriez donc avoir une interface comme ceci :
 Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer
la connexion SSH afin de l'administrer à distance sans passer par l'interface graphique
(en effet, pour une configuration accrus, il vaut mieux passer par le Shell).

Nous allons maintenant configurer les interfaces LAN et WAN en détail. Pour
cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la
carte réseau coté WAN, ainsi que l'adresse IP de la passerelle.
 Configurer ensuite la carte LAN (elle doit être normalement bien configuré,
mais vous pouvez faire des modifications par la suite ici)
 Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable
DNS forwarder. Cette option va permettre à Pfsense de transférer et d'émettre les
requêtes DNS pour les clients

Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier
la connexion des clients. Pour cela, allez dans la section DHCP server.
Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage
d'adresse IP qui sera attribuée aux clients.
Dans notre cas, notre plage d'IP sera 176.16.0.10 – 176.16.0.30. Il faut par la
suite entrer l'IP du serveur DNS qui sera attribuée aux clients.
Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons définie plus
haut que Pfsense fera lui-même les requêtes DNS.
Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le
portail captif : 176.16.0.6. Voici donc ce que vous devriez avoir
 Voilà, Pfsense est correctement configuré. Pour le moment il sert uniquement
de Firewall et de routeur. Nous allons maintenant voir comment activer l'écoute des
requêtes sur l'interface LAN et obliger les utilisateurs à s'authentifier pour traverser le
Firewall.
Nous allons voir la procédure afin de mettre en place le portail captif. Pour cela,
allez dans la section Captive portail. Cochez la case Enable captive portail, puis
choisissez l'interface sur laquelle le portail captif va écouter (LAN dans notre cas.

Ensuite vient la méthode d'authentification. 3 possibilités s'offre à nous :

- Sans authentification, les clients sont libres
- Via un fichier local
- Via un serveur RADIUS
On précise le type d’authentificateur que l’on désire: dans notre cas, on utilisera
l'authentification via notre serveur RADIUS comme l'indique la capture suivante.
Ensuite on va dans System User Manager dans server on crée un nouveau server qu’on
nommera radius : para
 Maintenant on essaie d’accéder à une page web par exemple google.fr le
Pfsense nous renvoie vers une page d’authentification :

VI. Solution choisie

Après nombreux essais, on a choisi Pfsense, d'une part parce que c'est une solution Open
Source qui dispose d'une grande communauté et d'autre part parce qu'elle offre un grand
nombre de fonctionnalités. Cette distribution, si elle est bien utilisée, permet de couvrir une
bonne partie des besoins d'une société, si ce n'est l'intégralité.
 Chapitre 5 : PARE FEU
Pourqoi choisir un Firewall ?
De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques
qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des
données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe
sur des projets communs.
La possibilité de travail collaboratif apportée par un réseau local constitue un premier
pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur,
c'est à dire internet.
En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par
Exemple nécessaire de pouvoir partager des informations avec les clients de
l'entreprise.
Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte a
divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas
contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour
effectuer de tel actions sont nombreux et variés : attaque visant le vol de données, passe-
temps, ...
Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui est le
firewall. Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de
détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le
réseau ouvert sur Internet beaucoup plus sûr.
De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En
effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme
par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à ces
services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son
enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il
permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la
façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et
d'empêcher une personne sans autorisation d'accéder à ce réseau de données.

Les différentes catégories de firewall

Depuis leur création, les firewalls ont grandement évolué. Ils sont effectivement la
première solution technologique utilisé pour la sécurisation des réseaux. De ce fait, il existe
maintenant différentes catégories de firewall. Chacune d'entre-elles disposent d'avantages et
d'inconvénients qui lui sont propre. Le choix du type d'un type de firewall plutôt qu'un autre
dépendra de l'utilisation que l'on souhaite en faire, mais aussi des différentes contraintes
imposées par le réseau devant être protégé.
Firewall sans états (stateless)
Ce sont les firewall les plus anciens mais surtout les plus basiques qui existent. Ils font
un contrôle de chaque paquets indépendamment des autres en se basant sur les règles
prédéfinies par l'administrateur (généralement appelées ACL, Access Control Lists).
Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages
s'appliquent alors par rapport à une d'adresses IP sources ou destination, mais aussi par
rapport à un port source ou destination.
Les limites :
Lors de la création des règles de filtrage, il est d'usage de commencer à spécifier que le
firewall ne doit laisser passer aucun paquets. Ensuite, il faut ajouter les règles permettant de
choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser l'ouverture des
ports des serveurs devant être accessible depuis l'extérieur. Mais les connexions des postes
vers l'extérieur poseront problèmes. Effectivement, il faudrait autoriser les ports utilisés par
les postes clients lors des
connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports supérieurs à
1024. Ceci pose donc un réel problème de sécurité.
Il n'est pas possible non plus de se préserver des attaques de type ip-spoofing
(technique consistant à se faire passer pour une machine de confiance) ou SYN Flood
(surcharge de demande de connexion sans attente de la réponse). Les règles de filtrage de ces
firewalls sont basées que sur des adresses IP, il suffit donc au pirate de trouver les règles de ce
firewall pour pouvoir utiliser cette technique de piratage. Une solution pour se protéger des
attaques de type ip-spoofing est de mettre en place une règle interdisant les paquets provenant
du réseau extérieur dont l'adresse IP source correspond à une adresse valide du réseau local.
Exemple d'attaque pas ip-spoofing. Une connexion est établie entre le client A et le
serveur B. Un pirate C souhaite attaquer cette connexion.
Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant
de manière similaire au FTP.
Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui
dédié . Ce port est choisi aléatoirement avec une valeur supérieure à 1024. Dans le cas
du protocole FTP, l'utilisation de deux ports permet d'avoir un flux de contrôle et un flux de
données pour les connexions. Le problème posé viens du fait que ce port est choisi
aléatoirement, il n'est donc pas possible de créer des règles pour permettre les connexions
FTP avec les firewalls sans états.

Firewall à états (stateful)

Les firewalls à états sont une évolution des firewalls sans états. La différence entre ces
deux types de firewall réside dans la manière dont les paquets sont contrôlés. Les firewalls à
états prennent en compte la validité des paquets qui transitent par rapport aux paquets
précédemment reçus.
 Ils gardent alors en mémoire les différents attributs de chaque connexions, de leur
commencement jusqu'à leur fin, c'est le mécanisme de stateful inspection. De ce fait, ils seront
capables de traiter les paquets non plus uniquement suivant les règles définies par
l'administrateur, mais également par rapport à l'état de la session :
– NEW : Un client envoie sa première requête.
– ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW.
– RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct
avec une connexion déjà connue.
– INVALID : Correspond à un paquet qui n'est pas valide.
Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de
séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors capables de
déceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardées
dans une table des états deconnexions. L'application des règles est alors possible sans lire les
ACL à chaque fois, car
l'ensemble des paquets appartenant à une connexion active seront acceptés.
Un autre avantages de ce type de firewall, se trouve au niveau de la protection contre
certaines attaques DoS comme par exemple le Syn Flood. Cette attaque très courante consiste
à envoyer en masse des paquets de demande de connexion (SYN) sans en attendre la réponse
(c'est ce que l'on appel flood). Ceci provoque la surcharge de la table des connexions des
serveurs ce qui les rend incapable d'accepter de nouvelles connexions. Les firewalls stateful
étant capables de vérifier l'état des sessions, ils sont capables de détecter les tentatives
excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une
demande de connexion par seconde pour un client donné. Un autre atout de ces firewalls est
l'acceptation d'établissement de connexions à la demande. C'est à
dire qu'il n'est plus nécessaire d'ouvrir l'ensemble des ports supérieurs à 1024. Pour
cette fonctionnalité, il existe un comportement différent suivant si le protocole utilisé est de
type orienté connexion ou non. Pour les protocoles sans connexion (comme par exemple
UDP), les paquets de réponses légitimes aux paquets envoyés sont acceptés pendant un temps
donné. Par contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer
l'état de deux connexions (donnée
et contrôle). Ceci implique donc que le firewall connaisse le fonctionnement du
protocole FTP (et des protocoles analogues), afin qu'il laisse passé le flux de données établi
par le serveur.
Les limites :
La première limite de ce type de firewall ce situe au niveau du contrôle de la validité
des protocoles.
Effectivement, les protocoles « maisons » utilisant plusieurs flux de données ne
passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du
fonctionnement de ces protocoles particuliers.
 Ensuite, il existe un coût supplémentaire lors de la modification des règles du firewall.
Il faut que les firewalls réinitialisent leurs tables à état.
Pour finir, ce type de firewall ne protège pas contre l'exploitation des failles
applicatives, qui représentent la part la plus importante des risques en terme de sécurité.

Firewall applicatif
Les firewall applicatif (aussi nommé pare-feu de type proxy ou passerelle applicative)
fonctionne sur la couche 7 du modèle OSI. Cela suppose que le firewall connaisse l'ensemble
des protocoles utilisés par chaque application. Chaque protocole dispose d'un module
spécifique à celui-ci. C'est à dire que, par exemple, le protocole HTTP sera filtré par un
processus proxy HTTP.
Ce type de firewall permet alors d'effectuer une analyse beaucoup plus fine des
informations qu'ils font transiter. Ils peuvent ainsi rejeter toutes les requêtes non conformes
aux spécifications du protocole. Ils sont alors capables de vérifier, par exemple, que seul le
protocole HTTP transite à travers le port 80. Il est également possible d'interdire l'utilisation
de tunnels TCP permettant de contourner le filtrage par ports. De ce fait, il est possible
d'interdire, par exemple, aux utilisateurs
d'utiliser certains services, même s'ils changeant le numéro de port d'utilisation du
services (comme par exemple les protocoles de peer to peer).

Les limites :
La première limitation de ces firewalls réside sur le fait qu'ils doivent impérativement
connaître toutes les règles des protocoles qu'ils doivent filtrer. Effectivement, il faut que le
module permettant le filtrage de ces protocoles soit disponible.
Ensuite, ce type de firewall est très gourmand en ressource. Il faut donc s'assurer
d'avoir une machine suffisamment puissante pour limiter les possibles ralentissements dans
les échanges.

Firewall authentifiant
Les firewall authentifiant permettent de mettre en place des règles de filtrage suivant
les utilisateurs et non plus uniquement suivant des machines à travers le filtre IP. Il est alors
possible de suivre l'activité réseau par utilisateur.
Pour que le filtrage puisse être possible, il y a une association entre l'utilisateur
connecté et l'adresse IP de la machine qu'il utilise. Il existe plusieurs méthode d'association.
Par exemple authpf, qui utilise SSH, ou encore NuFW qui effectue l'authentification par
connexion.
Firewall personnel
Les firewalls personnels sont installés directement sur les postes de travail. Leur
principal but est de contrer les virus informatiques et logiciels espions (spyware).
Leur principal atout est qu'ils permettent de contrôler les accès aux réseaux des
applications installés sur la machines. Ils sont capables en effet de repérer et d'empêcher
l'ouverture de ports par des applications non autorisées à utiliser le réseau.

Les différents types de firewalls

Pare-feu matériel
Les pare-feu matériels peuvent être achetés en tant que produit autonome, mais plus
récemment, les pare-feu matériels se trouvent généralement dans les routeurs à large bande, et
devraient être considérés comme une partie importante de votre système et de configuration
réseau, en particulier pour toute connexion haut débit. Les pare-feu matériels peuvent être
efficaces avec peu ou pas de configuration, et ils peuvent protéger chaque machine sur un
réseau local. La plupart des pare-feu matériels disposeront d'au moins quatre ports réseau pour
connecter d'autres ordinateurs, mais pour les réseaux plus importants, des solutions de pare-
feu de réseautage d'entreprise sont disponibles.
Un pare-feu matériel utilise le filtrage de paquets pour examiner l'en-tête d'un paquet
afin de déterminer sa source et sa destination. Ces informations sont comparées à un ensemble
de règles prédéfinies ou créées par l'utilisateur qui déterminent si le paquet doit être renvoyé
ou abandonné.
Comme pour tout équipement électronique, un utilisateur d'ordinateur ayant des
connaissances informatiques générales peut brancher un pare-feu, ajuster quelques paramètres
et le faire fonctionner. Pour vous assurer que votre pare-feu est configuré pour une sécurité
optimale et protéger, les consommateurs auront sans doute besoin d'apprendre les
caractéristiques spécifiques de leur pare-feu matériel, comment les activer et comment tester
le pare-feu pour s'assurer qu'il fait un bon travail de protection de votre réseau.
Pas tous les pare-feu sont créés égaux, et à cette fin, il est important de lire le manuel
et la documentation qui accompagne votre produit. De plus, le site Web du fabricant fournira
généralement une base de connaissances ou une FAQ pour vous aider à démarrer. Si la
terminologie est un peu trop axée sur la technologie, vous pouvez également utiliser la
recherche Webopedia pour vous aider à mieux comprendre certaines des conditions
techniques et informatiques que vous rencontrerez lors de la configuration de votre pare-feu
matériel.
Pour tester votre sécurité de pare-feu matériel, vous pouvez acheter des logiciels de
test tiers ou rechercher sur Internet un service de test de pare-feu en ligne gratuit. Le test de
pare-feu est une partie importante de la maintenance pour vous assurer que votre système est
toujours configuré pour une protection optimale.
Pare-feu logiciel
Pour les utilisateurs à la maison individuels, le choix de pare-feu le plus populaire est
un pare-feu logiciel. Les pare-feu logiciels sont installés sur votre ordinateur (comme
n'importe quel logiciel) et vous pouvez le personnaliser; Vous permettant un certain contrôle
sur sa fonction et les caractéristiques de protection. Un pare-feu logiciel protégera votre
ordinateur contre les tentatives extérieures de contrôle ou d'accès à votre ordinateur et, selon
votre choix de pare-feu logiciel, il pourrait également fournir une protection contre les
programmes Trojan les plus courants ou les vers e-mail. De nombreux pare-feu logiciels ont
des contrôles définis par l'utilisateur pour configurer le partage sécurisé des fichiers et des
imprimantes et pour empêcher les applications dangereuses de s'exécuter sur votre système.
En outre, les pare-feu logiciels peuvent également intégrer des contrôles de confidentialité, le
filtrage Web et plus encore. L'inconvénient des pare-feu logiciels est qu'ils ne protègeront que
l'ordinateur sur lequel ils sont installés, et non pas un réseau, de sorte que chaque ordinateur
devra disposer d'un pare-feu logiciel installé sur celui-ci.
Comme les pare-feu matériels, il existe un grand nombre de firewalls logiciels à
choisir. Pour commencer, vous pouvez lire les avis de pare-feu logiciels et de rechercher sur
le site Web du produit pour recueillir des informations en premier. Étant donné que votre
pare-feu logiciel fonctionnera toujours sur votre ordinateur, vous devriez prendre note des
ressources système nécessaires à l'exécution et des éventuelles incompatibilités avec votre
système d'exploitation. Un bon pare-feu logiciel fonctionnera en arrière-plan sur votre
système et n'utilisera qu'une petite quantité de ressources système. Il est important de
surveiller un pare-feu logiciel une fois installé et de télécharger les mises à jour disponibles
auprès du développeur.
Les différences entre un pare-feu logiciel et matériel sont vastes, et la meilleure
protection pour votre ordinateur et votre réseau est d'utiliser les deux, car chacun offre des
fonctionnalités de sécurité différentes mais très nécessaires. La mise à jour de votre pare-feu
et de votre système d'exploitation est essentielle au maintien d'une protection optimale, tout
comme le test de votre pare-feu pour vous assurer qu'il est connecté et fonctionne
correctement.

DMZ
 une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est un sous réseau séparé
du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-
réseau contient les machines étant susceptibles d'être accédées depuis Internet.
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services
susceptibles d'être accédés depuis Internet seront situés en DMZ.
En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines
de la DMZ et non au réseau local.
La figure ci-contre représente une architecture DMZ avec un pare-feu à trois interfaces.
L'inconvénient est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est
cependant possible d'utiliser deux pare-feu en cascade afin d'éliminer ce risque. Il existe aussi
des architectures de DMZ où celle-ci est située entre le réseau Internet et le réseau local,
séparée de chacun de ces réseaux par un pare-feu.

Configuration
Pour ce réseau on va utiliser un firewall matériel avec la configuration suivante :
On va acceder à l’interfece de configuration du firewall par l’adresse 192.168.1.1

Apres cette etape on va configurer l’interface Lan ( Internal)

On a donné l’interface une adresse statique et on a alouer le passage des paquets des
protocoles HTTPS , HTTP , PING et FMG-Access
Apres cette étape on doit configurer l’interface WAN
Même chose pour cette interface
Maintenant il nous reste de configurer le port DMZ

On doit router vers les sous réseau(Vlan 10 et Vlan 20)

La derniere etape c’est de alouer les packets de passer du DMZ ver LAN et du LAN vers
DMZ et du LAN vers WAN
Ref :
http://www.cisco.com/c/dam/en_us/about/ciscoitatwork/downloads/ciscoitatwork/
pdf/French_Cisco_IT_Case_Study_WLAN_Benefits.pdf
http://www.commentcamarche.net
http://www.wikipedia.org
http://www.compufirst.com/compufirst-lab/reseau-et-telecom/comment-choisir-son-
switch/
http://www.clemanet.com/achat-switch.php
http://www.projetsdiy.fr/router-switch-hub-differences-choix/
http://www.zdnet.fr/actualites/8-points-pour-choisir-le-bon-routeur-wi-fi-d-entreprise-
39829180.htm